专利名称:一种保护通信安全的方法、装置及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及通信安全技术。
背景技术:
接入网络发现和选择功能(ANDSF, Access Network Discovery and Selection Function)是一种应用于系统间切才奐(inter-system handover)的网纟备 发现和选择机制。当鉴权用户需要在不同的接入网络之间进行切换时,具有 ANDSF功能的服务器(ANDSF server)将不同的接入网络的类型、策略等信 息告知鉴权用户,鉴权用户根据自身需要决定要切换的接入网络。
具体为当鉴权用户有切换需求时,需要寻找ANDSF server,找到后, 向ANDSF server发送接入网络信息请求,4妄入网络信息请求中,包含鉴权用 户的当前位置信息、IP地址或者身份标识等信息,ANDSF server根据接收到 的请求,向鉴权用户返回响应,返回的响应中包括不同接入网络的信息,鉴 权用户根据不同接入网络的信息决定需要切换至哪一个接入网络。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题现有 技术中,ANDSF机制没有通信保护机制,如果有监听者监听鉴权用户与 ANDSF server之间的通信时,会很容易获取鉴权用户的位置信息、IP地址或 者身份标识等信息,不仅对鉴权用户的隐私构成了威胁,而且,对通信安全 带来很大影响。
发明内容
有鉴于此,本发明实施例提供了一种保护通信安全的方法、装置及系统, 能够为ANDSF机制提供一种保护措施。 本发明实施例提供的方法,包括
一种保护通信安全的方法,用于接入网络发现和选择功能ANDSF机制, 所述方法包括
鉴权用户通过建立的安全关联,发送接入网络请求;所述鉴权用户通过所述安全关联,接收根据所述接入网络请求返回的响应;所述鉴权用户根据所述响应选择接入网络。本发明实施例提供的装置,包括一种保护通信安全的终端,用于接入网络发现和选择功能ANDSF机制, 所述装置包括第一发送单元,用于通过建立的安全关联,发送接入网络请求;第一接收单元,用于根据所述第一发送单元的接入网络请求,通过建立 的安全关if关,4妄收返回的响应;选择单元,用于根据所述第一接收单元接收的响应,选择接入网络。一种保护通信安全的装置,用于接入网络发现和选择功能ANDSF机制, 所述装置包括第二接收单元,用于通过建立的安全关联,接收接入网络请求;返回单元,用于根据所述第二接收单元接收的接入网络请求,通过建立 的安全关联,返回响应。本发明实施例提供的系统,包括一种保护通信安全的系统,用于接入网络发现和选择功能ANDSF机制, 所述系统包括鉴权用户,用于通过建立的安全关联,向ANDSF服务器发送接入网络请 求,并接收根据所述接入网络请求返回的响应,根据所述响应选择接入网络;ANDSF服务器,用于向所述鉴权用户返回响应。可以看出,本发明实施例具有如下优点鉴权用户与ANDSF server之间 的通信过程,需要在建立的安全关联上进行,因此,本发明实施例为ANDSF 机制提供了很好的保护机制,不仅可以保护鉴权用户的隐私,而且,保障了 通信安全。
图1为本发明的一种保护通信安全的方法流程图; 图2为本发明方法实施例一流程图;图3为本发明的一种保护通信安全的鉴权用户装置结构图;图4为本发明的一种保护通信安全的ANDSF server装置结构图。
具体实施方式
为使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面 对本发明作进一步详细的说明。请参考图1,示出了本发明的一种保护通信安全的方法流程图,可以包括 以下步骤步骤101:鉴权用户通过建立的安全关联,发送接入网络请求。步骤102:所述鉴权用户通过所述安全关联,接收根据所述接入网络请求 返回的响应。步骤103:所述鉴权用户根据所述响应选择接入网络。 下面对图1所示各步进行详细说明。实施例一,在本实施例中,第一网络设备是执行用户身份初始检查验证 的自举服务器(BSF, Bootstrapping Server Function),第二网络设备是归属用 户系统实体(HSS, Home Subscriber Server), BSF与ANDSF server处于同 一个运营商网络中。本实施例可以包括以下步骤,如图2所示步骤201: <吏用通用iU正架构(GBA, Generic Bootstrapping Architecture ) 方式对鉴权用户以及ANDSF server进行认证,并生成主密钥Ks,鉴权用户和 BSF保存生成的主密钥Ks。需要指出的是,对ANDSF server的认证,还可以由BSF或者其它网络设 备通过/>钥证书方式对ANDSF server进行认证。在生成主密钥Ks的过程中,鉴权用户可以向BSF发送永久身份标识(IMPI, IP Multimedia Private Identity )作为身份标识,还可以不发送IMPI, 而发送临时身份标识,例如base64encode(RAND)@BSF_ server domain nam, 或者base64encode(IP address)@ BSF—server—domain—name, BSF向HSS获取 鉴权向量AV,鉴权用户与BSF根据AV生成主密钥。
步骤202:鉴权用户与BSF根据主密钥Ks衍生共享密钥Ks—ANDSF。
具体通过如下函数实现
Ks—ANDSF=KDF ( Ks, "gba-me,,, RAND, I旨I, ANDSF ID )
或者Ks—ANDSF=KDF ( Ks, "gba-u", RAND, IMPI, ANDSF ID )
其中,KDF表示密钥衍生函数,"gba-me"或者"gba-u"表示字符串,RAND 表示随机数,IMPI表示永久身份标识,ANDSF ID表示ANDSF server的标识。
从主密钥Ks衍生共享密钥所需步骤请参考现有GBA技术,在此不再赘述。
需要说明的是,由于在步骤201中,提到可以使用临时身份标识 base64encode(RAND)@BSF—server—domain—name , 或者 base64encode(IP address)@BSF—server—domain—name作为身份标识,因此,在这种情况下,上 述函数中的参数 IMPI 就应该相应地修改为 base64encode(RAND)@BSF—server—domain—name , 或者 base64encode(IP address)@ BSF—server—domain—name ,以上临时身份标识并不限于此种标识, 只要是区别于永久身份标识,可以标识用户身份的标识都可以。
步骤203: BSF将衍生出的共享密钥Ks—ANDSF发送给ANDSF server, 同时发送建立安全关联的相关信息,例如密钥生存时间等。
步骤204: ANDSF server保存接收到的Ks—ANDSF以及建立安全关联的相
关信息。
步骤205:鉴权用户和ANDSF server基于Ks—ANDSF,通过预共享密钥传 输层安全协议PSK—TLS方式建立安全关联。建立安全关联为鉴权用户和ANDSF server进行通信建立了 一条安全通 道。需要指出的是,建立安全关联不局限于PSK—TLS这种方式,任何基于共 享密钥的方式均可。步骤206:鉴权用户通过建立的安全关耳关,向ANDSF server发送接入网络请求。步骤207: ANDSF server对接入网络请求作相关处理。步骤208: ANDSFserver根据接入网络请求,通过建立的安全关联,向鉴 —又用户返回响应。步骤209:鉴权用户对响应进行相关处理。步骤210:鉴权用户根据响应选择需要切换的接入网络。需要指出的是,在本实施例中,可以不使用BSF,而使用3GPP AAA。 在使用3GPPAAA时,需要使3GPPAAA具有BSF的功能。这是因为由于 鉴权用户与BSF之间的接口是Ub接口 ,但是鉴权用户与3GPP AAA之间没 有可以直接通信的接口,而是通过其它与使用Ub接口所需的信令不同的信令 进行通信的,所以,需要使3GPPAAA具有BSF的功能。存在的区别是如 果使用BSF,则需要专门增加一个BSF,这会增加网络的复杂度,并且增加 成本,而使用3GPPAAA,由于3GPP AAA是网络中已经存在的网络设备, 避免了需要再增加网络设备带来的上述问题。在本实施例以及下文的描述中, 仅以使用BSF为例进行说明。另外,若使用3GPP AAA,则在步骤201与步骤202中,当使用临时身 份标识作为身份标识时,则临时身份标识为base64encode(RAND)@3 GPP AAA—server—domain—name , 或者 base64encode(IP address)@ 3GPP AAA—server—domain—name 。实施例二,与方法实施例一的不同之处在于,在本实施例中,BSF与 ANDSF server不在同 一个运营商网络中。此时,BSF与ANDSF server之间的通 信需要通过一个代理连接,例如,可以是Zrvf戈理Zn-Proxy。本实施例可以包 括以下步骤步骤A1、 A2与方法实施例一中的步骤201、 202相同,请参见方法实施例 一中的步骤201、步骤202。
A3: BSF将衍生出的共享密钥Ks—ANDSF发送给Zn-Proxy,同时发送建 立安全关联的相关信息,例如密钥生存时间等。
A4: Zn - Proxy将共享密钥Ks—ANDSF以及建立安全关联的相关信息发送 至ANDSF server。
A5: ANDSF server保存接收到的共享密钥Ks—ANDSF以及建立安全关联 的相关信息。
A6:鉴权用户和ANDSF server基于Ks—ANDSF,通过PSK—TLS方式建立 安全关联。
同样,建立安全关联的方式不局限于此。
A7:鉴权用户通过建立的安全关联,向ANDSF server发送接入网络请求。
此处,鉴权用户也可以先将接入网络请求发送至Zn - Proxy,再由Zn -Proxy发送至ANDSF server。
A8: ANDSF server对接入网络请求进行相应处理。
A9: ANDSF server根据接入网络请求,通过建立的安全关联向鉴权用户 返回响应。
此处,如果鉴权用户与ANDSF server之间的通信是通过Zn - Proxy转发 的,则ANDSF server同样也可以先将响应发送至Zn-Proxy,再由Zn-Proxy 转发至鉴权用户。
A10:鉴4又用户对响应进行相关处理。
All:鉴权用户根据响应选择需要切换的接入网络。
通过以上方法实施例的描述,可以看出,由于在鉴权用户向ANDSF server 发送接入网络请求之前,需要先衍生出共享密钥Ks—ANDSF,基于共享密钥 Ks—ANDSF,与ANDSF server建立一个安全关联,然后,鉴权用户与ANDSF server就可以通过建立的安全通道进行通信,并且利用安全关耳关对通信内容啦支完整性保护和机密性保护,从而,不仅保护的鉴权用户的隐私,而且,保证了在ANDSF机制下,鉴权用户与ANDSF server安全地进行通信。请参考图3,示出了本发明的鉴权用户的装置结构图,可以包括第一发送单元301:用于通过建立的安全关联,发送接入网络请求。第一接收单元302:用于根据所述第一发送单元的接入网络请求,通过建 立的安全关联,4妻收返回的响应。选择单元303,用于根据所述第一接收单元接收的响应,选择接入网络。请参考图4,示出了本发明的ANDSFserver的装置结构图,可以包括第二接收单元401,用于通过建立的安全关联,接收接入网络请求。返回单元402,用于根据所述第二接收单元接收的接入网络请求,通过建 立的安全关联,返回响应。下面对图3与图4所示的装置进行详细说明。实施例一,结合方法实施例一,在本实施例中,BSF与ANDSF server处于 同一运营商网络中。对于图3所示的装置,还可以包括共享密钥单元,用于根据生成的主密钥Ks衍生共享密钥。第一安全关联建立单元,用于与ANDSF服务器根据所述共享密钥单元衍 生的共享密钥建立安全关联。第二发送单元,用于向BSF发送IMPI或者临时身份标识。主密钥生成单元,用于根据BSF通过IMPI或者临时身份标识,向HSS 获取的AV,生成主密钥Ks。对于图4所示的装置,还可以包括第二安全关联建立单元,用于与鉴权用户根据共享密钥建立安全关联。 下面对各单元之间进行的相关步骤进行详细说明。鉴权用户的第二发送单元向BSF发送IMPI,当然,也可以不发送IMPI, 而发送临时身份标识,BSF根据IMPI或者临时身份标识,向HSS获取AV,鉴权用户的主密钥生成单元与BSF根据获取的AV,生成主密钥Ks,共享密 钥单元根据主密钥生成单元生成的主密钥Ks,利用如下函数衍生共享密钥 Ks—ANDSF:
Ks—ANDSF=KDF (Ks, "gba陽me", RAND, IMPI, ANDSF ID ),其中,
各参数含义请参考方法实施例一 。
BSF将共享密钥Ks—ANDSF发送至ANDSF server,同时发送建立安全关 联的相关信息,例如密钥生存时间等。ANDSF server将Ks—ANDSF与建立安 全关联的相关信息进行保存。
鉴权用户的第一安全关联建立单元与ANDSF server的第二安全关联建立 单元基于共享密钥Ks—ANDSF,利用PSK—TLS方式建立安全关联,同样,建 立安全关联不限于此方式。
鉴权用户的第一发送单元通过建立的安全关联,向ANDSF server发送接 入网络请求。
ANDSF server的第二接收单元根据第二安全关联建立单元建立的安全关 联,接收接入网络请求,ANDSF server对接入网络请求进行相关处理后,返 回单元才艮据第二接收单元接收的请求,向鉴权用户返回响应。
鉴权用户对接收到的响应作相关处理后,其选择单元根据第 一接收单元 接收的响应,选择接入网络。
结合方法实施例一,同样可以使3GPPAAA具有BSF的功能,从而可以 使用3GPPAAA,而不使用BSF。
实施例二,结合方法实施例二,本实施例与装置实施例一所包含的单元 相同,请参考装置实施例一。不同之处在于,当BSF与ANDSF server不在同一 个运营商网络中时,BSF与ANDSF之间的通信需要通过一个代理连接,例如 Zn-Proxy,而且,鉴权用户的第一发送单元与ANDSF server的返回单元之间 的通信,可以通过Zn-Proxy转发,也可以不通过Zn - Proxy 。
可见,由于鉴外又用户的第一安全关联建立单元与ANDSF server的第二安 全关耳关建立单元建立起安全关联,鉴权用户与ANDSF server就可以通过建立的安全关联进行通信。从而,保护了鉴权用户的隐私,并且,保障了通信安 全。本发明还提供了一种保护通信安全的系统,可以包括鉴权用户,用于通过建立的安全关联,向ANDSF服务器发送接入网络请 求,并接收根据所述接入网络请求返回的响应,根据所述响应选择接入网络。ANDSF服务器,用于向所述鉴权用户返回响应。下面结合方法实施例对本发明提供的系统进行详细说明。实施例一,结合方法实施例一,本实施例还可以包括BSF与HSS。BSF与HSS用于与鉴权用户生成主密钥Ks,并且BSF与鉴权用户还需要根 据主密钥Ks衍生共享密钥Ks一ANDSF 。 BSF将共享密钥Ks—ANDSF发送至 ANDSF server,同时发送建立安全关联的相关信息。鉴权用户、BSF、 HSS与ANDSFserver之间进行通信所需的步骤与方法实 施例一相同,具体请参见方法实施例一。同样,可以不使用BSF,而使用3GPPAAA,并且,使3GPPAAA具有BSF的功能。实施例二,结合方法实施例二, BSF与ANDSF server不在同一个运营商 网络中。与系统实施例一的不同之处在于,本实施例中所包含的设备除了鉴权用 户、BSF、 HSS与ANDSF server之外,还需要包含一个代理连接,例如Zn 一 Proxy 。各网络设备进行通信所需步骤与方法实施例二相同,具体请参见方法实 施例二。最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术 语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定 要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而 且,术语"包括"、"包含"或者其任何其他变体意在涵盖非排他性的包含, 从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,13而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、 物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一 个……"限定的要素,并不排除在包括所述要素的过程、方法、物品或者 设备中还存在另外的相同要素。
以上对本发明所提供的 一种保护通信安全的方法、装置及系统进行了
以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,
对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用 范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的 限制。
权利要求
1、一种保护通信安全的方法,用于接入网络发现和选择功能ANDSF机制,其特征在于,所述方法包括鉴权用户通过建立的安全关联,发送接入网络请求;所述鉴权用户通过所述安全关联,接收根据所述接入网络请求返回的响应;所述鉴权用户根据所述响应选择接入网络。
2、 根据权利要求1所述的方法,其特征在于,在所述鉴权用户通过建立 的安全关联,发送接入网络请求之前,还包括所述鉴权用户与ANDSF服务器通过基于共享密钥的方式建立安全关联。
3、 根据权利要求2所述的方法,其特征在于,所述鉴权用户与ANDSF 服务器通过基于共享密钥的方式建立安全关联的具体实现为所述鉴权用户与第一网络设备根据生成的主密钥衍生共享密钥;所述第一网络设备将所述共享密钥发送至所述ANDSF服务器;所述鉴权用户与所述ANDSF服务器基于所述共享密钥建立安全关联。
4、 根据权利要求3所述的方法,其特征在于,在所述鉴权用户与第一网 络设备根据生成的主密钥衍生共享密钥之前,还包括使用通用认证架构GBA方式对所述鉴权用户和所述ANDSF服务器进行 认证,或者,通过公钥证书方式对所述ANDSF服务器进行认证。
5、 根据权利要求3所述的方法,其特征在于,所述生成的主密钥通过以 下方式实现所述鉴权用户向第 一 网络设备发送用户信息;所述第 一网络设备根据所述用户信息向第二网络设备获取鉴权向量AV; 所述鉴权用户与所述第一网络设备根据所述AV生成主密钥。
6、 根据权利要求5所述的方法,所述鉴权用户与第一网络设备根据生成 的主密钥衍生共享密钥的具体实现为所述鉴权用户与第一网络设备根据所述主密钥、所述用户信息以及预知 的参数衍生共享密钥。
7、 根据权利要求3所述的方法,其特征在于,所述第一网络设备将所述 共享密钥发送至所述ANDSF服务器的具体实现为所述网络设备将所述共享密钥直接发送至所述ANDSF服务器,或者,所 述网络设备将所述共享密钥通过代理连接发送至所述ANDSF服务器。
8、 根据权利要求3至7任一项所述的方法,其特征在于,所述第一网络 设备具体为执行用户身份初始检查验证的自举服务器BSF,或者第三代合 作伙伴计划认证、鉴权及计费服务器3GPPAAA。
9、 根据权利要求5或6所述的方法,其特征在于,所述用户信息具体为 永久身份标识IMPI,或者临时身份标识;所述第二网络设备具体为归属用 户系统实体HSS。
10、 根据权利要求1所述的方法,其特征在于,所述建立的安全关联通 过以下方式建立通过预共享密钥传输层安全协议PSK—TLS、基于共享密钥建立安全关联。
11、 一种保护通信安全的终端,用于接入网络发现和选择功能ANDSF机 制,其特征在于,所述装置包括第一发送单元,用于通过建立的安全关联,发送接入网络请求;第一接收单元,用于根据所述第一发送单元的接入网络请求,通过建立 的安全关联,接收返回的响应;选择单元,用于根据所述第一接收单元接收的响应,选择接入网络。
12、 根据权利要求11所述的装置,其特征在于,所述装置还包括共享密钥单元,用于根据生成的主密钥衍生共享密钥;第一安全关联建立单元,用于与ANDSF服务器基于所述共享密钥单元衍 生的共享密钥建立安全关联。
13、 根据权利要求12所述的装置,其特征在于,所述装置还包括第二发送单元,用于向第一网络设备发送用户信息;主密钥生成单元,用于根据所述第一网络设备通过所述用户信息获取的 AV,生成主密钥。
14、 一种保护通信安全的装置,用于接入网络发现和选择功能ANDSF机 制,其特征在于,所述装置包括第二接收单元,用于通过建立的安全关联,接收接入网络请求;返回单元,用于根据所述第二接收单元接收的接入网络请求,通过建立 的安全关联,返回响应。
15、 根据权利要求14所述的装置,其特征在于,所述装置还包括 第二安全关联建立单元,用于与鉴权用户根据共享密钥建立安全关联。
16、 一种保护通信安全的系统,用于接入网络发现和选择功能ANDSF机 制,其特征在于,所述系统包括鉴权用户,用于通过建立的安全关联,向ANDSF服务器发送接入网络请 求,并接收根据所述接入网络请求返回的响应,根据所述响应选择接入网络;ANDSF服务器,用于向所述鉴权用户返回响应。
全文摘要
本发明公开了一种保护通信安全的方法、装置及系统。在本发明提供的方法中,包括鉴权用户通过建立的安全关联,发送接入网络请求;所述鉴权用户通过所述安全关联,接收根据所述接入网络请求返回的响应;所述鉴权用户根据所述响应选择接入网络。本发明提供的装置包括对于鉴权用户,有第一发送单元、第一接收单元以及选择单元,对于ANDSF服务器,有第二接收单元以及返回单元。通过本发明,为ANDSF机制提供了很好的保护机制,不仅可以保护鉴权用户的隐私,而且,保障了通信安全。
文档编号H04W12/06GK101610509SQ200810125229
公开日2009年12月23日 申请日期2008年6月16日 优先权日2008年6月16日
发明者许怡娴 申请人:华为技术有限公司