專利名稱:一種應(yīng)用通用鑒權(quán)框架的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及第三代無線通信技術(shù)領(lǐng)域�����,特別是指一種應(yīng)用通用鑒權(quán)框架的方法。
背景技術(shù):
在第三代無線通信標(biāo)準(zhǔn)中����,通用鑒權(quán)框架是多種應(yīng)用業(yè)務(wù)實體使用的一個用于完成對用戶身份進(jìn)行驗證的通用結(jié)構(gòu),應(yīng)用通用鑒權(quán)框架可實現(xiàn)對應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗證身份�。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)、用戶證書業(yè)務(wù)�、信息即時提供業(yè)務(wù)等,也可以是代理業(yè)務(wù)�。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖�。通用鑒權(quán)框架通常由用戶101、執(zhí)行用戶身份初始檢查驗證的實體(BSF)102����、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)103和網(wǎng)絡(luò)應(yīng)用實體(NAF)104組成。BSF 102用于與用戶101進(jìn)行互驗證身份�����,同時生成BSF 102與用戶101的共享密鑰���;HSS 103中存儲有用于描述用戶信息的描述(Profile)文件����,該Profile中包括用戶身份標(biāo)識等所有與用戶有關(guān)的描述信息,同時HSS 103還兼有產(chǎn)生鑒權(quán)信息的功能��。
用戶需要使用某種業(yè)務(wù)時��,如果其知道該業(yè)務(wù)需要到BSF進(jìn)行互鑒權(quán)過程�����,則直接到BSF進(jìn)行互鑒權(quán)����,否則,用戶會首先和某個業(yè)務(wù)對應(yīng)的NAF聯(lián)系���,如果該NAF應(yīng)用通用鑒權(quán)框架需要用戶到BSF進(jìn)行身份驗證���,則通知用戶應(yīng)用通用鑒權(quán)框架進(jìn)行身份驗證,否則進(jìn)行其它相應(yīng)處理����。
隨著技術(shù)的發(fā)展,現(xiàn)有的通用鑒權(quán)框架有以下兩種應(yīng)用模式一種是大多數(shù)業(yè)務(wù)應(yīng)用的普通模式����,通常被稱為模式1�。其是由用戶終端內(nèi)的用戶標(biāo)識卡計算出鑒權(quán)信息��,由用戶終端根據(jù)用戶標(biāo)識卡主動發(fā)來的密鑰信息���,計算出與NAF通信時所需的密鑰�。具體實現(xiàn)過程為���,用戶標(biāo)識卡計算產(chǎn)生加密密鑰CK���、完整性密鑰IK及鑒權(quán)響應(yīng)值RES后,將計算出的結(jié)果全部發(fā)送給用戶終端��,用戶終端將鑒權(quán)響應(yīng)值RES發(fā)送給網(wǎng)絡(luò)側(cè)鑒權(quán)��,而自己保存IK和CK����。鑒權(quán)通過后�����,用戶終端接收到BSF分配的會話事務(wù)標(biāo)識(TID)。用戶終端應(yīng)用通用鑒權(quán)框進(jìn)行通信時�����,用戶終端首先將IK和CK組合起來生成密鑰Ks����,再應(yīng)用Ks或由Ks衍生出的密鑰Ks_NAF作為與NAF通信時的保護(hù)密鑰。
另一種是安全性較高的增強(qiáng)模式���,通常被稱為模式2�����,也被稱為特殊模式����。其是由用戶終端內(nèi)的用戶標(biāo)識卡計算出鑒權(quán)信息后�����,再進(jìn)一步計算出用戶終端與NAF通信時所需的中間密鑰�。然后,使一部分中間密鑰保存在用戶標(biāo)識卡中,另一部分中間密鑰保存在用戶終端內(nèi)����。具體實現(xiàn)過程為,用戶標(biāo)識卡計算產(chǎn)生加密密鑰CK�、完整性密鑰IK及鑒權(quán)響應(yīng)值RES后,再將IK和CK組合起來生成密鑰Ks����,并進(jìn)一步根據(jù)Ks和其它參數(shù)產(chǎn)生用戶標(biāo)識卡內(nèi)部保留模式密鑰Ks_int和供用戶終端使用的密鑰Ks_ext,之后�,用戶標(biāo)識卡自身保存密鑰Ks_int,將鑒權(quán)響應(yīng)值RES及供用戶終端使用的密鑰Ks_ext發(fā)送給用戶終端�����。由用戶終端將鑒權(quán)響應(yīng)值RES發(fā)送給網(wǎng)絡(luò)側(cè)鑒權(quán)�。鑒權(quán)通過后,用戶終端接收到BSF分配的會話事務(wù)標(biāo)識(TID)��。
用戶終端應(yīng)用通用鑒權(quán)框進(jìn)行通信時��,如果NAF內(nèi)的業(yè)務(wù)要求使用用戶標(biāo)識卡保留模式密鑰Ks_int�����,則用戶終端向用戶標(biāo)識卡發(fā)送請求衍生密鑰的信息�����,由用戶標(biāo)識卡計算出密鑰Ks_int的衍生密鑰Ks_int_NAF發(fā)送給用戶終端��;用戶終端與NAF在密鑰Ks_int_NAF的保護(hù)下進(jìn)行通信��;如果NAF的業(yè)務(wù)不要求使用用戶標(biāo)識卡保留模式密鑰Ks_int���,則用戶終端直接根據(jù)本地的密鑰Ks_ext計算出其衍生密鑰Ks_ext_NAF�,用戶終端與NAF在密鑰Ks_ext_NAF的保護(hù)下進(jìn)行通信�����。
在模式2中�����,由于應(yīng)用用戶標(biāo)識卡計算并保存密鑰�,因而其更加安全,且使用的時間也可以比較長��。所以現(xiàn)有的NAF中對安全要求高的業(yè)務(wù)均要求使用模式2應(yīng)用方式�。同時�,為了使模式2能夠兼容模式1的應(yīng)用方式����,在現(xiàn)有流程中,用戶標(biāo)識卡需要將計算出的密鑰Ks_ext發(fā)送給用戶終端���,以便在用戶終端只支持模式1的情況下����,能夠按照模式1的方式與NAF實現(xiàn)通信�。
而當(dāng)用戶關(guān)機(jī)或用戶標(biāo)識卡被從手機(jī)移走后,無論模式1或模式2的用戶終端內(nèi)的密鑰都將被刪除���,即Ks及其衍生密鑰或Ks_ext及其衍生密鑰都被刪除����,而用戶標(biāo)識卡中保存的密鑰Ks或Ks_int及Ks_ext等是不會被刪除的���,除非它們的有效其到期或網(wǎng)絡(luò)要求用戶重新進(jìn)行鑒權(quán)�,這些密鑰才會被更新����。所以當(dāng)用戶重新開機(jī)或重新插入用戶標(biāo)識卡時,用戶標(biāo)識卡需要將密鑰IK/CK或Ks_ext重新發(fā)送給模式1或模式2的用戶終端��。
對于模式2的終端而言�����,其有主動向用戶標(biāo)識卡請求衍生密鑰的操作���,因此����,用戶標(biāo)識卡將密鑰Ks_ext發(fā)給模式2的終端的操作是沒有必要的��,而且還降低了Ks_ext的安全性����。由于關(guān)機(jī)或重插用戶標(biāo)識卡等操作,用戶標(biāo)識卡需要重復(fù)執(zhí)行發(fā)送密鑰Ks_ext給模式2的用戶終端的操作����,模式2的用戶終端也需要重復(fù)執(zhí)行計算衍生密鑰Ks_ext_NAF的操作,這對于用戶終端和用戶標(biāo)識卡來說�,都是對資源的浪費。另外�����,模式2的用戶終端還要花費寶貴的存儲資源來保存隨時都可獲取的密鑰Ks_ext。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的目的在于提供一種應(yīng)用通用鑒權(quán)框架的方法,以減少用戶標(biāo)識卡和支持模式2用戶終端之間的冗余步驟����,從而節(jié)約用戶標(biāo)識卡和用戶終端的資源,進(jìn)而提高中間密鑰的安全性��。
為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種應(yīng)用通用鑒權(quán)框架的方法��,該方法包括以下步驟在用戶終端內(nèi)設(shè)置用于指示用戶終端所支持模式的信息���,用戶終端與用戶標(biāo)識卡進(jìn)行初始化后�,用戶標(biāo)識卡獲取并保存用戶終端的所支持模式的信息��;用戶標(biāo)識卡接收到來自用戶終端的包含鑒權(quán)矢量的鑒權(quán)計算請求后����,計算出鑒權(quán)所需響應(yīng)值及密鑰信息���,并根據(jù)自身已保存的用戶終端的能力信息����,判斷該用戶終端是否支持模式2,如果是����,則只將鑒權(quán)響應(yīng)值發(fā)送給用戶終端,否則����,將鑒權(quán)響應(yīng)值和供用戶終端使用的密鑰信息發(fā)送給用戶終端;BSF對用戶終端鑒權(quán)成功后��,模式2的用戶終端需要與NAF進(jìn)行通信時����,該用戶終端根據(jù)NAF的具體業(yè)務(wù)信息,主動向用戶標(biāo)識卡發(fā)送包含所需密鑰類型標(biāo)志的請求密鑰的消息��,該用戶終端接收到來自用戶標(biāo)識卡的密鑰信息后���,再按照模式2的方式執(zhí)行后續(xù)操作���。
較佳地��,BSF對用戶終端鑒權(quán)成功后��,該方法進(jìn)一步包括如果是模式1的用戶終端需要與NAF進(jìn)行通信終端�����,則按照模式1的處理方式進(jìn)行后續(xù)操作�����。
較佳地�����,所述用于指示用戶終端所支持模式的信息設(shè)置在用于描述用戶終端能力信息的描述文件中�����。
較佳地��,所述用戶終端所需密鑰類型標(biāo)志是需要用戶標(biāo)識卡保留模式密鑰的衍生密鑰的標(biāo)志��,或是需要供用戶終端使用的密鑰的衍生密鑰的標(biāo)志�����,或是同時請求用戶標(biāo)識卡保留模式密鑰的衍生密鑰和供用戶終端使用的密鑰的衍生密鑰的標(biāo)志���。
較佳地,所述用戶終端已獲取的NAF的具體業(yè)務(wù)信息����,是從系統(tǒng)配置或預(yù)先與該用戶終端的的交互過程中獲取的。
應(yīng)用本發(fā)明�����,由用戶終端將自身所支持模式的信息告知用戶標(biāo)識卡�����,用戶標(biāo)識卡判斷該用戶終端是否支持模式2����,如果不是,則主動將密鑰信息和鑒權(quán)響應(yīng)值和發(fā)送給用戶終端��,并按模式1的方式繼續(xù)后續(xù)處理,否則��,只將鑒權(quán)響應(yīng)值發(fā)送給用戶終端���,當(dāng)用戶終端需要與NAF通信時����,用戶終端向用戶卡明確請求密鑰的類型�����,并直接從用戶標(biāo)識卡中獲取所需的密鑰���,用戶終端不再參與計算�����。應(yīng)用本發(fā)明�����,減少了用戶標(biāo)識卡和支持模式2用戶終端之間的冗余步驟���,節(jié)約了用戶標(biāo)識卡和用戶終端的資源���。而且,本發(fā)明所述方法還進(jìn)一步提高了中間密鑰的安全性�����,即增強(qiáng)了模式2應(yīng)用方式的安全性�。節(jié)省了模式2終端的計算資源和寶貴的存儲資源。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖��;圖2所示為應(yīng)用本發(fā)明一實施例的根據(jù)用戶終端選擇應(yīng)用模式的流程示意圖�。
具體實施例方式
為使本發(fā)明的技術(shù)方案更加清楚�����,下面結(jié)合附圖再對本發(fā)明做進(jìn)一步地詳細(xì)說明�。
本發(fā)明的思路是當(dāng)用戶標(biāo)識卡計算出鑒權(quán)所需響應(yīng)值及密鑰信息后,根據(jù)自身已保存的用戶終端所支持的模式信息��,判斷用戶終端是否支持模式2�����,如果不是,則自身主動將密鑰Ks_ext和鑒權(quán)響應(yīng)值和發(fā)送給用戶終端���,并按模式1的方式繼續(xù)后續(xù)處理��,否則���,只將鑒權(quán)響應(yīng)值發(fā)送給用戶終端,當(dāng)用戶終端需要與NAF通信時���,向用戶卡明確的請求Ks_ext_NAF或Ks_int_NAF��,由用戶卡完成相應(yīng)的計算�����,用戶終端不再參與計算操作�,本發(fā)明節(jié)省了用戶標(biāo)識卡和模式2終端之間的冗余步驟����,提高了中間密鑰的安全性,并節(jié)省模式2終端的存儲資源和計算資源����。
圖2所示為應(yīng)用本發(fā)明一實施例的應(yīng)用通用鑒權(quán)框架的流程示意圖���。
步驟201,在用戶終端內(nèi)的用于描述自身能力信息的描述文件中設(shè)置用于指示用戶終端所支持模式的信息����,例如,在描述文件中增加一項用戶終端是否支持模式2的指示項�,如果該終端支持模式2,則該項的標(biāo)識為1����,否則該項的標(biāo)識為0。在用戶終端與用戶標(biāo)識卡進(jìn)行初始化后�����,用戶標(biāo)識卡根據(jù)用戶終端的描述文件即可知道該用戶終端所支持的模式��,即可以明確該用戶終端支持模式1還是模式2��,同時�����,用戶終端也獲取了用戶標(biāo)識卡身份標(biāo)識�����。網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)用戶身份標(biāo)識可確定該用戶標(biāo)識卡支持模式1還是模式2����,并在后續(xù)處理步驟中按照相應(yīng)的模式進(jìn)行處理。
步驟202~步驟206����,BSF接到來自用戶終端的包含用戶身份標(biāo)識的鑒權(quán)請求后,根據(jù)用戶身份標(biāo)識向HSS請求鑒權(quán)矢量信息�����,HSS根據(jù)用戶身份標(biāo)識判斷出該用戶標(biāo)識卡支持模式2后����,向BSF返回包含模式2標(biāo)識的鑒權(quán)矢量信息;用戶終端接收到來自BSF的鑒權(quán)矢量信息后���,向用戶標(biāo)識卡發(fā)出包含鑒權(quán)矢量信息的計算請求�����,用戶標(biāo)識卡采用模式2的方式進(jìn)行計算�����,即計算出鑒權(quán)響應(yīng)值RES和密鑰IK和CK���,并根據(jù)密鑰IK和CK產(chǎn)生共享密鑰Ks后����,進(jìn)一步產(chǎn)生用戶標(biāo)識卡內(nèi)保留模式密鑰Ks_int和供用戶終端使用的密鑰Ks_ext����,之后,用戶標(biāo)識卡保存上述信息�。
步驟207~步驟208,用戶標(biāo)識卡根據(jù)步驟201中獲取的用戶終端所支持的模式信息����,確認(rèn)該用戶終端所支持的模式,從而決定自身是否將密鑰Ks_ext發(fā)送給用戶終端�����,如果該用戶終端只支持模式1�����,則用戶標(biāo)識卡將鑒權(quán)響應(yīng)值和密鑰Ks_ext一起發(fā)送給用戶終端��,否則�����,用戶標(biāo)識卡只將鑒權(quán)響應(yīng)值返回給用戶終端�;用戶終端接收到來自用戶標(biāo)識卡的響應(yīng)信息后,只將接收到的鑒權(quán)響應(yīng)值發(fā)送給BSF���。
步驟209����,BSF接收到來自用戶終端的鑒權(quán)響應(yīng)值之后����,對比接收到的鑒權(quán)響應(yīng)值RES和自己保存的期待的鑒權(quán)響應(yīng)值XRES相同后即鑒權(quán)成功,然后����,BSF根據(jù)自己產(chǎn)生并保存的密鑰IK/CK及與用戶終端相同的算法計算Ks,之后BSF進(jìn)一步應(yīng)用與用戶標(biāo)識卡相同的算法計算出用戶標(biāo)識卡保留模式密鑰Ks_int和供用戶終端使用的密鑰Ks_ext��;且BSF分配TID給用戶終端���。
步驟210用戶終端向用戶標(biāo)識卡發(fā)送包含所需密鑰類型的密鑰請求消息�。這是由于在用戶終端待與某個NAF進(jìn)行通信時,該用戶終端已經(jīng)從與該NAF初始的聯(lián)系過程����,或通過系統(tǒng)預(yù)先配置的方式知道該NAF的業(yè)務(wù)類型需要何種類型的密鑰等信息。同時�,NAF也在與用戶終端的初始聯(lián)系過程中,知道了用戶終端所支持的模式信息���。
也就是說��,如果該NAF是需要使用模式2的密鑰���,則用戶終端在向用卡請求密鑰的消息中明確標(biāo)識出請求用戶標(biāo)識卡保留模式密鑰的衍生密鑰標(biāo)志,即請求Ks_int_NAF�����,如果該NAF只需要使用模式1的密鑰�����,則用戶終端在向用卡請求密鑰的消息中明確標(biāo)識出請求供用戶終端使用的密鑰的衍生密鑰的標(biāo)志,即請求Ks_ext_NAF���。另外對于NAF而言,如果其能夠兼容模式1和模式2的應(yīng)用方式��,即其既可以使用模式2的密鑰�,也可以使用模式1的密鑰與用戶終端通信,則NAF可以自主選擇要使用的密鑰�����,因此���,此時用戶終端可以在向用卡請求密鑰的消息中明確標(biāo)識出同時請求兩種衍生密鑰的標(biāo)志�。
步驟211~步驟215��,用戶終端向NAF發(fā)送TID信息的業(yè)務(wù)請求����,NAF收到該請求后,先在本地查詢是否有用戶終端攜帶的該TID��,如果NAF不能在本地查詢到該TID����,則向BSF進(jìn)行查詢�����,由于在預(yù)先交互中NAF已經(jīng)知道該終端所支持的模式���,因此NAF向BSF的查詢消息中包含自身需要是何種類型密鑰的信息。如果BSF不能在本地查詢到該TID��,則通知NAF沒有該用戶終端的信息�,此時,NAF將通知用戶終端到BSF進(jìn)行認(rèn)證鑒權(quán)���。如果BSF查詢到該TID�,且根據(jù)NAF需要的密鑰類型產(chǎn)生出適當(dāng)?shù)难苌荑€Ks_ext_NAF或Ks_int_NAF�;然后給NAF返回查詢成功的響應(yīng)消息,該消息中不但包含所查詢的TID���,還包含與該TID相關(guān)聯(lián)的密鑰Ks_ext_NAF或Ks_int_NAF或兩個都包括����。
此時����,NAF與該用戶終端在共享密鑰的保護(hù)下進(jìn)行正常的通信���。
在上述實施例中,由于用戶終端將自身所支持模式信息告知了用戶標(biāo)識卡��,因此���,用戶標(biāo)識卡在計算完密鑰信息后,能夠決定是否將密鑰Ks_ext發(fā)送給用戶終端��,從而避免總是將Ks_ext發(fā)送給支持模式2的用戶終端�����,不但節(jié)省了模式2終端的計算資源和存儲資源�,而且提高了模式2終端所應(yīng)用密鑰及所在系統(tǒng)的安全性。
以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改���、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1.一種應(yīng)用通用鑒權(quán)框架的方法�,其特征在于,該方法包括以下步驟在用戶終端內(nèi)設(shè)置用于指示用戶終端所支持模式的信息��,用戶終端與用戶標(biāo)識卡進(jìn)行初始化后���,用戶標(biāo)識卡獲取并保存用戶終端的所支持模式的信息���;用戶標(biāo)識卡接收到來自用戶終端的包含鑒權(quán)矢量的鑒權(quán)計算請求后,計算出鑒權(quán)所需響應(yīng)值及密鑰信息���,并根據(jù)自身已保存的用戶終端的能力信息�����,判斷該用戶終端是否支持模式2�,如果是��,則只將鑒權(quán)響應(yīng)值發(fā)送給用戶終端,否則�����,將鑒權(quán)響應(yīng)值和供用戶終端使用的密鑰信息發(fā)送給用戶終端��;BSF對用戶終端鑒權(quán)成功后�,模式2的用戶終端需要與NAF進(jìn)行通信時,該用戶終端根據(jù)NAF的具體業(yè)務(wù)信息���,主動向用戶標(biāo)識卡發(fā)送包含所需密鑰類型標(biāo)志的請求密鑰的消息,該用戶終端接收到來自用戶標(biāo)識卡的密鑰信息后���,再按照模式2的方式執(zhí)行后續(xù)操作����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,BSF對用戶終端鑒權(quán)成功后�,該方法進(jìn)一步包括如果是模式1的用戶終端需要與NAF進(jìn)行通信終端,則按照模式1的處理方式進(jìn)行后續(xù)操作��。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述用于指示用戶終端所支持模式的信息設(shè)置在用于描述用戶終端能力信息的描述文件中。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述用戶終端所需密鑰類型標(biāo)志是需要用戶標(biāo)識卡保留模式密鑰的衍生密鑰的標(biāo)志��,或是需要供用戶終端使用的密鑰的衍生密鑰的標(biāo)志�����,或是同時請求用戶標(biāo)識卡保留模式密鑰的衍生密鑰和供用戶終端使用的密鑰的衍生密鑰的標(biāo)志���。
5.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述用戶終端已獲取的NAF的具體業(yè)務(wù)信息�,是從系統(tǒng)配置或預(yù)先與該用戶終端的的交互過程中獲取的。
全文摘要
本發(fā)明提供了一種應(yīng)用通用鑒權(quán)框架的方法��,其關(guān)鍵是,由用戶終端將自身所支持模式的信息告知用戶標(biāo)識卡����,用戶標(biāo)識卡判斷該用戶終端是否支持模式2,如果不是��,則主動將密鑰信息和鑒權(quán)響應(yīng)值和發(fā)送給用戶終端���,并按模式1的方式繼續(xù)后續(xù)處理�����,否則���,只將鑒權(quán)響應(yīng)值發(fā)送給用戶終端����,當(dāng)用戶終端需要與NAF通信時,用戶終端向用戶標(biāo)識卡明確請求密鑰的類型���,并直接從用戶標(biāo)識卡中獲取所需的密鑰���,用戶終端不再參與計算����。應(yīng)用本發(fā)明���,減少了用戶標(biāo)識卡和支持模式2用戶終端之間的冗余步驟����,節(jié)約了用戶標(biāo)識卡和用戶終端的資源�����。而且�,還進(jìn)一步增強(qiáng)了模式2應(yīng)用方式的安全性。節(jié)省了模式2終端的計算資源和寶貴的存儲資源�����。
文檔編號H04W12/04GK1717097SQ200410060129
公開日2006年1月4日 申請日期2004年6月28日 優(yōu)先權(quán)日2004年6月28日
發(fā)明者黃迎新 申請人:華為技術(shù)有限公司