一种变异GBA的引导方法及系统技术方案

本发明专利技术公开一种变异GBA的引导方法，包括：收到IMS?UE发送的401未授权挑战消息的响应消息后，BSF对IMS?UE进行认证，认证成功时，BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(A1)，利用算法生成引导密钥Ks，并发送给IMS?UE；IMS?UE计算rspauth值，并利用所述rspauth值完成对网络的认证；本发明专利技术还提供一种变异GBA的引导系统。根据本发明专利技术的技术方案，能够实现在变异GBA架构下，利用SIP?Digest认证机制完成对非UICC下的统一IMS?UE访问AS的SSO功能。

【技术实现步骤摘要】

本专利技术涉及MS网络通信安全技术，尤其涉及一种变异GBA的引导方法及系统。
技术介绍
现有的实现IP多媒体系统(MS，IP Multimedia Subsystem)的单点登录(SS0，Single Sign On)的方法都是在基于通用集成电路卡(UICC, Universal IntegratedCircuit Card)的情形下设计的，要么使用认证与密钥协商协议/开放ID(AKA/OpenID,Authentication and Key Agreement/OpenID)方案，要么是通用引导体系(GBA, GenericBootstrapping Architecture)方案，而对于非UICC的终端和没有部署GBA的网络环境，没有具体的实现方案可以使用。在现有頂S网络的SSO实现过程中，运营商会部署大量的GBA，同时为每个MS UE内嵌入UICC，利用GBA和ncc内的信息完成对MS UE访问应用服务器的SSO功能。而随着非ncc的MS UE的出现，这种MS的UE需要访问MS网络中的应用服务器，进而实现SSO功能，以前设计的方案将不适于在这种场景中使用。在统一 MS UE认证过程和实现SSO的过程中，现有技术中存在三种场景第一种是MS UE内具有UICC，并且运营商已部署了 GBA的场景；此时可以利用GBA认证机制同Liberty Alliance/OpenID结合实现SS0,还能够实现与现有的其它SSO机制的互通。第二种是IMS UE内具有nCC，但是运营商不能部署GBA的场景；对于该场景，ALU (阿尔卡特-朗讯公司)已提出相关立项提案，其采用AKA/OpenID相结合方案实现这种场景下的SSO功能。第三种是统一 MS UE不 具有MCC情形；对于该场景，已在3GPP SA3#60会议上由诺基亚西门子通信公司(NSN, Nokia Siemens Network Company)对该场景进行立项。随着非MCC的MS UE接入MS网络的增多，第三种场景会越来越流行，同样重要的是运营商能作为用户认证中心提供者完成对MS UE使用应用服务器(AS，ApplicationServer)的统一认证，方便各种AS接入MS UE ;运营商可以为AS提供商提供大量用户群，运营商可通过与AS提供商合作更好的满足用户群对各种应用服务的需求，同时用户通过信任的运营商访问相关AS，不仅为用户提供了方便，也增加了用户信息的安全性同时也扩大了运营商的盈利方式。非ncc场景下，頂S UE也常常需要访问MS网络和使用与MS相关的应用服务，这种场景下，基于非ncc的统一 MS UE的SSO认证变得非常有必要。随着MS网络与Internet网络之间不断融合的趋势，IMS UE对各种AS的访问需求的增加，实现頂S UE对AS的SSO功能，对用户而言是越来越亟待需要实现的功能。现有技术都是运营商通过在頂S网络中大量部署GBA和在所有MS UE嵌入nCC，实现对MS网络相关应用服务的SSO功能。对于第三种场景中非ncc的IMS UE的现有机制将不能实现，需要新的认证机制来实现该种頂S UE的SSO认证功能。NSN在3GPP SA3#60会议上对第三种场景的情况进行了立项，现有的实现前两种场景的方案中，只有具有ncc的MS UE才能实现SSO功能，进而访问MS网络中的各种应用服务，这样需要运营商对没有ncc的MS UE提供一个UICC，而不具有ncc的MS ue将不能利用已有方案实现MS网络中相关应用服务的SSO功能。然而非ncc的IMS UE亦需要实现MS网络中应用服务的SSO功能，减少该类UE访问MS网络相关的应用服务的复杂度。同时运营商要能够支持此类UE来访问MS网络中的应用服务。运营商利用SIP摘要(SIP Digest, Session Initiation Protocol Digest)认证机制，同时通过提供变异的GBA架构完成用户和网络之间的双向认证，能够成功的实现第三种场景中的SSO功能，同时可以降低运营商在UE中嵌入ncc的成本，降低维护各种设备的消耗。NSN提出了变异的GBA架构，利用SIP Digest认证机制实现非WCC场景下统一IMS UE的SSO设计方案，该方案使得运营商对原来的GBA进行修改，改变引导服务功能单元(BSF, Bootstrapping Server Function)和UE以及BSF与UE对应的参考点，使得改变后的BSF和UE能够支持SIP Digest认证机制，实现利用SIP Digest认证机制完成变异GBA架构的引导过程，具体过程如下MS UE和变异BSF之间建立一条安全传输层协议(TLS，Transport Layer Security)通道,该通道建立过程中利用服务器端的数字证书来认证服务器；BSF和MS UE两者之间后续的交互消息都在该通道中传递；建立TLS通道和认证服务器完成后，頂S UE向BSF发送一个初始HTTP GET请求，该消息中包含IP多媒体私有标识(IMPI, IP Multimedia Private Identity)。收到消息后，BSF向HSS请求所需的认证向量；HSS查找对应MPI的密码，并生成SIP Digest认证向量(SD-AV)，向BSF返回响应信息，其中携带SD-AV，可选的，还可以包含GBA用户安全配置(⑶SS，GBA User SecuritySettings);其中，SD-AV 由 qop 值(quality of protection)、认证算法(algorithm)、范围域(realm)和一个哈希值H(Al)生成；BSF产生一个随机数nonce，BSF向MS UE发送一个401未授权挑战信息,该消息中携带realm、nonce、algorithm和qop值等参数。UE产生随机数cnonce，并依据RFC2617计算响应值RESP，然后在MS UE处产生密钥Ks，该Ks =KDF (H(Al)，TLS_MK_Extr, ” GBA_Digest_Ks，，，Digest-response);接着 IMS UE 向 BSF 发送挑战响应消息，携带RFC2617指示参数。当BSF收到挑战响应消息后，计算期望response值，并与收到的response值对比，若两者相同，则MS UE认证通过。BSF利用MS UE产生Ks过程得到密钥Ks ；BSF产生B-TID ；BSF向MS UE发送2000K响应，指示认证成功，该消息中携带B-TID和包含密钥生命周期的XML文档，此时UE和BSF均包含Ks和B-TID，至此整个引导过程完成。 该方案能够使得非ncc的统一 MS UE利用SIP Digest机制实现访问AS的SSO功能，用户通过访问信任的网络运营商控制的应用程序，可以提高用户自身信息的安全性。现有技术是MS网络中非ncc的MS UE在变异的GBA架构下实现对AS的SSO功能，该技术适用于非ncc下的MS UE情况，需要实现建立TLS通道，完成对网络的认证；而实际应用中SIP Digest认证机制自身具有双向认证的能力，可以利用SIP Digest机制完成对网络的认证，实现双向认证，完成变异GBA架构的引导过程。
技术实现思路
有本文档来自技高网...

【技术保护点】
一种变异GBA的引导方法，其特征在于，该方法包括：收到IMS?UE发送的401未授权挑战消息的响应消息后，BSF对IMS?UE进行认证，认证成功时，BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(A1)，利用算法生成引导密钥Ks，并发送给IMS?UE；IMS?UE计算rspauth值，并利用所述rspauth值完成对网络的认证。

【技术特征摘要】
1.一种变异GBA的引导方法，其特征在于，该方法包括 收到MS UE发送的401未授权挑战消息的响应消息后，BSF对MS UE进行认证，认证成功时，BSF根据预先生成的随机数和预先从HSS获取的哈希函数值H(Al)，利用算法生成引导密钥Ks，并发送给MS UE ； IMS UE计算rspauth值,并利用所述rspauth值完成对网络的认证。2.根据权利要求1所述的方法，其特征在于，所述BSF对IMSUE进行认证之前，该方法还包括 IMS UE向BSF发送HTTP GET初始请求消息，BSF向HSS请求认证向量SD-AV ； 收到请求后，HSS生成SIP Digest认证向量SD-AV并发送给BSF，所述SD-AV中携带哈希函数值H(Al) ；BSF生成随机数nonce，并保存从HSS收到的SD-AV中的H(Al)和所述nonce ； BSF向IMS UE发送401未授权挑战消息，其中携带IMP1、realm、qop、algorithm和nonce ； IMS UE生成随机数cnonce和H(Al),计算response值,并通过401未授权挑战消息的响应消息发送给BSF。3.根据权利要求2所述的方法，其特征在于，所述IMSUE向BSF发送HTTP GET初始请求消息，BSF向HSS请求认证向量SD-AV为 IMS UE向BSF发送HTTP GET初始请求消息，其中携带MS UE的身份标识MPI ;收到HTTP GET初始请求消息后，存在多HSS的场景中，BSF通过询问SLF获得对应的HSS，向所述HSS发送HTTP请求消息，请求自身需要的认证向量SD-AV ;所述HTTP请求消息中携带从IMS UE收到的MS UE的身份标识MPI。4.根据权利要求2所述的方法，其特征在于，所述HSS生成SIPDigest认证向量SD-AV并发送给BSF，所述SD-AV中携带哈希函数值H(Al)为 HSS根据HTTP请求消息中的MPI在本地存储的MPI与参数的对应关系中，查找参数，并根据找到的参数生成对应的SIP Digest认证向量SD-AV ;所述SD-AV中包括MP1、领域(realm)、质量保证(qop)、认证算法(algorithm)和 H(Al);所述 H(Al)是由 IMP1、realm和password组成的哈希函数值；HSS向BSF返回HTTP请求消息的响应消息,其中携带SIPDigest认证向量SD-AV。5.根据权利要求2所述的方法，其特征在于，所述IMSUE生成随机数cnonce和H (Al)，计算response值,并通过401未授权挑战消息的响应消息发送给BSF为 收到401未授权挑战消息后，IMS UE生成随机数cnonce和H(Al)，根据401未授权挑战消息中携带的参数，利用单向哈希函数F计算response值response = F(H(Al), cnonce,nonce, qop, nonce-count);其中，所述nonce-count为计数...

【专利技术属性】
技术研发人员：张孟旺，田甜，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：