在終端聯接至接入網期間實現安全關聯的制作方法

在終端聯接至接入網期間實現安全關聯的制作方法
【專利摘要】本發明涉及一種為聯接到接入網(ACC_NET)的終端(UE)實現安全關聯的方法，包括在接收到(211)來自終端的聯接到網絡的請求之后、由接入網的驗證服務器(AAA)執行的下列步驟：從引導功能服務器(BSF)接收(216、218')包含至少一個安全關聯參數(B-TID、Tks)的第一消息；借助由所述終端的歸屬訂戶服務器(HSS)提供的至少一個第一驗證參數(RAND、AUTN、XRES)來對終端進行驗證(217、219')；和向被驗證的終端發送(218、220')包含所述至少一個安全關聯參數的安全關聯消息。
【專利說明】在終端聯接至接入網期間實現安全關聯

【技術領域】
[0001 ] 本發明的領域是電信領域，更具體地是移動網絡的電信。

【背景技術】
[0002]3GPP標準化組織已定義了被稱做GBA( “通用引導架構”)的架構，其目的是允許移動終端的驗證以便創建移動終端和應用之間的安全關聯。該架構包括引導功能服務器，被稱作BSF( “引導功能服務器”)，其充當允許終端和應用之間建立安全關聯的可信任的第三方。
[0003]因而在該架構中所使用的驗證過程分兩個階段實現，由引導服務器BSF驗證移動終端的第一過程。該驗證階段使得可能基于在驗證過程中生成的共享密鑰來在終端和BSF之間建立安全關聯。隨后，該共享密鑰使得可能建立終端和應用之間的安全關聯，其可接入BSF以便恢復用于驗證終端所需的安全硬件。
[0004]在移動終端試圖經由非3GPP接入網連接的情況中，通常通過使用EAP(可擴展驗證協議)協議事先執行將終端聯接到接入網的附加步驟來驗證終端，以允許其接入非3GPP接入網。
[0005]圖1說明當移動終端試圖經由非3GPP接入網連接至應用時的驗證過程。
[0006]在第一階段，移動終端UE通過經所述網絡的接入點AP向驗證服務器AAA/EAP進行自我尋址并使用EAP驗證協議進行第一驗證來聯接到非3GPP接入網(步驟105)。
[0007]一旦終端UE聯接到非3GPP接入網，它隨后便能利用GBA設施來進行第二驗證過程。因此，使用基于http協議的連接(步驟111)，裝有SIM卡的終端UE首先利用引導功能服務器BSF來進行自我驗證(步驟110)。
[0008]該驗證的結果是由引導服務器BSF提供的安全密鑰Ks，其在確定的一段時間內有效。引導服務器BSF還為終端提供與安全密鑰Ks關聯的會話標識符B-TID，以及所述密鑰的有效期(步驟113)。
[0009]接下來，當終端想要訪問應用APP時，它通過打開與所述應用APP的連接(步驟121)，向該應用指示它想要按照GBA技術來驗證并向其提供會話標識符B-TID，來和所述應用APP相互自我驗證(步驟120)。
[0010]應用APP然后聯系服務器BSF以向其提供會話標識符B-TID，服務器BSF通過向它提供從安全密鑰和應用的名字中獲取的新的密鑰K’來響應(步驟123)。在終端這一邊執行相同的操作(步驟125)。
[0011]因此終端和應用具有一個相同的密鑰K’，它們可用它來相互自我驗證并確保它們之間的IP連接(步驟127)。
[0012]所述驗證過程因而意味著終端打開其http瀏覽器以便能隨后打開與應用的IP連接，但該連接并不一定基于http協議。
[0013]此外，聯接到網絡時，在利用引導服務器BSF進行自我驗證之前，移動終端已預先利用接入網的服務器AAA進行了自我驗證。因而對移動終端有雙重驗證，第一次是在其聯接到網絡時，第二次是在創建與引導服務器BSF的安全關聯時，從而在終端訪問應用APP期間造成延遲、及復雜度增加，并增加了網絡上的消息交換。


【發明內容】

[0014]本發明的目的是通過提供為聯接到接入網特別是非3GPP類型接入網的終端設立安全關聯的方法來解決現有技術的缺點，其只需要一個聯接到網絡以及安全關聯的聯合階段。
[0015]根據本發明的第一方面，提出了為終端(UE)聯接到接入網設立安全關聯的方法，包括在接收到來自終端的聯接到網絡的請求之后、由接入網的驗證服務器執行的下列步驟:
[0016]從引導功能服務器接收包含至少一個安全關聯參數的第一消息；
[0017]借助由所述終端的歸屬訂戶服務器提供的至少一個第一驗證參數來對終端進行驗證；和
[0018]向被驗證的終端派送包含所述至少一個安全關聯參數的安全關聯消息。
[0019]因此，一旦接收到所述安全關聯消息，終端不僅將聯接到接入網，還掌握可用于與應用相互驗證的安全關聯參數。聯接到網絡和建立安全關聯的過程因而組合成一個過程，從而減少了關于這兩個操作所需的信令。
[0020]在第一實施例中，所述第一消息包含由引導功能服務器從歸屬訂戶服務器獲取的所述第一驗證參數，從而允許驗證服務器同時恢復驗證和安全關聯參數，并使得所用的消息數最少。
[0021]根據有利特征，所述安全關聯參數的至少一部分由引導功能服務器基于接收自歸屬訂戶服務器的所述第一驗證參數的至少一部分來確定，從而使得可能將第一驗證參數用于適當地驗證終端或設立安全關聯。
[0022]在另一實施例中，在由驗證服務器向所述歸屬訂戶服務器派送用于驗證的請求之后，驗證服務器接收包含歸屬訂戶服務器的第一驗證參數的第二消息，從而使得可能使驗證過程與設立安全關聯過程不相關。
[0023]根據有利特征，所述安全關聯參數的至少一部分由引導功能服務器基于接收自歸屬訂戶服務器的第二驗證參數的至少一部分來確定。因而，基于不同的驗證參數來實現驗證和安全關聯，從而加強了過程的安全性。
[0024]根據本發明的具體特征，至少一個安全關聯參數是安全-會話標識符和安全會話密鑰的有效期中的至少一個參數。根據本發明的另一具體特征，至少一個第一驗證參數是隨機值、網絡的識別參數和當終端使用所述隨機值來自我驗證時的預期響應值中的至少一個參數。
[0025]在有利實施例中，安全關聯消息是根據EAP協議的消息，其包括包含至少一個安全關聯參數的數據字段，以便保護所述安全關聯參數。具體地，安全關聯消息是根據EAP-AKA協議的消息，其可在包含安全關聯參數的數據字段前包括根據AKA驗證協議的報頭O
[0026]根據另一具體實施例，安全關聯是根據GBA架構的安全關聯。根據另一具體實施例，接入網是非3GPP類型的接入網。
[0027]根據本發明的另一主題，提出了適合于為聯接到接入網的終端設立安全關聯的驗證服務器，其包括能夠接收由所述終端發送的聯接到所述接入網的請求的發送-接收模塊，其特征在于，所述發送-接收模塊進一步被配置成:
[0028]從引導功能服務器接收包含至少一個安全關聯參數的第一消息；和
[0029]借助由所述終端的歸屬訂戶服務器提供的至少一個第一驗證參數，在利用驗證服務器對所述終端進行驗證之后，向終端派送包含所述至少一個安全關聯參數的安全關聯消息。
[0030]所述服務器表現出和先前所介紹的方法相類似的優點。
[0031]根據本發明的另一主題，提出了能夠在聯接到接入網時觸發安全關聯的設立的終端，其包括發送-接收模塊，所述發送-接收模塊適合于:
[0032]向所述接入網的接入點派送用于聯接到所述接入網的請求；
[0033]從所述接入點接收包含由所述終端的歸屬訂戶服務器提供的至少一個第一驗證參數的消息；
[0034]向所述接入點派送包含由所述終端基于所述至少一個第一驗證參數計算的值的響應；
[0035]從所述接入點接收安全關聯消息，該安全關聯消息包含能夠在與應用連接期間由所述終端用于自我驗證的至少一個安全關聯參數。
[0036]在具體實施例中，根據本發明的方法的不同步驟由計算機程序指令來確定。所以，本發明的目的還在于信息介質上的計算機程序，所述程序能夠在計算機上實現，所述程序包括適合于實現上述方法的步驟的指令。所述程序可使用任何編程語言，可以是源代碼、目標代碼、或源代碼和目標代碼之間的中間代碼的形式(例如部分編譯的形式)或任何其他所需形式。
[0037]本發明的目的還在于計算機可讀的信息介質，并包括例如上文所提及的計算機程序的指令。所述信息介質可以是能夠存儲程序的任何實體或設備。舉例來說，所述介質可包括:存儲裝置，例如ROM，例如CD ROM或微電子電路ROM ;或磁記錄裝置，例如磁盤(軟盤)或硬盤。此外，所述信息介質可以是例如電或光信號的可傳輸介質，其可經由電纜或光纜通過無線電或其他方式來傳遞。根據本發明的程序可具體在因特網類型的網絡上下載。可替代地，所述信息介質可以是合并有所述程序的集成電路，所述電路適用于執行所談及的方法或在其執行中使用。

【專利附圖】

【附圖說明】
[0038]閱讀參考附圖所描述的優選實施例后，其他特征和優點將變得明顯，除了先前已討論的圖1外，其中:
[0039]圖2以簡略圖的方式表示本發明所涉及的移動電信網絡的設備項；
[0040]圖3A表示根據本發明第一實施例的為終端設立安全關聯的方法的步驟；
[0041]圖3B表示根據本發明第二實施例的為終端設立安全關聯的方法的步驟；
[0042]圖4A至4C圖示了在本發明的有利實施例中根據EAP協議對數據分組的使用。

【具體實施方式】
[0043]首先參考圖2，其以簡略圖的方式表示本發明所涉及的移動電信網絡的設備項。
[0044]實現本發明的設備項是移動終端UE、網絡接入點AP和驗證服務器AAA、引導功能服務器BSF和訂戶服務器HSS，網絡接入點AP和驗證服務器AAA 二者都屬于接入網ACC_
NET。
[0045]本發明經由非3GPP類型的接入網來方便地實現接入，這些接入可以是WiFi類型(即根據IEEE802.1lx標準)、WiMax類型(即根據IEEE 802.16x標準)或根據使用例如IKEv2協議的VPN(虛擬專用網絡)連接模式。
[0046]因此，在根據WiFi標準來實現接入到接入網ACC_NET的實施例中，網絡接入點AP是WiFi接入網關或路由器。在根據WiMax標準來實現所述接入的實施例中，網絡接入點AP是WiMax基站。最后，在根據VPN連接模式來實現接入的實施例中，網絡接入點AP是VPN服務器。
[0047]移動終端UE例如可以是移動電話終端、筆記本計算機、數字個人助理等等。在所示例子中，移動終端UE是屬于用戶的移動電話終端。
[0048]如圖2所示，移動終端UE包括被配置成特別向網絡接入點AP發送數據和從其接收數據的發送-接收模塊10。它還包括處理器11、隨機存取存儲器12和只讀存儲器13。
[0049]接入網ACC_NET的網絡接入點AP是包括如下部分的單元:處理器21、隨機存取存儲器22和只讀存儲器23、以及配置成與移動終端UE和驗證服務器AAA通信的發送-接收模塊20 (通常有一個或多個天線)。
[0050]接入網ACC_NET的驗證服務器AAA呈現計算機的傳統結構。它包括處理器31、隨機存取存儲器32和只讀存儲器33。它包括配置成與網絡接入點AP、引導功能服務器BSF和訂戶服務器HSS通信的發送-接收模塊30。
[0051 ] 驗證服務器AAA尤其適用于為試圖聯接到接入網ACC_NET的終端設立例如GBA類型的安全關聯。
[0052]相應地，驗證服務器AAA的發送-接收模塊30可接收來自終端的聯接到網絡的請求，在接收到所述聯接到網絡的請求后，可向引導功能服務器BSF發送安全關聯的請求，從引導功能服務器接收所謂安全關聯響應的包括安全關聯參數和可選驗證參數的第一消息，如果終端被成功驗證，可向終端派送包括與終端相關聯的安全參數的安全關聯消息，以向所述終端表明它確實已聯接到網絡并由引導功能服務器BSF所驗證。
[0053]引導功能服務器BSF也呈現計算機的傳統結構。它包括處理器41、隨機存取存儲器42和只讀存儲器43。它包括配置成與驗證服務器AAA和訂戶服務器HSS進行通信的發送-接收模塊40。
[0054]訂戶服務器HSS也呈現計算機的傳統結構。它包括處理器51、隨機存取存儲器52和只讀存儲器53。它包括配置成與驗證服務器AAA及引導功能服務器BSF通信的發送-接收模塊50，以便具體應他們的請求向他們派送驗證參數。所述用戶服務器HSS可具體是集中式數據庫，寄存與終端UE相關聯的用戶簡檔數據。當所述用戶簡檔支持安全關聯(例如GBA類型)時，服務器HSS也存儲該特征的指示。
[0055]現參考圖3A，其說明根據本發明第一實施例的為聯接到接入網ACC_NET的移動終端UE設立安全關聯的方法。
[0056]圖3A中所圖示的方法包括在終端UE聯接到網絡ACC_NET時進行驗證和設立安全關聯的第一組合階段210，隨后是借助在所述安全關聯期間定義的安全關聯參數將移動終端UE連接至應用APP第二階段220。
[0057]本方法中所采用的安全關聯典型地是移動終端UE和任意應用APP之間的GBA (通用引導架構)類型的安全關聯，其依靠GBA技術來驗證所述移動終端。
[0058]在第一階段210的過程中，移動終端UE首先通過派發聯接到接入網ACC_NET的網絡接入點AP的請求(步驟211)來請求其與所述接入網聯接(例如借助安裝在終端UE中的客戶模塊)。
[0059]所述聯接請求可具體包含唯一標識符Id (UE)，例如移動終端UE的用戶的國際移動訂戶識別碼MSI。
[0060]所述聯接請求由接入點AP重定向至所述接入網的驗證服務器AAA (步驟211)，使得后者能處理所述請求。
[0061 ] 接收到由接入點AP傳送的所述聯接請求后，服務器AAA便通過向引導功能服務器BSF派送安全關聯請求(步驟212)來觸發對終端UE的驗證過程，所述請求包含終端UE的標識符Id(UE)。所述安全關聯請求可根據Diameter協議或MAP協議來格式化。
[0062]接收到來自驗證服務器AAA的安全關聯請求后，引導功能服務器BSF可檢驗移動終端UE的用戶的唯一標識符Id(UE)存在且被授權享有安全關聯服務。它然后詢問所述終端UE的歸屬訂戶服務器HSS以恢復與所述終端的用戶相關聯的驗證參數。
[0063]相應地，引導功能服務器BSF派送(步驟213)包含終端UE的訂戶的標識符Id(UE)的驗證請求。
[0064]接收到所述驗證請求之后，歸屬訂戶服務器HSS向同樣存儲的引導功能服務器BSF返回一個或多個驗證參數、以及可選的⑶SS (通用用戶安全設置)信息。
[0065]具體地，這些驗證參數可采取驗證矢量AV的形式，驗證矢量AV包括由用戶服務器HSS生成的隨機值RAND、使得可能驗證網絡的用于網絡AUTN的驗證標記、當終端使用隨機值RAND來自我驗證時的預期響應值XRES、基于所述隨機值RAND所計算的加密密鑰Ck和也基于該隨機值RAND計算的完整性密鑰Ik。換言之，驗證矢量AV= (RAND、AUTN、XRES、Ck、Ik)由歸屬訂戶服務器HSS返回至引導功能服務器BSF。
[0066]引導功能服務器BSF隨后生成至少一個會話關聯參數，具體為會話標識符B-TID和與會話密鑰Ks相關聯的會話持續時間Tks (步驟215)。具體地，可基于接收自歸屬訂戶服務器HSS的某些驗證參數，例如通過級聯先前所介紹的驗證矢量AV的密鑰Ik和Ck，來生成所述會話密鑰Ks。
[0067]引導功能服務器BSF隨后向驗證服務器AAA派送所謂安全關聯響應的第一消息，其包含由服務器BSF所生成(步驟216)的會話關聯參數(例如會話標準B-TID和會話密鑰Ks的有效期Tks)。
[0068]在圖3A的實施例中，所述安全關聯響應消息還包含在接收自服務器HSS的驗證參數組中的至少用于利用驗證服務器AAA來驗證終端UE的驗證參數，即隨機值RAND、標記AUTN 和值 XRES。
[0069]所述安全關聯響應消息從而可包含整個驗證矢量AV = (RAND、AUTN、XRES, Ck、Ik)，密鑰Ck和Ik能夠由驗證服務器AAA使用以在驗證后獲得接入會話，以及取得所傳送的用于接入的其他密鑰。
[0070]接收到所述第一消息后，驗證服務器AAA可具體憑借隨機值RAND、驗證標記AUTN和值XRES來對終端UE進行驗證(步驟217)。驗證服務器AAA通過在第一階段向終端UE派送RAND和標記AUTN來實現對其進行驗證的過程。終端UE憑借標記AUTN來驗證網絡。如果網絡的驗證成功完成，終端UE隨后基于接收自驗證服務器AAA的隨機值RAND來計算驗證響應值RES，并將所述值RES返回至驗證服務器AAA。通過比較值RES和XRES，驗證服務器AAA便可驗證終端UE的響應。
[0071 ] 如果終端UE由驗證服務器AAA成功驗證(即當值RES等于值XRES時)，驗證服務器AAA隨后向終端UE傳送(步驟218)安全關聯消息，該安全關聯消息包含安全關聯參數(例如會話標識符B-TID以及會話密鑰Ks的有效期Tks)。
[0072]所述安全關聯消息可進而有利地包含某些驗證參數，具體為隨機值RAND，用于從終端UE恢復會話密鑰Ks (步驟219)。在這種情況下，根據與在服務器HSS級別相同的過程，所述隨機值RAND用來計算密鑰Ck和Ik，且以與在服務器BSF級別相同的方式，從這些密鑰Ck和Ik中推導會話密鑰Ks。
[0073]所述安全關聯消息還可以有利地包含標記AUTN’從而使得可能當終端的實現如此要求時能夠詢問終端UE的SM卡。
[0074]在這個時刻，終端UE聯接到接入網ACC_NET，通過所述接入網終端可進行自我驗證并進而掌握安全關聯，其可用于連接至依靠所述安全關聯的應用。
[0075]在與先前結合圖1所描述的階段120類似的連接階段221期間，終端UE的用戶可憑借會話標識符B-TID連接至應用APP。具體地，所述連接階段221的步驟221至227分別類似于圖1中所說明的連接階段的步驟121至127。
[0076]因此，終端UE聯接到接入網ACC_NET的過程和終端UE和應用之間安全關聯的過程被合并成一個過程，以便減少圖2中所描述網絡的不同實體間的信令并簡化安全關聯過程的使用。
[0077]現參考圖3B，其圖示了為聯接到接入網ACC_NET的移動終端UE設立安全關聯的方法的另一實施例。
[0078]在這另一實施例中，所述方法實現驗證和設立安全關聯的第一組合階段210’，其與先前結合圖3A所描述的第一階段210的不同之處在于對用于接入網絡ACC_NET的終端的驗證與安全關聯過程不相關。
[0079]所述第一階段210’因而從派送用于終端UE聯接到網絡ACC_NET的網絡接入點AP的請求(步驟211’)開始，類似于先前所描述的步驟211，所述請求由所述接入點AP重定向至網絡ACC_NET的驗證服務器AAA，使得后者可以處理所述請求。
[0080]接收到由接入點AP傳送的所述聯接請求后，服務器AAA便通過向終端UE的歸屬訂戶服務器HSS派送驗證請求來觸發終端UE的驗證過程(步驟212’)，所述請求包含終端UE的標識符Id (UE)，使得可能依次恢復(步驟213’)所述驗證服務器存儲在存儲器中的一個或多個第一驗證參數、并隨后用于由網絡ACC_NET對終端UE進行驗證。具體地，這些第一驗證參數可以是如先前所介紹的第一驗證矢量AV = (RAND、AUTN、XRES、Ck、Ik)的形式。
[0081]與所述驗證過程相并行(即在所述驗證過程之前、之后或與其同時)，驗證服務器AAA通過向引導功能服務器BSF派送安全關聯請求(步驟214’)來觸發安全關聯過程，所述請求還包含該用戶用戶的標識符Id(UE)。
[0082]接收到所述請求后，引導功能服務器BSF通過向終端UE的歸屬訂戶服務器HSS派送包含標識符Id (UE)的詢問請求來詢問終端UE的歸屬訂戶服務器HSS (步驟215’)，使得后者向其返回包含一個或多個第二驗證參數的響應消息。
[0083]這些驗證參數具體包括由服務器HSS生成的第二隨機值RAND’、基于所述隨機值RAND'所計算的加密密鑰Ck’和也基于所述隨機值RAND’計算的完整性密鑰Ik’，以允許由服務器BSF生成會話密鑰Ks或由終端UE恢復所述會話密鑰Ks。標記AUTN’還可被傳輸以便當終端的實現如此要求時能夠詢問終端UE的SM卡。
[0084]在具體實施例中，歸屬訂戶服務器HSS返回包含第二驗證矢量AV’以及當終端UE通過隨機值RAND’自我驗證時的預期結果值XRES’的消息，第二驗證矢量AV’包括這些不同的驗證參數組，在該情況下ΑΨ = (RAND'、AUTN’、XRES’、Ck’、Ik’)。
[0085]引導功能服務器BSF在接收到這些第二驗證參數之后將其存儲并能生成至少一個安全關聯參數，具體為會話標識符B-TID和會話密鑰Ks，以及與所述會話密鑰Ks關聯的有效期Tks，類似于第一實施例中所做的(步驟217’)。具體地，可基于第二驗證矢量AV’的密鑰Ik’和Ck’，例如通過將它們級聯，來生成所述會話密鑰Ks。
[0086]因此，在所述第二實施例中，基于與那些用于終端驗證過程的參數不同的驗證參數來獲取會話密鑰Ks，這就安全而言是有利的。
[0087]引導功能服務器BSF隨后向驗證服務器AAA派送(步驟218’)包含安全關聯參數(例如會話標識符B-TID和會話密鑰Ks的有效期Tks)的消息。
[0088]一旦所述消息被接收，驗證服務器AAA可借助于在步驟213’期間存儲的第一驗證參數RAND、AUTN和XRES來發起終端UE的驗證過程，類似于已描述的驗證過程217。
[0089]當終端UE被驗證服務器AAA成功驗證時(即當終端UE返回等于預期結果值XRES的值RES時)，驗證服務器AAA便向終端UE傳送包含安全關聯參數(例如會話標識符B-TID和會話密鑰Ks的有效期Tks)的安全關聯消息。
[0090]所述安全關聯消息進而有利地包含某些第二驗證參數，具體為隨機值RAND’，其使得可能從終端UE恢復會話密鑰Ks (步驟219)。因此，根據與在服務器HSS級別相同的過程，使用所述隨機值RAND’來計算密鑰Ck’和Ik’，且以與在服務器BSF級別相同的方式，從這些密鑰Ck’和Ik’中推導會話密鑰Ks。
[0091 ] 在有利實施例中，在所述方法中實現的實體之間，具體地在用戶終端UE、接入點AP和驗證服務器AAA之間，所交換的消息中使用EAP協議，以確保這些消息中所交換的數據得到保護。
[0092]如在RFC 3748標準中所指明的，根據EAP協議的數據分組從由幾個字段形成的報頭開始:“代碼”字段、“標識符”識別字段、“長度”長度字段、“類型”字段，其后是包含驗證協議特有信息的另一個字段“類型-數據”。圖4A中圖示了這個EAP協議所特有的報頭。
[0093]在EAP-AKA協議的具體情況中，“類型_數據”字段從特有的報頭開始，其包括指示子類型的字節，然后是保留字節。消息的其余部分包含類型-長度-值(TLV)形式的屬性。圖4B中圖示了這個EAP-AKA協議所特有的報頭。
[0094]在本發明中，可有利地采用所述分組格式來定義新的特有屬性，使得可能向終端UE傳遞下列參數:
[0095]-由訂戶服務器HSS提供的隨機值RAND；
[0096]-同樣由歸屬訂戶服務器HSS提供的參數AUTN，使得可能驗證網絡；
[0097]-由引導服務器BSF生成的會話標識符B-TID；
[0098]-同樣由引導服務器BSF計算的會話密鑰Ks的有效期Tks。
[0099]下列屬性X至z因而可以定義如下，以便傳遞上文分別指出的每個參數:
[0100]?屬性類別:x I長度:n I值:GBA RAND值
[0101]?屬性類別:y長度:m值:GBA AUTN值
[0102]?屬性類別:z I長度:p I值:B-TID值
[0103]?屬性類別:w|長度:q|值:會話密鑰生命期值
[0104]隨實施例不同，參數RAND和AUTN是可選的。
[0105]圖4C于是圖示了在傳輸會話關聯參數B-TID的具體情況中根據所述EAP-AKA協議所形成的分組，其使用了屬性類型z、長度P，并以參數B-TID作為值。
[0106]因此，在所述實施例中，根據EAP協議的客戶模塊被安裝在移動終端UE中，使得后者一方面可以根據所述EAP協議通過將它的標識符Id(UE)插入根據所述EAP協議所格式化的分組的數據字段來格式化其聯接到網絡ACC_NET的請求，如圖4A至4B中所圖示的。
[0107]此外，所述客戶模塊EAP被配置成當移動終端UE接收源自驗證服務器AAA的根據EAP協議格式化的聯接消息時對該聯接消息進行解析，以便恢復先前提及的關聯參數之一，為隨后在連接至應用APP時使用。
[0108]所述客戶模塊EAP可采取存儲在終端UE的存儲器12或13之一中的軟件模塊的形式，并由所述終端UE的處理器11來實現。
[0109]在所述實施例中，根據EAP協議的服務器模塊也被安裝在驗證服務器AAA中，使得后者可以一方面解析來自終端UE的聯接請求，另一方面根據EAP協議格式化包括安全關聯參數的安全關聯消息，如圖4A至4B中所圖示的。所述服務器模塊EAP可采取存儲在驗證服務器AAA的存儲器32或33之一中的軟件模塊的形式，并由所述服務器的處理器31來實現。
[0110]當然，本發明并不限于上文所描述和表示的示范實施例，以此為基礎可設想其他模式和實施例而并不脫離本發明的范圍。
[0111]因此，EAP和EAP-AKA協議被特別提及以用于格式化在終端UE和驗證服務器AAA之間交換的聯接請求和安全關聯消息。然而，也可采用使得可能保護在這些實體之間交換的安全關聯參數的其他協議，例如EAP-SIM、EAP-TTLS或EAP-AKA’協議。
[0112]此外，前面已指出，當接入網ACC_NET是非3GPP類型網絡時，本發明尤其有利。然而，本發明并不僅限于這種類型的接入網。
[0113]最后，GBA類型的安全關聯先前是在利用引導功能服務器BSF驗證終端UE的框架下被提及，這兩者都支持這種類型的關聯。然而，本發明并不僅限于這種類型的安全關聯，也可應用于由終端和引導功能服務器支持的其他形式的安全關聯，例如根據Digest協議的安全關聯。
【權利要求】
1.一種為終端(UE)聯接到接入網(ACC_NET)設立安全關聯的方法，其特征在于，它包括在接收到來自終端的聯接到網絡的請求之后、由接入網的驗證服務器(AAA)執行的下列步驟: 從引導功能服務器(BSF)接收(216、218’)包含至少一個安全關聯參數(B-TID、Tks)的第一消息； 借助由所述終端的歸屬訂戶服務器(HSS)提供的至少一個第一驗證參數(RAND、AUTN、XRES)來對終端進行驗證(217、219’)；和 向被驗證的終端派送(218、220’)包含所述至少一個安全關聯參數的安全關聯消息。
2.如權利要求1所述的方法，其特征在于，所述第一消息包含由引導功能服務器從歸屬訂戶服務器獲取(214)的所述第一驗證參數。
3.如權利要求2所述的方法，其特征在于，所述安全關聯參數的至少一部分(Tks)由引導功能服務器基于接收自歸屬訂戶服務器的所述第一驗證參數(AV)的至少一部分(Ck、Ik)來確定。
4.如權利要求1所述的方法，其特征在于，在由驗證服務器向所述歸屬訂戶服務器派送(212’)用于驗證的請求之后，驗證服務器接收(213’)包含歸屬訂戶服務器的第一驗證參數的第二消息。
5.如權利要求4所述的方法，其特征在于，所述安全關聯參數的至少一部分(Tks)由引導功能服務器基于接收(216’)自歸屬訂戶服務器的第二驗證參數(AV’)的至少一部分(Ck，、Ik，)來確定(217，)。
6.如權利要求1至5中任一項所述的方法，其特征在于，所述至少一個安全關聯參數是安全-會話標識符(B-TID)和安全會話密鑰(Ks)的有效期(TKs)中的至少一個參數。
7.如權利要求1至6中任一項所述的方法，其特征在于，所述至少一個第一驗證參數是隨機值(RAND)、網絡的識別參數(AUTN)和當終端使用所述隨機值來自我驗證時的預期響應值(XRES)中的至少一個參數。
8.如權利要求1至7中任一項所述的方法，其特征在于，所述安全關聯消息是根據EAP協議的、包括數據字段的消息，該數據字段包含所述至少一個安全關聯參數。
9.如權利要求8所述的方法，其特征在于，安全關聯消息是根據EAP-AKA協議的消息，其包含在包含至少一個安全關聯參數的數據字段之前的、根據AKA驗證協議的報頭。
10.如權利要求1至9中任一項所述的方法，其特征在于，所述安全關聯是根據GBA架構的安全關聯。
11.如權利要求1至10中任一項所述的方法，其特征在于，所述接入網是非3GPP類型的接入網。
12.—種適合于為聯接到接入網(ACC_NET)的終端(UE)設立安全關聯的驗證服務器(AAA)，其包括能夠接收由所述終端發送的聯接到所述接入網的請求的發送-接收模塊(30)，其特征在于，所述發送-接收模塊進一步被配置成: 從引導功能服務器(BSF)接收(216、218’)包含至少一個安全關聯參數(B-TID、Tks)的第一消息；和 借助由所述終端的歸屬訂戶服務器(HSS)提供的至少一個第一驗證參數(RAND、AUTN、XRES)，在利用驗證服務器對所述終端進行驗證(217、219’)之后，向終端派送(218、220’)包含所述至少一個安全關聯參數(B-TID)的安全關聯消息。
13.—種能夠在聯接到接入網(ACC_NET)時觸發安全關聯的設立的終端(UE)，其包括發送-接收模塊(10)，所述發送-接收模塊適合于: 向所述接入網的接入點(AP)派送(211)用于聯接到所述接入網的請求； 從所述接入點接收(217)包含由所述終端的歸屬訂戶服務器(HSS)提供的至少一個第一驗證參數(RAND、AUTN)的消息； 向所述接入點派送(217)包含由所述終端基于所述至少一個第一驗證參數計算的值(RES)的響應； 從所述接入點接收(217)安全關聯消息，該安全關聯消息包含能夠在與應用連接期間由所述終端用于自我驗證的至少一個安全關聯參數(B-TID、Tks)。
14.一種計算機程序，其包括當所述程序由計算機執行時用于執行權利要求1至11中任一項所述方法的步驟的指令。
15.一種可由計算機讀取的記錄介質，其上記錄有計算機程序，該計算機程序包括用于執行權利要求1至11中任一項所述方法的步驟的指令。
【文檔編號】H04W12/06GK104509144SQ201380040142
【公開日】2015年4月8日 申請日期:2013年6月20日 優先權日:2012年7月2日
【發明者】J.伯內爾, L.莫蘭德 申請人:奧林奇公司