專利名稱:基于ims的多媒體廣播和多播服務(wù)(mbms)中的安全密鑰管理的制作方法
技術(shù)領(lǐng)域:
一般來(lái)說(shuō)����,本發(fā)明涉及通信網(wǎng)絡(luò)����,并且具體來(lái)說(shuō)�����,涉及用于管理基于IP多媒體子系統(tǒng)(IMS)的多媒體廣播/多播服務(wù)(MBMS)用戶服務(wù)中的共享安全密鑰的系統(tǒng)�、方法和網(wǎng)絡(luò)節(jié)點(diǎn)�。
背景技術(shù):
在若干第三代合作伙伴項(xiàng)目(3GPP)技術(shù)規(guī)范中描述與本發(fā)明相關(guān)的現(xiàn)有規(guī)程�。 它們包括-3GPP TS 33. 220 v8. 5. 0 Technical Specification Group Services and System Aspects (技術(shù)規(guī)范組月艮務(wù)禾口系統(tǒng)方面)����;Generic Authentication Architecture(GAA) ;Generic bootstrapping architecture ( —1 ^(GAA) ���;—Μ 引導(dǎo)架構(gòu)(GBA))(發(fā)布版8)����;-3GPP TS 33. 222 v8. 0. 0 Technical Specification Group Services and System Aspects (技術(shù)規(guī)范組月艮務(wù)禾口系統(tǒng)方面)�;Generic Authentication Architecture (GAA) ;Access to network application functions using Hypertext Transfer Protocol over Transport Layer Security (HTTPS)(—般鑒權(quán)架構(gòu)(GAA)���;使用超文本傳輸協(xié)議在傳輸層安全性(HTTPQ上接入網(wǎng)絡(luò)應(yīng)用功能)(發(fā)布版8)��;-3GPP TS 33. 246 v8.2.0 Technical Specification Group Services and System Aspects (技術(shù)規(guī)范組服務(wù)和系統(tǒng)方面)���;3G Security ���;Security of Multimedia Broadcast/Multicast Service (MBMS) (3G安全性;多媒體廣播/多播業(yè)務(wù)(MBMS)的安全性)(發(fā)布版8)�;以及-3GPP TS 26. 237 v8. 0. 0 Technical Specification Group Services and System Aspects (技術(shù)規(guī)范組服務(wù)和系統(tǒng)方面);IP Multimedia Subsystem (IMS) based Packet Switched Streaming (PSS) and Multimedia Broadcast/Multicast Service (MBMS) User Service ���;ftx)tocols (基于IP多媒體子系統(tǒng)(IMS)的分組交換流動(dòng)(PSS)和多媒體廣播/多播業(yè)務(wù)(MBMS)用戶服務(wù)�����;協(xié)議)(發(fā)布版8)。圖1是來(lái)自TS 33.222的高級(jí)參考模型��,示出使用引導(dǎo)服務(wù)的網(wǎng)絡(luò)應(yīng)用功能 (NAF)����。網(wǎng)絡(luò)實(shí)體在3GPP TS 33. 220中定義,3GPP TS 33. 220規(guī)定通用引導(dǎo)架構(gòu)(GBA)�,其中移動(dòng)通信裝置(例如,用戶設(shè)備(UE)Il)和引導(dǎo)服務(wù)器功能性(BSF) 12通過(guò)證參考點(diǎn)來(lái)運(yùn)行HTTP digest AKA����,并且因此建立共享密鑰Ks。共享密鑰Ks稍后用于得出NAF特定密鑰(稱作Ks_NAF密鑰)���,以便保密UE與NAF 13之間通過(guò)Ua參考點(diǎn)的通信���。NAF通過(guò)Si 參考點(diǎn)來(lái)取回NAF特定密鑰��。
3GPP TS 33. 222條款6規(guī)定NAF 13中的認(rèn)證代理(AP)的使用���。AP與TS 33. 220 中規(guī)定的GBA架構(gòu)兼容。當(dāng)AP用于這種架構(gòu)時(shí)�,AP通過(guò)充當(dāng)NAF來(lái)減輕(relieve)應(yīng)用服務(wù)器(AQ的安全任務(wù)。圖2是來(lái)自TS 33. 222的高級(jí)參考模型����,示出認(rèn)證代理(AP) 15的環(huán)境和參考點(diǎn)。 TS 33. 222假定UE 11與NAF 13中的AP 15之間的使用傳輸層安全性(TLS)��。當(dāng)HTTPS請(qǐng)求預(yù)計(jì)送往AP之后的應(yīng)用服務(wù)器(AS)16a-16n時(shí)����,AP端接TLS隧道17,從BSF 12取回NAF 密鑰(Ks_NAF)�,并且執(zhí)行UE認(rèn)證。AP作為代理將從UE接收的HTTP請(qǐng)求送往一個(gè)或多個(gè) AS�。當(dāng)AP將請(qǐng)求從UE轉(zhuǎn)發(fā)給AS時(shí)��,AP可添加訂戶識(shí)別碼的斷言����,供AS使用���。TS 33. 222中為NAF密鑰的使用定義的規(guī)程的問(wèn)題在于�����,UE 11和AS 16a_16n 沒(méi)有共享任何密鑰資料����,即使可能存在會(huì)需要這種共享密鑰資料的情況��。AP 15充當(dāng)TS 33. 222中的NAF 13�。因此���,NAF密鑰(Ks_NAF)按照TS 33. 220中規(guī)定的密鑰推導(dǎo)規(guī)則是 AP特定的�,并且是UE不知道的��。圖3是來(lái)自TS沈.237的高級(jí)參考模型��,示出用于密鑰共享的當(dāng)前解決方案。NAF 密鑰與AS配合使用的上面定義的這個(gè)問(wèn)題也可適用于TS沈.237中定義的網(wǎng)絡(luò)實(shí)體����。在這種情況下,服務(wù)控制功能(SCF) 21充當(dāng)NAF/AP的修改變體(并且因而標(biāo)記為SCF/NAF)��, 并且MBMS廣播/多播服務(wù)中心出1^0 22充當(dāng)六5(并且因而標(biāo)記為81^(/^5)��。與圖2的 AS相似�,BM-SC/AS需要與UE 11的共享密鑰,以便能夠通過(guò)單播或廣播信道將受保護(hù)MIKEY 密鑰管理消息從BM-SC/AS直接發(fā)送到UE����。應(yīng)當(dāng)注意,TS 26. 237沒(méi)有提到與TS 33. 222的AP 15和AS 16的這種類比��。TS 26. 237中的設(shè)定與TS 33. 222中不是精確相同的���;例如�,不一定使用UE 11與SCF 21之間的TLS隧道���。但是����,類似問(wèn)題仍然保持不變。在TS沈.237中��,引入了一種解決方案����,其中SCF 21將它自己的NAF密鑰(Ks_ NAF)發(fā)送到BM-SC 22。BM-SC使用Ks_NAF作為MUK (MBMS用戶密鑰)���,這用于保護(hù)從BM-SC 到UE 11的MIKEY密鑰管理消息��。圖3的步驟1-6按照當(dāng)前GBA規(guī)范���,而步驟7描述向 BM-SC發(fā)送Ks_NAF以及訂戶的被斷言識(shí)別碼。只要僅一個(gè)BM-SC 22連接到SCF 21 (并且只要SCF能夠假定對(duì)BM-SC的足夠置信��,使得BM-SC不會(huì)誤用SCF特定NAF密鑰)���,則TS 26. 237中的當(dāng)前解決方案正常工作。 當(dāng)兩個(gè)或更多BM-SC附連到SCF時(shí)�,則出現(xiàn)問(wèn)題。這是因?yàn)?���,按照?dāng)前解決方案���,SCF將它自己的Ks_NAF發(fā)送到BM-SC,并且因此SCF會(huì)將同一 Ks_NAF發(fā)送到所有連接的BM-SC�����。將同一密鑰給予若干節(jié)點(diǎn)不是良好的安全實(shí)踐��。這會(huì)引起同一 Ks_NAF密鑰在UE 11與所有相關(guān)聯(lián)的BM-SC之間使用的情況�。這會(huì)揭開(kāi)諸如BM-SC對(duì)UE相互模仿的威脅。圖4是示出在現(xiàn)有基于IMS的MBMS登記過(guò)程期間在多種網(wǎng)絡(luò)實(shí)體之間發(fā)送的消息的消息流程圖���。該圖基于如下前提按照3GPP TS 33. 203向IMS登記和認(rèn)證了 UE 11 �����; UE與服務(wù)調(diào)度功能(SSF)(未示出)進(jìn)行了通信并且接收到如3GPP TS沈.237定義的可用服務(wù)的列表����;UE如3GPP TS 33. 220所定義運(yùn)行了與BSF 12的GBA引導(dǎo)����;以及網(wǎng)絡(luò)接口采用3GPP TS 33. 210中定義的網(wǎng)絡(luò)域安全性(NDS/IP)來(lái)保護(hù)。該過(guò)程如下��,其中僅示出關(guān)于安全性過(guò)程的相關(guān)信息�。UE 11經(jīng)由IP多媒體核心網(wǎng)絡(luò)(IM CN)子系統(tǒng)32向SCF 21發(fā)送SIP INVITE消息31。INVITE消息在請(qǐng)求URI中指示“SCF”�����,并且該消息在XML文檔的SIP消息主體中包含UE希望登記的被請(qǐng)求MBMS用戶服務(wù)的識(shí)別碼(userServicelds)���。XML文檔與用于TS 33. 246中的MBMS登記的相同�����,并且在 TS沈.346中規(guī)定。另外��,存在攜帶引導(dǎo)事務(wù)標(biāo)識(shí)符(B-TID)的XML文檔���。攜帶B-TID的 XML文檔在3GPP TS 26. 237的附錄I中定義��。SCF 21從SIP INVITE消息31的報(bào)頭接收UE 11的IP地址和UE的一個(gè)或多個(gè)被斷言識(shí)別碼��。SCF基于存儲(chǔ)的預(yù)訂信息來(lái)執(zhí)行檢查��,以便確定是否授權(quán)UE訪問(wèn)被請(qǐng)求MBMS 用戶服務(wù)��。如果UE經(jīng)過(guò)授權(quán)��,則該過(guò)程繼續(xù)進(jìn)行�����;如果未經(jīng)授權(quán)��,則該過(guò)程終止����。如果不存在對(duì)該UE存儲(chǔ)的B-TID��,或者如果接收的B-TID與對(duì)該UE存儲(chǔ)的不同���,則SCF 21在33和 34通過(guò)Si參考點(diǎn)來(lái)運(yùn)行與BSF 12的GBA使用過(guò)程���,以便取回與UE對(duì)應(yīng)的NAF密鑰,如TS 33. 220所定義。SCF從NAF密鑰得出MBMS用戶密鑰(MUK)����,如TS 33. 246所定義。SCF 21 向 BM-SC 22 發(fā)送 HTTP POST 消息�����;35�。SCF 按如下所述裝載 HTTP POST 消息-HTTP版本將為1. 1,這在RFC 2616中規(guī)定�����;-請(qǐng)求URI的基部(base)將包含完整BM-SC密鑰管理URI(例如http://bmsc. homel. net :1234)����;-請(qǐng)求URI 將包含設(shè)置成“authorized-register”的 URI 參數(shù)“requesttype”,即��, 請(qǐng)求 URI 采取 “/keymanagement ���? requesttype = authorized-register�,�,的形式���;-SCF可對(duì)請(qǐng)求URI添加附加URI參數(shù)���;-X-3GPP-Asserted-Identity 報(bào)頭�,它包括 UE 的識(shí)別碼���;-HTTP 報(bào)頭 Content-Type 將是有效載荷的 MIME 類型�,即�����,“application/ mbms-authorized-register+xml��,�,;-HTTP有效載荷將包含XML文檔�����,其中包括UE希望登記的MBMS用戶服務(wù)的一個(gè)或多個(gè)userkrvicelds�、UE的IP地址、MBMS用戶密鑰(MUK)����、和MUK的存在期的列表��。有效載荷的XML方案在3GPP TS 26. 237的附錄I中規(guī)定-SCF可對(duì)HTTP POST請(qǐng)求添加附加HTTP報(bào)頭��。BM-SC 22接收HTTP POST消息35�����,檢驗(yàn)HTTP POST是有效的�,并且提取請(qǐng)求供進(jìn)一步處理����。由于HTTP POST消息來(lái)自具有被斷言識(shí)別碼的SCF 21,所以BM-SC不需要認(rèn)證 UE 11�,因?yàn)閁E已經(jīng)由IMS認(rèn)證。另外���,HTTP POST消息還向BM-SC指示SCF已經(jīng)授權(quán)UE向指示的MBMS用戶服務(wù)進(jìn)行登記��。BM-SC存儲(chǔ)接收的信息���,并且向SCF 21返回HTTP 2000K消息36。BM-SC將按如下所述來(lái)裝載HTTP 2000K消息 -HTTP狀態(tài)行中的HTTP狀態(tài)碼將為200 ����;-HTTP 報(bào)頭 Content-Type 將是有效載荷的 MIME 類型�����,即,“application/ mbms-register-response+xml���,�����,�����;-HTTP有效載荷將包含XML文檔����,XML文檔包括其中包含各MBMS用戶服務(wù)的一個(gè)狀態(tài)碼的列表���。有效載荷的XML方案與用于TS 33. 246中的MBMS登記的相同����,并且在TS 26. 346中規(guī)定。SCF 21接收HTTP 2000K消息36����,并把來(lái)自HTTP 2000K消息的XML主體包含到 SIP 2000K消息37中,并且經(jīng)由IM CN子系統(tǒng)32向UE 11發(fā)送SIP 2000K消息��。BM-SC 22 這時(shí)能夠按照TS 33. 246中規(guī)定的過(guò)程開(kāi)始向指示的MBMS用戶服務(wù)的UE發(fā)送MIKEY MSK消息(采用MUK來(lái)保護(hù))38,MTK消息(采用MSK來(lái)保護(hù))39�����、和MBMS數(shù)據(jù)(采用MTK來(lái)保護(hù))40���。這個(gè)過(guò)程的問(wèn)題與以上針對(duì)圖3論述的相同��,S卩�,不存在當(dāng)一個(gè)以上BM-SC連接到 SCF時(shí)提供BM-SC特定NAF密鑰的方式��。如果SCF 21向所有連接的BM-SC發(fā)送同一 Ks_ NAF,則該同一 Ks_NAF密鑰會(huì)在UE 11與所有相關(guān)聯(lián)BM-SC之間使用�����。這會(huì)揭開(kāi)諸如BM-SC 對(duì)UE相互模仿的威脅�����。另外,在MIKEY MSK消息38中不存在足夠信息向UE 11指示哪一個(gè)MUK (即���,NAF 密鑰)用于保護(hù)MIKEY MSK消息��。在MBMS TS 33. 246中���,NAF-Id和B-TID用于指示這個(gè)方面��;但在TS 26. 237中����,BM-SC 22沒(méi)有充當(dāng)NAF�����,并且因此它沒(méi)有這種信息�����。
發(fā)明內(nèi)容
在本發(fā)明的一個(gè)實(shí)施例中���,SCF/NAF 21在GBA中如常從BSF 12取回Ks_NAF。然后�����,不是SCF/NAF向(一個(gè)或多個(gè))BM-SC/AS發(fā)送它自己的Ks_NAF,而是SCF/NAF從SCF特定Ks_NAF進(jìn)行進(jìn)一步密鑰推導(dǎo)���,以產(chǎn)生BM-SC/AS特定密鑰Ks_AS�。例如�,Ks_AS = KDF (Ks_ NAF, nonce),其中��,nonce (現(xiàn)時(shí))是由SCF/NAF定義的并且是對(duì)相關(guān)聯(lián)BM-SC/AS特定的值�。 CF/NAF向UE 11指示nonce,UE 11則進(jìn)行相同Ks_AS推導(dǎo)��。SCF/NAF還向UE指示BM-SC/ AS的識(shí)別碼�����,使得UE能夠?qū)⒌贸龅腒s_AS密鑰與正確BM-SC/AS相關(guān)起來(lái)�����。因此�,UE和 BM-SC/AS共享BM-SC/AS特定密鑰。在一個(gè)實(shí)施例中,本發(fā)明針對(duì)一種在通信網(wǎng)絡(luò)中用于管理通信裝置�����、認(rèn)證節(jié)點(diǎn)��、以及向通信裝置提供請(qǐng)求服務(wù)的選擇的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的方法���。該方法包括下列步驟由認(rèn)證節(jié)點(diǎn)將多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與多個(gè)服務(wù)相關(guān)聯(lián)�,其中多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符標(biāo)識(shí)認(rèn)證節(jié)點(diǎn)�����;以及由網(wǎng)絡(luò)使預(yù)期服務(wù)的服務(wù)描述對(duì)通信裝置可用���,服務(wù)描述包括多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中與預(yù)期服務(wù)相關(guān)聯(lián)的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符,其中認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符使通信裝置能夠得出安全密鑰����。該方法還包括由認(rèn)證節(jié)點(diǎn)向網(wǎng)絡(luò)中的各服務(wù)節(jié)點(diǎn)分配多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中的不同認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符;并且由認(rèn)證節(jié)點(diǎn)將分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與連接的服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)����。在從通信裝置接收到預(yù)期服務(wù)的請(qǐng)求時(shí),認(rèn)證節(jié)點(diǎn)利用與預(yù)期服務(wù)關(guān)聯(lián)的分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得與分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的連接的服務(wù)節(jié)點(diǎn)的安全密鑰���,并且將安全密鑰從認(rèn)證節(jié)點(diǎn)發(fā)送到關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)�����。因此���,當(dāng)關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)向通信裝置發(fā)送采用安全密鑰保護(hù)的密鑰管理消息時(shí)�����,通信裝置使用安全密鑰對(duì)該消息進(jìn)行解密和檢驗(yàn)。在另一個(gè)實(shí)施例中����,本發(fā)明針對(duì)一種在通信網(wǎng)絡(luò)中用于管理通信裝置、認(rèn)證節(jié)點(diǎn)�、 以及向通信裝置提供請(qǐng)求服務(wù)的選擇的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的方法。該方法包括下列步驟由網(wǎng)絡(luò)使至少一個(gè)服務(wù)的服務(wù)描述對(duì)通信裝置可用�,服務(wù)描述包括認(rèn)證節(jié)點(diǎn)的至少一個(gè)標(biāo)識(shí)符,其中各認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與不同服務(wù)以及與不同服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)�����;由通信裝置基于已知信息以及在服務(wù)描述中接收的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中的選擇的一個(gè)來(lái)得出安全密鑰,其中選擇的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與預(yù)期服務(wù)相關(guān)聯(lián)�;以及將預(yù)期服務(wù)的請(qǐng)求從通信裝置發(fā)送到認(rèn)證節(jié)點(diǎn),該請(qǐng)求包括事務(wù)標(biāo)識(shí)符和預(yù)期服務(wù)的服務(wù)標(biāo)識(shí)符�����。該方法還包括在認(rèn)證節(jié)點(diǎn)中將服務(wù)標(biāo)識(shí)符與認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符相關(guān)聯(lián)�;由認(rèn)證節(jié)點(diǎn)利用認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和事務(wù)標(biāo)識(shí)符來(lái)獲得安全密鑰;識(shí)別與認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)����;以及將預(yù)期服務(wù)的請(qǐng)求消息從認(rèn)證節(jié)點(diǎn)發(fā)送到識(shí)別的服務(wù)節(jié)點(diǎn),該請(qǐng)求消息包括服務(wù)標(biāo)識(shí)符�、事務(wù)標(biāo)識(shí)符、安全密鑰和通信裝置的地址����。因此,當(dāng)識(shí)別的服務(wù)節(jié)點(diǎn)向通信裝置發(fā)送采用安全密鑰保護(hù)的密鑰管理消息時(shí)���,通信裝置使用安全密鑰對(duì)該消息進(jìn)行解密和檢驗(yàn)。在另一個(gè)實(shí)施例中����,本發(fā)明針對(duì)一種在通信網(wǎng)絡(luò)中用于管理通信裝置以及向通信裝置提供服務(wù)的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的認(rèn)證節(jié)點(diǎn)。該認(rèn)證節(jié)點(diǎn)包括運(yùn)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序指令的處理器,該處理器控制認(rèn)證節(jié)點(diǎn)的下列組件用于將多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與多個(gè)服務(wù)相關(guān)聯(lián)的部件����,其中多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符標(biāo)識(shí)認(rèn)證節(jié)點(diǎn);用于向網(wǎng)絡(luò)中的各服務(wù)節(jié)點(diǎn)分配多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中的不同認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符的部件��;用于將分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與連接的服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)的表�;響應(yīng)從通信裝置接收到預(yù)期服務(wù)的請(qǐng)求而利用與預(yù)期服務(wù)關(guān)聯(lián)的分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得與分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的連接的服務(wù)節(jié)點(diǎn)的安全密鑰的部件;以及用于將安全密鑰從認(rèn)證節(jié)點(diǎn)發(fā)送到關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)的通信部件�。網(wǎng)絡(luò)使預(yù)期服務(wù)的服務(wù)描述對(duì)通信裝置可用。服務(wù)描述包括多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中與預(yù)期服務(wù)關(guān)聯(lián)的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符��,并且通信裝置利用認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)得出安全密鑰�。因此,當(dāng)關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)向通信裝置發(fā)送采用安全密鑰保護(hù)的密鑰管理消息時(shí)�����,通信裝置使用安全密鑰對(duì)該消息進(jìn)行解密和檢驗(yàn)�。在另一個(gè)實(shí)施例中,本發(fā)明針對(duì)一種在通信網(wǎng)絡(luò)中用于利用共享安全密鑰向通信裝置提供用戶服務(wù)的服務(wù)節(jié)點(diǎn)�����。該服務(wù)節(jié)點(diǎn)包括運(yùn)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序指令的處理器����。該處理器控制服務(wù)節(jié)點(diǎn)的下列組件用于從認(rèn)證節(jié)點(diǎn)獲得認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符、通信裝置的IP地址��、事務(wù)標(biāo)識(shí)符和共享安全密鑰的通信部件���,其中事務(wù)標(biāo)識(shí)符標(biāo)識(shí)其中通信裝置已經(jīng)請(qǐng)求服務(wù)節(jié)點(diǎn)提供的用戶服務(wù)的事務(wù)����;以及用于向通信裝置發(fā)送采用共享安全密鑰保護(hù)的密鑰管理消息的通信部件��,密鑰管理消息包括認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和事務(wù)標(biāo)識(shí)符����。當(dāng)通信裝置從服務(wù)節(jié)點(diǎn)接收到密鑰管理消息時(shí),通信裝置從認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和事務(wù)標(biāo)識(shí)符來(lái)識(shí)別共享安全密鑰�����。當(dāng)認(rèn)證節(jié)點(diǎn)向通信裝置提供認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符時(shí)�����,或者當(dāng)通信裝置接收服務(wù)描述中的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符時(shí)��,通信裝置利用認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)得出共享安全密鑰�����,并且使用共享安全密鑰對(duì)密鑰管理消息進(jìn)行解密和檢驗(yàn)�。在另一個(gè)實(shí)施例中,本發(fā)明針對(duì)一種在通信網(wǎng)絡(luò)中用于管理共享安全密鑰的系統(tǒng)����。該系統(tǒng)包括通信裝置;與通信裝置進(jìn)行通信的認(rèn)證節(jié)點(diǎn)�;以及與認(rèn)證節(jié)點(diǎn)和通信裝置進(jìn)行通信的服務(wù)節(jié)點(diǎn)。該認(rèn)證節(jié)點(diǎn)包括用于將多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與多個(gè)服務(wù)相關(guān)聯(lián)的部件��,其中多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符標(biāo)識(shí)認(rèn)證節(jié)點(diǎn)�����;用于向服務(wù)節(jié)點(diǎn)分配多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中的選擇的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符的部件��;用于將分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與連接的服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)的表����;響應(yīng)從通信裝置接收到預(yù)期服務(wù)的請(qǐng)求而利用與預(yù)期服務(wù)關(guān)聯(lián)的分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得與分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的連接的服務(wù)節(jié)點(diǎn)的安全密鑰的部件;以及用于向服務(wù)節(jié)點(diǎn)發(fā)送認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符���、通信裝置的IP地址�����、事務(wù)標(biāo)識(shí)符和共享安全密鑰的通信部件����,其中事務(wù)標(biāo)識(shí)符標(biāo)識(shí)其中通信裝置已經(jīng)請(qǐng)求服務(wù)節(jié)點(diǎn)提供的用戶服務(wù)的事務(wù)。該服務(wù)節(jié)點(diǎn)包括用于向通信裝置發(fā)送采用共享安全密鑰保護(hù)的密鑰管理消息的通信部件�����,密鑰管理消息包括認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和事務(wù)標(biāo)識(shí)符���。移動(dòng)通信裝置包括用于從認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和事務(wù)標(biāo)識(shí)符來(lái)識(shí)別共享安全密鑰的部件���;用于接收或者來(lái)自認(rèn)證節(jié)點(diǎn)的或者在從網(wǎng)絡(luò)獲得的服務(wù)描述中的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符的通信部件;用于利用認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)得出共享安全密鑰的部件��;以及用于使用共享安全密鑰對(duì)密鑰管理消息進(jìn)行解密和檢驗(yàn)的部件��。在基于IMS的MBMS和PSS用戶服務(wù)中的密鑰分發(fā)的一特定示范實(shí)施例中�,本發(fā)明有利地提供一種更安全的系統(tǒng),其中UE與多個(gè)BM-SC的每個(gè)共享不同(特定)的密鑰��,而不是與所有涉及的BM-SC共享同一密鑰。在用于獲得認(rèn)證代理(AP)情況的AS特定密鑰的相關(guān)實(shí)施例中����,本發(fā)明有利地提供一種實(shí)現(xiàn)UE與應(yīng)用服務(wù)器(AQ之間的共享秘密的方式�。 這使得能夠?qū)哂蠥P的情況開(kāi)發(fā)新種類的應(yīng)用。本發(fā)明提供一種更安全的系統(tǒng)��,其中UE 與各AS共享不同(特定)的密鑰�����,而不是與所有涉及的AS共享同一密鑰�。
圖1是取自TS 33.222的高級(jí)參考模型,示出使用引導(dǎo)服務(wù)的網(wǎng)絡(luò)應(yīng)用功能 (NAF)�����;圖2是取自TS 33. 222的高級(jí)參考模型�,示出認(rèn)證代理(AP)的環(huán)境和參考點(diǎn);圖3是取自TS 26. 237的高級(jí)參考模型��,示出用于密鑰共享的當(dāng)前解決方案��;圖4是示出在現(xiàn)有基于IMS的MBMS登記過(guò)程期間在多種網(wǎng)絡(luò)實(shí)體之間發(fā)送的消息的消息流程圖��;圖5A-5B是示出在服務(wù)描述中向UE指示NAF-Id (SCF分配的FQDN)時(shí)在發(fā)明的基于IMS的MBMS登記過(guò)程的第一實(shí)施例期間在多種網(wǎng)絡(luò)實(shí)體之間發(fā)送的消息的消息流程圖的部分;圖6A-6B是示出在SIP 2000K消息中向UE指示NAF-Id (SCF分配的FQDN)時(shí)在發(fā)明的基于IMS的MBMS登記過(guò)程的第二實(shí)施例期間在多種網(wǎng)絡(luò)實(shí)體之間發(fā)送的消息的消息流程圖的部分��;圖7是示出用于基于IMS的MBMS和PSS用戶服務(wù)中的密鑰分發(fā)的發(fā)明系統(tǒng)和方法的一實(shí)施例的高級(jí)參考模型�����;圖8是示出用于獲得認(rèn)證代理(AP)情況的AS特定密鑰的發(fā)明系統(tǒng)和方法的一實(shí)施例的高級(jí)參考模型�����;以及圖9是本發(fā)明系統(tǒng)的一示范實(shí)施例的簡(jiǎn)化框圖����。
具體實(shí)施例方式存在能夠向UE指示將要在密鑰推導(dǎo)中使用的NAF-Id的兩種方式A)可在服務(wù)描述中向UE指示NAF-Id (SCF分配的FQDN)?�;赨E選擇哪一個(gè)服務(wù)��,UE則將使用對(duì)應(yīng)NAF-Id���。這與MBMS TS 33. 246中的當(dāng)前過(guò)程相似����,但是指示了 BM-SC FQDN0B) SCF可在SIP INVITE過(guò)程中向UE指示NAF-Id(SCF分配的FQDN),因?yàn)閁E在 SIP INVITE過(guò)程結(jié)束之前不需要使用NAF-Id�����。這個(gè)備選方案的優(yōu)點(diǎn)在于�����,SCF能夠在服務(wù)請(qǐng)求被接收時(shí)向用戶動(dòng)態(tài)分配BM-SC�。這例如在負(fù)荷平衡中可能是有益的���。圖5A-5B是示出在服務(wù)描述中向UE 11指示NAF-Id (SCF分配的FQDN)時(shí)(S卩,上述備選方案A)在發(fā)明的基于IMS的MBMS登記過(guò)程期間在多種網(wǎng)絡(luò)實(shí)體之間發(fā)送的消息的消息流程圖的部分��。該圖基于如下前提按照3GPP TS 33. 203向IMS登記和認(rèn)證了 UE ��; SIP過(guò)程由3GPP TS 33. 203中定義的IMS安全性來(lái)保護(hù)����;UE如3GPP TS 33. 220中定義的那樣運(yùn)行了與BSF 12的GBA引導(dǎo);以及網(wǎng)絡(luò)接口采用3GPP TS 33. 210定義的網(wǎng)絡(luò)域安全性(NDS/IP)來(lái)保護(hù)���。
另外���,SCF 21已經(jīng)創(chuàng)建到一個(gè)或多個(gè)BM-SC 22a,22b的連接�����,BM-SC 22a,22b向 UE提供實(shí)際MBMS用戶服務(wù)���。與TS 33. 246中定義的��、其中BM-SC充當(dāng)NAF的MBMS安全性不同,SCF代表BM-SC(—個(gè)或多個(gè))來(lái)充當(dāng)NAF�����。BSF 12使用NAF_Id(它包括NAF的FQDN 和Ua安全協(xié)議標(biāo)識(shí)符)作為對(duì)NAF密鑰推導(dǎo)的輸入�����。為了從BSF得到BM-SC特定NAF密鑰�,SCF為各BM-SC分配分離的FQDN(從它管理的FQDN空間)����。SCF例如在表中將這些分配的FQDN本地地關(guān)聯(lián)到連接的BM-SC��。由于兩種原因而需要這些分配的分離的FQDN�����。首先�,SCF 21不能使用同一(例如��, 它自己的)FQDN,因?yàn)閮蓚€(gè)BM-SC則會(huì)得到同一 NAF密鑰���,這可能危及系統(tǒng)的安全性。其次�����, SCF不能使用BM-SC的FQDN��,因?yàn)锽SF 12將進(jìn)行檢查以確定NAF是否有權(quán)使用NAF提供的 NAF-Id0作為一個(gè)示例�����,SCF可按如下方式為BM-SC_1 2 和BM_SC_2 22b分配NAF-Id:NAF-Id_l(FQDN)< = >BM_SC1(FQDN)NAF-Id_2(FQDN)< = >BM_SC2(FQDN)其中���,例如,NAF_Id_l 可以是 serverL scf. operatorA. com,而 BM-SCl 可以是 bmscl23. operatorB. com���。參照?qǐng)D5A�����,在GBA引導(dǎo)過(guò)程42之后,執(zhí)行服務(wù)描述檢索過(guò)程43��。UE 11與SSF 41 進(jìn)行通信��,并且檢索服務(wù)描述44��,S卩,可用服務(wù)及其參數(shù)(例如��,服務(wù)保護(hù)描述)的列表��。服務(wù)保護(hù)描述與TS 33. 246中定義的相似���,除了包含SCF分配的FQDN而不是BM-SC FQDN之外���。假定在這里還需要SCF 21的FQDN,使得UE知道將SIP INVITE消息47發(fā)送到什么位置����。在45,用戶從服務(wù)描述來(lái)選擇服務(wù)��,并且得出與服務(wù)描述中對(duì)選擇的服務(wù)指示的 NAF-Id對(duì)應(yīng)的NAF密鑰����。備選地,NAF密鑰推導(dǎo)可在SIP INVITE過(guò)程46之后執(zhí)行��。UE 11經(jīng)由IM CN子系統(tǒng)32向SCF 21發(fā)送SIP INVITE消息47���。INVITE消息在請(qǐng)求URI中指示SCF���,并且該消息在XML文檔的SIP消息主體中包含UE希望登記的被請(qǐng)求 MBMS用戶服務(wù)的識(shí)別碼(userServicelds)。XML文檔與用于TS 33. 246中的MBMS登記的相同����,并且在TS沈.346中規(guī)定。另外���,存在攜帶引導(dǎo)事務(wù)標(biāo)識(shí)符(B-TID)的XML文檔��。攜帶B-TID的XML文檔在3GPP TS 26. 237的附錄I中定義��。SCF 21從SIP INVITE消息47的報(bào)頭接收UE 11的IP地址和UE的被斷言識(shí)別碼(一個(gè)或多個(gè))�����。SCF基于存儲(chǔ)的預(yù)訂信息來(lái)執(zhí)行檢查����,以便確定是否授權(quán)UE訪問(wèn)被請(qǐng)求MBMS用戶服務(wù)。如果是的話����,則該過(guò)程繼續(xù)進(jìn)行。如果不是的話�����,則該過(guò)程終止��。參照?qǐng)D5B�����,如果不存在對(duì)該UE存儲(chǔ)的B-TID����,或者如果接收的B-TID與對(duì)該UE存儲(chǔ)的不同��,則SCF通過(guò)Si參考點(diǎn)來(lái)運(yùn)行與BSF 12的GBA使用過(guò)程48���,以便取回與UE對(duì)應(yīng)的NAF密鑰�����,如TS 33. 220定義的����。SCF向BSF發(fā)送授權(quán)請(qǐng)求消息49,并且包括在服務(wù)描述中對(duì)這個(gè)服務(wù)指示的NAF-Id�����。BSF在50使用NAF-Id來(lái)得出NAF密鑰���,并且然后在授權(quán)響應(yīng)消息51中返回NAF密鑰��。然后����,SCF從NAF密鑰得出MUK�����,如TS 33. 246定義的。應(yīng)當(dāng)注意�,新fe安全協(xié)議在3GPP TS 33. 220中為此需要登記。然后����,在HTTP登記過(guò)程52中,SCF 21向BM-SC (在所示情況下�����,向BM_SC_1 22a) 發(fā)送HTTP POST消息53�。SCF按如下所述裝載HTTP POST消息-HTTP版本將為1. 1,這在RFC 2616中規(guī)定�����;-請(qǐng)求URI的基部將包含完整BM-SC密鑰管理URI(例如http://bmsc. homel. net 1234)��;-請(qǐng)求 URI 將包含設(shè)置成“authorized-register”的 URI 參數(shù)“requesttype”��,即����, 請(qǐng)求 URI 采取 “/keymanagement ��? requesttype = authorized-register�,����,的形式;
-SCF可對(duì)請(qǐng)求URI添加附加URI參數(shù)�����;-X-3GPP-Asserted-Identity 報(bào)頭����,它包括 UE 的識(shí)別碼���;-HTTP 報(bào)頭 Content-Type 將是有效載荷的 MIME 類型�,即����,“application/ mbms-authorized-register+xml,�,;-HTTP有效載荷將包含XML文檔����,其中包括UE希望登記的MBMS用戶服務(wù)的一個(gè)或多個(gè) userServicelds, UE 的 IP 地址�����、MBMS 用戶密鑰(MUK)以及 MUK�����、NAF-IcU B-TID 的存在期的列表����。包含NAF-Id和B-TID�,因?yàn)樗鼈冞€包含在從BM-SC到UE的MIKEY消息中以標(biāo)識(shí)使用哪一個(gè)MUK ( BP, NAF密鑰)。有效載荷的XML方案在3GPP TS 26. 237的附錄I 中規(guī)定�。-SCF可對(duì)HTTP POST請(qǐng)求消息添加附加HTTP報(bào)頭。BM-SC_1 2 接收HTTP POST消息53����,檢驗(yàn)HTTP POST消息是有效的,并且提取請(qǐng)求供進(jìn)一步處理�。由于HTTP POST消息來(lái)自具有被斷言識(shí)別碼的SCF 21,所以BM-SC_lF 需要認(rèn)證UE 11�����,因?yàn)閁E已經(jīng)由IMS認(rèn)證。另外�����,HTTP POST消息還向BM_SC_1指示SCF已經(jīng)授權(quán)UE向指示的MBMS用戶服務(wù)進(jìn)行登記��。BM-SC_1存儲(chǔ)接收的信息����,并且向SCF 21返回HTTP 2000K消息54。BM_SC_1將按如下所述來(lái)裝載HTTP 2000K消息-HTTP狀態(tài)行中的HTTP狀態(tài)碼將為200 ���;-HTTP 報(bào)頭 Content-Type 將是有效載荷的 MIME 類型,即���,“application/ mbms-register-response+xml��,�,�����;-HTTP有效載荷將包含XML文檔���,XML文檔包括其中包含各MBMS用戶服務(wù)的一個(gè)狀態(tài)碼的列表�����。有效載荷的XML方案與用于TS 33. 246中的MBMS登記的相同���,并且在TS 26. 346中規(guī)定���。SCF 21接收HTTP 2000K消息54,把來(lái)自HTTP 2000K消息的XML主體包含到SIP 2000K消息55中��,并且經(jīng)由IM CN子系統(tǒng)32向UE 11發(fā)送SIP 2000K消息�。在MIKEY MSK 過(guò)程56中,BM-SC_1 22a這時(shí)能夠按照TS 33. 246中規(guī)定的過(guò)程開(kāi)始向指示的MBMS用戶服務(wù)的UE發(fā)送MIKEY MSK消息(采用MUK來(lái)保護(hù))57���、MTK消息(采用MSK來(lái)保護(hù))58和 MBMS數(shù)據(jù)(采用MTK來(lái)保護(hù))59��。在MIKEY MSK消息57中����,BM-SC將使用在HTTP POST消息 53 中從 SCF 21 接收的 NAF-Id(FQDN)和 B-TID0圖6A-6B是示出在SIP 2000K消息中向UE 11指示NAF-Id (SCF分配的FQDN)時(shí) (即����,上述備選方案B)在發(fā)明的基于IMS的MBMS登記過(guò)程的一實(shí)施例期間在多種網(wǎng)絡(luò)實(shí)體之間發(fā)送的消息的消息流程圖的部分�����。如以上對(duì)于圖5A-5B所述的相同前提適用�。參照?qǐng)D6A��,在GBA引導(dǎo)過(guò)程42之后��,執(zhí)行服務(wù)檢索過(guò)程43��。UE 11與SSF 41進(jìn)行通信����,并且檢索服務(wù)描述62,S卩�����,可用服務(wù)及其參數(shù)(例如���,服務(wù)保護(hù)描述)的列表。服務(wù)保護(hù)描述與TS 33. 246中定義的相似��,除了包含的FQDN指向SCF 21而不是BM-SC FQDN之外�。假定在這里還需要SCF 21的FQDN���,使得UE知道將SIP INVITE消息47發(fā)送到什么位置。然后����,用戶從服務(wù)描述來(lái)選擇服務(wù)。
在SIP INVITE 過(guò)程 63 中�,UE 11 經(jīng)由 IM CN 子系統(tǒng) 32 向 SCF 21 發(fā)送 SIP INVITE 消息64。INVITE消息在請(qǐng)求URI中指示SCF��,并且該消息在XML文檔的SIP消息主體中包含UE希望登記的被請(qǐng)求MBMS用戶服務(wù)的識(shí)別碼(userServicelds)����。XML文檔與用于TS 33. 246中的MBMS登記的相同,并且在TS 26. 346中規(guī)定����。另外,存在攜帶引導(dǎo)事務(wù)標(biāo)識(shí)符 (B-TID)的XML文檔����。攜帶B-TID的XML文檔在3GPP TS 26. 237的附錄I中定義。SCF 21從SIP INVITE消息64的報(bào)頭接收UE 11的IP地址和UE的被斷言識(shí)別碼(一個(gè)或多個(gè))����。SCF基于存儲(chǔ)的預(yù)訂信息來(lái)執(zhí)行檢查����,以便確定是否授權(quán)UE訪問(wèn)被請(qǐng)求MBMS用戶服務(wù)��。如果是的話����,則該過(guò)程繼續(xù)進(jìn)行。如果不是的話���,則該過(guò)程終止���。參照?qǐng)D6B,如果不存在對(duì)該UE存儲(chǔ)的B-TID����,或者如果接收的B-TID與對(duì)該UE存儲(chǔ)的不同,則SCF通過(guò)Si參考點(diǎn)來(lái)運(yùn)行與BSF 12的GBA使用過(guò)程65����,以便取回與UE對(duì)應(yīng)的NAF密鑰�����,如TS 33. 220定義的。SCF向BSF發(fā)送授權(quán)請(qǐng)求消息66�,并且包括SCF為這個(gè)服務(wù)已經(jīng)分配的NAF-Id。BSF在67使用NAF-Id來(lái)得出NAF密鑰�����,并且然后在授權(quán)響應(yīng)消息68中返回NAF密鑰�����。然后����,SCF從NAF密鑰得出MUK JBTS 33.246定義的。應(yīng)當(dāng)注意���, 新Ua安全協(xié)議在3GPP TS 33. 220中為此需要登記���。然后,在HTTP登記過(guò)程69中���,SCF 21向BM-SC (在所示情況下�,向BM_SC_1 22a) 發(fā)送HTTP POST消息70。SCF按如下所述裝載HTTP POST消息-HTTP版本將為1. 1�,這在RFC 2616中規(guī)定;-請(qǐng)求URI的基部將包含完整BM-SC密鑰管理URI(例如http://bmsc. homel. net 1234)�����;-請(qǐng)求URI 將包含設(shè)置成“authorized-register”的 URI 參數(shù)“requesttype”�,即, 請(qǐng)求 URI 采取 “/keymanagement �����? requesttype = authorized-register�,,的形式�����;
-SCF可對(duì)請(qǐng)求URI添加附加URI參數(shù)����;-X-3GPP-Asserted-Identity 報(bào)頭,它包括 UE 的識(shí)別碼���;-HTTP 報(bào)頭 Content-Type 將是有效載荷的 MIME 類型�����,即�����,“application/ mbms-authorized-register+xml����,���,�;-HTTP有效載荷將包含XML文檔����,其中包括UE希望登記的MBMS用戶服務(wù)的一個(gè)或多個(gè) usei^erviceIds、UE 的 IP 地址�、MBMS 用戶密鑰(MUK)以及 MUK、NAF_Id 和 B-TID 的存在期的列表����。包含NAF-Id和B-TID,因?yàn)樗鼈冞€包含在從BM-SC到UE的MIKEY消息中以標(biāo)識(shí)使用哪一個(gè)MUK (即����,NAF密鑰)���。有效載荷的XML方案在3GPP TS 26. 237的附錄I中規(guī)定。-SCF可對(duì)HTTP POST請(qǐng)求消息添加附加HTTP報(bào)頭�。BM-SC_1 2 接收HTTP POST消息70,檢驗(yàn)HTTP POST消息是有效的��,并且提取請(qǐng)求供進(jìn)一步處理���。由于HTTP POST消息來(lái)自具有被斷言識(shí)別碼的SCF 21�����,所以BM-SC_lF 需要認(rèn)證UE 11�����,因?yàn)閁E已經(jīng)由IMS認(rèn)證�。另外��,HTTP POST消息還向BM_SC_1指示SCF已經(jīng)授權(quán)UE向指示的MBMS用戶服務(wù)進(jìn)行登記��。BM-SC_1存儲(chǔ)接收的信息�����,并且向SCF 21返回HTTP 2000K消息71。BM_SC_1將按如下所述來(lái)裝載HTTP 2000K消息-HTTP狀態(tài)行中的HTTP狀態(tài)碼將為200 ����;-HTTP 報(bào)頭 Content-Type 將是有效載荷的 MIME 類型���,即��,“application/mbms-register-response+xml�����,��,�;-HTTP有效載荷將包含XML文檔����,XML文檔包括其中包含各MBMS用戶服務(wù)的一個(gè)狀態(tài)碼的列表。有效載荷的XML方案與用于TS 33. 246中的MBMS登記的相同����,并且在TS 26. 346中規(guī)定�。SCF 21接收HTTP 2000K消息71���,把來(lái)自HTTP 2000K消息的XML主體以及使用的 NAF-Id包含到SIP 2000K消息72中����,并且經(jīng)由IM CN子系統(tǒng)32向UE 11發(fā)送SIP 2000K 消息��。當(dāng)UE接收SIP 2000K消息時(shí)����,UE在73使用接收的NAF-Id來(lái)得出與服務(wù)對(duì)應(yīng)的NAF 密鑰,并且得出MUK, iW TS 33. 246中定義����。在MIKEY MSK過(guò)程74中,BM_SC_1 22a這時(shí)能夠按照TS 33. 246中規(guī)定的過(guò)程開(kāi)始向指示的MBMS用戶服務(wù)的UE發(fā)送MIKEY MSK消息(采用MUK來(lái)保護(hù))75���、MTK消息(采用MSK來(lái)保護(hù))76和MBMS數(shù)據(jù)(采用MTK來(lái)保護(hù))77��。在MIKEY MSK消息75中�,BM-SC將使用在HTTP POST消息70中從SCF 21接收的NAF-Id(FQDN)和B-TID0圖7是示出用于基于IMS的MBMS和PSS用戶服務(wù)中的密鑰分發(fā)的發(fā)明系統(tǒng)和方法的第一實(shí)施例的高級(jí)參考模型��。在步驟1,UE 11和BSF 12運(yùn)行GBA引導(dǎo)過(guò)程�����,如TS 33. 220中定義��。結(jié)果是密鑰Ks和B-TID����。在步驟2,UE得出NAF特定密鑰材料(Ks_NAF)�, 如TS 33. 220中定義���。在步驟3�,UE通過(guò)向SCF 21 (它充當(dāng)NAF)發(fā)送SIP INVITE消息(包含B-TID)����,來(lái)發(fā)起會(huì)話初始協(xié)議(SIP)會(huì)話。在步驟4��,SCF使用B-TID從BSF請(qǐng)求Ks_NAF��。 在步驟5����,BSF得出NAF特定密鑰材料(Ks_NAF)�����,如TS 33. 220中定義����。在步驟6��,BSF向 SCF 發(fā)送 Ks_NAF���。在新步驟6b�,SCF 21確定哪一個(gè)BS-SC應(yīng)當(dāng)接收該請(qǐng)求�����。這個(gè)信息可從UE的請(qǐng)求獲得����,或者SCF可基于其本地策略來(lái)進(jìn)行本地判定。SCF使用密鑰推導(dǎo)函數(shù)(例如����,Ks_ AS = KDF(Ks_NAF,nonce))從 Ks_NAF 和 nonce 來(lái)得出 BM-SC 特定密鑰 Ks_AS。nonce 可以是例如BM-SC的識(shí)別碼,例如完全合格域名(FQDN)����、由SCF選擇的(偽)隨機(jī)值或者作為 nonce可使用的另外某個(gè)值。在步驟7����,SCF 21在HTTP請(qǐng)求中向識(shí)別的BM-SC 22a發(fā)送Ks_AS以及BM-SC的識(shí)別碼(例如,F(xiàn)QDN)�����。CR S4-090148中規(guī)定的其它信息也可在請(qǐng)求中發(fā)送(但Ks_NAF由Ks_ AS取代)���。應(yīng)當(dāng)注意,將BM-SC 22a的B-TID和FQDN發(fā)送到BM-SC,使得BM-SC能夠?qū)⑵浒谒屯鵘E 11的MIKEY消息的ID有效載荷中��。UE將使用它們來(lái)識(shí)別正確MUK�����、即Ks_ AS�����。將FQDN從SCF發(fā)送到BM-SC使得有可能令BM-SC通過(guò)不同F(xiàn)QDN對(duì)UE和SCF是已知的。因此�,需要確保BM-SC向UE發(fā)送BM-SC從SCF接收到的相同F(xiàn)QDN。在步驟8����,BM-SC 22a存儲(chǔ)信息,并且以SIP 2000K消息向SCF 21確認(rèn)HTTP請(qǐng)求��。 在步驟9���,SCF向UE 11發(fā)送SIP 2000K消息��。2000K消息包括nonce和BM-SC的識(shí)別碼�。 如果FQDN用作nonce�����,則這兩者可以是相同值����。在步驟9b,UE使用密鑰推導(dǎo)函數(shù)(例如��, Ks_AS = KDF (Ks_NAF, nonce))從 Ks_NAF 和 nonce 來(lái)得出 BM-SC 特定密鑰 Ks_AS��。UE 存儲(chǔ)密鑰Ks_AS連同BM-SC識(shí)別碼。最后��,在步驟10�,BM-SC 22a向UE發(fā)送采用作為MUK的Ks_ AS保護(hù)的MIKEY密鑰管理消息(參見(jiàn)TS 33.246)。BM-SC把從SCF 21接收的BM_SC FQDN 和B-TID包含在MIKEY消息的ID有效載荷中�����。UE 11則能夠使用Ks_AS對(duì)消息進(jìn)行解密和檢驗(yàn)�。UE使用MIKEY消息的ID有效載荷來(lái)識(shí)別正確MUK ( S卩,Ks_AS)�。圖8是示出用于獲得認(rèn)證代理(AP)情況的AS特定密鑰的發(fā)明系統(tǒng)和方法的第二實(shí)施例的高級(jí)參考模型。這個(gè)實(shí)施例預(yù)計(jì)針對(duì)若干AS 16a和16b可駐留在AP 15之后的一般AP-AS情況�����。TLS隧道可在UE 11與AP 15之間建立���,但是該隧道與本發(fā)明不相關(guān)。在步驟1�,UE 11和BSF 12運(yùn)行GBA引導(dǎo)過(guò)程,如TS 33. 220中定義���。結(jié)果是密鑰 Ks和B-TID��。在步驟2�����,UE得出NAF特定密鑰材料(Ks_NAF)���,如TS 33. 220中定義����。在步驟3��,UE向AP (它充當(dāng)NAF)發(fā)送HTTP請(qǐng)求(包含B-TID)����。在步驟4,AP使用B-TID向BSF 請(qǐng)求Ks_NAF����。在步驟5,BSF得出NAF特定密鑰材料(Ks_NAF)�,如TS 33. 220中定義。在步驟 6�����,BSF 向 AP 發(fā)送 Ks_NAF。在新步驟6b�����,AP 15確定哪一個(gè)AS應(yīng)當(dāng)接收該請(qǐng)求����。這個(gè)信息可從UE的請(qǐng)求獲得,或者AP可基于其本地策略來(lái)進(jìn)行本地判定����。AP使用密鑰推導(dǎo)函數(shù)(例如,Ks_AS = KDF (Ks_NAF, nonce))從 Ks_NAF 和 nonce 來(lái)得出 AP 特定密鑰 Ks_AS���。nonce 可以是例如 AS 的識(shí)別碼��,例如是FQDN��、由AP選擇的(偽)隨機(jī)值或者作為nonce可使用的另外某個(gè)值����。在步驟7�,AP 15在HTTP請(qǐng)求中向識(shí)別的AS 16a發(fā)送Ks_AS以及AS的識(shí)別碼(例如FQDN)����。應(yīng)當(dāng)注意�����,AP需要向AS發(fā)送AS的FQDN�����,因?yàn)锳S可通過(guò)不同F(xiàn)QDN而對(duì)UE 11和 AP 15是已知的�����。UE可使用FQDN來(lái)識(shí)別正確Ks_AS���。因此,需要確保將同一 FQDN從AP發(fā)送到AS以及從AS發(fā)送到UE�����。在步驟8����,AS 16a存儲(chǔ)信息,并且以SIP 2000K消息向AP 15確認(rèn)HTTP請(qǐng)求���。在步驟9�����,AP向UE 11發(fā)送SIP 2000K消息����。2000K消息包括nonce和BM-SC的識(shí)別碼。如果 FQDN用作nonce�����,則這兩者可以是相同值�。在步驟9b,UE使用密鑰推導(dǎo)函數(shù)(例如���,Ks_AS =KDF (Ks_NAF, nonce))從Ks_NAF和nonce來(lái)得出AS特定密鑰Ks_AS��。然后���,UE存儲(chǔ)密鑰 Ks_AS連同AS識(shí)別碼。最后�,在步驟10,AS 16a向UE發(fā)送采用Ks_AS保護(hù)的消息。UE 11 則能夠使用Ks_AS對(duì)消息進(jìn)行解密和檢驗(yàn)����。UE使用AS識(shí)別碼來(lái)識(shí)別正確Ks_AS�����。圖9是本發(fā)明系統(tǒng)的一示范實(shí)施例的簡(jiǎn)化框圖���。該系統(tǒng)包括UE 11���、SCF 21、BSF 12和BM-SC_1 22a�。這些單元的每個(gè)的操作例如可由運(yùn)行存儲(chǔ)器上存儲(chǔ)的計(jì)算機(jī)程序指令的處理器來(lái)控制。在圖9所示的示范實(shí)施例中���,UE包括處理器81和存儲(chǔ)器82 �����;SCF包括處理器83和存儲(chǔ)器84 ����;BSF包括處理器85和存儲(chǔ)器86 ;以及BM_SC_1包括處理器87和存儲(chǔ)器88����。UE 11還示為包括Ks_NAF推導(dǎo)單元91。在圖6所示的實(shí)施例中��,UE接收來(lái)自SSF 41的服務(wù)描述中的NAF-Id(SCF分配的FQDN)�,并且在開(kāi)始SIP INVITE過(guò)程46之前得出Ks_ NAF。在圖7所示的實(shí)施例中�����,UE接收SIP 2000K消息72中的NAF-Id����,并且然后得出Ks_ NAF。UE 11 經(jīng)由 IM CN 32 向 SCF 21 發(fā)送 SIP INVITE 消息���。該消息在 SIP INVITE 通信單元92中接收��。SIP INVITE通信單元把來(lái)自INVITE消息的userServiceld和B-TID 轉(zhuǎn)發(fā)給服務(wù)-NAF-Id映射單元93�,它將usei^erviceld映射到NAF_Id_l��。將NAF_Id_l和 B-TID轉(zhuǎn)發(fā)給GBA使用通信單元94���,GBA使用通信單元94將這些參數(shù)轉(zhuǎn)發(fā)給BSF 12���。BSF 中的GBA使用通信單元95接收參數(shù)����,并且將其轉(zhuǎn)發(fā)給Ks_NAF推導(dǎo)單元96��,Ks_NAF推導(dǎo)單元96得出Ks_NAF�。然后�����,將Ks_NAF返回給SCF����,其中將它轉(zhuǎn)發(fā)給HTTP登記通信單元97。HTTP登記通信單元97向BM-SC_1 2 發(fā)送HTTP POST消息��,其中它在HTTP登記通信單元98中被接收����。HTTP POST消息包括userkrviceld、NAF-Id_l�����、UE IP地址、 B-TID����、MUK( = Ks_NAF)和MUK存在期。BM_SC_1從服務(wù)狀態(tài)單元99獲得各MBMS用戶服務(wù)的狀態(tài)����,并且在HTTP 2000K消息中將包括各MBMS用戶服務(wù)碼的一個(gè)狀態(tài)碼的列表連同 userkrviceld—起發(fā)送到SCF 21。SCF將這個(gè)信息轉(zhuǎn)發(fā)給UE 11�����。HTTP登記通信單元98 還將信息發(fā)送到 MIKEY MSK 單元 101����。信息包括 MSK-Id_l、NAF-Id_l�、B_TID 和 MUK ( = Ks_ NAF)。使用這個(gè)信息���,使MIKEY MSK單元101能夠向UE 11發(fā)送MIKEY MSK消息(采用 MUK來(lái)保護(hù))�、MTK消息(采用MSK來(lái)保護(hù))和MBMS數(shù)據(jù)(采用MTK來(lái)保護(hù))����,UE采用Ks_ NAF 推導(dǎo)單元 91 得出了 MUK ( = Ks_NAF)�����。因此�����,本發(fā)明解決了當(dāng)一個(gè)以上BM-SC 22連接到SCF 21時(shí)提供BM-SC特定NAF密鑰的問(wèn)題���。另外��,本發(fā)明解決了在MIKEY消息中不存在足夠信息向UE指示哪一個(gè)MUK(即�, NAF密鑰)用于保護(hù)MIKEY MSK消息的問(wèn)題。SCF 21向BM-SC 22發(fā)送B-TID和選擇的 NAF-Id, BM-SC 22在MIKEY消息內(nèi)部進(jìn)一步使用它們向UE指示哪一個(gè)NAF秘鑰被使用���。在圖6和圖7所示的實(shí)施例中�����,本發(fā)明具有不要求NAF密鑰的進(jìn)一步推導(dǎo)的附加優(yōu)點(diǎn)���。NAF密鑰的進(jìn)一步推導(dǎo)要求對(duì)GSM和UMTS網(wǎng)絡(luò)的移動(dòng)終端中使用的通用集成電路卡 (UICC)智能卡的變更�����。如果基于UICC的密鑰管理正在使用中�,則在UICC中處理NAF密鑰�。 這在一些情況下可能成問(wèn)題,因?yàn)橐话銇?lái)說(shuō)�����,UICC影響在標(biāo)準(zhǔn)化中不是合乎需要的����。本發(fā)明的這些實(shí)施例避免了這個(gè)潛在問(wèn)題。本發(fā)明當(dāng)然可通過(guò)除了本文所述之外的其它特定方式來(lái)執(zhí)行�,而沒(méi)有背離本發(fā)明的本質(zhì)特性。因此�,當(dāng)前實(shí)施例在所有方面被認(rèn)為是說(shuō)明性而不是限制性的,并且落入所附權(quán)利要求的含意和等效范圍之內(nèi)的所有變更預(yù)計(jì)包含在其中��。
權(quán)利要求
1.一種在通信網(wǎng)絡(luò)中用于管理通信裝置�����、認(rèn)證節(jié)點(diǎn)����、以及向所述通信裝置提供請(qǐng)求的服務(wù)的選擇的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的方法�����,所述方法包括下列步驟由所述認(rèn)證節(jié)點(diǎn)將多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與多個(gè)服務(wù)相關(guān)聯(lián)��,其中所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符的每個(gè)是不同的��,但標(biāo)識(shí)所述認(rèn)證節(jié)點(diǎn)���;由所述網(wǎng)絡(luò)使所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符其中之一對(duì)所述通信裝置可用,其中所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與預(yù)期服務(wù)相關(guān)聯(lián)����,并且使所述通信裝置能夠得出安全密鑰���;由所述認(rèn)證節(jié)點(diǎn)向所述網(wǎng)絡(luò)中的各服務(wù)節(jié)點(diǎn)分配所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中的不同的一個(gè)�����;由所述認(rèn)證節(jié)點(diǎn)將所分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與連接的服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)���; 在從所述通信裝置接收到所述預(yù)期服務(wù)的請(qǐng)求時(shí)�����,由所述認(rèn)證節(jié)點(diǎn)利用與所述預(yù)期服務(wù)關(guān)聯(lián)的所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得與所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的連接的服務(wù)節(jié)點(diǎn)的所述安全密鑰����;以及將所述安全密鑰從所述認(rèn)證節(jié)點(diǎn)發(fā)送到所述關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)���。
2.如權(quán)利要求1所述的方法��,其中���,使所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符其中之一對(duì)所述通信裝置可用的所述步驟包括由所述網(wǎng)絡(luò)使所述預(yù)期服務(wù)的服務(wù)描述對(duì)所述通信裝置可用,所述服務(wù)描述包括與所述預(yù)期服務(wù)關(guān)聯(lián)的所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符�����。
3.如權(quán)利要求1所述的方法����,其中,當(dāng)所述關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)向所述通信裝置發(fā)送采用所述安全密鑰保護(hù)的密鑰管理消息時(shí)����,所述通信裝置使用所述安全密鑰對(duì)所述消息進(jìn)行解密和檢驗(yàn)����。
4.如權(quán)利要求1所述的方法����,其中,所述通信裝置是移動(dòng)用戶設(shè)備UE���。
5.如權(quán)利要求1所述的方法����,其中��,由所述認(rèn)證節(jié)點(diǎn)利用與所述預(yù)期服務(wù)關(guān)聯(lián)的所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得所述安全密鑰的所述步驟包括下列步驟向引導(dǎo)服務(wù)器功能性(BSF)發(fā)送所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符���;以及請(qǐng)求所述BSF得出并且返回所述安全密鑰�����。
6.如權(quán)利要求1所述的方法,其中��,由所述認(rèn)證節(jié)點(diǎn)利用與所述預(yù)期服務(wù)關(guān)聯(lián)的所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得所述安全密鑰的所述步驟包括由所述認(rèn)證節(jié)點(diǎn)利用所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)得出所述安全密鑰����。
7.—種在通信網(wǎng)絡(luò)中用于管理通信裝置���、認(rèn)證節(jié)點(diǎn)、以及向所述通信裝置提供請(qǐng)求的服務(wù)的選擇的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的方法����,所述方法包括下列步驟由所述網(wǎng)絡(luò)使至少一個(gè)服務(wù)的服務(wù)描述對(duì)所述通信裝置可用,所述服務(wù)描述包括所述認(rèn)證節(jié)點(diǎn)的至少一個(gè)標(biāo)識(shí)符����,其中各認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與不同服務(wù)以及與不同服務(wù)節(jié)點(diǎn)相關(guān)聯(lián);由所述通信裝置基于已知信息以及在所述服務(wù)描述中接收的所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中選擇的一個(gè)來(lái)得出安全密鑰�,其中所選擇的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與預(yù)期服務(wù)相關(guān)聯(lián);將所述預(yù)期服務(wù)的請(qǐng)求從所述通信裝置發(fā)送到所述認(rèn)證節(jié)點(diǎn)����,所述請(qǐng)求包括事務(wù)標(biāo)識(shí)符以及所述預(yù)期服務(wù)的服務(wù)標(biāo)識(shí)符;在所述認(rèn)證節(jié)點(diǎn)中將所述服務(wù)標(biāo)識(shí)符與認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符相關(guān)聯(lián)�; 由所述認(rèn)證節(jié)點(diǎn)利用所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和所述事務(wù)標(biāo)識(shí)符來(lái)獲得所述安全密鑰; 識(shí)別與所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的所述服務(wù)節(jié)點(diǎn)�;以及將所述預(yù)期服務(wù)的請(qǐng)求消息從所述認(rèn)證節(jié)點(diǎn)發(fā)送到所識(shí)別的服務(wù)節(jié)點(diǎn),所述請(qǐng)求消息包括所述服務(wù)標(biāo)識(shí)符����、事務(wù)標(biāo)識(shí)符��、安全密鑰����、以及所述通信裝置的地址����。
8.如權(quán)利要求7所述的方法,其中����,當(dāng)所述所識(shí)別服務(wù)節(jié)點(diǎn)向所述通信裝置發(fā)送采用所述安全密鑰保護(hù)的密鑰管理消息時(shí),所述通信裝置使用所述安全密鑰對(duì)所述消息進(jìn)行解密和檢驗(yàn)����。
9.如權(quán)利要求7所述的方法,其中�,所述選擇的服務(wù)節(jié)點(diǎn)具有多個(gè)服務(wù)節(jié)點(diǎn)標(biāo)識(shí)符,并且當(dāng)所述選擇的服務(wù)節(jié)點(diǎn)向所述移動(dòng)通信裝置發(fā)送所述密鑰管理消息時(shí)��,所述選擇的服務(wù)節(jié)點(diǎn)在所述消息中包含從所述認(rèn)證節(jié)點(diǎn)接收的所述服務(wù)節(jié)點(diǎn)標(biāo)識(shí)符��。
10.一種在通信網(wǎng)絡(luò)中用于管理通信裝置以及向所述通信裝置提供服務(wù)的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的認(rèn)證節(jié)點(diǎn)���,所述認(rèn)證節(jié)點(diǎn)包括運(yùn)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序指令的處理器�����,所述處理器控制所述認(rèn)證節(jié)點(diǎn)的下列組件用于將多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與多個(gè)服務(wù)相關(guān)聯(lián)的部件���,其中,所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符標(biāo)識(shí)所述認(rèn)證節(jié)點(diǎn)��;用于向所述網(wǎng)絡(luò)中的各服務(wù)節(jié)點(diǎn)分配所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中不同的一個(gè)的部件�����;用于將所分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與連接的服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)的表�; 響應(yīng)從所述通信裝置接收到預(yù)期服務(wù)的請(qǐng)求而利用與所述預(yù)期服務(wù)關(guān)聯(lián)的所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得與所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的連接的服務(wù)節(jié)點(diǎn)的安全密鑰的部件;以及用于將所述安全密鑰從所述認(rèn)證節(jié)點(diǎn)發(fā)送到所述關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)的通信部件����; 其中,所述網(wǎng)絡(luò)使所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符其中之一對(duì)所述通信裝置可用�����,其中����,所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與預(yù)期服務(wù)相關(guān)聯(lián)�����,并且使所述通信裝置能夠得出所述安全密鑰��。
11.如權(quán)利要求10所述的認(rèn)證節(jié)點(diǎn)�,其中所述通信網(wǎng)絡(luò)是基于因特網(wǎng)協(xié)議多媒體子系統(tǒng)IMS的網(wǎng)絡(luò)�����; 所述通信裝置是用戶設(shè)備UE ��;所述認(rèn)證節(jié)點(diǎn)是具有認(rèn)證代理AP的網(wǎng)絡(luò)應(yīng)用功能NAF ����;所述服務(wù)節(jié)點(diǎn)是應(yīng)用服務(wù)器AS ;以及所請(qǐng)求的服務(wù)是多媒體廣播/多播服務(wù)MBMS用戶服務(wù)�。
12.如權(quán)利要求10所述的認(rèn)證節(jié)點(diǎn),其中所述通信網(wǎng)絡(luò)是基于因特網(wǎng)協(xié)議多媒體子系統(tǒng)IMS的網(wǎng)絡(luò)����; 所述通信裝置是用戶設(shè)備UE ; 所述認(rèn)證節(jié)點(diǎn)是服務(wù)控制功能SCF �����; 所述服務(wù)節(jié)點(diǎn)是廣播/多播服務(wù)中心BM-SC ;以及所請(qǐng)求的服務(wù)是多媒體廣播/多播服務(wù)MBMS用戶服務(wù)�����。
13.—種在通信網(wǎng)絡(luò)中用于管理通信裝置以及向所述通信裝置提供服務(wù)的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的認(rèn)證節(jié)點(diǎn)�,所述認(rèn)證節(jié)點(diǎn)包括運(yùn)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序指令的處理器����,所述處理器控制所述認(rèn)證節(jié)點(diǎn)的下列組件用于將多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與多個(gè)服務(wù)相關(guān)聯(lián)的部件,其中���,所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符標(biāo)識(shí)所述認(rèn)證節(jié)點(diǎn)�;用于向所述網(wǎng)絡(luò)中的各服務(wù)節(jié)點(diǎn)分配所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中不同的一個(gè)的部件�����;用于將所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與連接的服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)的表�; 響應(yīng)從所述通信裝置接收到預(yù)期服務(wù)的請(qǐng)求而利用與所述預(yù)期服務(wù)關(guān)聯(lián)的所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得與所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的連接服務(wù)節(jié)點(diǎn)的安全密鑰的部件;用于從所述認(rèn)證節(jié)點(diǎn)向所述關(guān)聯(lián)的服務(wù)節(jié)點(diǎn)發(fā)送所述安全密鑰的通信部件��;以及用于向所述通信裝置發(fā)送與所述預(yù)期服務(wù)關(guān)聯(lián)的所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符的通信部件��,其中,所述通信裝置利用所述分配的認(rèn)證節(jié)點(diǎn)來(lái)得出所述安全密鑰�����。
14.如權(quán)利要求13所述的認(rèn)證節(jié)點(diǎn)���,其中用于向所述通信裝置發(fā)送所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符的所述通信部件包括SIP通信單元���,所述SIP通信單元在SIP 200 OK消息中向所述移動(dòng)通信裝置發(fā)送所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符;以及用于向所述服務(wù)節(jié)點(diǎn)發(fā)送所述安全密鑰的所述通信部件包括HTTP通信單元����,所述 HTTP通信單元在HTTP POST消息中將所述第二安全密鑰和事務(wù)標(biāo)識(shí)符從所述認(rèn)證節(jié)點(diǎn)發(fā)送到服務(wù)節(jié)點(diǎn)。
15.一種在通信網(wǎng)絡(luò)中用于利用共享安全密鑰向通信裝置提供用戶服務(wù)的服務(wù)節(jié)點(diǎn)�, 所述服務(wù)節(jié)點(diǎn)包括運(yùn)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序指令的處理器,所述處理器控制所述服務(wù)節(jié)點(diǎn)的下列組件用于從認(rèn)證節(jié)點(diǎn)獲得認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符���、所述通信裝置的IP地址�、事務(wù)標(biāo)識(shí)符�、和所述共享安全密鑰的通信部件,其中����,所述事務(wù)標(biāo)識(shí)符標(biāo)識(shí)其中所述通信裝置已經(jīng)請(qǐng)求由所述服務(wù)節(jié)點(diǎn)提供的用戶服務(wù)的事務(wù)��;以及用于向所述通信裝置發(fā)送采用共享安全密鑰保護(hù)的密鑰管理消息的通信部件����,所述密鑰管理消息包括所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和所述事務(wù)標(biāo)識(shí)符�����;其中��,當(dāng)所述通信裝置從所述服務(wù)節(jié)點(diǎn)接收到所述密鑰管理消息時(shí)��,所述通信裝置從所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和所述事務(wù)標(biāo)識(shí)符來(lái)識(shí)別所述共享安全密鑰���;以及其中,當(dāng)所述認(rèn)證節(jié)點(diǎn)向所述通信裝置提供所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符時(shí)��,或者當(dāng)所述通信裝置接收服務(wù)描述中的所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符時(shí)��,所述通信裝置利用所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)得出所述共享安全密鑰���,并且使用所述共享安全密鑰對(duì)所述密鑰管理消息進(jìn)行解密和檢驗(yàn)�����。
16.如權(quán)利要求15所述的服務(wù)節(jié)點(diǎn)����,其中所述通信網(wǎng)絡(luò)是基于因特網(wǎng)協(xié)議多媒體子系統(tǒng)IMS的網(wǎng)絡(luò); 所述通信裝置是用戶設(shè)備UE �����;所述認(rèn)證節(jié)點(diǎn)是具有認(rèn)證代理AP的網(wǎng)絡(luò)應(yīng)用功能NAF �����;所述服務(wù)節(jié)點(diǎn)是應(yīng)用服務(wù)器AS ��;以及所請(qǐng)求的服務(wù)是多媒體廣播/多播服務(wù)MBMS用戶服務(wù)��。
17.如權(quán)利要求15所述的服務(wù)節(jié)點(diǎn)����,其中所述通信網(wǎng)絡(luò)是基于因特網(wǎng)協(xié)議多媒體子系統(tǒng)IMS的網(wǎng)絡(luò); 所述移動(dòng)通信裝置是用戶設(shè)備UE �; 所述認(rèn)證節(jié)點(diǎn)是服務(wù)控制功能SCF ; 所述服務(wù)節(jié)點(diǎn)是廣播/多播服務(wù)中心BM-SC �����;以及所請(qǐng)求的服務(wù)是多媒體廣播/多播服務(wù)MBMS用戶服務(wù)。
18.—種在通信網(wǎng)絡(luò)中用于管理共享安全密鑰的系統(tǒng)�,所述系統(tǒng)包括 通信裝置;與所述通信裝置進(jìn)行通信的認(rèn)證節(jié)點(diǎn)���;以及與所述認(rèn)證節(jié)點(diǎn)和所述通信裝置進(jìn)行通信的服務(wù)節(jié)點(diǎn)�����; 其中���,所述認(rèn)證節(jié)點(diǎn)包括用于將多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與多個(gè)服務(wù)相關(guān)聯(lián)的部件��,其中所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符標(biāo)識(shí)所述認(rèn)證節(jié)點(diǎn)���;用于向所述服務(wù)節(jié)點(diǎn)分配所述多個(gè)認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符中的選擇的一個(gè)的部件����; 用于將所分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符與連接的服務(wù)節(jié)點(diǎn)相關(guān)聯(lián)的表��; 響應(yīng)從所述通信裝置接收到預(yù)期服務(wù)的請(qǐng)求而利用與所述預(yù)期服務(wù)關(guān)聯(lián)的所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)獲得與所述分配的認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符關(guān)聯(lián)的連接的服務(wù)節(jié)點(diǎn)的安全密鑰的部件����;以及用于向所述服務(wù)節(jié)點(diǎn)發(fā)送所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符�����、所述通信裝置的IP地址����、事務(wù)標(biāo)識(shí)符����、和所述共享安全密鑰的通信部件,其中�,所述事務(wù)標(biāo)識(shí)符標(biāo)識(shí)其中所述通信裝置已經(jīng)請(qǐng)求由所述服務(wù)節(jié)點(diǎn)提供的用戶服務(wù)的事務(wù);其中�,所述服務(wù)節(jié)點(diǎn)包括用于向所述通信裝置發(fā)送采用所述共享安全密鑰保護(hù)的密鑰管理消息的通信部件,所述密鑰管理消息包括所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和所述事務(wù)標(biāo)識(shí)符����; 其中所述移動(dòng)通信裝置包括用于從所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符和所述事務(wù)標(biāo)識(shí)符來(lái)識(shí)別所述共享安全密鑰的部件; 用于或者從所述認(rèn)證節(jié)點(diǎn)或者在從所述網(wǎng)絡(luò)獲得的服務(wù)描述中接收所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符的通信部件���;用于利用所述認(rèn)證節(jié)點(diǎn)標(biāo)識(shí)符來(lái)得出所述共享安全密鑰的部件���;以及用于使用所述共享安全密鑰對(duì)所述密鑰管理消息進(jìn)行解密和檢驗(yàn)的部件。
19.如權(quán)利要求18所述的系統(tǒng),其中所述通信網(wǎng)絡(luò)是基于因特網(wǎng)協(xié)議多媒體子系統(tǒng)IMS的網(wǎng)絡(luò)�����;所述移動(dòng)通信裝置是用戶設(shè)備UE ���;所述認(rèn)證節(jié)點(diǎn)是具有認(rèn)證代理AP的網(wǎng)絡(luò)應(yīng)用功能NAF ����;所述服務(wù)節(jié)點(diǎn)是應(yīng)用服務(wù)器AS �;以及所請(qǐng)求的服務(wù)是多媒體廣播/多播服務(wù)MBMS用戶服務(wù)。
20.如權(quán)利要求18所述的系統(tǒng)�����,其中所述通信網(wǎng)絡(luò)是基于因特網(wǎng)協(xié)議多媒體子系統(tǒng)IMS的網(wǎng)絡(luò)����;所述移動(dòng)通信裝置是用戶設(shè)備UE ���; 所述認(rèn)證節(jié)點(diǎn)是服務(wù)控制功能SCF ����; 所述服務(wù)節(jié)點(diǎn)是廣播/多播服務(wù)中心BM-SC ;以及所請(qǐng)求的服務(wù)是多媒體廣播/多播服務(wù)MBMS用戶服務(wù)����。
21.—種在通信網(wǎng)絡(luò)中用于管理移動(dòng)通信裝置、認(rèn)證所述移動(dòng)通信裝置的認(rèn)證節(jié)點(diǎn)�����、以及向所述移動(dòng)通信裝置提供服務(wù)的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的方法����,所述方法包括下列步驟在所述認(rèn)證節(jié)點(diǎn)中從所述移動(dòng)通信裝置接收利用所述服務(wù)節(jié)點(diǎn)提供的服務(wù)的請(qǐng)求,其中��,所述請(qǐng)求包括事務(wù)標(biāo)識(shí)符��;由所述認(rèn)證節(jié)點(diǎn)來(lái)認(rèn)證所述移動(dòng)通信裝置����,其中,所述移動(dòng)通信裝置得出所述認(rèn)證節(jié)點(diǎn)的認(rèn)證節(jié)點(diǎn)安全密鑰���;由所述認(rèn)證節(jié)點(diǎn)得出所述服務(wù)節(jié)點(diǎn)的服務(wù)節(jié)點(diǎn)安全密鑰�,所述服務(wù)節(jié)點(diǎn)安全密鑰利用所述認(rèn)證節(jié)點(diǎn)安全密鑰和nonce來(lái)得出����;將所述服務(wù)節(jié)點(diǎn)安全密鑰和事務(wù)標(biāo)識(shí)符從所述認(rèn)證節(jié)點(diǎn)發(fā)送到所述服務(wù)節(jié)點(diǎn)��;以及將所述nonce和所述服務(wù)節(jié)點(diǎn)的標(biāo)識(shí)符從所述認(rèn)證節(jié)點(diǎn)發(fā)送到所述移動(dòng)通信裝置����,由此使所述移動(dòng)通信裝置能夠從所述認(rèn)證節(jié)點(diǎn)安全密鑰和所述nonce來(lái)得出所述服務(wù)節(jié)點(diǎn)安全密鑰��。
22.如權(quán)利要求21所述的方法����,其中,當(dāng)所述服務(wù)節(jié)點(diǎn)向所述移動(dòng)通信裝置發(fā)送采用所述服務(wù)節(jié)點(diǎn)安全密鑰保護(hù)的密鑰管理消息時(shí)����,所述移動(dòng)通信裝置使用所述服務(wù)節(jié)點(diǎn)安全密鑰對(duì)所述消息進(jìn)行解密和檢驗(yàn),所述消息包括所述服務(wù)節(jié)點(diǎn)標(biāo)識(shí)符和所述事務(wù)標(biāo)識(shí)符��。
23.如權(quán)利要求21所述的方法���,其中���,存在多個(gè)服務(wù)節(jié)點(diǎn)�,并且所述方法還包括由所述認(rèn)證節(jié)點(diǎn)選擇所述多個(gè)服務(wù)節(jié)點(diǎn)中的一個(gè)來(lái)提供所請(qǐng)求的服務(wù)的步驟�����;其中��,所述認(rèn)證節(jié)點(diǎn)得出所選擇的服務(wù)節(jié)點(diǎn)的服務(wù)節(jié)點(diǎn)安全密鑰���,并且向所述選擇的服務(wù)節(jié)點(diǎn)發(fā)送所述服務(wù)節(jié)點(diǎn)安全密鑰、所述事務(wù)標(biāo)識(shí)符�����、和所述選擇的服務(wù)節(jié)點(diǎn)的服務(wù)節(jié)點(diǎn)標(biāo)識(shí)符���。
24.如權(quán)利要求23所述的方法�,其中�����,所述選擇的服務(wù)節(jié)點(diǎn)具有多個(gè)服務(wù)節(jié)點(diǎn)標(biāo)識(shí)符�, 并且當(dāng)所述選擇的服務(wù)節(jié)點(diǎn)向所述移動(dòng)通信裝置發(fā)送所述密鑰管理消息時(shí),所述選擇的服務(wù)節(jié)點(diǎn)在所述消息中包含從所述認(rèn)證節(jié)點(diǎn)接收的所述服務(wù)節(jié)點(diǎn)標(biāo)識(shí)符�����。
全文摘要
用于管理用戶設(shè)備UE、諸如SCF/NAF的認(rèn)證節(jié)點(diǎn)�、以及諸如BM-SC或AS的服務(wù)節(jié)點(diǎn)之間的共享安全密鑰的系統(tǒng)、方法��、和節(jié)點(diǎn)���。SCF/NAF從SCF/NAF管理的FQDN空間中向各BM-SC分配諸如完全合格域名FQDN的不同的SCF/NAF標(biāo)識(shí)符��。然后�����,SCF/NAF將這些分配的FQDN與連接的BM-SC以及與不同的服務(wù)本地地關(guān)聯(lián)��。該網(wǎng)絡(luò)在預(yù)期服務(wù)的服務(wù)描述中向UE發(fā)送正確的FQDN���,并且UE能夠使用該FQDN來(lái)得出安全密鑰。當(dāng)UE請(qǐng)求預(yù)期服務(wù)時(shí)����,SCF/NAF能夠?qū)⒎?wù)標(biāo)識(shí)符與正確FQDN及關(guān)聯(lián)的BM-SC相關(guān)聯(lián)。SCF/NAF使用FQDN從引導(dǎo)服務(wù)器獲得安全密鑰��,并且將其發(fā)送到關(guān)聯(lián)的BM-SC�。因此���,UE和關(guān)聯(lián)的BM-SC共享特定安全密鑰�。
文檔編號(hào)H04W12/04GK102379114SQ201080015807
公開(kāi)日2012年3月14日 申請(qǐng)日期2010年3月31日 優(yōu)先權(quán)日2009年4月1日
發(fā)明者F·林德霍爾姆, V·萊托弗塔 申請(qǐng)人:瑞典愛(ài)立信有限公司