專利名稱:非ims終端應(yīng)用增強(qiáng)型通用鑒權(quán)架構(gòu)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及第三代移動(dòng)通信領(lǐng)域,特別涉及一種擴(kuò)展通用鑒權(quán)架構(gòu)的方法。
背景技術(shù):
3GPP(第三代移動(dòng)通信系統(tǒng))中定義了一種通用鑒權(quán)框架(GBA)。如圖1所示,通用鑒權(quán)框架通常由IMS(IP多媒體業(yè)務(wù)子系統(tǒng))用戶(UE)、引導(dǎo)服務(wù)功能實(shí)體(BSF)、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)、用戶定位功能實(shí)體(SLF)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體(NAF)組成。UE和BSF通過Ub接口連接,BSF和NAF通過Zn接口連接,UE和NAF通過Ua接口連接,SLF和BSF通過Dz接口連接,BSF和HSS通過Zh接口連接。BSF用于與UE進(jìn)行互驗(yàn)證身份,同時(shí)生成BSF與用戶的共享密鑰Ks;HSS中存儲(chǔ)用于描述用戶信息的簽約文件,同時(shí)HSS還兼有產(chǎn)生鑒權(quán)信息的功能。SLF用于當(dāng)存在多個(gè)HSS時(shí),協(xié)助BSF查找相應(yīng)的HSS。NAF用于為UE提供網(wǎng)絡(luò)業(yè)務(wù)。
當(dāng)用戶UE第一次向NAF發(fā)出應(yīng)用請(qǐng)求時(shí),不知道NAF是否需要GBA過程,就不攜帶GBA參數(shù)。如果NAF要求進(jìn)行初始的GBA過程,則在發(fā)給UE的響應(yīng)消息中會(huì)告訴UE進(jìn)行GBA過程。
當(dāng)用戶UE需要使用某種業(yè)務(wù)時(shí),如果用戶知道該業(yè)務(wù)需要到BSF進(jìn)行互鑒權(quán)過程,則直接發(fā)送鑒權(quán)請(qǐng)求到BSF進(jìn)行互鑒權(quán)。否則,用戶會(huì)首先和該業(yè)務(wù)對(duì)應(yīng)的NAF聯(lián)系,如果該NAF使用GBA通用鑒權(quán)框架,并且發(fā)現(xiàn)該用戶還未到BSF進(jìn)行互認(rèn)證過程,NAF則通知該用戶到BSF進(jìn)行互鑒權(quán)以驗(yàn)證身份。
參照?qǐng)D2,描述UE和BSF執(zhí)行互鑒權(quán)的流程。
首先,在步驟710中,UE向BSF發(fā)送GBA請(qǐng)求消息,該GBA請(qǐng)求消息包括該用戶的標(biāo)識(shí)。
接著,進(jìn)入步驟720中,BSF向HSS獲取認(rèn)證向量,BSF通過與HSS的交互獲取該UE的鑒權(quán)向量信息,如AUTN、RAND、IK(加密密鑰)、CK(完整性密鑰)以及XRES等。
接著,進(jìn)入步驟730,BSF向UE返回挑戰(zhàn)響應(yīng)消息,該消息中包含AUTN、RAND。具體地說,BSF在接收到UE的鑒權(quán)向量信息后,將鑒權(quán)向量信息中的AUTN和RAND,一并攜帶在挑戰(zhàn)響應(yīng)消息中,并將該消息返回給UE。其中,AUTN用于驗(yàn)證BSF的身份,RAND用于使UE獲取與BSF側(cè)相同的IK和CK。
接著,進(jìn)入步驟740,UE通過運(yùn)行AKA算法,檢查AUTN的有效性以鑒權(quán)網(wǎng)絡(luò),得到IK和CK,并生成RES(鑒權(quán)響應(yīng)值)。具體地說,UE在接收到BSF返回的挑戰(zhàn)響應(yīng)消息后,通過對(duì)其中AUTN的有效性檢查驗(yàn)證對(duì)端BSF的身份,根據(jù)其中的RAND計(jì)算得到與BSF側(cè)相同的IK和CK,并生成RES。
接著,進(jìn)入步驟750,UE再次向BSF發(fā)送GBA請(qǐng)求消息,并在該消息中攜帶RES。其中,RES用于驗(yàn)證UE的身份。
接著,進(jìn)入步驟760,BSF檢查RES的有效性以鑒權(quán)UE。BSF通過判斷GBA請(qǐng)求消息中的RES是否與從HSS處獲取的XRES一致,從而對(duì)UE進(jìn)行鑒權(quán)。
接著,進(jìn)入步驟770,BSF根據(jù)從HSS處獲取的IK和CK生成Ks。此外,BSF還為共享密鑰Ks定義了一個(gè)有效期限,以便Ks進(jìn)行定期更新。
接著,進(jìn)入步驟780,BSF將B-TID以及Ks的有效期攜帶在成功響應(yīng)消息中發(fā)送給UE。具體地說,BSF為標(biāo)識(shí)和UE之間本次鑒權(quán)交互事務(wù)而分配一個(gè)B-TID,使該B-TID與Ks、UE的私有用戶標(biāo)識(shí)相關(guān)聯(lián),以便以后BSF可以根據(jù)該B-TID查找出相應(yīng)的Ks,并且,為Ks定義一個(gè)有效期,以便Ks進(jìn)行定期更新。BSF將該B-TID以及Ks的有效期攜帶在成功響應(yīng)消息中。
接著,進(jìn)入步驟790,UE在接收到該成功響應(yīng)消息后,得到B-TID和Ks的有效期,并將該B-TID和Ks的有效期保存在UE側(cè),并生成Ks。該共享密鑰Ks是作為根密鑰來使用的,用于衍生出與各NAF通信時(shí)的加密密鑰。
完成了如圖2所述的過程后,UE和BSF之間就共享了一個(gè)根密鑰Ks。并且UE可以利用公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id)推導(dǎo)出與想要訪問的NAF之間的衍生的共享密鑰Ks_NAF,其中NAF_Id可以標(biāo)識(shí)出想要訪問的NAF,RAND是一個(gè)隨機(jī)數(shù),IMPI是指UE的私有身份標(biāo)識(shí),″gba-me″代表字符串,KDF是密鑰導(dǎo)出函數(shù)的縮寫。這樣,UE側(cè)就獲取了該衍生的共享密鑰Ks_NAF。剩下的任務(wù)就是NAF如何獲取該衍生的共享密鑰Ks_NAF。只有NAF和UE都獲取了Ks_NAF,才能建立雙方通訊的安全通道。
參照?qǐng)D3,描述NAF獲取Ks_NAF的流程首先,在步驟901中,用戶在收到B-TID后,生成一個(gè)攜帶了該B-TID的請(qǐng)求連接消息,并發(fā)給NAF。NAF收到用戶的連接請(qǐng)求后,生成一個(gè)攜帶了NAF標(biāo)識(shí)和B-TID的認(rèn)證請(qǐng)求信息,然后在步驟902中向BSF進(jìn)行查詢。
接著,在步驟903中,BSF根據(jù)該B-TID查找相應(yīng)的Ks后,再使用與用戶側(cè)相同的算法計(jì)算出衍生的共享密鑰Ks_NAF,然后在認(rèn)證響應(yīng)消息中把Ks_NAF、Ks_NAF的有效期限、BSF與UE之間的相互鑒權(quán)的時(shí)間、以及其他應(yīng)用相關(guān)信息發(fā)給NAF。NAF在步驟904中將這些信息保存在NAF上。
接著,在步驟905中,NAF將應(yīng)用響應(yīng)消息發(fā)送給UE。
通過如上步驟,NAF確認(rèn)該用戶是經(jīng)過BSF認(rèn)證的合法用戶,同時(shí)NAF和UE也就共享了由Ks衍生的密鑰Ks_NAF,從而這兩者在后續(xù)的通信中可以進(jìn)行安全通信。
當(dāng)用戶發(fā)現(xiàn)Ks即將過期,或NAF要求用戶重新到BSF進(jìn)行鑒權(quán)時(shí),用戶就會(huì)重復(fù)圖2和圖3的處理重新到BSF進(jìn)行互鑒權(quán),以得到新的共享密鑰Ks及衍生密鑰Ks_NAF。
如圖4所示,描述了NAF發(fā)現(xiàn)衍生的共享密鑰Ks_NAF已經(jīng)過期時(shí)UE和NAF之間執(zhí)行的處理。詳細(xì)的,UE在步驟1001中發(fā)送應(yīng)用請(qǐng)求消息給NAF后,NAF發(fā)現(xiàn)衍生的共享密鑰Ks_NAF已經(jīng)過期,則在步驟1002中通知UE需要重新執(zhí)行和BSF之間的相互鑒權(quán)過程。
以上所述UE上包含IP多媒體業(yè)務(wù)身份標(biāo)識(shí)模塊ISIM(IP MultimediaServices Subscriber Identity Module)/通用集成電路卡UICC(UniversalIntegrated Circuit Card),而且UE上既包含GBA客戶端,也包含NAF應(yīng)用客戶端。但是隨著通用鑒權(quán)框架應(yīng)用范圍越來越廣泛,出現(xiàn)一些新的應(yīng)用場(chǎng)景,例如在傳統(tǒng)的沒有ISIM/UICC模塊因而也就不具備ISIM能力的用戶終端上,或者NAF應(yīng)用客戶端與GBA客戶端分離的終端(多個(gè)外圍終端采用同一個(gè)ISIM/UICC訪問網(wǎng)絡(luò)業(yè)務(wù))上如何應(yīng)用GBA。為了描述簡便,我們統(tǒng)一稱之為非IMS終端。
TISPAN(ETSI的NGN網(wǎng)絡(luò)標(biāo)準(zhǔn))中定義了一種稱為IMS駐留網(wǎng)關(guān)IRG(IMS Residential Gateway)的功能實(shí)體,用于為那些非IMS終端提供訪問IMS業(yè)務(wù)的安全通道。
這些非IMS終端包括但不限于SIP電話、軟電話,PC,PDA等。IMS駐留網(wǎng)關(guān)功能上相當(dāng)于一個(gè)B2BUA(背靠背用戶代理)實(shí)體,其具有一“ISIMON UICC(通用集成電路卡上的IP多媒體業(yè)務(wù)身份標(biāo)識(shí)模塊)”模塊,用來為這些非IMS終端提供訪問IMS業(yè)務(wù)的安全通道,并且該模塊上存儲(chǔ)了一個(gè)私有用戶標(biāo)識(shí)(IMPI)和多個(gè)公共用戶標(biāo)識(shí)(IMPU)。該IRG面向非IMS終端的本地接口可能是網(wǎng)線、數(shù)據(jù)線、USB、藍(lán)牙、或紅外線等接口。我們也可以稱這種實(shí)體為IMS終端代理。
這種應(yīng)用場(chǎng)景下,一個(gè)IMS用戶可能具備多個(gè)非IMS終端設(shè)備,并且所有這些非IMS終端采用同一個(gè)ISIM/UICC模塊(位于IMS終端代理上)訪問網(wǎng)絡(luò)業(yè)務(wù)。另外,NAF應(yīng)用客戶端位于IMS終端代理以外的一個(gè)或者幾個(gè)非IMS終端上,因此與執(zhí)行GBA的客戶端(位于IMS終端代理上)不在同一個(gè)設(shè)備上。我們稱之為增強(qiáng)的GBA框架,如圖5所示。在該增強(qiáng)型GBA框架中,具有SIP電話、PC、軟電話等非IMS終端,IMS終端代理B2BUA為這些非IMS終端生成衍生密鑰Ks_NAF,這些IMS終端利用該生成的衍生密鑰Ks_NAF和NAF通信。當(dāng)多個(gè)外圍終端設(shè)備共享一個(gè)UE上的GBA客戶端時(shí),如果這些外圍終端設(shè)備中的某兩個(gè)或者某幾個(gè)訪問同一個(gè)NAF時(shí),還會(huì)出現(xiàn)多個(gè)外圍終端設(shè)備采用同一個(gè)衍生密鑰Ks_NAF與某一個(gè)NAF通信的情況,造成安全隱患如果其中一個(gè)被攻破,另外一個(gè)也會(huì)不攻自破。
如圖6所示,描述了現(xiàn)有的針對(duì)如圖5所示的增強(qiáng)型GBA架構(gòu)的鑒權(quán)方法。
首先,在步驟801中,非IMS終端發(fā)送應(yīng)用請(qǐng)求給NAF。NAF在步驟802中指示非IMS終端采用GBA。
接著,在步驟803中,非IMS終端發(fā)送一請(qǐng)求給UE(IMS終端),請(qǐng)求UE生成密鑰,該請(qǐng)求中包含該非IMS終端的設(shè)備標(biāo)識(shí)。
接著,通過和圖2中的步驟701-709類似的步驟807-808生成基本密鑰Ks,且在步驟808中根據(jù)該基本密鑰Ks和設(shè)備標(biāo)識(shí)生成衍生密鑰。然后在步驟809中將衍生密鑰和B-TID發(fā)送給非IMS終端。
接著,在步驟810中,非IMS終端將包括B-TID和設(shè)備標(biāo)識(shí)的認(rèn)證請(qǐng)求發(fā)送給NAF。NAF在步驟811中發(fā)送一密鑰請(qǐng)求給BSF,請(qǐng)求生成衍生密鑰,該密鑰請(qǐng)求包括設(shè)備標(biāo)識(shí)、B-TID和NAF標(biāo)識(shí)。
BSF在步驟812中計(jì)算出衍生密鑰,并在步驟813中將該衍生密鑰返回NAF。
從而,非IMS終端和NAF之間可以通過該衍生密鑰執(zhí)行安全通信。
但是,該方案具有如下缺點(diǎn)1.該方案是針對(duì)3GPP移動(dòng)終端的,對(duì)于固定終端不適用。
2.網(wǎng)絡(luò)側(cè)需要能夠管理所有這些終端設(shè)備,需要為每個(gè)終端設(shè)備分配唯一的設(shè)備標(biāo)志。由于終端制造商和網(wǎng)絡(luò)運(yùn)營商可能并不是一家,并且終端類型多種多樣,管理上比較困難。
3.所有的非IMS終端都需要知道自己的設(shè)備標(biāo)志,并主動(dòng)攜帶這個(gè)設(shè)備標(biāo)志給UE(包含ISIM/UICC模塊)和NAF。這樣可能存在非IMS終端進(jìn)行設(shè)備標(biāo)志偽裝攻擊(類似IP地址偽裝攻擊)的隱患。
4.該方案沒有考慮新舊版本互通的情況。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種更安全的非IMS終端應(yīng)用增強(qiáng)型通用鑒權(quán)架構(gòu)的方法。
依照本發(fā)明的非IMS終端通過IMS終端代理應(yīng)用增強(qiáng)型通用鑒權(quán)架構(gòu)的方法如下步驟步驟a,非IMS終端發(fā)送不帶GBA參數(shù)的應(yīng)用請(qǐng)求消息給網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體,以及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體響應(yīng)該應(yīng)用請(qǐng)求消息,指示非IMS終端和引導(dǎo)服務(wù)功能實(shí)體執(zhí)行鑒權(quán)處理,步驟b,IMS終端代理在接收到非IMS終端的GBA請(qǐng)求信息后,查詢一關(guān)系映射表,獲取該非IMS終端的設(shè)備標(biāo)識(shí),該關(guān)系映射表存儲(chǔ)非IMS終端的標(biāo)識(shí)信息與非IMS終端的設(shè)備標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,該GBA請(qǐng)求信息包括非IMS終端的標(biāo)識(shí)信息,步驟c,IMS終端代理為非IMS終端生成與所述設(shè)備標(biāo)識(shí)相關(guān)的衍生密鑰Ks_NAF,步驟d,引導(dǎo)服務(wù)功能實(shí)體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體生成衍生密鑰Ks_NAF,其與步驟c中生成的衍生密鑰Ks_NAF相同。
依照本發(fā)明,由于與衍生密鑰Ks_NAF的生成相關(guān)的設(shè)備標(biāo)識(shí)是由網(wǎng)絡(luò)側(cè)實(shí)體生成的,因此非IMS終端不需要主動(dòng)將其設(shè)備標(biāo)識(shí)發(fā)送給B2BUA,從而防止了非IMS終端進(jìn)行設(shè)備標(biāo)志偽裝攻擊的隱患。此外,不同的非IMS終端訪問同一個(gè)NAF時(shí),衍生的共享密鑰Ks_NAF是不一樣的,這樣即使一個(gè)Ks_NAF泄密,也不會(huì)影響其他的Ks_NAF,從而保證了安全性。此外,設(shè)備標(biāo)識(shí)是由B2BUA連同衍生共享密鑰Ks_NAF一起傳給非IMS終端,這樣保證了非IMS終端上不容易進(jìn)行偽標(biāo)識(shí)攻擊。
圖1為GBA架構(gòu)的框架圖。
圖2為GBA架構(gòu)中UE和BSF相互鑒權(quán)的流程圖。
圖3為GBA架構(gòu)中NAF獲取Ks_NAF的流程圖。
圖4為GBA架構(gòu)中密鑰過期時(shí)UE和NAF執(zhí)行的處理的流程圖。
圖5為增強(qiáng)型GBA架構(gòu)的框架圖。
圖6為現(xiàn)有的增強(qiáng)型GBA架構(gòu)的鑒權(quán)方法的流程圖。
圖7為依照本發(fā)明的UA和NAF之間的初始引導(dǎo)過程的流程圖。
圖8為依照本發(fā)明的UA和BSF之間的引導(dǎo)交互過程的流程圖。
圖9為依照本發(fā)明的多個(gè)UA和BSF之間的引導(dǎo)交互過程的一實(shí)施方式的流程圖。
圖10為依照本發(fā)明的多個(gè)UA和BSF之間的引導(dǎo)交互過程的另一實(shí)施方式的流程圖。
圖11為UA和NAF之間建立安全聯(lián)盟的流程圖。
圖12為密鑰過期時(shí)UA和NAF執(zhí)行的處理的流程圖。
具體實(shí)施例方式
本發(fā)明提出了一個(gè)或者多個(gè)非IMS終端通過IMS終端代理B2BUA實(shí)體應(yīng)用增強(qiáng)通用鑒權(quán)架構(gòu)(GBA)的一種解決方法。該B2BUA實(shí)體包括NGN的IRG(IMS駐留網(wǎng)關(guān))實(shí)體,或3GPP/3GPP2中具有類似功能的實(shí)體。該非IMS終端可以是移動(dòng)網(wǎng)絡(luò)或者固定網(wǎng)絡(luò)中的非IMS終端。在下面的描述中,利用UA來統(tǒng)一表示各種非IMS終端。此外,在本發(fā)明中,假設(shè)這些UA和B2BUA之間的接口是安全的。而且,B2BUA不能主動(dòng)發(fā)起GBA過程,必須由UA來觸發(fā)。依照本發(fā)明,不同的非IMS終端訪問同一個(gè)NAF時(shí),即使其中一個(gè)非IMS終端的密鑰泄密,也不會(huì)影響到其他的非IMS終端的安全性。
在本發(fā)明中,首先設(shè)置一關(guān)系映射表,該關(guān)系映射表包括UA的用戶名(或者終端地址/終端端口號(hào))和唯一標(biāo)識(shí)該UA的設(shè)備標(biāo)識(shí)之間的映射關(guān)系。該關(guān)系映射表可以預(yù)先配置在B2BUA上,也可以配置在HSS上。當(dāng)該關(guān)系映射表配置在HSS上時(shí),B2BUA通過在從BSF下載鑒權(quán)向量的同時(shí)將該關(guān)系映射表下載,或者通過其他方式獲取。
當(dāng)UA第一次向NAF發(fā)出應(yīng)用請(qǐng)求(或者通過B2BUA)時(shí),如果不知道是否使用GBA參數(shù)和NAF通訊或者和NAF之間的共享密鑰已經(jīng)過期,就不攜帶任何GBA參數(shù)。NAF發(fā)現(xiàn)UA發(fā)來的應(yīng)用請(qǐng)求中沒有攜帶GBA參數(shù),就會(huì)指示UA(或者通過B2BUA指示UA)進(jìn)行GBA過程。接著,UA請(qǐng)求B2BUA和BSF之間進(jìn)行GBA過程,BSF生成根密鑰Ks和引導(dǎo)事務(wù)標(biāo)識(shí)B-TID并返回給B2BUA。然后,B2BUA通過查詢上述映射表,找出對(duì)應(yīng)的設(shè)備標(biāo)識(shí),并通過擴(kuò)展公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id,設(shè)備標(biāo)識(shí))生成Ks_NAF,其中NAF_Id為要訪問的NAF的ID,RAND是一個(gè)隨機(jī)數(shù),IMPI是指UA的私有身份標(biāo)識(shí),″gba-me″代表字符串,KDF是密鑰導(dǎo)出函數(shù)的縮寫。B2BUA將Ks_NAF、B-TID、設(shè)備標(biāo)識(shí)、密鑰有效期一起發(fā)給UA。然后UA(或者通過B2BUA)在發(fā)給NAF的請(qǐng)求消息中攜帶B-TID和獲取的設(shè)備標(biāo)識(shí)。NAF在發(fā)給BSF的請(qǐng)求消息中也攜帶獲取的設(shè)備標(biāo)識(shí)。BSF通過相同的公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id,設(shè)備標(biāo)識(shí))生成Ks_NAF,并將其發(fā)給NAF。這樣,NAF和UA就通過B2BUA共同獲取了一個(gè)公共密鑰Ks_NAF。而且,對(duì)于不同的UA,只要使用的用戶名不一樣,相應(yīng)的Ks_NAF也就不一樣,這樣即使一個(gè)Ks_NAF泄密,也不會(huì)影響到其他Ks_NAF。從而保證了安全性。
下面,參照附圖,詳細(xì)描述依照本發(fā)明UA(非IMS終端)應(yīng)用增強(qiáng)型GBA的方法。
如圖7所示,描述了UA和NAF之間的初始引導(dǎo)過程的兩種方式。
方式1包括圖中所示的步驟101-102。當(dāng)UA1第一次發(fā)送應(yīng)用請(qǐng)求消息到NAF時(shí),如果不知道NAF是否支持GBA,則在步驟101中將一應(yīng)用請(qǐng)求消息發(fā)送給NAF,且該應(yīng)用請(qǐng)求消息不攜帶任何GBA參數(shù)。接著,在步驟102中,NAF發(fā)送應(yīng)用響應(yīng)消息給UA1,指示UA1需要首先和BSF進(jìn)行GBA過程。
方式2包括圖中的步驟101a、101b、102a和102b。該方式2與方式1基本相同,不同之處僅在于所述應(yīng)用請(qǐng)求消息和應(yīng)用相應(yīng)消息皆通過B2BUA轉(zhuǎn)發(fā)。
當(dāng)按照?qǐng)D7所描述的任一方式執(zhí)行了初始引導(dǎo)過程之后,執(zhí)行如圖8所示的UA和BSF之間的引導(dǎo)交互過程。該引導(dǎo)交互過程包括如下步驟首先,在步驟201中,UA1發(fā)送GBA請(qǐng)求到B2BUA,該GBA請(qǐng)求中攜帶有該UA1的用戶名和NAF的標(biāo)識(shí)ID。
接著,在步驟202中,B2BUA根據(jù)GBA請(qǐng)求攜帶的用戶名,在存儲(chǔ)在B2BUA上的關(guān)系映射表中找出與該UA1對(duì)應(yīng)的設(shè)備標(biāo)識(shí)。當(dāng)然,該關(guān)系映射表也可以配置在HSS上,當(dāng)B2BUA和BSF相互鑒權(quán)時(shí),BSF查詢HSS獲取鑒權(quán)向量(即步驟204)的同時(shí)獲取該關(guān)系映射表,然后將該關(guān)系映射表連同B-TID,密鑰有效期一起發(fā)給B2BUA(即步驟209)。在這種情況下,該步驟202位于步驟209和步驟211之間。
接著,在步驟203-210中,執(zhí)行B2BUA和BSF之間的互相鑒權(quán)過程。通過這些步驟,BSF生成了事務(wù)標(biāo)識(shí)B-TID,連同密鑰有效期一同發(fā)給B2BUA,并且B2BUA和BSF都生成根密鑰Ks。此外,在BSF中保存一張表(B-TID,IMPI,Ks,密鑰有效期,引導(dǎo)開始時(shí)間),從而當(dāng)BSF收到NAF的請(qǐng)求后可以根據(jù)此B-TID查到根密鑰Ks。
具體的,在步驟203中,B2BUA向BSF發(fā)送GBA請(qǐng)求消息,該GBA請(qǐng)求消息包括UA1的私有用戶標(biāo)識(shí)。
接著,在步驟204中,BSF向HSS獲取認(rèn)證向量,BSF通過與HSS的交互獲取該B2BUA的鑒權(quán)向量信息,如AUTN、RAND、IK、CK以及XRES等。
接著,在步驟205中,BSF向B2BUA返回挑戰(zhàn)響應(yīng)消息,該消息中包含AUTN、RAND。具體地說,BSF在接收到B2BUA的鑒權(quán)向量信息后,將鑒權(quán)向量信息中的AUTN和RAND,一并攜帶在挑戰(zhàn)響應(yīng)消息中,并將該消息返回給B2BUA。其中,AUTN用于驗(yàn)證BSF的身份,RAND用于使B2BUA獲取與BSF側(cè)相同的IK和CK。
接著,在步驟206中,B2BUA通過運(yùn)行AKA算法,檢查AUTN的有效性以鑒權(quán)網(wǎng)絡(luò),得到IK和CK,并生成RES。具體地說,B2BUA在接收到BSF返回的挑戰(zhàn)響應(yīng)消息后,通過對(duì)其中AUTN的有效性檢查驗(yàn)證對(duì)端BSF的身份,根據(jù)其中的RAND計(jì)算得到與BSF側(cè)相同的IK和CK,并生成RES。
接著,在步驟207中,B2BUA再次向BSF發(fā)送GBA請(qǐng)求消息,并在該消息中攜帶RES。其中,RES用于驗(yàn)證B2BUA的身份。
接著,在步驟208中,BSF檢查RES的有效性以鑒權(quán)B2BUA。BSF通過判斷GBA請(qǐng)求消息中的RES是否與從HSS處獲取的XRES一致,從而對(duì)B2BUA進(jìn)行鑒權(quán)。而且,BSF根據(jù)從HSS處獲取的IK和CK生成Ks。
接著,在步驟209中,BSF將B-TID以及Ks的有效期攜帶在成功響應(yīng)消息中發(fā)送給B2BUA。具體地說,BSF為標(biāo)識(shí)和B2BUA之間本次鑒權(quán)交互事務(wù)而分配一個(gè)B-TID,使該B-TID與Ks、B2BUA的私有用戶標(biāo)識(shí)相關(guān)聯(lián),以便以后BSF可以根據(jù)該B-TID查找出相應(yīng)的Ks,并且,為Ks定義一個(gè)有效期,以便Ks進(jìn)行定期更新。BSF將該B-TID以及Ks的有效期攜帶在成功響應(yīng)消息中。
接著,在步驟210中,B2BUA在接收到該成功響應(yīng)消息后,得到B-TID和Ks的有效期,并將該B-TID和Ks的有效期保存在B2BUA側(cè),并生成Ks。
在執(zhí)行了B2BUA和BSF之間的互相鑒權(quán)過程之后,在步驟211中,B2BUA根據(jù)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id,設(shè)備標(biāo)識(shí))推導(dǎo)出Ks_NAF,并保存Ks_NAF與私有用戶標(biāo)識(shí)IMPI之間的關(guān)系。
接著,在步驟212中,B2BUA將Ks_NAF、B-TID、設(shè)備標(biāo)識(shí)、密鑰有效期發(fā)給UA1。
當(dāng)存在多個(gè)UA需與BSF之間執(zhí)行引導(dǎo)交互時(shí),可以通過如圖9或8所示的流程來執(zhí)行該引導(dǎo)交互。
如圖9所示,首先,第一個(gè)UA1通過步驟201-212執(zhí)行GBA過程。之后,當(dāng)其他的UA也需要和BSF交互時(shí),其首先在步驟301中將GBA請(qǐng)求發(fā)送至B2BUA,該GBA請(qǐng)求中攜帶有該UA2的用戶名。接著在步驟302中,B2BUA根據(jù)GBA請(qǐng)求中攜帶的用戶名,在關(guān)系映射表中找出該UA2對(duì)應(yīng)的設(shè)備標(biāo)識(shí)。根據(jù)B2BUA的本地安全策略,在Ks有效期內(nèi),可以跳過步驟203-210。BSF對(duì)于所有的UA都保存相同的B-TID、Ks等數(shù)據(jù)。因此,直接執(zhí)行步驟311,B2BUA根據(jù)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id,設(shè)備標(biāo)識(shí))推導(dǎo)出Ks_NAF,并保存Ks_NAF與私有用戶標(biāo)識(shí)IMPI之間的關(guān)系。然后在步驟312中,B2BUA將Ks_NAF、B-TID、設(shè)備標(biāo)識(shí)、密鑰有效期發(fā)給UA2。在該過程中,步驟301、302、311、312和如圖2所示的步驟201、202、211、212相似。
如圖10所示,描述了多個(gè)UA與BSF之間執(zhí)行引導(dǎo)交互的另一實(shí)施方式。
該實(shí)施方式基本上與如圖10所示的實(shí)施方式相同,其不同之處在于當(dāng)?shù)谝粋€(gè)UA1完成了GBA過程后,其他的UA也需要和BSF交互時(shí),根據(jù)B2BUA的本地安全策略,在Ks有效期內(nèi),需要重新執(zhí)行上述步驟203-210。為了讓BSF區(qū)分是同一個(gè)UA和BSF的重新交互,還是不同的UA和BSF的交互,需要在上述步驟203中攜帶設(shè)備標(biāo)識(shí)參數(shù)。BSF對(duì)于每一個(gè)UA都保存相應(yīng)的B-TID_UA、IMPI、KS_UA等數(shù)據(jù)(如圖所示)。因此,以后這些UA將使用不同的B-TID(Ks)和Ks_NAF來訪問NAF。
當(dāng)通過圖8,7或8所描述的流程完成了UA與BSF之間的引導(dǎo)交互過程之后,接著執(zhí)行如圖11所描述的過程,實(shí)現(xiàn)UA和NAF之間的SA(安全聯(lián)盟)建立。如圖11所示,其包括如下步驟。
首先,在步驟501中,UA發(fā)送應(yīng)用請(qǐng)求消息給NAF,該應(yīng)用請(qǐng)求中攜帶有B-TID,設(shè)備標(biāo)識(shí)參數(shù)。該步驟501也可以由圖中的步驟501a-501b代替,在這些步驟中,UA通過B2BUA將應(yīng)用請(qǐng)求消息發(fā)給NAF,這里B2BUA起到轉(zhuǎn)發(fā)的作用,該應(yīng)用請(qǐng)求消息也包括B-TID和設(shè)備標(biāo)識(shí)參數(shù)。
接著,在步驟502中,NAF發(fā)送認(rèn)證請(qǐng)求消息給BSF,該認(rèn)證請(qǐng)求消息攜帶有設(shè)備標(biāo)識(shí)、B-TID,NAF主機(jī)名(即NAF的標(biāo)識(shí)ID)。
接著,在步驟503中,BSF根據(jù)和用戶側(cè)相同的公式推導(dǎo)出Ks_NAF,并在步驟504中將推導(dǎo)出的Ks_NAF連同其他參數(shù)一起發(fā)送給NAF。具體的,BSF根據(jù)B-TID查找存儲(chǔ)在BSF中的表,獲得Ks和IMPI,根據(jù)獲得的參數(shù)和在步驟502中發(fā)送來的參數(shù),生成Ks_NAF。
接著,在步驟504中,BSF將Ks_NAF、應(yīng)用相關(guān)用戶屬性數(shù)據(jù)、GBA開始時(shí)間、密鑰有效期發(fā)送給NAF。在步驟505中,NAF保存Ks_NAF等參數(shù)以及B-TID、設(shè)備標(biāo)識(shí)的關(guān)系。
在步驟506中,NAF發(fā)送應(yīng)用響應(yīng)消息給UA。相應(yīng)的,該步驟也可以由圖中的步驟506a-506b代替,即NAF也可能通過B2BUA將應(yīng)用響應(yīng)消息發(fā)給UA。
通過上面圖8,7,或8的過程,B2BUA為UA生成了衍生密鑰Ks_NAF,且通過圖11所示的處理,BSF為NAF生成了相同的衍生密鑰Ks_NAF。從而,UA和NAF之間建立了安全聯(lián)盟。
當(dāng)通過上面描述的過程建立了UA和NAF之間的安全聯(lián)盟之后,UA和NAF之間執(zhí)行安全的通信,但是如果NAF認(rèn)為衍生的共享密鑰Ks_NAF已經(jīng)過期,則可以通過如圖12所示的步驟602中指示指示UA需要重新執(zhí)行和BSF之間的相互鑒權(quán)過程。當(dāng)然,該指示也可以通過按照步驟602a和602b由B2BUA進(jìn)行轉(zhuǎn)發(fā)。
下面,分析根據(jù)上述的方法來實(shí)現(xiàn)新舊版本的互通的情況??紤]到BSF由運(yùn)營商管理,因此可以認(rèn)為BSF可以通過是否有設(shè)備標(biāo)識(shí)參數(shù)來區(qū)分新、舊版本的情況。
對(duì)于UE(或B2BUA)或者NAF,則可能新、舊版本都有。因此只需要考慮新版本的UE(支持設(shè)備標(biāo)識(shí)參數(shù))和舊版本的NAF(不支持設(shè)備標(biāo)識(shí)參數(shù))、舊版本的UE(不支持設(shè)備標(biāo)識(shí)參數(shù))和新版本的NAF(支持設(shè)備標(biāo)識(shí)參數(shù))這兩種互通情況。
<新版本的UE和舊版本的NAF之間的互通>
新版本的UE和舊版本的NAF之間的互通有如下兩種情況情況1如圖8、圖9所示,假設(shè)新版本的UE和舊版本的BSF之間進(jìn)行GBA過程時(shí),不攜帶設(shè)備標(biāo)識(shí)參數(shù)。完成GBA過程后,UE會(huì)使用帶設(shè)備標(biāo)識(shí)的密鑰推導(dǎo)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id,設(shè)備標(biāo)識(shí))生成Ks_NAF;UE向NAF發(fā)送的應(yīng)用請(qǐng)求消息中也攜帶設(shè)備標(biāo)識(shí)參數(shù);但是NAF不識(shí)別,因此NAF向BSF發(fā)送的認(rèn)證請(qǐng)求消息中不攜帶設(shè)備標(biāo)識(shí)參數(shù);從而會(huì)導(dǎo)致BSF使用不同的密鑰推導(dǎo)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id)生成Ks_NAF。從而導(dǎo)致互通不可行。
情況2如圖6所示,假設(shè)新版本的UE和舊版本的BSF之間進(jìn)行GBA過程時(shí),在步驟203中攜帶設(shè)備標(biāo)識(shí)參數(shù)。完成GBA過程后,UE會(huì)使用帶設(shè)備標(biāo)識(shí)的密鑰推導(dǎo)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id,設(shè)備標(biāo)識(shí))生成Ks_NAF,同時(shí)BSF也應(yīng)將B-TID和設(shè)備標(biāo)識(shí)的關(guān)系記錄下來;UE向NAF發(fā)送的應(yīng)用請(qǐng)求消息中也攜帶設(shè)備標(biāo)識(shí)參數(shù);但是NAF不識(shí)別,因此NAF向BSF發(fā)送的認(rèn)證請(qǐng)求消息中不攜帶設(shè)備標(biāo)識(shí)參數(shù);BSF根據(jù)B-TID可以知道UE是新版本的,從而可以查出對(duì)應(yīng)的設(shè)備標(biāo)識(shí),然后BSF使用相同的密鑰推導(dǎo)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id,設(shè)備標(biāo)識(shí))生成Ks_NAF。因此互通是可行的。
因此,從新舊版本互通的角度考慮,新版本的UE和BSF之間進(jìn)行GBA過程時(shí),必須攜帶設(shè)備標(biāo)識(shí)參數(shù)。
<舊版本的UE和新版本的NAF的互通分析>
舊版本的UE和BSF之間進(jìn)行GBA過程時(shí),不會(huì)攜帶設(shè)備標(biāo)識(shí)參數(shù)。完成GBA過程后,UE會(huì)使用不帶設(shè)備標(biāo)識(shí)的密鑰推導(dǎo)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id)生成Ks_NAF;UE向NAF發(fā)送的應(yīng)用請(qǐng)求消息中也不帶設(shè)備標(biāo)識(shí)參數(shù);NAF向BSF發(fā)送的認(rèn)證請(qǐng)求消息中也不帶設(shè)備標(biāo)識(shí)參數(shù),從而BSF也使用相同的密鑰推導(dǎo)公式Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id)生成Ks_NAF。因此互通是可行的。
本發(fā)明不僅適用于固定網(wǎng)絡(luò)中的非IMS終端,也同樣適用于移動(dòng)網(wǎng)絡(luò)中的非IMS終端,該非IMS終端代理實(shí)體可以是所述B2BUA(IRG)實(shí)體,也可以是3GPP/3GPP2中具備類似功能的實(shí)體。
依照本發(fā)明,不同的非IMS終端訪問同一個(gè)NAF時(shí),衍生的共享密鑰Ks_NAF是不一樣的,這樣即使一個(gè)Ks_NAF泄密,也不會(huì)影響其他的Ks_NAF,從而保證了安全性。此外,設(shè)備標(biāo)識(shí)是由B2BUA連同衍生共享密鑰Ks_NAF一起傳給非IMS終端,這樣保證了非IMS終端上不容易進(jìn)行偽標(biāo)識(shí)攻擊。此外,不同的非IMS終端訪問同一個(gè)NAF時(shí),不僅Ks_NAF不同,B-TID也可以不一樣,進(jìn)一步保證了安全性。而且,本發(fā)明是在現(xiàn)有的GBA架構(gòu)上進(jìn)行的擴(kuò)展,從而保證了后向兼容性。
雖然本發(fā)明已以較多的方式進(jìn)行了表達(dá),但并不是用以限定本發(fā)明,任何熟悉該技術(shù)的人員,在不脫離本發(fā)明的精神和范圍內(nèi),可以做各種改動(dòng)和潤飾,因此本發(fā)明的保護(hù)范圍當(dāng)視專利申請(qǐng)范圍所界定者為準(zhǔn)。
權(quán)利要求
1.一種非IP多媒體業(yè)務(wù)子系統(tǒng)終端通過IP多媒體業(yè)務(wù)子系統(tǒng)終端代理應(yīng)用增強(qiáng)型通用鑒權(quán)架構(gòu)的方法,其包括如下步驟步驟a,非IP多媒體業(yè)務(wù)子系統(tǒng)終端發(fā)送不帶通用鑒權(quán)架構(gòu)參數(shù)的應(yīng)用請(qǐng)求消息給網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體,以及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體響應(yīng)該應(yīng)用請(qǐng)求消息,指示非IP多媒體業(yè)務(wù)子系統(tǒng)終端和引導(dǎo)服務(wù)功能實(shí)體執(zhí)行鑒權(quán)處理,非IP多媒體業(yè)務(wù)子系統(tǒng)終端向IP多媒體業(yè)務(wù)子系統(tǒng)終端代理發(fā)送通用鑒權(quán)架構(gòu)請(qǐng)求消息,步驟b,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理在接收到非IP多媒體業(yè)務(wù)子系統(tǒng)終端的通用鑒權(quán)架構(gòu)請(qǐng)求信息后,查詢一關(guān)系映射表,獲取該非IP多媒體業(yè)務(wù)子系統(tǒng)終端的設(shè)備標(biāo)識(shí),該關(guān)系映射表存儲(chǔ)非IP多媒體業(yè)務(wù)子系統(tǒng)終端的標(biāo)識(shí)信息與非IP多媒體業(yè)務(wù)子系統(tǒng)終端的設(shè)備標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,該通用鑒權(quán)架構(gòu)請(qǐng)求信息包括非IP多媒體業(yè)務(wù)子系統(tǒng)終端的標(biāo)識(shí)信息,步驟c,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理為非IP多媒體業(yè)務(wù)子系統(tǒng)終端生成與所述設(shè)備標(biāo)識(shí)相關(guān)的衍生密鑰Ks_NAF,步驟d,引導(dǎo)服務(wù)功能實(shí)體為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體生成衍生密鑰Ks_NAF,其與步驟c中生成的衍生密鑰Ks_NAF相同,步驟e,非IP多媒體業(yè)務(wù)子系統(tǒng)終端和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體利用步驟c和步驟d生成的衍生密鑰Ks_NAF建立安全聯(lián)盟。
2.如權(quán)利要求1所述的方法,其中,所述非IP多媒體業(yè)務(wù)子系統(tǒng)終端的標(biāo)識(shí)信息為非IP多媒體業(yè)務(wù)子系統(tǒng)終端的用戶名,終端地址,終端端口號(hào)中的任一種。
3.如權(quán)利要求2所述的方法,其中,所述應(yīng)用請(qǐng)求消息和指示消息通過IP多媒體業(yè)務(wù)子系統(tǒng)終端代理轉(zhuǎn)發(fā)。
4.如權(quán)利要求1所述的方法,其中,步驟b包括步驟b1,非IP多媒體業(yè)務(wù)子系統(tǒng)終端發(fā)送一通用鑒權(quán)架構(gòu)請(qǐng)求消息給IP多媒體業(yè)務(wù)子系統(tǒng)終端代理,該通用鑒權(quán)架構(gòu)請(qǐng)求包括非IP多媒體業(yè)務(wù)子系統(tǒng)終端的用戶名和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體的ID,以及步驟b2,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理根據(jù)該非IP多媒體業(yè)務(wù)子系統(tǒng)終端的用戶名,查找存儲(chǔ)在IP多媒體業(yè)務(wù)子系統(tǒng)終端代理上的所述關(guān)系映射表,獲取設(shè)備標(biāo)識(shí)。
5.如權(quán)利要求4所述的方法,其中,步驟b2進(jìn)一步包括,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理在從引導(dǎo)服務(wù)功能實(shí)體下載鑒權(quán)向量的同時(shí)下載該關(guān)系映射表的步驟。
6.如權(quán)利要求1所述的方法,其中,步驟c包括步驟c0,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理和引導(dǎo)服務(wù)功能實(shí)體雙向認(rèn)證,生成基本密鑰Ks、事務(wù)標(biāo)識(shí)B-TID、密鑰有效期,步驟c1,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理根據(jù)設(shè)備標(biāo)識(shí)、基本密鑰Ks、用戶私有標(biāo)識(shí)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體的ID,生成衍生密鑰Ks_NAF,步驟c2,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理將設(shè)備標(biāo)識(shí)、事務(wù)標(biāo)識(shí)B-TID、衍生密鑰Ks_NAF和密鑰有效期發(fā)送給非IP多媒體業(yè)務(wù)子系統(tǒng)終端。
7.如權(quán)利要求6所述的方法,其中,在步驟c0中,IP多媒體業(yè)務(wù)子系統(tǒng)終端代理將用戶的私有用戶標(biāo)識(shí),或私有用戶標(biāo)識(shí)和設(shè)備標(biāo)識(shí)發(fā)送給引導(dǎo)服務(wù)功能實(shí)體。
8.如權(quán)利要求6所述的方法,其中,在步驟c0中IP多媒體業(yè)務(wù)子系統(tǒng)終端代理和引導(dǎo)服務(wù)功能實(shí)體完成通用鑒權(quán)架構(gòu)認(rèn)證后,以后當(dāng)其它非IP多媒體業(yè)務(wù)子系統(tǒng)終端通過該IP多媒體業(yè)務(wù)子系統(tǒng)終端代理與網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體交互時(shí),根據(jù)本地策略,可以省略該步驟c0,直接利用前一非IP多媒體業(yè)務(wù)子系統(tǒng)終端通過該IP多媒體業(yè)務(wù)子系統(tǒng)終端代理應(yīng)用該增強(qiáng)型通用鑒權(quán)架構(gòu)時(shí)生成的基本密鑰Ks和事務(wù)標(biāo)識(shí)B-TID。
9.如權(quán)利要求7所述的方法,其進(jìn)一步包括引導(dǎo)服務(wù)功能實(shí)體將基本密鑰Ks、事務(wù)標(biāo)識(shí)B-TID、密鑰有效期、IP多媒體業(yè)務(wù)子系統(tǒng)終端代理的私有用戶標(biāo)識(shí)和該非IP多媒體業(yè)務(wù)子系統(tǒng)終端的設(shè)備標(biāo)識(shí)關(guān)聯(lián)存儲(chǔ)。
10.如權(quán)利要求1所述的方法,其中,步驟d包括,步驟d1,非IP多媒體業(yè)務(wù)子系統(tǒng)終端發(fā)送包括該非IP多媒體業(yè)務(wù)子系統(tǒng)終端的設(shè)備標(biāo)識(shí)和事務(wù)標(biāo)識(shí)B-TID的應(yīng)用請(qǐng)求消息給網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體,步驟d2,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體發(fā)送包括該非IP多媒體業(yè)務(wù)子系統(tǒng)終端的設(shè)備標(biāo)識(shí)、事務(wù)標(biāo)識(shí)B-TID和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體的ID的認(rèn)證請(qǐng)求消息給引導(dǎo)服務(wù)功能實(shí)體,步驟d3,引導(dǎo)服務(wù)功能實(shí)體根據(jù)該事務(wù)標(biāo)識(shí)B-TID查詢得到基本密鑰Ks和用戶私有標(biāo)識(shí)IMPI,并根據(jù)這些信息連同非IP多媒體業(yè)務(wù)子系統(tǒng)終端的設(shè)備標(biāo)識(shí)、網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體的ID生成衍生密鑰Ks_NAF,并將生成的衍生密鑰Ks_NAF、密鑰有效期、通用鑒權(quán)架構(gòu)開始時(shí)間、用戶屬性數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體。
11.如權(quán)利要求1-10任一項(xiàng)所述的方法,其進(jìn)一步包括網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體在所述衍生密鑰過期時(shí),發(fā)送消息指示非IP多媒體業(yè)務(wù)子系統(tǒng)終端執(zhí)行與引導(dǎo)服務(wù)功能實(shí)體雙向認(rèn)證。
12.如權(quán)利要求11所述的方法,其中,指示非IP多媒體業(yè)務(wù)子系統(tǒng)終端執(zhí)行與引導(dǎo)服務(wù)功能實(shí)體雙向認(rèn)證的消息通過IP多媒體業(yè)務(wù)子系統(tǒng)終端代理轉(zhuǎn)發(fā)。
全文摘要
本發(fā)明提供一種非IMS終端通過IMS終端代理應(yīng)用增強(qiáng)型通用鑒權(quán)架構(gòu)的方法。該方法包括如下步驟步驟a,非IMS終端發(fā)送不帶GBA參數(shù)的應(yīng)用請(qǐng)求消息給NAF,以及NAF響應(yīng)該應(yīng)用請(qǐng)求消息,指示非IMS終端先和引導(dǎo)服務(wù)功能實(shí)體執(zhí)行鑒權(quán)處理,非IMS終端向IMS終端代理發(fā)送GBA請(qǐng)求消息。步驟b,IMS終端代理在接收到非IMS終端的GBA請(qǐng)求信息后,查詢一關(guān)系映射表,獲取該非IMS終端的設(shè)備標(biāo)識(shí),該關(guān)系映射表存儲(chǔ)非IMS終端的標(biāo)識(shí)信息與非IMS終端的設(shè)備標(biāo)識(shí)的對(duì)應(yīng)關(guān)系,該GBA請(qǐng)求信息包括非IMS終端的標(biāo)識(shí)信息以及要訪問的NAF的標(biāo)識(shí)。步驟c,IMS終端代理為非IMS終端生成與所述設(shè)備標(biāo)識(shí)相關(guān)的衍生密鑰,步驟d,引導(dǎo)服務(wù)功能實(shí)體為NAF生成衍生密鑰,其與步驟c中生成的衍生密鑰相同。
文檔編號(hào)H04L9/08GK1870500SQ200610001570
公開日2006年11月29日 申請(qǐng)日期2006年1月24日 優(yōu)先權(quán)日2006年1月24日
發(fā)明者何承東 申請(qǐng)人:華為技術(shù)有限公司