CN114143016A - 基于通用引导架构gba的鉴权方法、及对应装置 - Google Patents
基于通用引导架构gba的鉴权方法、及对应装置 Download PDFInfo
- Publication number
- CN114143016A CN114143016A CN202010819512.6A CN202010819512A CN114143016A CN 114143016 A CN114143016 A CN 114143016A CN 202010819512 A CN202010819512 A CN 202010819512A CN 114143016 A CN114143016 A CN 114143016A
- Authority
- CN
- China
- Prior art keywords
- key algorithm
- access node
- wireless access
- application layer
- suite
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004891 communication Methods 0.000 claims description 31
- 238000004590 computer program Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 3
- 230000004044 response Effects 0.000 description 42
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种基于通用引导架构GBA的鉴权方法,通过与用户终端进行安全传输层协议协商,确认用户终端使用的秘钥算法套件;将秘钥算法套件应用到无线访问节点无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权;在某些实施过程中,使得UE与AP分别和ALG建立TLS隧道后,AP侧与UE侧使用相同的秘钥算法套件计算得到鉴权参数,进行鉴权,避免了UE与AP分别和ALG建立TLS隧道后,使用不同的秘钥算法套件,导致鉴权失败,影响AP对UE的鉴权的问题,提升了用户体验。
Description
技术领域
本发明实施例涉及但不限于通讯技术领域,具体而言,涉及但不限于基于通用引导架构GBA的鉴权方法、及对应装置。
背景技术
随着通信技术的发展,在很多通信业务中,很多应用都需要UE(User Equipment,用户终端)和AS(Access Stratum,接入层)之间进行交互,如业务激活、业务设置、业务访问等。为了保证业务应用的安全性,就要求在UE和AS之间进行双向认证,如果UE和AS直接交互,存在两个严重问题:UE和每个AS之间都要进行独立的认证,包括认证机制的协商、秘钥的管理;UE每次登陆不同的AS,都需要输入秘钥,用户体验差。因此3GPP(TheThirdGeneration Partnership Project,第三代合作伙伴计划)标准组织提出了通用认证架构的概念,其中GBA(General Bootstrapping Architecture,通用引导架构)就是一种基于共享秘钥的通用认证架构。GBA使用认证与秘钥协商(AKA,Authentication and KeyAgreement,第三代移动通讯网络的认证与秘钥协商协议)为UE和网络之间提供一种秘钥共享、相互认证和业务保护的机制,具有较高的安全性和通用性,GBA中,在UE和AS之间添加了AP(Access Point,无线访问节点),AP作为认证代理功能,对UE进行鉴权,代理AS完成对UE的认证。
GBA因为对外提供公网服务地址,考虑到安全等因素,实际组网引入了ALG(Application Layer Gateway,应用层网关),也叫做应用层网关,由ALG实现接入控制,如防火墙、防病毒、入侵检测、用户接入主动认证等功能,为GBA提供全方位的接入安全管理方案,引入ALG后,UE与AP分别和ALG建立TLS(Transport Layer Security,传输层安全性协议)隧道,导致影响AP对UE的鉴权。
发明内容
本发明实施例提供的基于通用引导架构GBA的鉴权方法、及对应装置,主要解决的技术问题是UE与AP分别和ALG建立TLS隧道后,使用不同的秘钥算法套件,导致鉴权失败,影响AP对UE的认证鉴权的问题。
为解决上述技术问题,本发明实施例提供一种应用于终端侧的基于通用引导架构GBA的鉴权,包括:
与应用层网关进行安全传输层协议协商,确认使用的秘钥算法套件;
通过所述应用层网关将所述秘钥算法套件应用到无线访问节点,使得所述无线访问节点使用所述秘钥算法套件进行鉴权。
基于同样的发明构思,本发明实施例还提供一种应用于网关侧的基于通用引导架构GBA的鉴权方法,包括:
与用户终端进行安全传输层协议协商,确认所述用户终端使用的秘钥算法套件;
将所述秘钥算法套件应用到无线访问节点无线访问节点,使得所述无线访问节点使用所述秘钥算法套件进行鉴权。
基于同样的发明构思,本发明实施例还提供一种应用于无线访问节点侧的基于通用引导架构GBA的鉴权方法,包括:
使用应用层网关应用到无线访问节点的秘钥算法套件进行鉴权;
所述秘钥算法套件为所述应用层网关与用户终端进行安全传输层协议协商,确认的所述用户终端使用的秘钥算法套件。
本发明实施例还提供一种终端,所述终端包括第一处理器、第一存储器及第一通信总线;
所述第一通信总线用于实现第一处理器和第一存储器之间的连接通信;
所述第一处理器用于执行第一存储器中存储的一个或者多个计算机程序,以实现如上所述的应用于终端测的基于通用引导架构GBA的鉴权方法的步骤;
本发明实施例还提供一种网关,所述网关包括第二处理器、第二存储器及第二通信总线;
所述第二通信总线用于实现第二处理器和第二存储器之间的连接通信;
所述第二处理器用于执行第二存储器中存储的一个或者多个计算机程序,以实现如上所述的应用于网关侧的基于通用引导架构GBA的鉴权方法的步骤。
本发明实施例还提供一种无线访问节点,所述无线访问节点包括第三处理器、第三存储器及第三通信总线;
所述第三通信总线用于实现第三处理器和第三存储器之间的连接通信;
所述第三处理器用于执行第三存储器中存储的一个或者多个计算机程序,以实现如上所述的应用于无线访问节点侧的基于通用引导架构GBA的鉴权方法的步骤
本发明实施例还提供一种计算机存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上所述的应用于终端侧、网关侧或无线访问节点侧的基于通用引导架构GBA的鉴权方法的步骤。
根据本发明实施例提供的本发明实施例种基于通用引导架构GBA的鉴权方法、及对应装置,通过与用户终端进行安全传输层协议协商,确认用户终端使用的秘钥算法套件;将秘钥算法套件应用到无线访问节点无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权;在某些实施过程中,使得UE与AP分别和ALG建立TLS隧道后,AP侧与UE侧使用相同的秘钥算法套件计算得到鉴权参数,进行鉴权,避免了UE与AP分别和ALG建立TLS隧道后,使用不同的秘钥算法套件,导致鉴权失败,影响AP对UE的鉴权的问题,提升了用户体验。
本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为本发明实施例一的GBA基本架构示意图;
图2为本发明实施例一的GBA的基本鉴权流程示意图;
图3为本发明实施例一的通用引导架构GBA的鉴权方法流程示意图;
图4为本发明实施例一的一种通过应用层网关将秘钥算法套件应用到无线访问节点基本流程示意图;
图5为本发明实施例一的再一种通过应用层网关将秘钥算法套件应用到无线访问节点基本流程示意图;
图6为本发明实施例一的又一种通过应用层网关将秘钥算法套件应用到无线访问节点基本流程示意图;
图7为本发明实施例一的另一种通过应用层网关将秘钥算法套件应用到无线访问节点基本流程示意图;
图8为本发明实施例二的一种通用引导架构GBA的鉴权方法基本流程示意图;
图9为本发明实施例三的一种终端的基本结构示意图;
图10为本发明实施例三的一种网关的基本结构示意图;
图11为本发明实施例三的一种无线访问节点的基本结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
相关技术中,如图1所示,图1为GBA基本架构示意图,其包括:HSS(Home SubscribeServer、用户归属网络服务器)、BSF(Bootstrapping Server Function,引导服务功能)、NAF(Network Application Function,网络应用功能)或AP(Access Point,无线访问节点)功能、ALG,需要理解的是,其中NAF用于执行与AP相同的功能,也即,AP或NAF存在其中一个即可;其中,ALG分别与UE和AP建立TLS通道,并进行鉴权,如图2所示,UE与ALG协商TLS连接,确认使用的cipher suite,最终使用的cipher suite为“yyzz”,UE发送业务请求(HTTPGET)给ALG,ALG与AP协商TLS连接,确认使用的cipher suite,最终使用的cipher suite为“aabb”,ALG将HTTP GET转发给AP,AP回应401Unauthorized到UE后,UE根据与ALG协商的TLScipher suite“yyzz”和其他参数生成第一Ks_NAF/Ks_int_NAF,再将第一Ks_NAF/Ks_int_NAF当做key计算第一响应response,并将该第一response经过ALG发给AP,AP根据ALG协商TLS cipher suite“aabb”和其他参数从BSF获取第二Ks_NAF/Ks_int_NAF,再将第二Ks_NAF/Ks_int_NAF当做key计算第二响应response,AP比较自己计算的第二response和UE发来的第一response,如果第二response和第一response一致,则鉴权成功,因为AP使用的TLS cipher suite与UE使用的TLS cipher suite不一致,计算出的Ks_NAF/Ks_int_NAF、response也会不一致,进而导致AP鉴权失败。
为了解决相关技术中,UE与AP分别和ALG建立TLS隧道后,使用不同的秘钥算法套件,导致鉴权失败,影响AP对UE的认证鉴权的问题,本发明实施例提供一种应用于用户终端侧的,基于通用引导架构GBA的鉴权方法,请参见图3,其包括但不限于:
S301、与应用层网关进行安全传输层协议协商,确认使用的秘钥算法套件;
S302、通过应用层网关将秘钥算法套件应用到无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权。
在一些实施例当中,用户终端UE与应用层网关ALG协商安全传输层协议TLS连接,确认UE与ALG使用的秘钥算法套件Cipher Suite;需要理解的是,本实施例并不限定用户终端与应用层网关协商安全传输层协议的方式,最后能确定出用户终端与应用层网关之间能用的秘钥算法套件即可。
在本实施例中,将用户终端与应用层网关确定好的秘钥算法套件应用到无线访问节点AP包括但不限于以下两种方式:
第一种方式:通过应用层网关将秘钥算法套件转发到无线访问节点,从而将秘钥算法套件应用到无线访问节点;
第二种方式:通过应用层网关使用秘钥算法套件与无线访问节点进行安全传输层协议协商,从而将秘钥算法套件应用到无线访问节点。
在一些实施例中,上述第一种方式包括但不限于:发送业务请求到应用层网关;通过应用层网关转发业务请求到无线访问节点,应用层网关转发业务请求到无线访问节点时携带秘钥算法套件。其中,用户终端发送业务请求到应用层网关,应用层网关将用户终端侧使用的秘钥算法套件通过扩展参数发送给无线访问节点,无线访问节点鉴权时根据ALG发送的秘钥算法套件进行鉴权;例如,如图4所示,
步骤1~2,用户终端UE与应用层网关ALG协商安全传输层协议TLS连接,确认UE与ALG使用的秘钥算法套件Cipher Suite为“yyzz”后;
步骤3,用户终端发起业务请求(HTTP GET)到应用层网关;
步骤4~5,应用层网关与AP协商TLS连接,确认AP侧使用的cipher suite,确认AP侧最终使用的cipher suite为“aabb”;
步骤6,ALG转发UE的HTTP GET请求,并将UE侧使用的cipher suite“yyzz”通过扩展参数带给AP,使得AP根据ALG携带的UE与ALG使用的秘钥算法套件“yyzz”来进行鉴权,也即通过应用层网关将秘钥算法套件应用到无线访问节点,使得无线访问节点使用与用户终端相同的秘钥算法套件“yyzz”实现鉴权;
具体的,使得无线访问节点使用与用户终端相同的秘钥算法套件“yyzz”实现鉴权包括以下步骤:
步骤7~8,AP接收到UE侧使用的cipher suite“yyzz”后,发送401unauthorized响应给ALG,经ALG转发给UE;
步骤9,UE根据与ALG协商的UE侧cipher suite“yyzz”和其他参数生成第一Ks_NAF/KS_int_NAF,再将第一Ks_NAF/KS_int_NAF当做key计算第一响应response,发给ALG转发给AP;
步骤10,AP根据ALG携带的UE侧使用的cipher suite(“yyzz”)和其他参数从BSF获取第二KS_NAF/KS_int_NAF,再将第二KS_NAF/KS_int_NAF当做key计算第二response,AP比较第一response和第二response,相同则鉴权成功,因为AP使用的cipher suite与UE使用的cipher suite一致,计算Ks_NAF/Ks_int_NAF、response也会一致,最终AP鉴权成功。
在一些实施例中,上述第一种方式包括但不限于:发送业务请求到应用层网关,业务请求中携带秘钥算法套件;通过应用层网关将业务请求转发到无线访问节点。其中,用户终端发送业务请求到应用层网关时,用户终端将用户终端侧使用的秘钥算法套件通过扩展参数携带在业务请求中发送给应用层网关,应用层网关将该业务请求转发给无线访问节点,无线访问节点鉴权时根据UE发送的业务请求中的秘钥算法套件进行鉴权;例如,如图5所示,
步骤1~2,用户终端UE与应用层网关ALG协商安全传输层协议TLS连接,确认UE与ALG使用的秘钥算法套件Cipher Suite为“yyzz”后;
步骤3,UE发起业务请求(HTTP GET)到ALG,该(HTTP GET)请求中通过扩展参数携带了确定出的秘钥算法套件(“yyzz”);
步骤4~5,应用层网关与AP协商TLS连接,确认AP侧使用的cipher suite,确认AP侧使用的cipher suite为“aabb”;
步骤6,ALG转发UE的HTTP GET请求时,透传UE发送的cipher suite(“yyzz”)扩展参数给AP;使得AP根据ALG携带的UE与ALG使用的秘钥算法套件“yyzz”来进行鉴权,也即通过应用层网关将秘钥算法套件应用到无线访问节点,使得无线访问节点使用与用户终端相同的秘钥算法套件“yyzz”实现鉴权;
需要理解的是,在一些示例中,其透传UE发送的cipher suite(“yyzz”)扩展参数给AP后,使得无线访问节点使用与用户终端相同的秘钥算法套件“yyzz”实现鉴权包括以下步骤:
步骤7~8,AP发送401unauthorized响应给ALG,经ALG发送给UE;
步骤9,UE根据与ALG协商的UE侧cipher suite和其他参数生成第一Ks_NAF/KS_int_NAF,再将第一Ks_NAF/KS_int_NAF当做key计算第一响应response,此时同样可以在第一response通过扩展参数携带cipher suite(“yyzz”),发给ALG,
步骤10,ALG转发UE的HTTP GET请求,具体的,ALG转发UE的HTTP GET请求时,透传UE发送的cipher suite(“yyzz”)扩展参数给AP;AP根据ALG携带的UE侧使用的ciphersuite(“yyzz”)和其他参数从BSF获取第二KS_NAF/KS_int_NAF,再将第二KS_NAF/KS_int_NAF当做key计算第二response,AP比较第一response和第二response,相同则鉴权成功,因为AP使用的cipher suite与UE使用的cipher suite一致,计算Ks_NAF/Ks_int_NAF、response也会一致,最终AP鉴权成功。
在一些实施例中,第二种方式,通过应用层网关使用秘钥算法套件与无线访问节点进行安全传输层协议协商,从而将秘钥算法套件应用到无线访问节点;例如,如图6所示,
步骤1~2,UE与ALG协商TLS连接,确认UE侧使用的cipher suite,确认最终使用的cipher suite为“yyzz”后;
步骤3,UE发起业务请求(HTTP GET)到ALG;
步骤4~5,ALG与AP协商TLS连接时,仅携带UE侧使用的cipher suite“yyzz”,确保AP侧仅能使用UE侧相同的cipher suite“yyzz”,使得AP侧使用的cipher suite也为“yyzz”,无线访问节点AP使用与用户终端UE相同的秘钥算法套件“yyzz”实现鉴权。
具体的,使得AP侧使用的cipher suite也为“yyzz”,无线访问节点AP使用与用户终端UE相同的秘钥算法套件“yyzz”实现鉴权包括以下步骤:
步骤6,ALG转发UE的HTTP GET请求;
步骤7~8,AP发送401unauthorized响应,经ALG发送给UE;
步骤9~10,UE根据ALG协商的UE侧cipher suite“yyzz”和其他参数生成第一Ks_NAF/KS_int_NAF,再将第一Ks_NAF/KS_int_NAF当做key计算第一响应response,发给ALG转发给AP;
步骤11,AP根据AP侧使用的TLS cipher suite(“yyzz”)和其他参数从BSF获取第二KS_NAF/KS_int_NAF,再将第二KS_NAF/KS_int_NAF当做key计算第二response,AP比较第一response和第二response,相同则鉴权成功,因为AP使用的TLS cipher suite与UE使用的TLS cipher suite一致,计算Ks_NAF/Ks_int_NAF、response也会一致,最终AP鉴权成功。
在一些实施例中,与应用层网关进行安全传输层协议协商,确认使用的秘钥算法套件包括:与应用层网关进行安全传输层协议协商,确认支持的秘钥算法套件集合,秘钥算法套件集合中包括至少两个能够使用的秘钥算法套件;通过应用层网关使用秘钥算法套件与无线访问节点进行安全传输层协议协商包括:通过应用层网关使用秘钥算法套件集合与无线访问节点进行安全传输层协议协商,确定出应用层网关与无线访问节点使用的秘钥算法套件。例如,如图7所示,
步骤1,UE发起到ALG的TLS协商,Client Hello携带UE侧支持的秘钥算法套件集合cipher suite list(0xC030,0x0035,0x002D);
步骤2,ALG发起到AP的TLS协商,具体的,Client Hello使用UE和ALG支持ciphersuite list交集(0xC030,0x002D),使得AP侧使用的cipher suite一定是UE侧能够使用的cipher su ite。
步骤3,ALG收到AP的Server Hello,确认AP侧使用的cipher suite(0xC030)。
步骤4,ALG回Server Hello到UE,使用AP侧使用的cipher suite(0xC030),使得UE侧使用与AP侧相同的cipher suite。
步骤5~6,UE发起业务请求(HTTP GET),ALG转发UE的HTTP GET请求。
步骤7~8,AP发送401unauthorized响应,经ALG发送给UE。
步骤9,UE根据与ALG协商的UE侧cipher suite(0xC030)和其他参数生成第一Ks_NAF/KS_int_NAF,再将第一Ks_NAF/KS_int_NAF当做key计算第一响应response,发给ALG转发给AP;
步骤10,AP转发UE的第一响应response请求时给AP。
步骤11,AP根据AP侧使用的cipher suite(0xC030)和其他参数从BSF获取第二KS_NAF/KS_int_NAF,再将第二KS_NAF/KS_int_NAF当做key计算第二响应response。AP比较自己计算的第二响应response和UE发来的第一响应response,相同则鉴权成功,因为AP使用的cipher suite与UE使用的cipher suite一致,计算出的Ks_NAF/Ks_int_NAF、response也会一致,最终AP鉴权成功。
本发明实施例提供的应用于用户终端侧的,基于通用引导架构GBA的鉴权方法,通过与应用层网关进行安全传输层协议协商,确认使用的秘钥算法套件;通过应用层网关将秘钥算法套件应用到无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权;也即,UE与AP分别和ALG建立TLS隧道后,通过ALG将UE侧使用的秘钥算法套件应用到AP侧,使得AP侧与UE侧使用相同的秘钥算法套件计算得到鉴权参数,进行鉴权,避免了UE与AP分别和ALG建立TLS隧道后,使用不同的秘钥算法套件,导致鉴权失败,影响AP对UE的鉴权的问题,提升了用户体验。
实施例二:
本发明实施例还提供一种应用于应用层网关侧的,基于通用引导架构GBA的鉴权方法,请参见图8所示,该方法包括但不限于:
S801、与用户终端进行安全传输层协议协商,确认用户终端使用的秘钥算法套件;
S802、将秘钥算法套件应用到无线访问节点无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权。
在一些实施例当中,应用层网关ALG与用户终端UE协商安全传输层协议TLS连接,确认UE与ALG使用的秘钥算法套件Cipher Suite;需要理解的是,本实施例并不限定用户终端与应用层网关协商安全传输层协议的方式,最后能确定出用户终端与应用层网关之间能用的秘钥算法套件即可。
在一些实施例当中,将秘钥算法套件应用到无线访问节点无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权的方法与上述示例中的方法相同,在此不再一一赘述。
本发明实施例提供的应用于应用层网关侧的,基于通用引导架构GBA的鉴权方法,与用户终端进行安全传输层协议协商,确认用户终端使用的秘钥算法套件;将秘钥算法套件应用到无线访问节点无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权;也即,UE与AP分别和ALG建立TLS隧道后,使得AP侧与UE侧使用相同的秘钥算法套件计算得到鉴权参数,进行鉴权,避免了UE与AP分别和ALG建立TLS隧道后,使用不同的秘钥算法套件,导致鉴权失败,影响AP对UE的鉴权的问题,提升了用户体验。
本发明实施例还提供一种应用于无线访问节点侧的,基于通用引导架构GBA的鉴权方法,该方法包括但不限于:使用应用层网关应用到无线访问节点的秘钥算法套件进行鉴权,该秘钥算法套件为应用层网关与用户终端进行安全传输层协议协商,确认的用户终端使用的秘钥算法套件。
在一些实施例中,应用层网关ALG与用户终端UE协商安全传输层协议TLS连接,确认UE与ALG使用的秘钥算法套件Cipher Suite后,将该秘钥算法套件应用到无线访问节点,使得无线访问节点根据该秘钥算法套件进行鉴权;需要理解的是,本实施例并不限定用户终端与应用层网关协商安全传输层协议的方式,最后能确定出用户终端与应用层网关之间能用的秘钥算法套件即可。
在一些实施例当中,将秘钥算法套件应用到无线访问节点无线访问节点,使得无线访问节点使用秘钥算法套件进行鉴权的方法与上述示例中的方法相同,在此不再一一赘述。
本发明实施例提供的应用于无线访问节点侧的,基于通用引导架构GBA的鉴权方法,使用应用层网关应用到无线访问节点的秘钥算法套件进行鉴权;秘钥算法套件为应用层网关与用户终端进行安全传输层协议协商,确认的用户终端使用的秘钥算法套件;也即,UE与AP分别和ALG建立TLS隧道后,AP侧使用与UE侧相同的秘钥算法套件计算得到鉴权参数,进行鉴权,避免了UE与AP分别和ALG建立TLS隧道后,使用不同的秘钥算法套件,导致鉴权失败,影响AP对UE的鉴权的问题,提升了用户体验。
实施例三:
本实施例还提供了一种终端,该终端包括第一处理器901、第一存储器902及第一通信总线903;
第一通信总线903用于实现第一处理器901和第一存储器902之间的连接通信;
第一处理器901用于执行第一存储器902中存储的一个或者多个计算机程序,以实现如实施例一、实施例二中由用户终端侧执行的基于通用引导架构GBA的鉴权方法的步骤。
本实施例还提供了一种网关,网关包括第二处理器1001、第二存储器1002及第二通信总线1003;
第二通信总线1003用于实现第二处理器1001和第二存储器1002之间的连接通信;
第二处理器1001用于执行第二存储器1002中存储的一个或者多个计算机程序,以实现如实施例一、实施例二中由应用层网关侧执行的基于通用引导架构GBA的鉴权方法的步骤。
本实施例还提供了一种无线访问节点,无线访问节点包括第三处理器1101、第三存储器1102及第三通信总线1103;
第三通信总线1103用于实现第三处理器1101和第三存储器1102之间的连接通信;
第三处理器1101用于执行第三存储器1102中存储的一个或者多个计算机程序,以实现如如实施例一、实施例二中由无线访问节点侧执行的基于通用引导架构GBA的鉴权方法的步骤。
本实施例还提供了一种计算机可读存储介质,该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(Electrically Erasable Programmable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
本实施例中的计算机可读存储介质可用于存储一个或者多个计算机程序,其存储的一个或者多个计算机程序可被处理器执行,以实现上述实施例一、二中的应用于终端侧、网关侧或无线访问节点侧的基于通用引导架构GBA的鉴权方法的至少一个步骤。
可见,本领域的技术人员应该明白,上文中所公开方法中的全部或某些步骤、***、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。
此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (11)
1.一种基于通用引导架构GBA的鉴权方法,包括:
与应用层网关进行安全传输层协议协商,确认使用的秘钥算法套件;
通过所述应用层网关将所述秘钥算法套件应用到无线访问节点,使得所述无线访问节点使用所述秘钥算法套件进行鉴权。
2.如权利要求1所述的基于通用引导架构GBA的鉴权方法,其特征在于,通过所述应用层网关将所述秘钥算法套件应用到无线访问节点包括:
通过所述应用层网关将所述秘钥算法套件转发到所述无线访问节点,从而将所述秘钥算法套件应用到所述无线访问节点;
和/或,
通过所述应用层网关使用所述秘钥算法套件与所述无线访问节点进行安全传输层协议协商,从而将所述秘钥算法套件应用到无线访问节点无线访问节点。
3.如权利要求2所述的基于通用引导架构GBA的鉴权方法,其特征在于,通过所述应用层网关将所述秘钥算法套件转发到所述无线访问节点包括:
发送业务请求到所述应用层网关;
通过所述应用层网关转发所述业务请求到所述无线访问节点,所述应用层网关转发所述业务请求到所述无线访问节点时携带所述秘钥算法套件。
4.如权利要求2所述的基于通用引导架构GBA的鉴权方法,其特征在于,所述通过所述应用层网关将所述秘钥算法套件转发到所述无线访问节点包括:
发送业务请求到所述应用层网关,所述业务请求中携带所述秘钥算法套件;
通过所述应用层网关将所述业务请求转发到所述无线访问节点。
5.如权利要求2所述的基于通用引导架构GBA的鉴权方法,其特征在于,所述与应用层网关应用层网关进行安全传输层协议安全传输层协议协商,确认使用的秘钥算法套件秘钥算法套件包括:
与所述应用层网关进行安全传输层协议协商,确认支持的秘钥算法套件集合,所述秘钥算法套件集合中包括至少两个能够使用的秘钥算法套件;
所述通过所述应用层网关使用所述秘钥算法套件与所述无线访问节点进行安全传输层协议协商包括:
通过所述应用层网关使用所述秘钥算法套件集合与所述无线访问节点进行安全传输层协议协商,确定出所述应用层网关与所述无线访问节点使用的秘钥算法套件。
6.一种基于通用引导架构GBA的鉴权方法,包括:
与用户终端进行安全传输层协议协商,确认所述用户终端使用的秘钥算法套件;
将所述秘钥算法套件应用到无线访问节点无线访问节点,使得所述无线访问节点使用所述秘钥算法套件进行鉴权。
7.一种基于通用引导架构GBA的鉴权方法,包括:
使用应用层网关应用到无线访问节点的秘钥算法套件进行鉴权;
所述秘钥算法套件为所述应用层网关与用户终端进行安全传输层协议协商,确认的所述用户终端使用的秘钥算法套件。
8.一种终端,所述终端包括第一处理器、第一存储器及第一通信总线;
所述第一通信总线用于实现第一处理器和第一存储器之间的连接通信;
所述第一处理器用于执行第一存储器中存储的一个或者多个计算机程序,以实现如权利要求1至5中任一项所述的基于通用引导架构GBA的鉴权方法的步骤。
9.一种网关,所述网关包括第二处理器、第二存储器及第二通信总线;
所述第二通信总线用于实现第二处理器和第二存储器之间的连接通信;
所述第二处理器用于执行第二存储器中存储的一个或者多个计算机程序,以实现如权利要求6所述的基于通用引导架构GBA的鉴权方法的步骤。
10.一种无线访问节点,所述无线访问节点包括第三处理器、第三存储器及第三通信总线;
所述第三通信总线用于实现第三处理器和第三存储器之间的连接通信;
所述第三处理器用于执行第三存储器中存储的一个或者多个计算机程序,以实现如权利要求7所述的基于通用引导架构GBA的鉴权方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质
存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现如权利要求1-5任一项、如权利要求6或如权利要求7中所述基于通用引导架构GBA的鉴权方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010819512.6A CN114143016A (zh) | 2020-08-14 | 2020-08-14 | 基于通用引导架构gba的鉴权方法、及对应装置 |
PCT/CN2021/101804 WO2022033186A1 (zh) | 2020-08-14 | 2021-06-23 | 基于通用引导架构的鉴权方法、及对应装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010819512.6A CN114143016A (zh) | 2020-08-14 | 2020-08-14 | 基于通用引导架构gba的鉴权方法、及对应装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114143016A true CN114143016A (zh) | 2022-03-04 |
Family
ID=80247635
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010819512.6A Pending CN114143016A (zh) | 2020-08-14 | 2020-08-14 | 基于通用引导架构gba的鉴权方法、及对应装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN114143016A (zh) |
WO (1) | WO2022033186A1 (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005055518A1 (fr) * | 2003-12-08 | 2005-06-16 | Huawei Technologies Co., Ltd. | Procede d'etablissement de tunnel de services dans un reseau wlan |
CN1921682A (zh) * | 2005-08-26 | 2007-02-28 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
CN1929371A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户和***设备协商共享密钥的方法 |
CN1977514A (zh) * | 2004-06-28 | 2007-06-06 | 诺基亚公司 | 用户鉴权 |
CN101005701A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 连接建立方法 |
CN101156412A (zh) * | 2005-02-11 | 2008-04-02 | 诺基亚公司 | 用于在通信网络中提供引导过程的方法和装置 |
CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、***和设备 |
WO2015072899A1 (en) * | 2013-11-15 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and devices for bootstrapping of resource constrained devices |
WO2016166529A1 (en) * | 2015-04-13 | 2016-10-20 | Vodafone Ip Licensing Limited | Security improvements in a cellular network |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2586549B (en) * | 2013-09-13 | 2021-05-26 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
-
2020
- 2020-08-14 CN CN202010819512.6A patent/CN114143016A/zh active Pending
-
2021
- 2021-06-23 WO PCT/CN2021/101804 patent/WO2022033186A1/zh active Application Filing
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005055518A1 (fr) * | 2003-12-08 | 2005-06-16 | Huawei Technologies Co., Ltd. | Procede d'etablissement de tunnel de services dans un reseau wlan |
CN1977514A (zh) * | 2004-06-28 | 2007-06-06 | 诺基亚公司 | 用户鉴权 |
CN101156412A (zh) * | 2005-02-11 | 2008-04-02 | 诺基亚公司 | 用于在通信网络中提供引导过程的方法和装置 |
CN1921682A (zh) * | 2005-08-26 | 2007-02-28 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
CN1929371A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户和***设备协商共享密钥的方法 |
CN101005701A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 连接建立方法 |
CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、***和设备 |
WO2015072899A1 (en) * | 2013-11-15 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and devices for bootstrapping of resource constrained devices |
WO2016166529A1 (en) * | 2015-04-13 | 2016-10-20 | Vodafone Ip Licensing Limited | Security improvements in a cellular network |
Non-Patent Citations (4)
Title |
---|
DAVID KHOURY等: "Generic hybrid methods for secure connections based on the integration of GBA and TLS/CA", 《2017 SENSORS NETWORKS SMART AND EMERGING TECHNOLOGIES (SENSET)》, 30 November 2017 (2017-11-30) * |
党荣娟: "无线传感器网络接入3GPP的安全性研究与分析", 《万方学术论文数据库》, 31 July 2012 (2012-07-31) * |
缪永生等: "通用引导架构在IMS网络中的应用研究", 《中兴通讯技术》, 10 August 2014 (2014-08-10) * |
赵川斌等: "基于GBA的MBMS终端安全体系研究", 《电视技术》, 17 July 2008 (2008-07-17) * |
Also Published As
Publication number | Publication date |
---|---|
WO2022033186A1 (zh) | 2022-02-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4643657B2 (ja) | 通信システムにおけるユーザ認証及び認可 | |
US8639936B2 (en) | Methods and entities using IPSec ESP to support security functionality for UDP-based traffic | |
US7529933B2 (en) | TLS tunneling | |
US8321670B2 (en) | Securing dynamic authorization messages | |
US9467432B2 (en) | Method and device for generating local interface key | |
US7580701B2 (en) | Dynamic passing of wireless configuration parameters | |
CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
US20060218396A1 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
CN112714053B (zh) | 通信连接方法及装置 | |
AU2020396746B2 (en) | Provisioning method and terminal device | |
US20180069836A1 (en) | Tiered attestation for resource-limited devices | |
EP3197190A1 (en) | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks | |
JP2015065677A (ja) | デュアルスタック・オペレーションの認可を織り込むための方法および装置 | |
CN112929881A (zh) | 一种应用于极简网络的机卡验证方法和相关设备 | |
US11316670B2 (en) | Secure communications using network access identity | |
WO2019099456A1 (en) | System and method for securely activating a mobile device and storing an encryption key | |
CN114143016A (zh) | 基于通用引导架构gba的鉴权方法、及对应装置 | |
US9602493B2 (en) | Implicit challenge authentication process | |
WO2019141135A1 (zh) | 支持无线网络切换的可信服务管理方法以及装置 | |
KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 | |
CN115314278B (zh) | 可信网络连接身份认证方法、电子设备及存储介质 | |
KR100734856B1 (ko) | Sasl을 이용하는 범용 인증 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |