[发明专利]针对移动电信网络中的终端来实现通用引导架构类型的安全关联

说明书

技术领域

本发明的领域是电信领域，且更具体而言是移动网络的电信领域。

背景技术

3GPP已经定义了被称为GBA(通用引导架构)的架构，其目标是允许移动终端的验证从而在移动终端和应用之间建立安全关联。

该架构包括引导功能服务器(其后简称为“BSF服务器”)，并依赖于标识密钥的被称为AKA的协议。

在验证过程中，装有SIM卡的终端使用基于http协议的连接来向BSF服务器验证自己。一般的原则如下：

验证结果是由服务器确定的在一持续时间内有效的安全秘钥。服务器还向终端提供与安全秘钥关联的会话标识符以及秘钥有效性的持续时间。

当终端随后打开与应用的IP连接时，通过向应用提供会话标识符，它向应用表明它想要根据GBA技术来验证。

应用联系BSF服务器，以向它提供会话标识符。BSF服务器通过向它提供从安全秘钥以及从应用名称导出的新秘钥来进行响应。终端执行相同的操作。于是，终端和应用使用同一个秘钥，它们可以用该秘钥来互相验证它们自己，并保证它们之间的IP连接的安全性。

通过示例，国际专利申请WO2008/082337描述了一种使用如下过程的方法，该过程基于利用BSF服务器的现有验证，然后在随后的打开IP连接的过程中根据GBA技术来进行验证。

但是，该过程意味着终端打开其自己的http浏览器从而之后能够打开与应用的IP连接，该连接不是必须要基于http协议。

此外，移动终端在附接到网络时已经预先与网络接入服务器验证自己。因此移动终端存在两次验证，一次是在附接到网络时，且第二次是在建立与应用的安全关联的时候。

发明内容

本发明的目标是通过提供一种针对终端来实现GBA类型的安全关联的方法，以解决现有技术的缺陷，该方法包括在从终端接收到附接到网络的请求之后在网络接入服务器中执行的下列步骤：

-将安全关联请求派送到引导功能服务器，

-从引导功能服务器接收包含安全关联参数的响应，

-将包含安全关联参数的消息派送到终端。

通过本发明，终端对GBA类型的安全关联的验证与在终端附接到网络时执行的操作相结合，而不是和现有技术的情况一样单独地且在它们之后执行。

于是，终端发送的信令整体上被减少，且GBA类型的安全关联的使用因此被简化。

特别地，终端不需要打开特定的http连接，以为了GBA类型的安全关联验证自己。

根据优选的特征，安全关联参数包括：

-随机值，

-用于识别网络的参数，

-安全会话标识符，

-安全会话的有效性持续时间。

这些参数随后将允许终端与应用建立安全关联。

根据优选的特征，由订户服务器来确定随机值和用于识别网络的参数。

于是本发明与3GPP提出的GBA架构兼容。

根据优选的特征，派送到引导功能服务器的安全关联请求是“直径”(“Diameter”)类型的请求，其包含终端用户的国际移动订户身份。

根据优选的特征，从引导功能服务器接收的包含安全关联参数的响应是“直径”类型。

“直径”协议是广泛使用的AAA协议中的一种。

根据优选的特征，被派送(E5)到终端的包含安全关联参数的消息是调整的“附接接收”(“ATTACH RECEPT”)类型的消息以便包含安全关联参数。

本发明还涉及一种网络接入服务器，适于针对终端来实现GBA类型的安全关联，包括用于从终端接收附接到网络的请求的装置，并且还包括：

-用于在从终端接收到附接到网络的请求之后、将安全关联请求派送到引导功能服务器的装置；

-用于从引导功能服务器接收包含验证参数和安全关联参数的响应的装置，

-用于将包含安全关联参数的消息派送到终端的装置。

该装置展示了与上述方法类似的优势。

在特定的实施例中，根据本发明的方法的各个步骤是通过计算机程序的指令来确定的。

因此，本发明的目标还在于一种信息介质上的计算机程序，该程序能够在计算机中实现，该程序包含的指令适于实现如上所述的方法的步骤。

该程序可以使用任意编程语言，并且可以是源代码、目标代码或者源代码和目标代码之间的代码的形式(例如部分编译的形式)、或者任意其他想要的形式。

本发明的目标还在于一种信息介质，其可被计算机读取，并且包含上述计算机程序的指令。