[发明专利]在终端联接至接入网期间实现安全关联

说明书

本发明涉及一种为联接到接入网(ACC_NET)的终端(UE)实现安全关联的方法，包括在接收到(211)来自终端的联接到网络的请求之后、由接入网的验证服务器(AAA)执行的下列步骤：从引导功能服务器(BSF)接收(216、218')包含至少一个安全关联参数(B‑TID、Tks)的第一消息；借助由所述终端的归属订户服务器(HSS)提供的至少一个第一验证参数(RAND、AUTN、XRES)来对终端进行验证(217、219')；和向被验证的终端发送(218、220')包含所述至少一个安全关联参数的安全关联消息。

技术领域

本发明的领域是电信领域，更具体地是移动网络的电信。

背景技术

3GPP标准化组织已定义了被称做GBA(“通用引导架构”)的架构，其 目的是允许移动终端的验证以便创建移动终端和应用之间的安全关联。该架 构包括引导功能服务器，被称作BSF(“引导功能服务器”)，其充当允许终 端和应用之间建立安全关联的可信任的第三方。

因而在该架构中所使用的验证过程分两个阶段实现，由引导服务器BSF 验证移动终端的第一过程。该验证阶段使得可能基于在验证过程中生成的共 享密钥来在终端和BSF之间建立安全关联。随后，该共享密钥使得可能建立 终端和应用之间的安全关联，其可接入BSF以便恢复用于验证终端所需的安 全硬件。

在移动终端试图经由非3GPP接入网连接的情况中，通常通过使用EAP (可扩展验证协议)协议事先执行将终端联接到接入网的附加步骤来验证终 端，以允许其接入非3GPP接入网。

图1说明当移动终端试图经由非3GPP接入网连接至应用时的验证过 程。

在第一阶段，移动终端UE通过经所述网络的接入点AP向验证服务器 AAA/EAP进行自我寻址并使用EAP验证协议进行第一验证来联接到非 3GPP接入网(步骤105)。

一旦终端UE联接到非3GPP接入网，它随后便能利用GBA设施来进行 第二验证过程。因此，使用基于http协议的连接(步骤111)，装有SIM卡 的终端UE首先利用引导功能服务器BSF来进行自我验证(步骤110)。

该验证的结果是由引导服务器BSF提供的安全密钥Ks，其在确定的一 段时间内有效。引导服务器BSF还为终端提供与安全密钥Ks关联的会话标 识符B-TID，以及所述密钥的有效期(步骤113)。

接下来，当终端想要访问应用APP时，它通过打开与所述应用APP的 连接(步骤121)，向该应用指示它想要按照GBA技术来验证并向其提供会 话标识符B-TID，来和所述应用APP相互自我验证(步骤120)。

应用APP然后联系服务器BSF以向其提供会话标识符B-TID，服务器 BSF通过向它提供从安全密钥和应用的名字中获取的新的密钥K'来响应(步 骤123)。在终端这一边执行相同的操作(步骤125)。

因此终端和应用具有一个相同的密钥K'，它们可用它来相互自我验证并 确保它们之间的IP连接(步骤127)。

所述验证过程因而意味着终端打开其http浏览器以便能随后打开与应 用的IP连接，但该连接并不一定基于http协议。

此外，联接到网络时，在利用引导服务器BSF进行自我验证之前，移动 终端已预先利用接入网的服务器AAA进行了自我验证。因而对移动终端有 双重验证，第一次是在其联接到网络时，第二次是在创建与引导服务器BSF 的安全关联时，从而在终端访问应用APP期间造成延迟、及复杂度增加， 并增加了网络上的消息交换。

发明内容

本发明的目的是通过提供为联接到接入网特别是非3GPP类型接入网的 终端设立安全关联的方法来解决现有技术的缺点，其只需要一个联接到网络 以及安全关联的联合阶段。