建立安全關聯的方法、用戶設備和網絡側設備的制作方法

專利名稱：建立安全關聯的方法、用戶設備和網絡側設備的制作方法
技術領域：
本發明涉及網絡通信領域，尤其涉及建立安全關聯的方法、用戶設備和 網絡側設備。
背景技術：
在第三代無線通信標準中，通用自舉架構(GBA, Generic Bootstrapping Architecture )技術是多種應用業務實體使用的一個用于完成對用戶身份進行 驗證的通用結構，同時生成共享密鑰，對應用通信進行保護的一種技術。
GBA推送(GBA push)是一種特殊的GBA技術，它可以滿足網絡側主 動向用戶終端推送數據的業務需求。
通常所述GBA push網絡架構包括用戶終端(UE, User Equipment )、自 舉服務器功能(BSF, Bootstrapping Server Function )實體以及網絡應用功能 (NAF, Network Application Function )實體。常見的push流程是這樣的當 NAF需要向UE推送應用數據時，應用數據沒有密鑰保護，而UE不能直接 和BSF自舉生成密鑰，此時NAF將UE身份信息以及自身信息發送給BSF, BSF根據收到的信息生成共享密鑰及GBA推送信息，再將密鑰、密鑰生命周 期以及GBA推送信息發送給NAF, NAF采用該密鑰對需要推送的消息進行 加密，然后將加密得到的推送數據以及GBA推送信息發送給UE。
現有技術提出了 一種推送數據的方法，該方法在push流程中定義了 一個 安全層，方法流程如圖l所示，具體包括以下步驟
步驟101 步驟102、 UE、 BSF和NAF進行正常的GBA (normal GBA)或
者GBA push流程生成密鑰Ks ,并從Ks衍生用于保護推送消息的密鑰 Ks—(ext/int)—NAF。
步驟103 、基于Ks—(ext/int)—NAF或Ks—(ext/int)—NAF衍生的密鑰建立NAF 和UE之間的安全關聯，NAF利用共享密鑰對需要推送的消息進行加密，并將 加密得到的數據發送給UE。
在現有標準文本中提出了安全層的概念，安全層是可以重用的安全關聯。
如果一個安全關聯建立以后，可以在后續的業務應用中重復使用，則該安全
關聯可以稱之為安全層。現有標準文本進一步提到，在網絡側發起的push業
務中，應當能夠基于安全層開展業務，即應當能夠建立滿足安全層要求的安 全關聯。
發明人在實現本發明過程中，發現現有技術中至少存在如下問題 滿足安全層要求的安全關聯需要通過一系列流程才能建立，但現有標準
文本中僅提出需要在push業務中也能夠建立這樣的安全關聯，卻沒有給出
push業務中建立這種安全關聯的具體流程。

發明內容
本發明實施例要解決的技術問題是提供一種建立安全關聯的方法，該方 法能夠使用戶和網絡側之間建立的安全關聯滿足在push業務中基于安全層開 展業務的需求。
本發明實施例要解決的技術問題是提供一種用戶設備，該設備能夠建立 和網絡側之間的安全關聯，且該安全關聯滿足在push業務中基于安全層開展 業務的需求。
本發明實施例要解決的技術問題是提供一種網絡側設備，該設備能夠建 立和用戶設備之間的安全關聯，且該安全關聯滿足在push業務中基于安全層 開展業務的需求。
為解決上述技術問題，本發明實施例提供了一種建立安全關聯的方法， 該方法包括
網絡側向用戶設備發送安全關聯參數；
網絡側接收用戶設備返回的建立安全關聯所采用的安全關聯參數，并根 據所述建立安全關聯所采用的安全關聯參數建立和用戶設備之間的安全關 聯。
本發明實施例還提供了一種建立安全關聯的方法，該方法包括 用戶設備接收網絡側發送的安全關聯參數； 用戶設備根據所述安全關聯參數建立和網絡側之間的安全關聯； 用戶設備向網絡側發送建立安全關聯所采用的安全關聯參數。
本發明實施例還提供了一種建立安全關聯的方法，包括
網絡側向用戶設備發送安全關聯參數；
網絡側根據所述安全關聯參數并采用預共享密鑰傳輸層安全協議與用戶
設備建立安全關聯；
網絡側利用所建立的安全關聯向用戶設備推送數據。 本發明實施例還提供一種建立安全關聯的方法，包括 用戶設備接收網絡側發送的安全關聯參數；
用戶設備根據所述安全關聯參數并采用預共享密鑰傳輸層安全協議與網 絡側建立安全關聯；
用戶設備利用所建立的安全關聯接收網絡側發送的推送數據。
本發明實施例提供了一種網絡側設備，該設備包括
第一收發單元，用于向用戶設備發送安全關聯參數，以及接收用戶設備
返回的建立安全關聯所采用的安全關聯參數；
第一建立單元，用于根據收發單元收到的安全關聯參數建立和用戶設備 之間的安全關聯。
本發明實施例提供了一種用戶設備，該設備包括
第二收發單元，用于接收網絡側發送的安全關聯參數，以及向網絡側發 送建立安全關聯所采用的安全關聯參數；
第二建立單元，用于根據第二收發單元收到的安全關聯參數建立和網絡 側之間的安全關聯。
本發明實施例還提供了 一種網絡側設備，該設備包括
發送單元，用于向用戶設備發送安全關聯參數；
第三建立單元，用于根據發送單元發送的安全關聯參數并采用預共享密 鑰傳輸層安全協議與用戶設備建立安全關聯；
推送單元，用于利用所建立的安全關聯向用戶設備推送數據。
本發明實施例還提供了一種用戶設備，該設備包括
接收單元，用于接收網絡側發送的安全關聯參數；
第四建立單元，用于根據接收單元收到的安全關聯參數并采用預共享密鑰傳輸層安全協議與網絡側建立安全關聯；
推送接收單元，用于利用所建立的安全關聯接收網絡側發送的推送數據。
以上技術方案具有如下優點或有益效果由于本發明實施例在網絡側需 要向用戶設備推送數據時，首先向用戶設備發送安全關聯參數，用戶設備根 據這些安全關聯參數建立和網絡側之間的安全關聯。與現有技術相比較，本 發明實施例提供了在push業務中建立滿足安全層要求的安全關聯的具體步 驟，解決了現有技術中僅提出需求而沒有給出具體方案的缺陷。


圖1現有技術推送數據的方法流程圖； 圖2是本發明實施例一建立安全關聯的方法流程圖； 圖3是本發明實施例二建立安全關聯的方法流程圖； 圖4是本發明實施例三建立安全關聯的方法流程圖； 圖5是本發明實施例四建立安全關聯的方法流程圖； 圖6是本發明實施例五建立安全關聯的方法流程圖； 圖7是本發明實施例六網絡側設備的示意圖； 圖8是本發明實施例七用戶設備的示意圖； 圖9是本發明實施例八網絡側設備的示意圖； 圖IO是本發明實施例九用戶設備的示意圖。
具體實施例方式
為使本領域技術人員能夠更好地理解本發明實施例，下面結合附圖對本 發明實施例的技術方案進行詳細說明。
實施例一、 一種建立安全關聯的方法，本實施例通過在同步標注性語言 (SyncML, Synchronization Markup Language)十辦i義的通殺p (Notification)消息 中攜帶會話標識和GBA推送信息，將該協議進行擴展并應用于在push業務 中建立滿足安全層要求的安全關聯，方法流程圖如圖2所示，具體包括以下 步驟
步驟201 步驟202、 UE和網絡側進行normal GBA或者GBA push流程生成 密鑰Ks,并從Ks衍生用于保護推送消息的密鑰Ksj;ext/int)一NAF。
步驟203 、NAF向UE發送SyncML協議的pkg0數據包，也就是Notification
消息，該消息包括發起標志位(initiator )、會話標識( session id)以及GBA
推送信息(GBA-PUSH-INFO),如果push消息的發起者為NAF,則initiator
置1, GBA-PUSH-INFO可以放在Notification消息的摘要(Digest)或擴展
(future-use )位,也可以放在Notification消息的觸發消息(trigger message )
位。其中，GBA-PUSH-INFO包括自舉事務標識(B-TID, Bootstrapping
Transaction Identifier )、 NAF標識等用來建立安全關聯的參數。
通常，SyncML協議分為pkg0-pkg4數據包，每個包可分為多條消息
(message),其中，pkgO是Notification消息，pkgl是用戶向服務器發送的身
份認證及設備信息，pkg2是服務器向用戶發送的認證信息及需要用戶配置的
信息等，pkg3是用戶接到pkgS后對服務器所做出的響應。
步驟204、 UE基于共享密鑰Ks—(ext/int)_NAF和NAF建立安全關聯，并 對NAF進行認證。
步驟205 、 UE向NAF發送pkgl數據包，其中包括自身的認證信息和設 備信息。
步驟206、 NAF對UE的認證信息進行檢查。
步驟207、 NAF向UE發送pkg2數據包推送消息，并采用共享密鑰 Ks—(ext/int)_NAF對推送的消息進行加密，所述pkg2可以包含1條或多條
步驟208、 UE接收推送的消息，并根據需要進行配置操作。
步驟209、 UE向NAF發送pkg3數據包，其中包括確認響應(200 OK )
消息，表示已收到推送的消息。
步驟210、 NAF向UE發送pkg4數據包表示本次推送結束。
值得說明的是，本實施例中，當步驟201~步驟202采用normal GBA流
程生成Ks_(ext/int)_NAF密鑰時，步驟204中對NAF的認證以及步驟206可
以省略。
值得說明的是，如果UE長時間不響應或密鑰過期等其他原因，NAF可 以在沒有收到pkg3時，直接向UE發送表示本次推送結束的指示消息。
值得說明的是，在本實施例描述的推送結束之后，若NAF還要再次向
UE推送數據，可以重用已建立的安全關聯。在密鑰過期前或者根據本地策略 需要重新開始會話時也可以利用新的session id重新發起會話。
還值得說明的是，NAF重用已建立的安全關聯再次推送數據，也可以通 過擴展SyncML協議實現。此時需要在notification消息攜帶與上次相同的 sessionid,如果UE查到有與此session id相匹配的安全關聯，則通過pkgl數 據包將B-TID和/或相同的session id等能夠標識已建立安全關聯的標識符號發 給NAF, NAF即可以重用該安全關聯向UE發送pkg2數據包推送消息。
本實施例中，是用session id來標識安全關聯。事實上，安全關聯還可以 用其他標識符號來標識，如B-TID、用戶假名、臨時身份標識等。
實施例二、 一種建立安全關聯的方法，本實施例通過在SyncML協議的 Notification消息攜帶會話標識( session id )、安全標識(secure id)和GBA推 送信息，將該協議進行擴展并應用于在push業務中建立滿足安全層要求的安 全關聯，方法流程如圖3所示，具體包括以下步驟
步驟301~步驟302、 UE和網絡側進行normal GBA或者GBA push流程 生成密鑰Ks,并從Ks衍生用于保護推送消息的密鑰Ks—(ext/int)_NAF。
步驟303、NAF向UE發送SyncML協議的pkg0數據包，也就是Notification 消息，該消息包括initiator、 session id、 secure id以及GBA推送信息 (GBA-PUSH-INFO ),安全標識可以作為GBA推送信息的一部分。如果push 消息的發起者為NAF，則initiator置1 ， GBA-PUSH-INFO可以放在Notification 消息的摘要(Digest)或fUture-use位，也可以放在Notification消息的觸發消 息(trigger message)位。其中，GBA-PUSH-INFO包括B-TID, 、 NAF標識等 用來建立安全關聯的參數。
此時，Notification消息攜帶的 session id用來-標識此次會話,secure id用 來標識建立的安全關聯。
步驟304、 UE基于共享密鑰Ks_(ext/int)_NAF和NAF建立安全關聯，并 對NAF進行認證。
步驟305、 UE向NAF發送pkgl數據包，其中包括自身的認證信息和設
備信息。
步驟306、 NAF對UE的認證信息進行檢查。
步驟307、 NAF向UE發送pkg2數據包推送消息，并采用共享密鑰 Ks—(ext/int)_NAF對推送的消息進行加密，所述pkg2可以包含1條或多條 messages 。
步驟308、 UE接收推送的消息，并根據需要進行配置操作。
步驟309、 UE向NAF發送pkg3數據包，其中包括確認響應(200OK)
消息，表示已收到推送的消息。
步驟310、 NAF向UE發送pkg4 lt據包表示本次推送結束。
值得說明的是，本實施例中，當步驟301~步驟302采用normal GBA流
程生成Ks_(ext/int)_NAF時，步驟304中對NAF的認證以及步驟306可以省略。
值得說明的是，如果UE長時間不響應或密鑰過期等其他原因，NAF可 以在沒有收到pkg3時，直接向UE發送表示本次推送結束的指示消息。
值得說明的是，在本實施例描述的推送結束之后，若NAF還要再次向 UE推送數據，可以重用已建立的安全關聯。在密鑰過期前或者根據本地策略 需要建立新的安全關聯時也可以利用新的secure id重新發起會話。
還值得說明的是，NAF重用已建立的安全關聯再次推送數據，也可以通 過擴展SyncML協議實現。此時需要在notification消息攜帶與上次相同的 secure id,如果UE查到有與此secure id相匹配的安全關聯，則通過pkgl數 據包將B-TID和/或相同的secure id等能夠標識已建立安全關聯的標識符號發 給NAF, NAF即可以重用該安全關聯向UE發送pkg2數據包推送消息。
本實施例中，是用secure id來標識安全關聯。事實上，安全關聯還可以 用其他標識符號來標識，如sessionid、 B-TID、用戶假名、臨時身份標識等。
實施例三、 一種建立安全關聯的方法，本實施例通過在SyncML協議的 pkg2數據包攜帶GBA推送信息，將該協議進行擴展并應用于在push業務中 建立滿足安全層要求的安全關聯，方法流程如圖4所示，具體包括以下步驟
步驟401 、 UE向NAF發送pkgl數據包，其中包括自身的認證信息和設備信息。
步驟402 步驟403 、 UE和網絡側進行normal GBA或者GBA push流程生成 密鑰Ks,并從Ks衍生用于保護推送消息的密鑰Ksj;ext/int)—NAF。
如果進行GBA push,則NAF與BSF進行GBA push流程；如果進行normal GBA,則NAF向UE發起GBA請求，進行正常GBA流程。
步驟404、 NAF生成GBA-PUSH-INFO,所述GBA-PUSH-INFO包括B-TID、 NAF標識等用來建立安全關聯的參數。
步驟405、 NAF向UE發送pkg2數據包，其中包含GBA-PUSH-INFO。
步驟406、 UE基于共享密鑰Ksj;ext/int)—NAF建立和NAF之間的安全關聯， 并對NAF進行認證。
值得說明的是，如果是采用normalGBA流程生成Ksj;ext/int)—NAF,此時 可以不需要對NAF進行認證。
步驟407、 UE向NAF發送確認消息，所述消息可以包括自身的認證信息 和設備信息。
值得說明的是，此時NAF可以對UE進行認證，也可以省略NAF對UE進行 認證的步驟。
步驟408、 NAF向UE發送pkg2數據包推送消息，并采用共享密鑰 Ks—(ext/int)_NAF對推送的消息進行加密，所述pkg2可以包含1條或多條 msssag6s。
步驟409、 UE向NAF發送pkg3數據包，其中包括確認響應(200 OK)
消息，表示已收到推送的消息。
步驟410、 NAF向UE發送pkg4數據包表示本次推送結束。 由上述可知，上述三個實施例都是對SyncML協議的消息進行擴展，使
得該協議可以應用于在push業務中建立滿足安全層要求的安全關聯，另外
SyncML協議中的PkgO數據包，即Notification消息是可以省略的。
實施例四、 一種建立安全關聯的方法，本實施例是將預共享密鑰傳輸層
安全(PSKTLS , Pre-shared Transport layer security )協議應用于在push業務
中建立滿足安全層要求的安全關聯，所述PSK TLS協議就是建立安全關聯的一 種協議。本實施例的方法流程如圖5所示，具體包括以下步驟
步驟501 步驟502、 UE和網絡側進行normal GBA或者GBA push流程生成 密鑰Ks,并從Ks衍生用于保護推送消息的密鑰Ks_(ext/int)_NAF。
如果進行GBApush,則NAF與BSF進行GBApush流程；如果進行normal GBA,則NAF向UE發起GBA請求，進行正常GBA流程。
步驟503、 NAF向UE發送GBA-PUSH-INFO,所述GBA-PUSH-INFO 包括B-TID、 NAF標識等用來建立安全關聯的參數。
特別的，在GBA-PUSH-INFO里包括常量psk-tls或者二進制表示，如001 代表，以指示下面的流程使用PSK TLS協議。
特別的，NAF也可以不用步驟503,直接由UE向NAF發起PSK TLS協 議先建立安全層以為NAF推送消息做準備。
步驟504、 UE和NAF基于共享密鑰Ks—(ext/int)_NAF進4亍握手協i義，建 立UE和NAF之間的安全關聯。其中，建立安全關聯的具體步驟可見TLS協 議標準，即RFC2246。
步驟505、 NAF采用共享密鑰Ks_(ext/int)_NAF對推送的消息進行加密， 并利用所建立的安全關聯將加密得到的推送消息發送給UE。
實施例五、 一種建立安全關聯的方法，方法流程如圖6所示，具體包括 以下步驟
步驟601 步驟602、 UE和網絡側進行normal GBA或GBA push方式生 成Ks,并從Ks衍生用于保護推送消息的密鑰Ks_(ext/int)_NAF。
步驟603、當NAF需要向UE推送消息時，NAF向UE發送建立安全關 聯所需的相關參數。
其中，建立安全關聯所需的相關參數可以包括此安全關聯標識，NAF標 識，加密算法，使用的協議版本號，以及密鑰選擇策略等。如果NAF此時得 到了 B-TID,則安全關聯參數也可以包括B-TID。
值得說明的是，安全關聯標識可以是專門標識安全關聯的secure id;也可 以是session id、 B-TID或用戶假名，臨時身份標識等，但不限于上述所例舉 的標識。
步驟604、 UE收到建立安全關聯所需的相關參數后，建立和NAF之間的 安全關聯，以及根據密鑰選擇策略或B-TID查找自身所保存的密鑰。
建立安全關聯后，對NAF進行認證，并保存此次安全關聯，包括所選擇 的安全關聯參數以及安全關聯標識。
值得說明的是，本實施例中，當步驟601~步驟602采用normal GBA流 程生成Ks_(ext/int)_NAF密鑰時，步驟604中對NAF的認證可以省略。
步驟605、UE向NAF返回建立安全關聯的安全關聯參數以及用戶身份信 息等。
可選地，NAF收到UE的密鑰選擇指示后，如果自身沒有相關密鑰，可 以向BSF發送B-TID, BSF向NAF返回相應的密鑰。
步驟606、 NAF用雙方協商好的共享密鑰對推送消息進行加密，此密鑰 可以是步驟602生成的Ks_(ext/int)_NAF,或基于KsJ>xt/int)_NAF衍生的密 鑰，NAF保存此次安全關聯，包括所選擇的安全關聯參數以及安全關聯標識。
值得說明的是，如果是基于Ks—(ext/int)_NAF衍生的密鑰，則步驟603 、 步驟604以及步驟605中UE和NAF需要協商衍生密鑰算法。
步驟607、 NAF向UE發送加密的推送信息。
步驟608、 UE對收到的推送消息進行解密，并根據需要進行配置操作。 步驟609、 UE向NAF發送200 OK消息，表明推送消息成功4妄收。
步驟610、 NAF通知UE結束本次推送。
由上述五個實施例可知，由于本發明實施例在網絡側需要向用戶設備推 送數據時，首先向用戶設備發送安全關聯參數，用戶設備根據這些安全關聯 參數建立和網絡側之間的安全關聯。與現有技術相比較，本發明實施例提供 了在push業務中建立滿足安全層要求的安全關聯的具體步驟，解決了現有技 術中僅提出需求而沒有給出具體方案的缺陷。
進一步地，由于本發明實施例使得用戶和網絡側之間的安全關聯能夠滿 足push業務的需求，從而使得網絡在進行push業務時，不必多次建立安全關 聯，從而避免了網絡資源的浪費，減少了網絡的負擔。
最后，由于本發明實施例在建立用戶和網絡側的安全關聯后，用戶和網 絡側可以進行信息交互，這樣使得用戶在收到網絡側推送的數據之后可以向 網絡側發送確認響應表示已成功收到推送數據，這樣使得本發明實施例可以
適用于有會話概念(session concept)的GBApush情況。
本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟 是可以通過程序來指示相關的硬件來完成，所述的程序可以存儲于計算機可 讀取存儲介質中，該程序在執行時，包括以下步驟
網絡側向用戶設備發送安全關聯參數；
網絡側接收用戶設備返回的建立安全關聯所采用的安全關聯參數，并根 據所述建立安全關聯所采用的安全關聯參數建立和用戶設備之間的安全關 聯。
可選地，程序在扭J亍時可以包括以下步驟
用戶設備接收網絡側發送的安全關聯參數；
用戶設備根據所述安全關聯參數建立和網絡側之間的安全關聯；
用戶設備向網絡側發送建立安全關聯所采用的安全關聯參數。
可選地，程序在執行時可以包括以下步驟
網絡側向用戶設備發送安全關聯參數；
網絡側根據所述安全關聯參數并采用預共享密鑰傳輸層安全協議與用戶 設備建立安全關聯；
網絡側利用所建立的安全關聯向用戶設備推送數據。 可選地，程序在執行時可以包括以下步驟 用戶設備接收網絡側發送的安全關聯參數；
用戶設備根據所述安全關聯參數并采用預共享密鑰傳輸層安全協議與網 絡側建立安全關聯；
用戶設備利用所建立的安全關聯接收網絡側發送的推送數據。 其中，所述的存儲介質可以是ROM、 RAM、磁碟或光盤等等。 實施例六、 一種網絡側設備，由圖7所示，該設備包括 第一收發單元701,用于向用戶設備發送安全關聯參數，以及接收用戶設
備返回的建立安全關聯所采用的安全關聯參數；
第一建立單元702,用于根據第一收發單元701收到的安全關聯參數建立 和用戶設備之間的安全關聯。
實施例七、 一種用戶設備，由圖8可知，該設備包括
第二收發單元801,用于接收網絡側發送的安全關聯參數，以及向網絡側 發送建立安全關聯所采用的安全關聯參數；
第二建立單元802,用于根據第二收發單元801收到的安全關聯參數建立 和網絡側之間的安全關聯。
實施例八、 一種網絡側設備，由圖9可知，該設備包括
發送單元901,用于向用戶設備發送安全關聯參數；
第三建立單元902，用于根據發送單元901發送的所述安全關聯參數并采 用預共享密鑰傳輸層安全協議與用戶設備建立安全關聯；
推送單元903,用于利用第三建立單元902所建立的安全關聯向用戶設備 推送數據。
實施例九、 一種用戶設備，由圖10可知，該設備包括
接收單元1001,用于接收網絡側發送的安全關聯參數；
第四建立單元1002,用于根據接收單元1001收到的所述安全關聯參數并 采用預共享密鑰傳輸層安全協議與網絡側建立安全關聯；
推送接收單元1003,用于利用第四建立單元1002所建立的安全關聯接收 網絡側發送的推送數據。
值得說明的是，上述網絡側設備或用戶設備除了上述實施方式之外，還 可以用具有相同或相應功能的軟件或硬件模塊來實現。
由上述可知，本發明實施例可以采用所建立的安全關聯推送數據，這樣 使得網絡在進行push業務時，不必多次建立安全關聯，從而避免了網絡資源 的浪費，減少了網絡的負擔。
以上對本發明實施例所提供的建立安全關聯的方法、用戶設備以及網絡
進行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思
想；同時，對于本領域的一般技術人員，依據本發明的思想，在具體實施方 式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本 發明的限制。
權利要求
1、一種建立安全關聯的方法，其特征在于，包括:網絡側向用戶設備發送安全關聯參數；網絡側接收用戶設備返回的建立安全關聯所采用的安全關聯參數，并根據所述建立安全關聯所采用的安全關聯參數建立和用戶設備之間的安全關聯。
2、 如權利要求l所述的方法，其特征在于，網絡側通過擴展同步標注性 語言協議的通知消息向用戶設備發送安全關聯參數。
3、 如權利要求2所述的方法，其特征在于，所述通過擴展同步標注性語 言協議的通知消息向用戶設備發送安全關聯參數具體為在通知消息中攜帶安全關聯標識，以及其他安全關聯參數。
4、 如權利要求3所述的方法，其特征在于，所述安全關聯標識是會話標 識，所述其他安全關聯參數包含在通用自舉架構推送信息中。
5、 如權利要求3所述的方法，其特征在于，所述安全關聯標識是安全標 識、自舉事務標識、用戶假名或臨時身份標識。
6、 如權利要求5所述的方法，其特征在于，所述安全關聯標識和其他安 全關聯參數包含在通用自舉架構推送信息中。
7、 如權利要求4或6所述的方法，其特征在于，所述通用自舉架構推送 信息位于通知消息的摘要部分或擴展位。
8、 如權利要求4或6所述的方法，其特征在于，所述通用自舉架構推送 信息位于通知消息的觸發消息位。
9、 如權利要求l所述的方法，其特征在于，網絡側通過擴展同步標注性 語言協議的pkg2數據包攜帶安全關聯參數給用戶設備。
10、 如權利要求9所述的方法，其特征在于，所述安全關聯參數包含在 通用自舉架構推送信息中。
11、 如權利要求1所述的方法，其特征在于，所述方法還進一步包括 網絡側接收用戶設備發送的用戶信息，網絡側根據所述用戶信息對用戶設備 進行認證。
12、 如權利要求11所述的方法，其特征在于，所述用戶信息包括認證信息和設備信息。
13、 如權利要求1所述的方法，其特征在于，網絡側根據所述安全關聯參數建立和用戶設備之間的安全關聯之后還進一步包括 網絡側利用所建立的安全關聯向用戶設備推送數據。
14、 如權利要求13所述的方法，其特征在于，所述網絡側通過同步標注 性語言協議的pkg2數據包向用戶設備推送數據。
15、 一種建立安全關聯的方法，其特征在于，包括 用戶設備接收網絡側發送的安全關聯參數；用戶設備根據所述安全關聯參數建立和網絡側之間的安全關聯； 用戶設備向網絡側發送建立安全關聯所采用的安全關聯參數。
16、 如權利要求15所述的方法，其特征在于，用戶設備通過同步標注性 語言協議的pkgl數據包向網絡側發送建立安全關聯的安全關聯參數以及用戶4呂息。
17、 如權利要求15所述的方法，其特征在于，用戶設備在收到網絡側發 送的安全關聯參數后進一步包括對所述網絡側進行認證。
18、 如權利要求15至17任一項所述的方法，其特征在于，所述方法進 一步包括用戶設備接收網絡側發送的推送數據。
19、 一種網絡側設備，其特征在于，包括第一收發單元，用于向用戶設備發送安全關聯參數，以及接收用戶設備 返回的建立安全關聯所采用的安全關聯參數；第一建立單元，用于根據收發單元收到的安全關聯參數建立和用戶設備 之間的安全關聯。
20、 一種用戶設備，其特征在于，包括第二收發單元，用于接收網絡側發送的安全關聯參數，以及向網絡側發 送建立安全關聯所采用的安全關聯參數；第二建立單元，用于根據第二收發單元收到的安全關聯參數建立和網絡 側之間的安全關聯。
21、 一種建立安全關聯的方法，其特征在于，包括 網絡側向用戶設備發送安全關聯參數；網絡側根據所述安全關聯參數并采用預共享密鑰傳輸層安全協議與用戶設備建立安全關聯；網絡側利用所建立的安全關聯向用戶設備推送數據。
22、 如權利要求21所述的方法，其特征在于，所述安全關聯參數包含在 通用自舉架構推送信息中。
23、 一種建立安全關聯的方法，其特征在于，包括 用戶設備接收網絡側發送的安全關聯參數；用戶設備根據所述安全關聯參數并采用預共享密鑰傳輸層安全協議與網 絡側建立安全關聯；用戶設備利用所建立的安全關聯接收網絡側發送的推送數據。
24、 一種網絡側設備，其特征在于，包括 發送單元，用于向用戶設備發送安全關聯參數；第三建立單元，用于根據發送單元發送的安全關聯參數并采用預共享密 鑰傳輸層安全協議與用戶設備建立安全關聯；推送單元，用于利用所建立的安全關聯向用戶設備推送數據。
25、 一種用戶設備，其特征在于，包括 接收單元，用于接收網絡側發送的安全關聯參數；第四建立單元，用于根據接收單元收到的安全關聯參數并采用預共享密 鑰傳輸層安全協議與網絡側建立安全關聯；推送接收單元，用于利用所建立的安全關聯接收網絡側發送的推送數據。
全文摘要
本發明涉及網絡通信領域，公開了建立安全關聯的方法、用戶設備以及網絡側設備，其中，建立安全關聯的方法包括網絡側向用戶設備發送安全關聯參數；網絡側接收用戶設備返回的建立安全關聯所采用的安全關聯參數，并根據所述安全關聯參數建立和用戶設備之間的安全關聯。本發明能夠使用戶和網絡側之間建立的安全關聯滿足推送業務在安全層開展業務的需求，從而使得網絡在進行推送業務時，不必多次建立安全關聯，進而避免了網絡資源的浪費，減少了網絡的負擔。
文檔編號H04L9/00GK101378313SQ20071015454
公開日2009年3月4日 申請日期2007年9月25日 優先權日2007年8月31日
發明者楊艷梅, 許怡嫻, 雷 謝 申請人:上海華為技術有限公司