針對移動電信網(wǎng)絡中的終端來實現(xiàn)通用引導架構(gòu)類型的安全關(guān)聯(lián)的制作方法
【專利摘要】本發(fā)明涉及一種針對終端來實現(xiàn)GBA類型的安全關(guān)聯(lián)的方法,包括在從終端接收到用于附接到網(wǎng)絡的請求之后在網(wǎng)絡接入服務器中執(zhí)行的下列步驟:將請求派送(E1)到訂戶服務器;接收(E1)響應����,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指示�。
【專利說明】針對移動電信網(wǎng)絡中的終端來實現(xiàn)通用引導架構(gòu)類型的安
全關(guān)聯(lián)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明的領(lǐng)域是電信領(lǐng)域���,且更具體而言是移動網(wǎng)絡的電信領(lǐng)域����。
【背景技術(shù)】
[0002]3GPP定義了被稱為GBA (通用引導架構(gòu))的架構(gòu)����,其目標是允許移動終端的驗證從而在移動終端和應用之間建立安全關(guān)聯(lián)���。
[0003]該架構(gòu)包括引導功能服務器BSF,并依賴于標識密鑰的被稱為AKA的協(xié)議。
[0004]在驗證過程中����,裝有SM卡的終端使用基于http協(xié)議的連接來向引導功能服務器BSF驗證自己����。一般的原則如下:
[0005]驗證結(jié)果是由服務器確定的在一持續(xù)時間內(nèi)有效的安全秘鑰����。服務器還向終端提供與安全秘鑰關(guān)聯(lián)的會話標識符以及秘鑰有效性的持續(xù)時間。
[0006]當終端隨后打開與應用的IP連接時�����,它通過向這個應用提供會話標識符,而向這個應用表明它想要根據(jù)GBA技術(shù)來驗證��。
[0007]應用聯(lián)系BSF服務器���,以向它提供會話標識符。BSF服務器通過向它提供從安全秘鑰以及從應用名稱導出的新秘鑰來進行響應�����。終端執(zhí)行相同的操作����。于是����,終端和應用使用同一個秘鑰,它們可以用該秘鑰來互相驗證�,并保證它們之間的IP連接的安全性���。
[0008]該過程意味著終端打開其自己的http瀏覽器從而之后能夠打開與應用的IP連接�����,該連接不是必須要基于http協(xié)議�。
[0009]此外����,移動終端在附接到網(wǎng)絡時已經(jīng)預先與網(wǎng)絡接入服務器進行驗證���。因此移動終端存在兩次驗證�,一次是在附接到網(wǎng)絡時�����,且第二次是在建立與應用的安全關(guān)聯(lián)的時候。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目標是通過提供一種針對終端來實現(xiàn)GBA類型的安全關(guān)聯(lián)的方法,以解決現(xiàn)有技術(shù)中的問題���,該方法包括在從終端接收到附接到網(wǎng)絡的請求之后在網(wǎng)絡接入服務器中執(zhí)行的下列步驟:
[0011 ]-將請求派送到訂戶服務器�,
[0012]-接收響應,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指
/Jn ο
[0013]通過本發(fā)明�,終端對GBA類型的安全關(guān)聯(lián)的驗證與在終端附接到網(wǎng)絡時執(zhí)行的操作相結(jié)合,而不是單獨地且在其之后執(zhí)行��。
[0014]于是��,終端發(fā)送的信令整體上被減少��,且GBA類型的安全關(guān)聯(lián)的使用由此被簡化。
[0015]特別地���,終端不需要打開特定的http連接來以為了 GBA類型的安全關(guān)聯(lián)驗證自己����。
[0016]本發(fā)明還涉及一種針對終端來實現(xiàn)GBA類型的安全關(guān)聯(lián)的方法���,
[0017]其特征在于�,它包括在訂戶服務器中執(zhí)行的下列步驟:[0018]-在網(wǎng)絡接入服務器從終端接收到附接到網(wǎng)絡的請求之后���,從網(wǎng)絡接入服務器接收請求�,
[0019]-派送響應,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指
/Jn ο
[0020]通過本發(fā)明����,如果與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)���,網(wǎng)絡接入服務器和訂戶服務器在終端附接到網(wǎng)絡的時刻進行對話,從而訂戶服務器向網(wǎng)絡接入服務器表明與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)。于是�,網(wǎng)絡接入服務器具有該信息����,其可以利用該信息來建立安全關(guān)聯(lián)�����。
[0021]根據(jù)優(yōu)選的特征�����,響應是“直徑”(“Diameter”)類型,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指示����。
[0022]“直徑”協(xié)議是廣泛使用的AAA協(xié)議中的一種。
[0023]本發(fā)明還涉及一種網(wǎng)絡接入服務器��,適于針對終端來實現(xiàn)GBA類型的安全關(guān)聯(lián)����,包括從終端接收附接到網(wǎng)絡的請求的裝置��,并且還包括:
[0024]-用于將請求發(fā)送到訂戶服務器的裝置,
[0025]-用于接收響應的裝置�,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指不。
[0026]本發(fā)明還涉及一種訂戶服務器�,其掌管與終端相關(guān)聯(lián)的用戶簡檔數(shù)據(jù)��,其特征在于,如果與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)�����,則訂戶服務器存儲該特征的指示���。
[0027]根據(jù)優(yōu)選的特征��,訂戶服務器包括用于接收由網(wǎng)絡接入服務器在來自終端的附接到網(wǎng)絡的請求之后派送的請求的裝置���,并且���,如果與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)�,它包括用于派送響應的裝置,該響應包含該特征的指示��。
[0028]這些設備展示了與上述方法類似的優(yōu)勢�。
[0029]在特定的實施例中��,根據(jù)本發(fā)明的方法的各個步驟是通過計算機程序的指令來確定的。
[0030]因此��,本發(fā)明的目標還在于一種信息介質(zhì)上的計算機程序,該程序能夠在計算機中實現(xiàn)����,該程序包含的指令適于實現(xiàn)如上所述的方法的步驟�。
[0031]該程序可以使用任意編程語言����,并且可以是源代碼�、目標代碼或者源代碼和目標代碼之間的代碼的形式(例如部分編譯的形式)����、或者任意其他想要的形式。
[0032]本發(fā)明的目標還在于一種信息介質(zhì)�,其可被計算機讀取����,并且包含上述計算機程序的指令����。
[0033]信息介質(zhì)可以是能夠存儲程序的任意實體或設備。例如���,介質(zhì)可以包括:存儲裝置,例如ROM (如CD ROM)或微電子電路ROM;或者磁記錄裝置����,如磁盤(軟盤)或硬盤。
[0034]此外,信息介質(zhì)可以是例如電或光信號的傳輸介質(zhì)�,其可以通過電或光纜�、通過無線電或其他方式來傳遞。特別地��,根據(jù)本發(fā)明的程序可以從因特網(wǎng)類型的網(wǎng)絡來下載����。
[0035]或者���,信息介質(zhì)可以是集成電路�,程序被集成于其中,該電路適于執(zhí)行所討論的方法��、或在所討論的方法的執(zhí)行中使用。
【專利附圖】
【附圖說明】[0036]閱讀優(yōu)選實施例并參考附圖,其他特征和優(yōu)勢將變得明顯��,在附圖中:
[0037]-圖1以示意的方式來表示本發(fā)明涉及的移動電信網(wǎng)絡中的設備項目,并且
[0038]-圖2表示根據(jù)本發(fā)明的針對終端來實現(xiàn)GBA類型的安全關(guān)聯(lián)的方法的步驟。
【具體實施方式】
[0039]根據(jù)圖1所示的本發(fā)明的一個實施例�,實現(xiàn)本發(fā)明的設備項目是移動終端1�、網(wǎng)絡接入服務器2���、被稱為BSF的引導功能服務器3以及被稱為HSS (家庭訂戶服務器)的訂戶服務器4�。
[0040]本發(fā)明針對GPRS (通用分組無線業(yè)務)類型的接入來實現(xiàn)���。在該情形下,網(wǎng)絡接入服務器2是服務GPRS支持節(jié)點�,被稱為SGSN (服務GPRS支持節(jié)點)。
[0041]在另一實施例中���,本發(fā)明在LTE/EPC (長期演進/演進分組核心)類型的網(wǎng)絡中實現(xiàn)���。在該情形下,網(wǎng)絡接入服務器2是被稱為MME (移動性管理實體)的服務器��。
[0042]移動終端I例如可以是移動電話終端、膝上型計算機、個人數(shù)字助理等��。在所示例子中,移動終端I是屬于用戶的移動電話終端�。
[0043]如圖1所示����,移動終端I包括發(fā)送-接收模塊10,其被特別配置為向網(wǎng)絡接入服務器2發(fā)送數(shù)據(jù)/從網(wǎng)絡接入服務器2接收數(shù)據(jù)����。它還包括處理器11、隨機存取存儲器12和只讀存儲器13��。
[0044]網(wǎng)絡接入服務器2具有傳統(tǒng)的計算機結(jié)構(gòu)���。它包括處理器21��、隨機存取存儲器22和只讀存儲器23���。它包括發(fā)送-接收模塊20����,其被配置為與移動終端1����、BSF引導功能服務器3和HSS訂戶服務器4進行通信�。
[0045]網(wǎng)絡接入服務器適于針對終端來實現(xiàn)GBA類型的安全關(guān)聯(lián)。它包括用于從終端接收附接到網(wǎng)絡的請求的裝置����。
[0046]根據(jù)本發(fā)明,它還包括:
[0047]-用于將請求派送到訂戶服務器的裝置�,
[0048]-用于接收響應的裝置,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指示��。
[0049]BSF引導功能服務器3具有傳統(tǒng)的計算機結(jié)構(gòu)。它包括處理器31����、隨機存取存儲器32和只讀存儲器33����。它包括發(fā)送-接收模塊30,其被配置為與網(wǎng)絡接入服務器2和HSS訂戶服務器4進行通信��。
[0050]HSS訂戶服務器4具有傳統(tǒng)的計算機結(jié)構(gòu)�����。它包括處理器41��、隨機存取存儲器42和只讀存儲器43���。它包括發(fā)送-接收模塊40,其被配置為與網(wǎng)絡接入服務器2和BSF引導功能服務器3進行通信�。
[0051]訂戶服務器4掌管與終端相關(guān)聯(lián)的用戶簡檔的數(shù)據(jù)����。根據(jù)本發(fā)明,如果與終端關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)����,則訂戶服務器存儲該特征的指示���。
[0052]根據(jù)本發(fā)明的訂戶服務器包括用于接收由網(wǎng)絡接入服務器在來自終端的附接到網(wǎng)絡的請求之后派送的請求的裝置,并且�����,如果與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)����,它包括用于派送響應的裝置�,該響應包含該特征的指示�。
[0053]根據(jù)本發(fā)明的一個實施例���,如圖2所示����,針對移動終端I來實現(xiàn)GBA類型的安全關(guān)聯(lián)的方法包括步驟El到E5�。[0054]網(wǎng)絡接入服務器2和BSF服務器4之間的交換例如基于直徑協(xié)議。
[0055]在步驟El中����,移動終端I請求附接到網(wǎng)絡接入服務器2,后者處理該請求�����。專用于附接到網(wǎng)絡的交換是傳統(tǒng)的并且在這里不進行詳述���。
[0056]網(wǎng)絡接入服務器2處理移動終端I附接請求并對終端進行驗證�����,在該過程中���,它詢問HSS服務器4以恢復驗證參數(shù)AKA����。
[0057]HSS服務器是集中式的庫�����,其掌管與移動終端I相關(guān)聯(lián)的用戶簡檔的數(shù)據(jù)��。如果該支持GBA類型的安全關(guān)聯(lián),則HSS服務器4還存儲了該特征的指示���。
[0058]HSS服務器4響應于網(wǎng)絡接入服務器2�。假設移動終端I支持GBA類型的安全關(guān)聯(lián)����。HSS服務器4因此將該信息插入到其對網(wǎng)絡接入服務器2的響應中�。
[0059]例如��,如果直徑協(xié)議被用于兩個服務器之間的交換���,移動終端I支持GBA類型的安全關(guān)聯(lián)的指示被添加到HSS服務器4響應于驗證請求而向網(wǎng)絡接入服務器2派送的“驗證-信息-應答”命令��。根據(jù)該協(xié)議����,分組中包含被稱為AVP (屬性-值對)的成對的集合�。以下列方式來添加特定的AVP對“GBA-支持”:
[0060]
【權(quán)利要求】
1.一種針對終端(I)來實現(xiàn)GBA類型的安全關(guān)聯(lián)的方法,其特征在于�����,它包括在從終端接收到用于附接到網(wǎng)絡的請求之后����、在網(wǎng)絡接入服務器(2)中執(zhí)行的下列步驟:-將請求派送到訂戶服務器(4 )���,-接收響應,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指示�。
2.一種針對終端(I)來實現(xiàn)GBA類型的安全關(guān)聯(lián)的方法,其特征在于����,它包括在訂戶服務器(4)中執(zhí)行的下列步驟:-在網(wǎng)絡接入服務器(2)從終端接收到附接到網(wǎng)絡的請求之后,從網(wǎng)絡接入服務器接收請求���,-派送響應�,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指示����。
3.如權(quán)利要求1或2所述的方法,其特征在于���,所述響應是“直徑”類型,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指示�。
4.一種網(wǎng)絡接入服務器,適于針對終端(I)來實現(xiàn)GBA類型的安全關(guān)聯(lián)���,包括用于從終端接收用于附接到網(wǎng)絡的請求的裝置���,其特征在于�,它包括:-用于將請求派送到訂戶服務器(4)的裝置��,-用于接收響應的裝置�,該響應包含與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)的指示。
5.一種訂戶服務器(4)����,其掌管與終端相關(guān)聯(lián)的用戶簡檔的數(shù)據(jù),其特征在于�����,如果與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)�,則訂戶服務器存儲該特征的指示。
6.如權(quán)利要求5所述的訂戶服務器(4)�,其特征在于,它包括用于接收由網(wǎng)絡接入服務器在來自終端的附接到網(wǎng)絡的請求之后派送的請求的裝置�,并且在于,如果與終端相關(guān)聯(lián)的用戶簡檔支持GBA類型的安全關(guān)聯(lián)���,它包括用于派送響應的裝置���,該響應包含該特征的指示���。
7.一種包含指令的計算機程序,當所述程序被計算機執(zhí)行時����,該指令用于執(zhí)行如權(quán)利要求I所述的方法的步驟。
8.一種計算機能夠讀取的記錄介質(zhì)����,其上記錄了包含指令的計算機程序,用于執(zhí)行如權(quán)利要求1所述的方法的步驟���。
9.一種包含指令的計算機程序�����,當所述程序被計算機執(zhí)行時��,該指令用于執(zhí)行如權(quán)利要求2所述的方法的步驟�����。
10.一種計算機能夠讀取的記錄介質(zhì),其上記錄了包含指令的計算機程序���,該指令用于執(zhí)行如權(quán)利要求2所述的方法的步驟�����。
【文檔編號】H04L29/06GK103563418SQ201280026090
【公開日】2014年2月5日 申請日期:2012年3月27日 優(yōu)先權(quán)日:2011年3月31日
【發(fā)明者】J.博內(nèi)爾, L.莫蘭德 申請人:奧林奇公司