一种变异GBA的引导方法及系统技术方案

技术编号:8633424 阅读:178 留言:0更新日期:2013-04-27 17:27
本发明专利技术公开一种变异GBA的引导方法,包括:收到IMS?UE发送的401未授权挑战消息的响应消息后,BSF对IMS?UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(A1),利用算法生成引导密钥Ks,并发送给IMS?UE;IMS?UE计算rspauth值,并利用所述rspauth值完成对网络的认证;本发明专利技术还提供一种变异GBA的引导系统。根据本发明专利技术的技术方案,能够实现在变异GBA架构下,利用SIP?Digest认证机制完成对非UICC下的统一IMS?UE访问AS的SSO功能。

【技术实现步骤摘要】

本专利技术涉及MS网络通信安全技术,尤其涉及一种变异GBA的引导方法及系统
技术介绍
现有的实现IP多媒体系统(MS,IP Multimedia Subsystem)的单点登录(SS0,Single Sign On)的方法都是在基于通用集成电路卡(UICC, Universal IntegratedCircuit Card)的情形下设计的,要么使用认证与密钥协商协议/开放ID(AKA/OpenID,Authentication and Key Agreement/OpenID)方案,要么是通用引导体系(GBA, GenericBootstrapping Architecture)方案,而对于非UICC的终端和没有部署GBA的网络环境,没有具体的实现方案可以使用。在现有頂S网络的SSO实现过程中,运营商会部署大量的GBA,同时为每个MS UE内嵌入UICC,利用GBA和ncc内的信息完成对MS UE访问应用服务器的SSO功能。而随着非ncc的MS UE的出现,这种MS的UE需要访问MS网络中的应用服务器,进而实现SSO功能,以前设计的方案将不适于在这种场景中使用。在统一 MS UE认证过程和实现SSO的过程中,现有技术中存在三种场景第一种是MS UE内具有UICC,并且运营商已部署了 GBA的场景;此时可以利用GBA认证机制同Liberty Alliance/OpenID结合实现SS0,还能够实现与现有的其它SSO机制的互通。第二种是IMS UE内具有nCC,但是运营商不能部署GBA的场景;对于该场景,ALU (阿尔卡特-朗讯公司)已提出相关立项提案,其采用AKA/OpenID相结合方案实现这种场景下的SSO功能。第三种是统一 MS UE不 具有MCC情形;对于该场景,已在3GPP SA3#60会议上由诺基亚西门子通信公司(NSN, Nokia Siemens Network Company)对该场景进行立项。随着非MCC的MS UE接入MS网络的增多,第三种场景会越来越流行,同样重要的是运营商能作为用户认证中心提供者完成对MS UE使用应用服务器(AS,ApplicationServer)的统一认证,方便各种AS接入MS UE ;运营商可以为AS提供商提供大量用户群,运营商可通过与AS提供商合作更好的满足用户群对各种应用服务的需求,同时用户通过信任的运营商访问相关AS,不仅为用户提供了方便,也增加了用户信息的安全性同时也扩大了运营商的盈利方式。非ncc场景下,頂S UE也常常需要访问MS网络和使用与MS相关的应用服务,这种场景下,基于非ncc的统一 MS UE的SSO认证变得非常有必要。随着MS网络与Internet网络之间不断融合的趋势,IMS UE对各种AS的访问需求的增加,实现頂S UE对AS的SSO功能,对用户而言是越来越亟待需要实现的功能。现有技术都是运营商通过在頂S网络中大量部署GBA和在所有MS UE嵌入nCC,实现对MS网络相关应用服务的SSO功能。对于第三种场景中非ncc的IMS UE的现有机制将不能实现,需要新的认证机制来实现该种頂S UE的SSO认证功能。NSN在3GPP SA3#60会议上对第三种场景的情况进行了立项,现有的实现前两种场景的方案中,只有具有ncc的MS UE才能实现SSO功能,进而访问MS网络中的各种应用服务,这样需要运营商对没有ncc的MS UE提供一个UICC,而不具有ncc的MS ue将不能利用已有方案实现MS网络中相关应用服务的SSO功能。然而非ncc的IMS UE亦需要实现MS网络中应用服务的SSO功能,减少该类UE访问MS网络相关的应用服务的复杂度。同时运营商要能够支持此类UE来访问MS网络中的应用服务。运营商利用SIP摘要(SIP Digest, Session Initiation Protocol Digest)认证机制,同时通过提供变异的GBA架构完成用户和网络之间的双向认证,能够成功的实现第三种场景中的SSO功能,同时可以降低运营商在UE中嵌入ncc的成本,降低维护各种设备的消耗。NSN提出了变异的GBA架构,利用SIP Digest认证机制实现非WCC场景下统一IMS UE的SSO设计方案,该方案使得运营商对原来的GBA进行修改,改变引导服务功能单元(BSF, Bootstrapping Server Function)和UE以及BSF与UE对应的参考点,使得改变后的BSF和UE能够支持SIP Digest认证机制,实现利用SIP Digest认证机制完成变异GBA架构的引导过程,具体过程如下MS UE和变异BSF之间建立一条安全传输层协议(TLS,Transport Layer Security)通道,该通道建立过程中利用服务器端的数字证书来认证服务器;BSF和MS UE两者之间后续的交互消息都在该通道中传递;建立TLS通道和认证服务器完成后,頂S UE向BSF发送一个初始HTTP GET请求,该消息中包含IP多媒体私有标识(IMPI, IP Multimedia Private Identity)。收到消息后,BSF向HSS请求所需的认证向量;HSS查找对应MPI的密码,并生成SIP Digest认证向量(SD-AV),向BSF返回响应信息,其中携带SD-AV,可选的,还可以包含GBA用户安全配置(⑶SS,GBA User SecuritySettings);其中,SD-AV 由 qop 值(quality of protection)、认证算法(algorithm)、范围域(realm)和一个哈希值H(Al)生成;BSF产生一个随机数nonce,BSF向MS UE发送一个401未授权挑战信息,该消息中携带realm、nonce、algorithm和qop值等参数。UE产生随机数cnonce,并依据RFC2617计算响应值RESP,然后在MS UE处产生密钥Ks,该Ks =KDF (H(Al),TLS_MK_Extr, ” GBA_Digest_Ks,,,Digest-response);接着 IMS UE 向 BSF 发送挑战响应消息,携带RFC2617指示参数。当BSF收到挑战响应消息后,计算期望response值,并与收到的response值对比,若两者相同,则MS UE认证通过。BSF利用MS UE产生Ks过程得到密钥Ks ;BSF产生B-TID ;BSF向MS UE发送2000K响应,指示认证成功,该消息中携带B-TID和包含密钥生命周期的XML文档,此时UE和BSF均包含Ks和B-TID,至此整个引导过程完成。 该方案能够使得非ncc的统一 MS UE利用SIP Digest机制实现访问AS的SSO功能,用户通过访问信任的网络运营商控制的应用程序,可以提高用户自身信息的安全性。现有技术是MS网络中非ncc的MS UE在变异的GBA架构下实现对AS的SSO功能,该技术适用于非ncc下的MS UE情况,需要实现建立TLS通道,完成对网络的认证;而实际应用中SIP Digest认证机制自身具有双向认证的能力,可以利用SIP Digest机制完成对网络的认证,实现双向认证,完成变异GBA架构的引导过程。
技术实现思路
有本文档来自技高网
...

【技术保护点】
一种变异GBA的引导方法,其特征在于,该方法包括:收到IMS?UE发送的401未授权挑战消息的响应消息后,BSF对IMS?UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(A1),利用算法生成引导密钥Ks,并发送给IMS?UE;IMS?UE计算rspauth值,并利用所述rspauth值完成对网络的认证。

【技术特征摘要】
1.一种变异GBA的引导方法,其特征在于,该方法包括 收到MS UE发送的401未授权挑战消息的响应消息后,BSF对MS UE进行认证,认证成功时,BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al),利用算法生成引导密钥Ks,并发送给MS UE ; IMS UE计算rspauth值,并利用所述rspauth值完成对网络的认证。2.根据权利要求1所述的方法,其特征在于,所述BSF对IMSUE进行认证之前,该方法还包括 IMS UE向BSF发送HTTP GET初始请求消息,BSF向HSS请求认证向量SD-AV ; 收到请求后,HSS生成SIP Digest认证向量SD-AV并发送给BSF,所述SD-AV中携带哈希函数值H(Al) ;BSF生成随机数nonce,并保存从HSS收到的SD-AV中的H(Al)和所述nonce ; BSF向IMS UE发送401未授权挑战消息,其中携带IMP1、realm、qop、algorithm和nonce ; IMS UE生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF。3.根据权利要求2所述的方法,其特征在于,所述IMSUE向BSF发送HTTP GET初始请求消息,BSF向HSS请求认证向量SD-AV为 IMS UE向BSF发送HTTP GET初始请求消息,其中携带MS UE的身份标识MPI ;收到HTTP GET初始请求消息后,存在多HSS的场景中,BSF通过询问SLF获得对应的HSS,向所述HSS发送HTTP请求消息,请求自身需要的认证向量SD-AV ;所述HTTP请求消息中携带从IMS UE收到的MS UE的身份标识MPI。4.根据权利要求2所述的方法,其特征在于,所述HSS生成SIPDigest认证向量SD-AV并发送给BSF,所述SD-AV中携带哈希函数值H(Al)为 HSS根据HTTP请求消息中的MPI在本地存储的MPI与参数的对应关系中,查找参数,并根据找到的参数生成对应的SIP Digest认证向量SD-AV ;所述SD-AV中包括MP1、领域(realm)、质量保证(qop)、认证算法(algorithm)和 H(Al);所述 H(Al)是由 IMP1、realm和password组成的哈希函数值;HSS向BSF返回HTTP请求消息的响应消息,其中携带SIPDigest认证向量SD-AV。5.根据权利要求2所述的方法,其特征在于,所述IMSUE生成随机数cnonce和H (Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF为 收到401未授权挑战消息后,IMS UE生成随机数cnonce和H(Al),根据401未授权挑战消息中携带的参数,利用单向哈希函数F计算response值response = F(H(Al), cnonce,nonce, qop, nonce-count);其中,所述nonce-count为计数...

【专利技术属性】
技术研发人员:张孟旺田甜
申请(专利权)人:中兴通讯股份有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1