專利名稱:通用引導(dǎo)體系中安全等級的協(xié)商方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信領(lǐng)域中的安全技術(shù),尤其涉及寬帶碼分多址接入(WCDMA: Wideband Code Division Multiple Access)系統(tǒng)通用引導(dǎo)體系(GBA: Generic Bootstrapping Architecture)中的安全等級的協(xié)商方法。
背景技術(shù):
WCDMA標(biāo)準(zhǔn)由第三代合作伙伴計(jì)劃組織(3rd Generation Partnership Project —3GPP)制 訂,己有R99、 R4、 R5三個版本完成定稿,現(xiàn)階段正在進(jìn)行R6版本的制訂工作。考慮到大 多數(shù)移動終端設(shè)備與應(yīng)用服務(wù)器在通信之前需要進(jìn)行互認(rèn)證,因此在R6版本中提出了通用 認(rèn)證框架(Generic Authentication Architecture)的概念,為終端和基于IP協(xié)議的應(yīng)用提供統(tǒng) 一的認(rèn)證機(jī)制,取代以往的一種應(yīng)用一種認(rèn)證方案的方法。GBA是GAA中基于預(yù)共享密鑰 的認(rèn)證方案。
圖1中列出了 GBA參考模型的網(wǎng)絡(luò)實(shí)體及它們之間的接口。其中UE (User Equipment) 是用戶設(shè)備,它需要訪問網(wǎng)絡(luò)應(yīng)用功能(NAF: Network Application Function)上的某種應(yīng)用, 但該應(yīng)用需要使用密鑰進(jìn)行保護(hù)。而密鑰由UE和引導(dǎo)服務(wù)器功能(BSF: Bootstrapping Server Function)通過RFC2617 "HTTP Authentication: Basic and Digest Access Authentication"所描述 的HTTP Digest AKA協(xié)議協(xié)商獲得,同時UE與BSF也完成了終端與網(wǎng)絡(luò)的實(shí)體認(rèn)證。歸屬 用戶服務(wù)器(HSS: Home Subscriber Server)上保存了核心網(wǎng)與用戶設(shè)備間預(yù)先共享的密鑰 以及其他有關(guān)用戶的所有信息,它在協(xié)商中為BSF提供這些必要的數(shù)據(jù)。協(xié)商完成后,NAF 會向BSF請求密鑰,BSF這時利用它們之間的安全隧道將密鑰傳遞給NAF。后續(xù)的UE與 NAF間的通信將使用該密鑰進(jìn)行保護(hù)。
GBA規(guī)范設(shè)計(jì)的目的是為UE和NAF提供一種通用的互認(rèn)證方法,并且協(xié)商出一個共享 的密鑰。這個密鑰的使用主要有三種方法,但不限于這些方法
(A) 直接保護(hù)UE和NAF之間的應(yīng)用通訊;
(B) 用于傳遞其它密鑰,例如廣播多播服務(wù)器向用戶設(shè)備傳遞保護(hù)業(yè)務(wù)中使用的密鑰,參
見3GPP安全規(guī)范33.246;
(C)用于NAF與UE間的身份認(rèn)證,例如當(dāng)用戶使用HTTPS接入NAF時,可用于NAF 和UE間的實(shí)體認(rèn)證,參見3GPP安全規(guī)范33.222。
但是目前的GBA規(guī)范沒有考慮UE與NAF間安全能力(這里的安全能力指所支持的認(rèn) 證算法,加密算法,加密算法的模式等)是否能匹配的問題,也沒有定義協(xié)商的流程。當(dāng)然, GBA規(guī)范是為了提出一種通用的認(rèn)證方式。但如果UE和NAF的安全能力不同,則對于上 面所提到的密鑰的前兩種使用方法都是有影響的。也就是說雙方必須使用預(yù)先定義好的算法, 這樣一來,靈活性就降低了。或者因?yàn)槭褂玫陌踩惴ú煌?,造成?yīng)用無法正常進(jìn)行,從而 前面所執(zhí)行的GBA流程變得毫無意義。另外,不同國家對于加密算法的使用的要求也不同, 在用戶漫游情況,特別是如果NAF位于與UE歸屬環(huán)境不同的國家,通常都是需要與UE進(jìn) 行安全算法的協(xié)商??梢哉f增加UE和NAF安全能力的協(xié)商是非常必要的。
對于普通用戶來說,他們對安全的理解并不是非常深刻,對安全功能的設(shè)置也不很熟悉, 這一點(diǎn)影響了安全功能的正常使用,使得UE雖然具備了不少安全功能,但往往沒有被充分 利用。因此如果UE上定義了一些安全等級,并確定每個安全等級的功能和主要的適用場合, 這樣用戶就可以通過設(shè)定安全等級實(shí)現(xiàn)對安全功能的配置。這對于普通用戶和高級用戶來說 都是很方便的。ITU-T第17工作組安全草家'General security policy for secure mobile end-to-end data communication"中提到將用戶的安全功能劃分為不同的安全等級,并與所要訪問的應(yīng)用 服務(wù)器進(jìn)行等級的協(xié)商。GBA規(guī)范中用戶設(shè)備也可以采用這樣的思想和方法。
發(fā)明內(nèi)容
為克服現(xiàn)有技術(shù)中的缺陷和不足,本發(fā)明的目的在于提供一種GBA中安全等級的協(xié)商方 法,從而提高GBA的靈活性和適用范圍。
為達(dá)到上述目的,本發(fā)明是這樣實(shí)現(xiàn)的
通用引導(dǎo)體系中安全等級的協(xié)商方法,所述方法包括
(1) 用戶設(shè)備進(jìn)行安全等級設(shè)置,并向網(wǎng)絡(luò)應(yīng)用功能發(fā)送訪問請求;
(2) 網(wǎng)絡(luò)應(yīng)用功能收到用戶設(shè)備的訪問請求后,返回包含有網(wǎng)絡(luò)應(yīng)用功能所支持的算法
列表的通用引導(dǎo)體系協(xié)商觸發(fā)報(bào)文;
(3) 用戶設(shè)備根據(jù)收到的通用引導(dǎo)體系協(xié)商觸發(fā)報(bào)文,選擇安全算法。 進(jìn)一步的,所述步驟(3)后還包括
(4) 網(wǎng)絡(luò)應(yīng)用功能在向引導(dǎo)服務(wù)器功能請求密鑰時,由引導(dǎo)服務(wù)器將步驟(3)所確定 的安全算法通知給網(wǎng)絡(luò)應(yīng)用功能;
(5) 用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能利用協(xié)商出的安全算法和密鑰進(jìn)行通信。 其中,所述步驟(3)具體為
(31) 用戶設(shè)備將其所設(shè)定的安全等級所對應(yīng)的安全算法與網(wǎng)絡(luò)應(yīng)用功能的算法列表進(jìn) 行比較,選擇匹配的安全算法;
(32) 用戶設(shè)備與引導(dǎo)服務(wù)器功能進(jìn)行AKA協(xié)商的過程中,將選擇的安全算法通知給 引導(dǎo)服務(wù)器功能。
其中,所述步驟(3)具體為-
(3a)用戶設(shè)備將其安全等級和網(wǎng)絡(luò)應(yīng)用功能的安全等級發(fā)送給引導(dǎo)服務(wù)器功能,由引 導(dǎo)服務(wù)器功能向歸屬用戶服務(wù)器請求用戶的用戶安全設(shè)置值;
(3b)引導(dǎo)服務(wù)器功能將用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能的安全算法進(jìn)行比較,選擇匹配的算 法,并在用戶設(shè)備與引導(dǎo)服務(wù)器功能進(jìn)行AKA協(xié)商的過程中,將選擇結(jié)果通知用戶設(shè)備。
其中,所述步驟(3)具體為
(3A)用戶設(shè)備與引導(dǎo)服務(wù)器功能進(jìn)行AKA協(xié)商;
(3B)用戶設(shè)備將其安全算法列表發(fā)送給網(wǎng)絡(luò)應(yīng)用功能;
(3C)網(wǎng)絡(luò)應(yīng)用功能根據(jù)從引導(dǎo)服務(wù)器功能獲得的用戶設(shè)備的用戶安全設(shè)置值,選擇匹 配的安全算法,并將匹配的安全算法發(fā)送給用戶設(shè)備;
(3D)用戶設(shè)備向網(wǎng)絡(luò)應(yīng)用功能發(fā)送包含有用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能的安全算法列表的報(bào)文。
與現(xiàn)有技術(shù)相比,利用本發(fā)明所述的方法,UE與NAF可以在原有的GBA流程中通過
增加傳遞參數(shù),很好的進(jìn)行安全能力的協(xié)商,使雙方達(dá)成一致,從而提高了 GBA的靈活性和
適用范圍;另一方面,因?yàn)橐肓擞脩魝?cè)安全等級的概念和使用方法,用戶可方便的進(jìn)行安
全功能的配置,真正實(shí)現(xiàn)對通信的保護(hù)。而且對于運(yùn)營商,也可根據(jù)需要和應(yīng)用的變化更改
安全等級的規(guī)定方法,對網(wǎng)絡(luò)的安全狀況進(jìn)行調(diào)整。
圖1是GBA的參考模型。
圖2是安全等級協(xié)商流程中算法選擇由UE執(zhí)行的流程圖。 圖3是安全等級協(xié)商流程,算法選擇由BSF執(zhí)行的流程圖。 圖4是本發(fā)明的實(shí)施例的流程圖。
具體實(shí)施例方式
下面結(jié)合附圖對本發(fā)明做進(jìn)一步的詳細(xì)說明。
圖2是安全等級協(xié)商流程中算法選擇由UE執(zhí)行的流程圖。如圖2所示,具體流程如下
(1) UE進(jìn)行安全等級設(shè)置,并向NAF發(fā)送訪問請求;
(2) NAF收到UE的訪問請求后,返回包含有NAF所支持的算法列表的GBA協(xié)商觸 發(fā)報(bào)文;
(3) UE根據(jù)收到的通用引導(dǎo)體系協(xié)商觸發(fā)報(bào)文,將其所設(shè)定的安全等級所對應(yīng)的安全 算法與NAF的算法列表進(jìn)行比較,選擇第一個匹配的安全算法;
(4) UE與BSF進(jìn)行AKA協(xié)商的過程中,將選擇的安全算法附加在發(fā)給BSF的報(bào)文中, 通知BSF選擇的結(jié)果;
(5) NAF在向BSF請求密鑰時,由BSF將步驟(3)所確定的安全算法通知給NAF;
(6) UE和NAF利用協(xié)商出的安全算法和密鑰進(jìn)行通信。
圖3是安全等級協(xié)商流程,算法選擇由BSF執(zhí)行的流程圖。如圖3所示,具體流程如下: (1) UE進(jìn)行安全等級設(shè)置,并向NAF發(fā)送訪問請求;
(2) NAF收到UE的訪問請求后,返回包含由NAF所支持的算法列表的GBA協(xié)商觸 發(fā)報(bào)文;
(3) UE根據(jù)收到的通用引導(dǎo)體系協(xié)商觸發(fā)報(bào)文,將其安全等級和NAF的安全等級通過 第一個HTTP請求發(fā)送給引導(dǎo)服務(wù)器功能,由BSF向HSS請求用戶的用戶安全設(shè)置值;
(4) BSF將UE和NAF的安全算法進(jìn)行比較,選擇匹配的算法,并在UE與BSF進(jìn)行 AKA協(xié)商的過程中,在協(xié)商的報(bào)文200 OK中將選擇結(jié)果通知UE;
(5) NAF在向BSF請求密鑰時,由BSF將步驟(3)所確定的安全算法通知給NAF;
(6) UE和NAF利用協(xié)商出的安全算法和密鑰進(jìn)行通信。 圖4是本發(fā)明的實(shí)施例的流程圖。如圖4所示,如下
(1) UE進(jìn)行安全等級設(shè)置,并向NAF發(fā)送訪問請求;
(2) NAF收到UE的訪問請求后,返回包含有NAF所支持的算法列表的GBA協(xié)商觸 發(fā)報(bào)文;
(3) UE、 NAF與BSF進(jìn)行正常的GBA過程,并且成功;
(4) 在進(jìn)行通信前,UE首先將自己所配置的安全等級,或者安全等級對應(yīng)的安全算法 列表發(fā)送給NAF;
(5) 如果NAF接收到的是安全等級,它將根據(jù)從BSF獲得的用戶的USS將安全等級轉(zhuǎn) 換成對應(yīng)的安全算法列表,接著與自身所支持的安全算法進(jìn)行比較,選擇出第一個匹配項(xiàng);
(6) NAF將自身所支持的算法列表回送給UE;
(7) 同樣UE也選擇出與NAF相匹配的安全算法;
(8) UE向NAF發(fā)送確認(rèn)報(bào)文,報(bào)文中包含了 UE的安全等級(或安全算法列表)和 NAF的安全算法列表,該報(bào)文使用選擇出的認(rèn)證算法和AKA過程中協(xié)商出的認(rèn)證密鑰進(jìn)行 完整性保護(hù),防止前面的通信被非法攻擊者篡改。
其中,在進(jìn)行安全等級設(shè)置時,運(yùn)營商將各種用戶終端以及應(yīng)用服務(wù)器所支持的安全算 法進(jìn)行組合,定義成若干安全等級,這些等級從高到低,可適用于不同的應(yīng)用場合;運(yùn)營商
可以推薦用戶在那種應(yīng)用下使用那種等級。
UE上的安全算法也被定義成若干安全等級,定義的方法與運(yùn)營商的方法相同,但它是運(yùn) 營商所定義的等級表中的一部分。用戶可以不關(guān)心每個等級的具體值。UE的安全等級信息也 可以保存在用戶歸屬網(wǎng)絡(luò)HSS為每個用戶所設(shè)定的用戶安全設(shè)置USS (USS-User Security Setting)中。用戶根據(jù)使用的應(yīng)用設(shè)定所需要的等級,可以是一個固定值,也可以是一個等 級范圍。
實(shí)施例一
假設(shè)UE上支持的算法包括,認(rèn)證算法MD5和SHA-1;加密算法3DES和AES。根
據(jù)運(yùn)營商的規(guī)定,將這些算法組合成4個安全等級,它們是等級l: AES + SHA-1;等級2: AES+MD5;等級3: 3DES+SHA1;等級4: SHA-1;這些等級也可根據(jù)需要進(jìn)行修改。 用戶不關(guān)心等級的具體內(nèi)容,安全等級1和2適用于電子商務(wù)等安全性要求高的應(yīng)用,等級 3適用于安全性一般的場合,如即時消息等,而等級4可用于不需要對數(shù)據(jù)進(jìn)行機(jī)密性保護(hù) 的情況。
用戶希望使用對安全性要求比較高的電子商務(wù)應(yīng)用,因此將安全等級配置成1和2;這
些等級信息以及對應(yīng)的值也被保存在USS中。
UE請求與NAF進(jìn)行通信,而NAF希望應(yīng)用被保護(hù),所以響應(yīng)一個觸發(fā)GBA過程的報(bào) 文,在這個報(bào)文中NAF還包含了自己的安全算法列表,它們是加密算法AES和3DES,認(rèn)證 算法SHA-1。
UE將自己的安全等級(1和2)以及NAF的安全算法列表包含在請求中通知BSF, BSF 通過向HSS請求USS,得知安全等級對應(yīng)的算法值,并將兩者進(jìn)行比較,得到的最終結(jié)果是 AES + SHA1。
BSF將結(jié)果攜帶在200 OK中通知UE。而NAF在向BSF 請求密鑰時,BSF也把算法 協(xié)商的結(jié)果告訴NAF,這時,UE和NAF可以使用相同的安全算法以及密鑰進(jìn)行后續(xù)的通信 了。
權(quán)利要求
1、通用引導(dǎo)體系中安全等級的協(xié)商方法,其特征在于,所述方法包括(1)用戶設(shè)備進(jìn)行安全等級設(shè)置,并向網(wǎng)絡(luò)應(yīng)用功能發(fā)送訪問請求;(2)網(wǎng)絡(luò)應(yīng)用功能收到用戶設(shè)備的訪問請求后,返回包含有網(wǎng)絡(luò)應(yīng)用功能所支持的算法列表的通用引導(dǎo)體系協(xié)商觸發(fā)報(bào)文;(3)用戶設(shè)備根據(jù)收到的通用引導(dǎo)體系協(xié)商觸發(fā)報(bào)文,選擇安全算法。
2、 根據(jù)權(quán)利要求l所述的通用引導(dǎo)體系中安全等級的協(xié)商方法,其特征在于,所述步驟 (3)后還包括(4) 網(wǎng)絡(luò)應(yīng)用功能在向引導(dǎo)服務(wù)器功能請求密鑰時,由引導(dǎo)服務(wù)器將步驟(3)所確定 的安全算法通知給網(wǎng)絡(luò)應(yīng)用功能;(5) 用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能利用協(xié)商出的安全算法和密鑰進(jìn)行通信。
3、 根據(jù)權(quán)利要求1或2所述的通用引導(dǎo)體系中安全等級的協(xié)商方法,其特征在于,所述 步驟(3)具體為-(31) 用戶設(shè)備將其所設(shè)定的安全等級所對應(yīng)的安全算法與網(wǎng)絡(luò)應(yīng)用功能的算法列表進(jìn) 行比較,選擇匹配的安全算法;(32) 用戶設(shè)備與引導(dǎo)服務(wù)器功能進(jìn)行AKA協(xié)商的過程中,將選擇的安全算法通知給 引導(dǎo)服務(wù)器功能。
4、 根據(jù)權(quán)利要求1或2所述的通用引導(dǎo)體系中安全等級的協(xié)商方法,其特征在于,所述 步驟(3)具體為-Ga)用戶設(shè)備將其安全等級和網(wǎng)絡(luò)應(yīng)用功能的安全等級發(fā)送給引導(dǎo)服務(wù)器功能,由引 導(dǎo)服務(wù)器功能向歸屬用戶服務(wù)器請求用戶設(shè)備的用戶安全設(shè)置值,獲得用戶安全設(shè)置值所對 應(yīng)的安全算法;(3b)引導(dǎo)服務(wù)器功能將用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能的安全算法進(jìn)行比較,選擇匹配的算 法,并在用戶設(shè)備與引導(dǎo)服務(wù)器功能進(jìn)行AKA協(xié)商的過程中,將選擇結(jié)果通知用戶設(shè)備。
5、 根據(jù)權(quán)利要求1或2所述的通用引導(dǎo)體系中安全等級的協(xié)商方法,其特征在于,所步驟(3)具體為(3A)用戶設(shè)備與引導(dǎo)服務(wù)器功能進(jìn)行AKA協(xié)商; (3B)用戶設(shè)備將其安全算法列表發(fā)送給網(wǎng)絡(luò)應(yīng)用功能;(3C)網(wǎng)絡(luò)應(yīng)用功能根據(jù)從引導(dǎo)服務(wù)器功能獲得的用戶設(shè)備的用戶安全設(shè)置值,選擇匹 配的安全算法,并將匹配的安全算法發(fā)送給用戶設(shè)備;(3D)用戶設(shè)備向網(wǎng)絡(luò)應(yīng)用功能發(fā)送包含有用戶設(shè)備和網(wǎng)絡(luò)應(yīng)用功能的安全算法列表的報(bào)文。
全文摘要
本發(fā)明公開了一種通用引導(dǎo)體系中安全等級的協(xié)商方法,為提高通用引導(dǎo)體系的靈活性及適用范圍從而實(shí)現(xiàn)對通信的保護(hù)而發(fā)明。包括(1)用戶設(shè)備進(jìn)行安全等級設(shè)置,并向網(wǎng)絡(luò)應(yīng)用功能發(fā)送訪問請求;(2)網(wǎng)絡(luò)應(yīng)用功能收到用戶設(shè)備的訪問請求后,返回包含有網(wǎng)絡(luò)應(yīng)用功能所支持的算法列表的通用引導(dǎo)體系協(xié)商觸發(fā)報(bào)文;(3)用戶設(shè)備根據(jù)收到的通用引導(dǎo)體系協(xié)商報(bào)文,選擇安全算法。本發(fā)明使得UE與NAF可以在原有的GBA流程中通過增加傳遞參數(shù),很好的進(jìn)行安全能力的協(xié)商,使雙方達(dá)成一致,從而提高了GBA的靈活性和適用范圍;另外,因?yàn)橐肓擞脩魝?cè)安全等級的概念和使用方法,用戶可方便的進(jìn)行安全功能的配置,真正實(shí)現(xiàn)對通信的保護(hù)。
文檔編號H04W12/04GK101170811SQ200610150018
公開日2008年4月30日 申請日期2006年10月24日 優(yōu)先權(quán)日2006年10月24日
發(fā)明者呂東旭, 李卓明, 李遠(yuǎn)威, 潔 趙, 趙志飛, 璟 陳 申請人:中興通訊股份有限公司