CN101378313A - 建立安全关联的方法、用户设备和网络侧设备 - Google Patents
建立安全关联的方法、用户设备和网络侧设备 Download PDFInfo
- Publication number
- CN101378313A CN101378313A CN200710154542.4A CN200710154542A CN101378313A CN 101378313 A CN101378313 A CN 101378313A CN 200710154542 A CN200710154542 A CN 200710154542A CN 101378313 A CN101378313 A CN 101378313A
- Authority
- CN
- China
- Prior art keywords
- security association
- network side
- subscriber equipment
- parameters
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络通信领域,公开了建立安全关联的方法、用户设备以及网络侧设备,其中,建立安全关联的方法包括:网络侧向用户设备发送安全关联参数;网络侧接收用户设备返回的建立安全关联所采用的安全关联参数,并根据所述安全关联参数建立和用户设备之间的安全关联。本发明能够使用户和网络侧之间建立的安全关联满足推送业务在安全层开展业务的需求,从而使得网络在进行推送业务时,不必多次建立安全关联,进而避免了网络资源的浪费,减少了网络的负担。
Description
技术领域
本发明涉及网络通信领域,尤其涉及建立安全关联的方法、用户设备和网络侧设备。
背景技术
在第三代无线通信标准中,通用自举架构(GBA,Generic BootstrappingArchitecture)技术是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,同时生成共享密钥,对应用通信进行保护的一种技术。
GBA推送(GBA push)是一种特殊的GBA技术,它可以满足网络侧主动向用户终端推送数据的业务需求。
通常所述GBA push网络架构包括用户终端(UE,User Equipment)、自举服务器功能(BSF,Bootstrapping Server Function)实体以及网络应用功能(NAF,Network Application Function)实体。常见的push流程是这样的:当NAF需要向UE推送应用数据时,应用数据没有密钥保护,而UE不能直接和BSF自举生成密钥,此时NAF将UE身份信息以及自身信息发送给BSF,BSF根据收到的信息生成共享密钥及GBA推送信息,再将密钥、密钥生命周期以及GBA推送信息发送给NAF,NAF采用该密钥对需要推送的消息进行加密,然后将加密得到的推送数据以及GBA推送信息发送给UE。
现有技术提出了一种推送数据的方法,该方法在push流程中定义了一个安全层,方法流程如图1所示,具体包括以下步骤:
步骤101~步骤102、UE、BSF和NAF进行正常的GBA(normal GBA)或者GBA push流程生成密钥Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
步骤103、基于Ks_(ext/int)_NAF或Ks_(ext/int)_NAF衍生的密钥建立NAF和UE之间的安全关联,NAF利用共享密钥对需要推送的消息进行加密,并将加密得到的数据发送给UE。
在现有标准文本中提出了安全层的概念,安全层是可以重用的安全关联。如果一个安全关联建立以后,可以在后续的业务应用中重复使用,则该安全关联可以称之为安全层。现有标准文本进一步提到,在网络侧发起的push业务中,应当能够基于安全层开展业务,即应当能够建立满足安全层要求的安全关联。
发明人在实现本发明过程中,发现现有技术中至少存在如下问题:
满足安全层要求的安全关联需要通过一系列流程才能建立,但现有标准文本中仅提出需要在push业务中也能够建立这样的安全关联,却没有给出push业务中建立这种安全关联的具体流程。
发明内容
本发明实施例要解决的技术问题是提供一种建立安全关联的方法,该方法能够使用户和网络侧之间建立的安全关联满足在push业务中基于安全层开展业务的需求。
本发明实施例要解决的技术问题是提供一种用户设备,该设备能够建立和网络侧之间的安全关联,且该安全关联满足在push业务中基于安全层开展业务的需求。
本发明实施例要解决的技术问题是提供一种网络侧设备,该设备能够建立和用户设备之间的安全关联,且该安全关联满足在push业务中基于安全层开展业务的需求。
为解决上述技术问题,本发明实施例提供了一种建立安全关联的方法,该方法包括:
网络侧向用户设备发送安全关联参数;
网络侧接收用户设备返回的建立安全关联所采用的安全关联参数,并根据所述建立安全关联所采用的安全关联参数建立和用户设备之间的安全关联。
本发明实施例还提供了一种建立安全关联的方法,该方法包括:
用户设备接收网络侧发送的安全关联参数;
用户设备根据所述安全关联参数建立和网络侧之间的安全关联;
用户设备向网络侧发送建立安全关联所采用的安全关联参数。
本发明实施例还提供了一种建立安全关联的方法,包括:
网络侧向用户设备发送安全关联参数;
网络侧根据所述安全关联参数并采用预共享密钥传输层安全协议与用户设备建立安全关联;
网络侧利用所建立的安全关联向用户设备推送数据。
本发明实施例还提供一种建立安全关联的方法,包括:
用户设备接收网络侧发送的安全关联参数;
用户设备根据所述安全关联参数并采用预共享密钥传输层安全协议与网络侧建立安全关联;
用户设备利用所建立的安全关联接收网络侧发送的推送数据。
本发明实施例提供了一种网络侧设备,该设备包括:
第一收发单元,用于向用户设备发送安全关联参数,以及接收用户设备返回的建立安全关联所采用的安全关联参数;
第一建立单元,用于根据收发单元收到的安全关联参数建立和用户设备之间的安全关联。
本发明实施例提供了一种用户设备,该设备包括:
第二收发单元,用于接收网络侧发送的安全关联参数,以及向网络侧发送建立安全关联所采用的安全关联参数;
第二建立单元,用于根据第二收发单元收到的安全关联参数建立和网络侧之间的安全关联。
本发明实施例还提供了一种网络侧设备,该设备包括:
发送单元,用于向用户设备发送安全关联参数;
第三建立单元,用于根据发送单元发送的安全关联参数并采用预共享密钥传输层安全协议与用户设备建立安全关联;
推送单元,用于利用所建立的安全关联向用户设备推送数据。
本发明实施例还提供了一种用户设备,该设备包括:
接收单元,用于接收网络侧发送的安全关联参数;
第四建立单元,用于根据接收单元收到的安全关联参数并采用预共享密钥传输层安全协议与网络侧建立安全关联;
推送接收单元,用于利用所建立的安全关联接收网络侧发送的推送数据。
以上技术方案具有如下优点或有益效果:由于本发明实施例在网络侧需要向用户设备推送数据时,首先向用户设备发送安全关联参数,用户设备根据这些安全关联参数建立和网络侧之间的安全关联。与现有技术相比较,本发明实施例提供了在push业务中建立满足安全层要求的安全关联的具体步骤,解决了现有技术中仅提出需求而没有给出具体方案的缺陷。
附图说明
图1现有技术推送数据的方法流程图;
图2是本发明实施例一建立安全关联的方法流程图;
图3是本发明实施例二建立安全关联的方法流程图;
图4是本发明实施例三建立安全关联的方法流程图;
图5是本发明实施例四建立安全关联的方法流程图;
图6是本发明实施例五建立安全关联的方法流程图;
图7是本发明实施例六网络侧设备的示意图;
图8是本发明实施例七用户设备的示意图;
图9是本发明实施例八网络侧设备的示意图;
图10是本发明实施例九用户设备的示意图。
具体实施方式
为使本领域技术人员能够更好地理解本发明实施例,下面结合附图对本发明实施例的技术方案进行详细说明。
实施例一、一种建立安全关联的方法,本实施例通过在同步标注性语言(SyncML,Synchronization Markup Language)协议的通知(Notification)消息中携带会话标识和GBA推送信息,将该协议进行扩展并应用于在push业务中建立满足安全层要求的安全关联,方法流程图如图2所示,具体包括以下步骤:
步骤201~步骤202、UE和网络侧进行normal GBA或者GBA push流程生成密钥Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
步骤203、NAF向UE发送SyncML协议的pkg0数据包,也就是Notification消息,该消息包括发起标志位(initiator)、会话标识(session id)以及GBA推送信息(GBA-PUSH-INFO),如果push消息的发起者为NAF,则initiator置1,GBA-PUSH-INFO可以放在Notification消息的摘要(Digest)或扩展(future-use)位,也可以放在Notification消息的触发消息(trigger message)位。其中,GBA-PUSH-INFO包括自举事务标识(B-TID,BootstrappingTransaction Identifier)、NAF标识等用来建立安全关联的参数。
通常,SyncML协议分为pkg0-pkg4数据包,每个包可分为多条消息(message),其中,pkg0是Notification消息,pkg1是用户向服务器发送的身份认证及设备信息,pkg2是服务器向用户发送的认证信息及需要用户配置的信息等,pkg3是用户接到pkg2后对服务器所做出的响应。
步骤204、UE基于共享密钥Ks_(ext/int)_NAF和NAF建立安全关联,并对NAF进行认证。
步骤205、UE向NAF发送pkg1数据包,其中包括自身的认证信息和设备信息。
步骤206、NAF对UE的认证信息进行检查。
步骤207、NAF向UE发送pkg2数据包推送消息,并采用共享密钥Ks_(ext/int)_NAF对推送的消息进行加密,所述pkg2可以包含1条或多条messages。
步骤208、UE接收推送的消息,并根据需要进行配置操作。
步骤209、UE向NAF发送pkg3数据包,其中包括确认响应(200OK)消息,表示已收到推送的消息。
步骤210、NAF向UE发送pkg4数据包表示本次推送结束。
值得说明的是,本实施例中,当步骤201~步骤202采用normal GBA流程生成Ks_(ext/int)_NAF密钥时,步骤204中对NAF的认证以及步骤206可以省略。
值得说明的是,如果UE长时间不响应或密钥过期等其他原因,NAF可以在没有收到pkg3时,直接向UE发送表示本次推送结束的指示消息。
值得说明的是,在本实施例描述的推送结束之后,若NAF还要再次向UE推送数据,可以重用已建立的安全关联。在密钥过期前或者根据本地策略需要重新开始会话时也可以利用新的session id重新发起会话。
还值得说明的是,NAF重用已建立的安全关联再次推送数据,也可以通过扩展SyncML协议实现。此时需要在notification消息携带与上次相同的session id,如果UE查到有与此session id相匹配的安全关联,则通过pkg1数据包将B-TID和/或相同的session id等能够标识已建立安全关联的标识符号发给NAF,NAF即可以重用该安全关联向UE发送pkg2数据包推送消息。
本实施例中,是用session id来标识安全关联。事实上,安全关联还可以用其他标识符号来标识,如B-TID、用户假名、临时身份标识等。
实施例二、一种建立安全关联的方法,本实施例通过在SyncML协议的Notification消息携带会话标识(session id)、安全标识(secure id)和GBA推送信息,将该协议进行扩展并应用于在push业务中建立满足安全层要求的安全关联,方法流程如图3所示,具体包括以下步骤:
步骤301~步骤302、UE和网络侧进行normal GBA或者GBA push流程生成密钥Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
步骤303、NAF向UE发送SyncML协议的pkg0数据包,也就是Notification消息,该消息包括initiator、session id、secure id以及GBA推送信息(GBA-PUSH-INFO),安全标识可以作为GBA推送信息的一部分。如果push消息的发起者为NAF,则initiator置1,GBA-PUSH-INFO可以放在Notification消息的摘要(Digest)或future-use位,也可以放在Notification消息的触发消息(trigger message)位。其中,GBA-PUSH-INFO包括B-TID,、NAF标识等用来建立安全关联的参数。
此时,Notification消息携带的session id用来标识此次会话,secure id用来标识建立的安全关联。
步骤304、UE基于共享密钥Ks_(ext/int)_NAF和NAF建立安全关联,并对NAF进行认证。
步骤305、UE向NAF发送pkg1数据包,其中包括自身的认证信息和设备信息。
步骤306、NAF对UE的认证信息进行检查。
步骤307、NAF向UE发送pkg2数据包推送消息,并采用共享密钥Ks_(ext/int)_NAF对推送的消息进行加密,所述pkg2可以包含1条或多条messages。
步骤308、UE接收推送的消息,并根据需要进行配置操作。
步骤309、UE向NAF发送pkg3数据包,其中包括确认响应(200OK)消息,表示已收到推送的消息。
步骤310、NAF向UE发送pkg4数据包表示本次推送结束。
值得说明的是,本实施例中,当步骤301~步骤302采用normal GBA流程生成Ks_(ext/int)_NAF时,步骤304中对NAF的认证以及步骤306可以省略。
值得说明的是,如果UE长时间不响应或密钥过期等其他原因,NAF可以在没有收到pkg3时,直接向UE发送表示本次推送结束的指示消息。
值得说明的是,在本实施例描述的推送结束之后,若NAF还要再次向UE推送数据,可以重用已建立的安全关联。在密钥过期前或者根据本地策略需要建立新的安全关联时也可以利用新的secure id重新发起会话。
还值得说明的是,NAF重用已建立的安全关联再次推送数据,也可以通过扩展SyncML协议实现。此时需要在notification消息携带与上次相同的secure id,如果UE查到有与此secure id相匹配的安全关联,则通过pkg1数据包将B-TID和/或相同的secure id等能够标识已建立安全关联的标识符号发给NAF,NAF即可以重用该安全关联向UE发送pkg2数据包推送消息。
本实施例中,是用secure id来标识安全关联。事实上,安全关联还可以用其他标识符号来标识,如session id、B-TID、用户假名、临时身份标识等。
实施例三、一种建立安全关联的方法,本实施例通过在SyncML协议的pkg2数据包携带GBA推送信息,将该协议进行扩展并应用于在push业务中建立满足安全层要求的安全关联,方法流程如图4所示,具体包括以下步骤:
步骤401、UE向NAF发送pkg1数据包,其中包括自身的认证信息和设备信息。
步骤402~步骤403、UE和网络侧进行normal GBA或者GBA push流程生成密钥Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
如果进行GBA push,则NAF与BSF进行GBA push流程;如果进行normalGBA,则NAF向UE发起GBA请求,进行正常GBA流程。
步骤404、NAF生成GBA-PUSH-INFO,所述GBA-PUSH-INFO包括B-TID、NAF标识等用来建立安全关联的参数。
步骤405、NAF向UE发送pkg2数据包,其中包含GBA-PUSH-INFO。
步骤406、UE基于共享密钥Ks_(ext/int)_NAF建立和NAF之间的安全关联,并对NAF进行认证。
值得说明的是,如果是采用normal GBA流程生成Ks_(ext/int)_NAF,此时可以不需要对NAF进行认证。
步骤407、UE向NAF发送确认消息,所述消息可以包括自身的认证信息和设备信息。
值得说明的是,此时NAF可以对UE进行认证,也可以省略NAF对UE进行认证的步骤。
步骤408、NAF向UE发送pkg2数据包推送消息,并采用共享密钥Ks_(ext/int)_NAF对推送的消息进行加密,所述pkg2可以包含1条或多条messages。
步骤409、UE向NAF发送pkg3数据包,其中包括确认响应(200 OK)消息,表示已收到推送的消息。
步骤410、NAF向UE发送pkg4数据包表示本次推送结束。
由上述可知,上述三个实施例都是对SyncML协议的消息进行扩展,使得该协议可以应用于在push业务中建立满足安全层要求的安全关联,另外SyncML协议中的Pkg0数据包,即Notification消息是可以省略的。
实施例四、一种建立安全关联的方法,本实施例是将预共享密钥传输层安全(PSK TLS,Pre-shared Transport layer security)协议应用于在push业务中建立满足安全层要求的安全关联,所述PSK TLS协议就是建立安全关联的一种协议。本实施例的方法流程如图5所示,具体包括以下步骤:
步骤501~步骤502、UE和网络侧进行normal GBA或者GBA push流程生成密钥Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
如果进行GBA push,则NAF与BSF进行GBA push流程;如果进行normalGBA,则NAF向UE发起GBA请求,进行正常GBA流程。
步骤503、NAF向UE发送GBA-PUSH-INFO,所述GBA-PUSH-INFO包括B-TID、NAF标识等用来建立安全关联的参数。
特别的,在GBA-PUSH-INFO里包括常量psk-tls或者二进制表示,如001代表,以指示下面的流程使用PSK TLS协议。
特别的,NAF也可以不用步骤503,直接由UE向NAF发起PSK TLS协议先建立安全层以为NAF推送消息做准备。
步骤504、UE和NAF基于共享密钥Ks_(ext/int)_NAF进行握手协议,建立UE和NAF之间的安全关联。其中,建立安全关联的具体步骤可见TLS协议标准,即RFC2246。
步骤505、NAF采用共享密钥Ks_(ext/int)_NAF对推送的消息进行加密,并利用所建立的安全关联将加密得到的推送消息发送给UE。
实施例五、一种建立安全关联的方法,方法流程如图6所示,具体包括以下步骤:
步骤601~步骤602、UE和网络侧进行normal GBA或GBA push方式生成Ks,并从Ks衍生用于保护推送消息的密钥Ks_(ext/int)_NAF。
步骤603、当NAF需要向UE推送消息时,NAF向UE发送建立安全关联所需的相关参数。
其中,建立安全关联所需的相关参数可以包括此安全关联标识,NAF标识,加密算法,使用的协议版本号,以及密钥选择策略等。如果NAF此时得到了B-TID,则安全关联参数也可以包括B-TID。
值得说明的是,安全关联标识可以是专门标识安全关联的secure id;也可以是session id、B-TID或用户假名,临时身份标识等,但不限于上述所例举的标识。
步骤604、UE收到建立安全关联所需的相关参数后,建立和NAF之间的安全关联,以及根据密钥选择策略或B-TID查找自身所保存的密钥。
建立安全关联后,对NAF进行认证,并保存此次安全关联,包括所选择的安全关联参数以及安全关联标识。
值得说明的是,本实施例中,当步骤601~步骤602采用normal GBA流程生成Ks_(ext/int)_NAF密钥时,步骤604中对NAF的认证可以省略。
步骤605、UE向NAF返回建立安全关联的安全关联参数以及用户身份信息等。
可选地,NAF收到UE的密钥选择指示后,如果自身没有相关密钥,可以向BSF发送B-TID,BSF向NAF返回相应的密钥。
步骤606、NAF用双方协商好的共享密钥对推送消息进行加密,此密钥可以是步骤602生成的Ks_(ext/int)_NAF,或基于Ks_(ext/int)_NAF衍生的密钥,NAF保存此次安全关联,包括所选择的安全关联参数以及安全关联标识。
值得说明的是,如果是基于Ks_(ext/int)_NAF衍生的密钥,则步骤603、步骤604以及步骤605中UE和NAF需要协商衍生密钥算法。
步骤607、NAF向UE发送加密的推送信息。
步骤608、UE对收到的推送消息进行解密,并根据需要进行配置操作。
步骤609、UE向NAF发送200OK消息,表明推送消息成功接收。
步骤610、NAF通知UE结束本次推送。
由上述五个实施例可知,由于本发明实施例在网络侧需要向用户设备推送数据时,首先向用户设备发送安全关联参数,用户设备根据这些安全关联参数建立和网络侧之间的安全关联。与现有技术相比较,本发明实施例提供了在push业务中建立满足安全层要求的安全关联的具体步骤,解决了现有技术中仅提出需求而没有给出具体方案的缺陷。
进一步地,由于本发明实施例使得用户和网络侧之间的安全关联能够满足push业务的需求,从而使得网络在进行push业务时,不必多次建立安全关联,从而避免了网络资源的浪费,减少了网络的负担。
最后,由于本发明实施例在建立用户和网络侧的安全关联后,用户和网络侧可以进行信息交互,这样使得用户在收到网络侧推送的数据之后可以向网络侧发送确认响应表示已成功收到推送数据,这样使得本发明实施例可以适用于有会话概念(session concept)的GBA push情况。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指示相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,该程序在执行时,包括以下步骤:
网络侧向用户设备发送安全关联参数;
网络侧接收用户设备返回的建立安全关联所采用的安全关联参数,并根据所述建立安全关联所采用的安全关联参数建立和用户设备之间的安全关联。
可选地,程序在执行时可以包括以下步骤:
用户设备接收网络侧发送的安全关联参数;
用户设备根据所述安全关联参数建立和网络侧之间的安全关联;
用户设备向网络侧发送建立安全关联所采用的安全关联参数。
可选地,程序在执行时可以包括以下步骤:
网络侧向用户设备发送安全关联参数;
网络侧根据所述安全关联参数并采用预共享密钥传输层安全协议与用户设备建立安全关联;
网络侧利用所建立的安全关联向用户设备推送数据。
可选地,程序在执行时可以包括以下步骤:
用户设备接收网络侧发送的安全关联参数;
用户设备根据所述安全关联参数并采用预共享密钥传输层安全协议与网络侧建立安全关联;
用户设备利用所建立的安全关联接收网络侧发送的推送数据。
其中,所述的存储介质可以是ROM、RAM、磁碟或光盘等等。
实施例六、一种网络侧设备,由图7所示,该设备包括:
第一收发单元701,用于向用户设备发送安全关联参数,以及接收用户设备返回的建立安全关联所采用的安全关联参数;
第一建立单元702,用于根据第一收发单元701收到的安全关联参数建立和用户设备之间的安全关联。
实施例七、一种用户设备,由图8可知,该设备包括:
第二收发单元801,用于接收网络侧发送的安全关联参数,以及向网络侧发送建立安全关联所采用的安全关联参数;
第二建立单元802,用于根据第二收发单元801收到的安全关联参数建立和网络侧之间的安全关联。
实施例八、一种网络侧设备,由图9可知,该设备包括:
发送单元901,用于向用户设备发送安全关联参数;
第三建立单元902,用于根据发送单元901发送的所述安全关联参数并采用预共享密钥传输层安全协议与用户设备建立安全关联;
推送单元903,用于利用第三建立单元902所建立的安全关联向用户设备推送数据。
实施例九、一种用户设备,由图10可知,该设备包括:
接收单元1001,用于接收网络侧发送的安全关联参数;
第四建立单元1002,用于根据接收单元1001收到的所述安全关联参数并采用预共享密钥传输层安全协议与网络侧建立安全关联;
推送接收单元1003,用于利用第四建立单元1002所建立的安全关联接收网络侧发送的推送数据。
值得说明的是,上述网络侧设备或用户设备除了上述实施方式之外,还可以用具有相同或相应功能的软件或硬件模块来实现。
由上述可知,本发明实施例可以采用所建立的安全关联推送数据,这样使得网络在进行push业务时,不必多次建立安全关联,从而避免了网络资源的浪费,减少了网络的负担。
以上对本发明实施例所提供的建立安全关联的方法、用户设备以及网络侧设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (25)
1、一种建立安全关联的方法,其特征在于,包括:
网络侧向用户设备发送安全关联参数;
网络侧接收用户设备返回的建立安全关联所采用的安全关联参数,并根据所述建立安全关联所采用的安全关联参数建立和用户设备之间的安全关联。
2、如权利要求1所述的方法,其特征在于,网络侧通过扩展同步标注性语言协议的通知消息向用户设备发送安全关联参数。
3、如权利要求2所述的方法,其特征在于,所述通过扩展同步标注性语言协议的通知消息向用户设备发送安全关联参数具体为:
在通知消息中携带安全关联标识,以及其他安全关联参数。
4、如权利要求3所述的方法,其特征在于,所述安全关联标识是会话标识,所述其他安全关联参数包含在通用自举架构推送信息中。
5、如权利要求3所述的方法,其特征在于,所述安全关联标识是安全标识、自举事务标识、用户假名或临时身份标识。
6、如权利要求5所述的方法,其特征在于,所述安全关联标识和其他安全关联参数包含在通用自举架构推送信息中。
7、如权利要求4或6所述的方法,其特征在于,所述通用自举架构推送信息位于通知消息的摘要部分或扩展位。
8、如权利要求4或6所述的方法,其特征在于,所述通用自举架构推送信息位于通知消息的触发消息位。
9、如权利要求1所述的方法,其特征在于,网络侧通过扩展同步标注性语言协议的pkg2数据包携带安全关联参数给用户设备。
10、如权利要求9所述的方法,其特征在于,所述安全关联参数包含在通用自举架构推送信息中。
11、如权利要求1所述的方法,其特征在于,所述方法还进一步包括:网络侧接收用户设备发送的用户信息,网络侧根据所述用户信息对用户设备进行认证。
12、如权利要求11所述的方法,其特征在于,所述用户信息包括认证信息和设备信息。
13、如权利要求1所述的方法,其特征在于,网络侧根据所述安全关联参数建立和用户设备之间的安全关联之后还进一步包括:
网络侧利用所建立的安全关联向用户设备推送数据。
14、如权利要求13所述的方法,其特征在于,所述网络侧通过同步标注性语言协议的pkg2数据包向用户设备推送数据。
15、一种建立安全关联的方法,其特征在于,包括:
用户设备接收网络侧发送的安全关联参数;
用户设备根据所述安全关联参数建立和网络侧之间的安全关联;
用户设备向网络侧发送建立安全关联所采用的安全关联参数。
16、如权利要求15所述的方法,其特征在于,用户设备通过同步标注性语言协议的pkg1数据包向网络侧发送建立安全关联的安全关联参数以及用户信息。
17、如权利要求15所述的方法,其特征在于,用户设备在收到网络侧发送的安全关联参数后进一步包括:对所述网络侧进行认证。
18、如权利要求15至17任一项所述的方法,其特征在于,所述方法进一步包括:用户设备接收网络侧发送的推送数据。
19、一种网络侧设备,其特征在于,包括:
第一收发单元,用于向用户设备发送安全关联参数,以及接收用户设备返回的建立安全关联所采用的安全关联参数;
第一建立单元,用于根据收发单元收到的安全关联参数建立和用户设备之间的安全关联。
20、一种用户设备,其特征在于,包括:
第二收发单元,用于接收网络侧发送的安全关联参数,以及向网络侧发送建立安全关联所采用的安全关联参数;
第二建立单元,用于根据第二收发单元收到的安全关联参数建立和网络侧之间的安全关联。
21、一种建立安全关联的方法,其特征在于,包括:
网络侧向用户设备发送安全关联参数;
网络侧根据所述安全关联参数并采用预共享密钥传输层安全协议与用户设备建立安全关联;
网络侧利用所建立的安全关联向用户设备推送数据。
22、如权利要求21所述的方法,其特征在于,所述安全关联参数包含在通用自举架构推送信息中。
23、一种建立安全关联的方法,其特征在于,包括:
用户设备接收网络侧发送的安全关联参数;
用户设备根据所述安全关联参数并采用预共享密钥传输层安全协议与网络侧建立安全关联;
用户设备利用所建立的安全关联接收网络侧发送的推送数据。
24、一种网络侧设备,其特征在于,包括:
发送单元,用于向用户设备发送安全关联参数;
第三建立单元,用于根据发送单元发送的安全关联参数并采用预共享密钥传输层安全协议与用户设备建立安全关联;
推送单元,用于利用所建立的安全关联向用户设备推送数据。
25、一种用户设备,其特征在于,包括:
接收单元,用于接收网络侧发送的安全关联参数;
第四建立单元,用于根据接收单元收到的安全关联参数并采用预共享密钥传输层安全协议与网络侧建立安全关联;
推送接收单元,用于利用所建立的安全关联接收网络侧发送的推送数据。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710154542.4A CN101378313B (zh) | 2007-08-31 | 2007-09-25 | 建立安全关联的方法、用户设备和网络侧设备 |
| PCT/CN2008/072197 WO2009030166A1 (fr) | 2007-08-31 | 2008-08-29 | Procédé, système et équipement destinés à établir une association de sécurité |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710045536.5 | 2007-08-31 | ||
| CN200710045536 | 2007-08-31 | ||
| CN200710154542.4A CN101378313B (zh) | 2007-08-31 | 2007-09-25 | 建立安全关联的方法、用户设备和网络侧设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101378313A true CN101378313A (zh) | 2009-03-04 |
| CN101378313B CN101378313B (zh) | 2014-02-19 |
Family
ID=40421674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710154542.4A Active CN101378313B (zh) | 2007-08-31 | 2007-09-25 | 建立安全关联的方法、用户设备和网络侧设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101378313B (zh) |
| WO (1) | WO2009030166A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102726082A (zh) * | 2012-01-04 | 2012-10-10 | 华为技术有限公司 | X2安全通道建立方法与***、以及基站 |
| CN101790162B (zh) * | 2010-01-29 | 2013-01-02 | 华为技术有限公司 | 安全关联获取方法及装置 |
| CN104394528A (zh) * | 2012-01-04 | 2015-03-04 | 华为技术有限公司 | X2安全通道建立方法与***、以及基站 |
| WO2020029859A1 (zh) * | 2018-08-09 | 2020-02-13 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN113163399A (zh) * | 2020-01-07 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100550731C (zh) * | 2005-06-17 | 2009-10-14 | 中兴通讯股份有限公司 | 一种固网用户到ip多媒体子***的接入安全***和方法 |
| US20070086590A1 (en) * | 2005-10-13 | 2007-04-19 | Rolf Blom | Method and apparatus for establishing a security association |
| CN100542089C (zh) * | 2006-01-24 | 2009-09-16 | 华为技术有限公司 | 非ims终端应用增强型通用鉴权架构的方法 |
| WO2007085779A1 (en) * | 2006-01-24 | 2007-08-02 | British Telecommunications Public Limited Company | Method and system for recursive authentication in a mobile network |
-
2007
- 2007-09-25 CN CN200710154542.4A patent/CN101378313B/zh active Active
-
2008
- 2008-08-29 WO PCT/CN2008/072197 patent/WO2009030166A1/zh active Application Filing
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101790162B (zh) * | 2010-01-29 | 2013-01-02 | 华为技术有限公司 | 安全关联获取方法及装置 |
| CN102726082A (zh) * | 2012-01-04 | 2012-10-10 | 华为技术有限公司 | X2安全通道建立方法与***、以及基站 |
| CN102726082B (zh) * | 2012-01-04 | 2014-11-05 | 华为技术有限公司 | X2安全通道建立方法与***、以及基站 |
| CN104394528A (zh) * | 2012-01-04 | 2015-03-04 | 华为技术有限公司 | X2安全通道建立方法与***、以及基站 |
| CN104394528B (zh) * | 2012-01-04 | 2018-03-27 | 华为技术有限公司 | X2安全通道建立方法与***、以及基站 |
| WO2020029859A1 (zh) * | 2018-08-09 | 2020-02-13 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN110830240A (zh) * | 2018-08-09 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN110830240B (zh) * | 2018-08-09 | 2023-02-24 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| TWI801615B (zh) * | 2018-08-09 | 2023-05-11 | 香港商阿里巴巴集團服務有限公司 | 終端與伺服器的通訊方法、與終端通訊的伺服器和與伺服器通訊的終端 |
| CN113163399A (zh) * | 2020-01-07 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN113163399B (zh) * | 2020-01-07 | 2024-06-11 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009030166A1 (fr) | 2009-03-12 |
| CN101378313B (zh) | 2014-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2850862B1 (en) | Secure paging | |
| EP1886438B1 (en) | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method | |
| EP2756700B1 (en) | Performing link setup and authentication | |
| US8402272B2 (en) | Master unit and slave unit | |
| CN101317359B (zh) | 生成本地接口密钥的方法及装置 | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络*** | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| EP2590356A1 (en) | Method, device and system for authenticating gateway, node and server | |
| CN102026180A (zh) | M2m传输控制方法、装置及*** | |
| CN111935712A (zh) | 一种基于NB-IoT通信的数据传输方法、***及介质 | |
| CN109391468A (zh) | 一种认证方法及*** | |
| CN102884756B (zh) | 通信装置和通信方法 | |
| CN104303583A (zh) | 用于在通信***中建立安全连接的***和方法 | |
| CN111970114B (zh) | 文件加密方法、***、服务器和存储介质 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN103391540A (zh) | 密钥信息生成方法及***、终端设备、接入网设备 | |
| CN101237444A (zh) | 密钥处理方法、***和设备 | |
| CN101141792A (zh) | 一种通用引导架构推送的方法 | |
| CN101378313B (zh) | 建立安全关联的方法、用户设备和网络侧设备 | |
| CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证***和方法 | |
| CN111699706A (zh) | 用于通过蓝牙低能耗连接进行通信的主从*** | |
| KR101683286B1 (ko) | 이동통신망을 이용한 싱크 인증 시스템 및 방법 | |
| CN103856938A (zh) | 一种加密解密的方法、***及设备 | |
| CN111835691B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| CN108965266B (zh) | 一种基于群组密钥池和Kerberos的User-to-User身份认证***和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |