一种保护通信安全的方法、装置及系统转让专利
申请号 : CN200810125229.2
文献号 : CN101610509B
文献日 : 2011-12-21
发明人 : 许怡娴
申请人 : 华为技术有限公司
摘要 :
本发明公开了一种保护通信安全的方法、装置及系统。在本发明提供的方法中,包括:鉴权用户通过建立的安全关联,发送接入网络请求;所述鉴权用户通过所述安全关联,接收根据所述接入网络请求返回的响应;所述鉴权用户根据所述响应选择接入网络。本发明提供的装置包括:对于鉴权用户,有第一发送单元、第一接收单元以及选择单元,对于ANDSF服务器,有第二接收单元以及返回单元。通过本发明,为ANDSF机制提供了很好的保护机制,不仅可以保护鉴权用户的隐私,而且,保障了通信安全。
权利要求 :
1.一种保护通信安全的方法,用于接入网络发现和选择功能ANDSF机制,其特征在于,所述方法包括:鉴权用户与ANDSF服务器通过基于共享密钥的方式建立安全关联;
鉴权用户通过建立的安全关联,发送接入网络请求;
所述鉴权用户通过所述安全关联,接收根据所述接入网络请求返回的响应;
所述鉴权用户根据所述响应选择接入网络;
其中,所述鉴权用户与ANDSF服务器通过基于共享密钥的方式建立安全关联包括:所述鉴权用户与第一网络设备根据生成的主密钥衍生共享密钥;
所述第一网络设备将所述共享密钥发送至所述ANDSF服务器;
所述鉴权用户与所述ANDSF服务器基于所述共享密钥建立安全关联。
2.根据权利要求1所述的方法,其特征在于,在所述鉴权用户与第一网络设备根据生成的主密钥衍生共享密钥之前,还包括:使用通用认证架构GBA方式对所述鉴权用户和所述ANDSF服务器进行认证,或者,通过公钥证书方式对所述ANDSF服务器进行认证。
3.根据权利要求1所述的方法,其特征在于,所述生成的主密钥通过以下方式实现:所述鉴权用户向第一网络设备发送用户信息;
所述第一网络设备根据所述用户信息向第二网络设备获取鉴权向量AV;
所述鉴权用户与所述第一网络设备根据所述AV生成主密钥。
4.根据权利要求3所述的方法,所述鉴权用户与第一网络设备根据生成的主密钥衍生共享密钥的具体实现为:所述鉴权用户与第一网络设备根据所述主密钥、所述用户信息以及预知的参数衍生共享密钥。
5.根据权利要求1所述的方法,其特征在于,所述第一网络设备将所述共享密钥发送至所述ANDSF服务器的具体实现为:所述网络设备将所述共享密钥直接发送至所述ANDSF服务器,或者,所述网络设备将所述共享密钥通过代理连接发送至所述ANDSF服务器。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述第一网络设备具体为:执行用户身份初始检查验证的自举服务器BSF,或者第三代合作伙伴计划认证、鉴权及计费服务器3GPPAAA。
7.根据权利要求3或4所述的方法,其特征在于,所述用户信息具体为:永久身份标识IMPI,或者临时身份标识;所述第二网络设备具体为:归属用户系统实体HSS。
8.根据权利要求1所述的方法,其特征在于,所述建立的安全关联通过以下方式建立:通过预共享密钥传输层安全协议PSK_TLS、基于共享密钥建立安全关联。
9.一种保护通信安全的终端,用于接入网络发现和选择功能ANDSF机制,其特征在于,所述终端包括:第一发送单元,用于通过建立的安全关联,发送接入网络请求;
第一接收单元,用于根据所述第一发送单元的接入网络请求,通过建立的安全关联,接收返回的响应;
选择单元,用于根据所述第一接收单元接收的响应,选择接入网络;
共享密钥单元,用于根据生成的主密钥衍生共享密钥;
第一安全关联建立单元,用于与ANDSF服务器基于所述共享密钥单元衍生的共享密钥建立安全关联。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:第二发送单元,用于向第一网络设备发送用户信息;
主密钥生成单元,用于根据所述第一网络设备通过所述用户信息获取的AV,生成主密钥。
11.一种保护通信安全的装置,用于接入网络发现和选择功能ANDSF机制,其特征在于,所述装置包括:第二接收单元,用于通过建立的安全关联,接收接入网络请求;
返回单元,用于根据所述第二接收单元接收的接入网络请求,通过建立的安全关联,返回响应;
第二安全关联建立单元,用于与鉴权用户根据共享密钥建立安全关联。
12.一种保护通信安全的系统,用于接入网络发现和选择功能ANDSF机制,其特征在于,所述系统包括:鉴权用户,用于与ANDSF服务器通过基于共享密钥的方式建立安全关联;通过建立的安全关联,向ANDSF服务器发送接入网络请求,并接收根据所述接入网络请求返回的响应,根据所述响应选择接入网络;
ANDSF服务器,用于向所述鉴权用户返回响应。
说明书 :
一种保护通信安全的方法、装置及系统
技术领域
[0001] 本发明涉及通信技术领域,尤其涉及通信安全技术。
背景技术
[0002] 接入网络发现和选择功能(ANDSF,Access Network Discovery andSelection Function)是一种应用于系统间切换(inter-system handover)的网络发现和选择机制。当鉴权用户需要在不同的接入网络之间进行切换时,具有ANDSF功能的服务器(ANDSF server)将不同的接入网络的类型、策略等信息告知鉴权用户,鉴权用户根据自身需要决定要切换的接入网络。
[0003] 具体为:当鉴权用户有切换需求时,需要寻找ANDSF server,找到后,向ANDSF server发送接入网络信息请求,接入网络信息请求中,包含鉴权用户的当前位置信息、IP地址或者身份标识等信息,ANDSF server根据接收到的请求,向鉴权用户返回响应,返回的响应中包括不同接入网络的信息,鉴权用户根据不同接入网络的信息决定需要切换至哪一个接入网络。
[0004] 在实现本发明过程中,发明人发现现有技术中至少存在如下问题:现有技术中,ANDSF机制没有通信保护机制,如果有监听者监听鉴权用户与ANDSF server之间的通信时,会很容易获取鉴权用户的位置信息、IP地址或者身份标识等信息,不仅对鉴权用户的隐私构成了威胁,而且,对通信安全带来很大影响。
发明内容
[0005] 有鉴于此,本发明实施例提供了一种保护通信安全的方法、装置及系统,能够为ANDSF机制提供一种保护措施。
[0006] 本发明实施例提供的方法,包括:
[0007] 一种保护通信安全的方法,用于接入网络发现和选择功能ANDSF机制,所述方法包括:
[0008] 鉴权用户通过建立的安全关联,发送接入网络请求;
[0009] 所述鉴权用户通过所述安全关联,接收根据所述接入网络请求返回的响应;
[0010] 所述鉴权用户根据所述响应选择接入网络。
[0011] 本发明实施例提供的装置,包括:
[0012] 一种保护通信安全的终端,用于接入网络发现和选择功能ANDSF机制,所述装置包括:
[0013] 第一发送单元,用于通过建立的安全关联,发送接入网络请求;
[0014] 第一接收单元,用于根据所述第一发送单元的接入网络请求,通过建立的安全关联,接收返回的响应;
[0015] 选择单元,用于根据所述第一接收单元接收的响应,选择接入网络。
[0016] 一种保护通信安全的装置,用于接入网络发现和选择功能ANDSF机制,所述装置包括:
[0017] 第二接收单元,用于通过建立的安全关联,接收接入网络请求;
[0018] 返回单元,用于根据所述第二接收单元接收的接入网络请求,通过建立的安全关联,返回响应。
[0019] 本发明实施例提供的系统,包括:
[0020] 一种保护通信安全的系统,用于接入网络发现和选择功能ANDSF机制,所述系统包括:
[0021] 鉴权用户,用于通过建立的安全关联,向ANDSF服务器发送接入网络请求,并接收根据所述接入网络请求返回的响应,根据所述响应选择接入网络;
[0022] ANDSF服务器,用于向所述鉴权用户返回响应。
[0023] 可以看出,本发明实施例具有如下优点:鉴权用户与ANDSF server之间的通信过程,需要在建立的安全关联上进行,因此,本发明实施例为ANDSF机制提供了很好的保护机制,不仅可以保护鉴权用户的隐私,而且,保障了通信安全。
附图说明
[0024] 图1为本发明的一种保护通信安全的方法流程图;
[0025] 图2为本发明方法实施例一流程图;
[0026] 图3为本发明的一种保护通信安全的鉴权用户装置结构图;
[0027] 图4为本发明的一种保护通信安全的ANDSF server装置结构图。
具体实施方式
[0028] 为使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面对本发明作进一步详细的说明。
[0029] 请参考图1,示出了本发明的一种保护通信安全的方法流程图,可以包括以下步骤:
[0030] 步骤101:鉴权用户通过建立的安全关联,发送接入网络请求。
[0031] 步骤102:所述鉴权用户通过所述安全关联,接收根据所述接入网络请求返回的响应。
[0032] 步骤103:所述鉴权用户根据所述响应选择接入网络。
[0033] 下面对图1所示各步进行详细说明。
[0034] 实施例一,在本实施例中,第一网络设备是执行用户身份初始检查验证的自举服务器(BSF,Bootstrapping Server Function),第二网络设备是归属用户系统实体(HSS,Home Subscriber Server),BSF与ANDSF server处于同一个运营商网络中。本实施例可以包括以下步骤,如图2所示:
[0035] 步骤201:使用通用认证架构(GBA,Generic Bootstrapping Architecture)方式对鉴权用户以及ANDSF server进行认证,并生成主密钥Ks,鉴权用户和BSF保存生成的主密钥Ks。
[0036] 需要指出的是,对ANDSF server的认证,还可以由BSF或者其它网络设备通过公钥证书方式对ANDSF server进行认证。
[0037] 在生成主密钥Ks的过程中,鉴权用户可以向BSF发送永久身份标识(IMPI,IP Multimedia Private Identity)作为身份标识,还可以不发送IMPI,而发送临时身份标识,例如:base64encode(RAND)@BSF_server_domain_nam,或者base64encode(IP address)@BSF_server_domain_name,BSF向HSS获取鉴权向量AV,鉴权用户与BSF根据AV生成主密钥。
[0038] 步骤202:鉴权用户与BSF根据主密钥Ks衍生共享密钥Ks_ANDSF。
[0039] 具体通过如下函数实现:
[0040] Ks_ANDSF=KDF(Ks,“gba-me”,RAND,IMPI,ANDSF ID)
[0041] 或者:Ks_ANDSF=KDF(Ks,“gba-u”,RAND,IMPI,ANDSF ID)
[0042] 其中,KDF表示密钥衍生函数,“gba-me”或者“gba-u”表示字符串,RAND表示随机数,IMPI表示永久身份标识,ANDSF ID表示ANDSF server的标识。
[0043] 从主密钥Ks衍生共享密钥所需步骤请参考现有GBA技术,在此不再赘述。
[0044] 需要说明的是,由 于在步骤201中,提到可 以使用临时身份标 识base64encode(RAND)@BSF_server_domain_name, 或 者 base64encode(IPaddress)@BSF_server_domain_name作为身份标识,因此,在这种情况下,上述函数中的参数IMPI就应该相应地修改为base64encode(RAND)@BSF_server_domain_name,或者base64encode(IPaddress)@BSF_server_domain_name,以上临时身份标识并不限于此种标识,只要是区别于永久身份标识,可以标识用户身份的标识都可以。
[0045] 步骤203:BSF将衍生出的共享密钥Ks_ANDSF发送给ANDSF server,同时发送建立安全关联的相关信息,例如密钥生存时间等。
[0046] 步骤204:ANDSF server保存接收到的Ks_ANDSF以及建立安全关联的相关信息。
[0047] 步骤205:鉴权用户和ANDSF server基于Ks_ANDSF,通过预共享密钥传输层安全协议PSK_TLS方式建立安全关联。
[0048] 建立安全关联为鉴权用户和ANDSF server进行通信建立了一条安全通道。需要指出的是,建立安全关联不局限于PSK_TLS这种方式,任何基于共享密钥的方式均可。
[0049] 步骤206:鉴权用户通过建立的安全关联,向ANDSF server发送接入网络请求。
[0050] 步骤207:ANDSF server对接入网络请求作相关处理。
[0051] 步骤208:ANDSF server根据接入网络请求,通过建立的安全关联,向鉴权用户返回响应。
[0052] 步骤209:鉴权用户对响应进行相关处理。
[0053] 步骤210:鉴权用户根据响应选择需要切换的接入网络。
[0054] 需要指出的是,在本实施例中,可以不使用BSF,而使用3GPP AAA。在使用3GPP AAA时,需要使3GPP AAA具有BSF的功能。这是因为:由于鉴权用户与BSF之间的接口是Ub接口,但是鉴权用户与3GPP AAA之间没有可以直接通信的接口,而是通过其它与使用Ub接口所需的信令不同的信令进行通信的,所以,需要使3GPP AAA具有BSF的功能。存在的区别是:如果使用BSF,则需要专门增加一个BSF,这会增加网络的复杂度,并且增加成本,而使用3GPP AAA,由于3GPP AAA是网络中已经存在的网络设备,避免了需要再增加网络设备带来的上述问题。在本实施例以及下文的描述中,仅以使用BSF为例进行说明。
[0055] 另外,若使用3GPP AAA,则在步骤201与步骤202中,当使用临时身份标识作为身份标识时,则临时身份标识为base64encode(RAND)@3GPPAAA_server_domain_name,或者base64encode(IP address)@3GPPAAA_server_domain_name。
[0056] 实施例二,与方法实施例一的不同之处在于,在本实施例中,BSF与ANDSF server不在同一个运营商网络中。此时,BSF与ANDSF server之间的通信需要通过一个代理连接,例如,可以是Zn代理Zn-Proxy。本实施例可以包括以下步骤:
[0057] 步骤A1、A2与方法实施例一中的步骤201、202相同,请参见方法实施例一中的步骤201、步骤202。
[0058] A3:BSF将衍生出的共享密钥Ks_ANDSF发送给Zn-Proxy,同时发送建立安全关联的相关信息,例如密钥生存时间等。
[0059] A4:Zn-Proxy将共享密钥Ks_ANDSF以及建立安全关联的相关信息发送至ANDSF server。
[0060] A5:ANDSF server保存接收到的共享密钥Ks_ANDSF以及建立安全关联的相关信息。
[0061] A6:鉴权用户和ANDSF server基于Ks_ANDSF,通过PSK_TLS方式建立安全关联。
[0062] 同样,建立安全关联的方式不局限于此。
[0063] A7:鉴权用户通过建立的安全关联,向ANDSF server发送接入网络请求。
[0064] 此处,鉴权用户也可以先将接入网络请求发送至Zn-Proxy,再由Zn-Proxy发送至ANDSF server。
[0065] A8:ANDSF server对接入网络请求进行相应处理。
[0066] A9:ANDSF server根据接入网络请求,通过建立的安全关联向鉴权用户返回响应。
[0067] 此处,如果鉴权用户与ANDSF server之间的通信是通过Zn-Proxy转发的,则ANDSF server同样也可以先将响应发送至Zn-Proxy,再由Zn-Proxy转发至鉴权用户。
[0068] A10:鉴权用户对响应进行相关处理。
[0069] A11:鉴权用户根据响应选择需要切换的接入网络。
[0070] 通过以上方法实施例的描述,可以看出,由于在鉴权用户向ANDSF server发送接入网络请求之前,需要先衍生出共享密钥Ks_ANDSF,基于共享密钥Ks_ANDSF,与ANDSF server建立一个安全关联,然后,鉴权用户与ANDSFserver就可以通过建立的安全通道进行通信,并且利用安全关联对通信内容做完整性保护和机密性保护,从而,不仅保护的鉴权用户的隐私,而且,保证了在ANDSF机制下,鉴权用户与ANDSF server安全地进行通信。
[0071] 请参考图3,示出了本发明的鉴权用户的装置结构图,可以包括:
[0072] 第一发送单元301:用于通过建立的安全关联,发送接入网络请求。
[0073] 第一接收单元302:用于根据所述第一发送单元的接入网络请求,通过建立的安全关联,接收返回的响应。
[0074] 选择单元303,用于根据所述第一接收单元接收的响应,选择接入网络。
[0075] 请参考图4,示出了本发明的ANDSF server的装置结构图,可以包括:
[0076] 第二接收单元401,用于通过建立的安全关联,接收接入网络请求。
[0077] 返回单元402,用于根据所述第二接收单元接收的接入网络请求,通过建立的安全关联,返回响应。
[0078] 下面对图3与图4所示的装置进行详细说明。
[0079] 实施例一,结合方法实施例一,在本实施例中,BSF与ANDSF server处于同一运营商网络中。对于图3所示的装置,还可以包括:
[0080] 共享密钥单元,用于根据生成的主密钥Ks衍生共享密钥。
[0081] 第一安全关联建立单元,用于与ANDSF服务器根据所述共享密钥单元衍生的共享密钥建立安全关联。
[0082] 第二发送单元,用于向BSF发送IMPI或者临时身份标识。
[0083] 主密钥生成单元,用于根据BSF通过IMPI或者临时身份标识,向HSS获取的AV,生成主密钥Ks。
[0084] 对于图4所示的装置,还可以包括:
[0085] 第二安全关联建立单元,用于与鉴权用户根据共享密钥建立安全关联。
[0086] 下面对各单元之间进行的相关步骤进行详细说明。
[0087] 鉴权用户的第二发送单元向BSF发送IMPI,当然,也可以不发送IMPI,而发送临时身份标识,BSF根据IMPI或者临时身份标识,向HSS获取AV,鉴权用户的主密钥生成单元与BSF根据获取的AV,生成主密钥Ks,共享密钥单元根据主密钥生成单元生成的主密钥Ks,利用如下函数衍生共享密钥Ks_ANDSF:
[0088] Ks_ANDSF=KDF(Ks,“gba-me”,RAND,IMPI,ANDSF ID),其中,各参数含义请参考方法实施例一。
[0089] BSF将共享密钥Ks_ANDSF发送至ANDSF server,同时发送建立安全关联的相关信息,例如密钥生存时间等。ANDSF server将Ks_ANDSF与建立安全关联的相关信息进行保存。
[0090] 鉴权用户的第一安全关联建立单元与ANDSF server的第二安全关联建立单元基于共享密钥Ks_ANDSF,利用PSK_TLS方式建立安全关联,同样,建立安全关联不限于此方式。
[0091] 鉴权用户的第一发送单元通过建立的安全关联,向ANDSF server发送接入网络请求。
[0092] ANDSF server的第二接收单元根据第二安全关联建立单元建立的安全关联,接收接入网络请求,ANDSF server对接入网络请求进行相关处理后,返回单元根据第二接收单元接收的请求,向鉴权用户返回响应。
[0093] 鉴权用户对接收到的响应作相关处理后,其选择单元根据第一接收单元接收的响应,选择接入网络。
[0094] 结合方法实施例一,同样可以使3GPP AAA具有BSF的功能,从而可以使用3GPPAAA,而不使用BSF。
[0095] 实施例二,结合方法实施例二,本实施例与装置实施例一所包含的单元相同,请参考装置实施例一。不同之处在于,当BSF与ANDSF server不在同一个运营商网络中时,BSF与ANDSF之间的通信需要通过一个代理连接,例如Zn-Proxy,而且,鉴权用户的第一发送单元与ANDSF server的返回单元之间的通信,可以通过Zn-Proxy转发,也可以不通过Zn-Proxy。
[0096] 可见,由于鉴权用户的第一安全关联建立单元与ANDSF server的第二安全关联建立单元建立起安全关联,鉴权用户与ANDSF server就可以通过建立的安全关联进行通信。从而,保护了鉴权用户的隐私,并且,保障了通信安全。
[0097] 本发明还提供了一种保护通信安全的系统,可以包括:
[0098] 鉴权用户,用于通过建立的安全关联,向ANDSF服务器发送接入网络请求,并接收根据所述接入网络请求返回的响应,根据所述响应选择接入网络。
[0099] ANDSF服务器,用于向所述鉴权用户返回响应。
[0100] 下面结合方法实施例对本发明提供的系统进行详细说明。
[0101] 实施例一,结合方法实施例一,本实施例还可以包括BSF与HSS。
[0102] BSF与HSS用于与鉴权用户生成主密钥Ks,并且BSF与鉴权用户还需要根据主密钥Ks衍生共享密钥Ks_ANDSF。BSF将共享密钥Ks_ANDSF发送至ANDSF server,同时发送建立安全关联的相关信息。
[0103] 鉴权用户、BSF、HSS与ANDSF server之间进行通信所需的步骤与方法实施例一相同,具体请参见方法实施例一。
[0104] 同样,可以不使用BSF,而使用3GPP AAA,并且,使3GPP AAA具有BSF的功能。
[0105] 实施例二,结合方法实施例二,BSF与ANDSF server不在同一个运营商网络中。
[0106] 与系统实施例一的不同之处在于,本实施例中所包含的设备除了鉴权用户、BSF、HSS与ANDSF server之外,还需要包含一个代理连接,例如:Zn-Proxy。
[0107] 各网络设备进行通信所需步骤与方法实施例二相同,具体请参见方法实施例二。
[0108] 最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0109] 以上对本发明所提供的一种保护通信安全的方法、装置及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。