[发明专利]保护在通信网络中发送的有效载荷

说明书

本文描述了用于保护在通信网络中的客户端装置与网络应用功能节点（NAF）之间发送的有效载荷的方法和设备。在客户端装置与NAF的任一个处，做出在客户端装置与NAF之间没有现有的安全关联（SA）标识符在本地可用的确定。获得标识符胚胎，并利用标识符胚胎构造SA标识符。利用与所构造的SA标识符相关联的SA保护在客户端装置与NAF之间发送的有效载荷。

技术领域

本发明涉及保护在通信网络中发送的有效载荷的领域。

背景技术

3GPP正在对机器型通信（MTC）的要求和体系结构进行工作。TR 33.868 Rel-12中考虑到MTC安全方面。TR 33.868 Rel-12的第4章节的图1中示出安全的端点和对应的安全机制。

安全的两个可能的安全端点是诸如用户设备（UE）的客户端装置和MTC服务器/应用。它们代表了所谓的“安全连接”，这打算作为UE和MTC服务器/应用之间的应用层安全。当前规定，3GPP运营商可以帮助对安全连接进行密钥管理，例如借助于GBA（通用引导体系结构）[TS 33.220 1-5章节]，但是另外假设安全连接对于3GPP网络是透明的。原则上，可以对安全连接使用任何安全机制。

在Rel-12的MTC体系结构中，标识了用于保护从SCS网络服务器到UE的MTC装置触发器的新的使用情形。使用通用推送层（GPL）来对MTC装置触发器进行端到端保护被视为是有利的。

GBA是认证基础设施。它包括3GPP认证中心（AuC）、通用订户身份模块（USIM）或IP多媒体服务身份模块（ISIM）、以及在它们之间运行的3GPP认证和密钥协定（AKA）协议，并且它是3GPP运营商的一个非常有价值的资产。3GPP Rel-6中认为，可以利用这种基础设施以使得网络中和用户侧上的应用功能能够建立共享密钥。因此，3GPP提供‘应用安全的引导’以便通过定义TS 33.220中的基于AKA协议的GBA来认证订户。此时看到对诸如多媒体广播多播服务（MBMS）、订户证书分发等的若干个应用的需要。该应用列表从那以后已进行了扩展。

图1中示出在UE 1、引导服务器功能（BSF）2和归属订户服务器（HSS）或归属位置寄存器（HLR）3之间的简单的GBA流。BSF通过采用来自步骤A3的base64编码的RAND值和BSF服务器名称以网络接入标识符（NAI）格式生成引导事务标识符（B-TID），即base64encode(RAND)@BSF_servers_domain_name。由BSF 2提供给UE 1的B-TID标识所建立的共享密钥Ks。如下所述，UE 1在它与一个或多个网络应用功能（NAF）的所有通信中使用B-TID。通过串联UE 1和BSF 2中的CK和IK（Ks = CK‖IK）来创建共享密钥Ks。

3GPP定义了通用认证体系结构（GAA）。通过其它标准化团体采用GAA表明，一些服务无法假定UE 1总是具有连接到BSF 2的可能性，或UE 1出于不同原因没有直接和BSF 2执行引导过程。因此，3GPP引入并指定GBA推送功能。

GBA推送是用于引导NAF 4与UE1之间的安全性的机制，而无需迫使UE 1联系BSF 2以启动引导。GBA推送与TS 33.220中所指定的GBA密切相关并建立在此基础上。图2示出用于GBA推送的简单的网络体系结构。

一个示例性使用情形是，NAF 4启动在它本身与UE 1之间建立共享安全关联（SA）NAF SA。这是通过NAF 4推送UE 1设立SA所需的所有信息、所谓的GBA推送信息（GPI）来进行的。该SA中的密钥是NAF密钥，并且从BSF请求GPI。如GBA TS33.220中所定义地那样生成NAF密钥。

在NAF SA建立之后，NAF 4可以将受保护的推送消息发送到UE 1。如果存在返回通道，并且如果由Ua应用定义，那么UE 1还可使用所建立的SA来保护给启动NAF 4的响应消息。通过下行链路和上行链路SA标识符来标识NAF SA。