A method and device for realizing secure communication between the terminal and the server in the client terminal (400) and the network server (402). When a terminal obtains a web page from a server in the session, the terminal creates a context specific key Ks_NAF 'based on one or more contextual parameters P1 and Pn, which are related to the session and / or webpage. Then, the terminal instructions to the server in the registration key context specific request, and the server to determine the context specific key Ks_NAF \in the same way, so as to determine if the context specific key in the network server matches the context specific keys received from the client terminal, the client authentication. Therefore, the context specific key is bound and is valid only for the current context or session, and can not be used in other contexts or sessions.
【技术实现步骤摘要】
用于避免网络攻击的危害的方法和装置本申请是2013年9月27日(申请日:2011年7月6日)向中国专利局递交并进入中国国家阶段的题为“用于避免网络攻击的危害的方法和装置”的专利技术专利申请No.201180069660.X(PCT国际申请No.PCT/SE2011/050916)的分案申请。
本公开大体上涉及用于通过避免在从客户端盗取安全密钥时可能发生的危害,来实现客户端终端与网络服务器之间的安全通信的方法和装置。
技术介绍
所谓的“通用引导程序架构”(GBA)是在第三代合作伙伴计划(3GPP)中标准化的技术,其使通信网络中的客户端能够与位于连接到网络的网络服务器中的网络应用功能(NAF)建立共享密钥(例如,表示为“Ks_NAF”)。GBA通常用于客户端认证。由于很多当前现有的应用是基于网络的(即,在公共互联网或内联网上可用),因此当从客户端使用的浏览器执行客户端认证时,客户端认证特别令人关注。典型的场景是客户端是装备有由用户操作的浏览器的通信终端。为了允许GBA与基于超文本标记语言(HTML)表单的认证(其是在互联网上广泛使用的认证方法)一起使用,已经提出了在基于网络的应用中针对GBA在客户端处添加JavaScript应用程序接口(API)。然后,由客户端的浏览器来执行JavaScriptAPI,并且可以将JavaScriptAPI视为客户端的浏览器的一部分。在客户端处,可以根据以下动作1:1-1:4来使用JavaScriptAPI:动作1:1。客户端处的浏览器通过“HTTPS”从网络服务器下载注册页面,“HTTPS”是指传输层安全性(TLS)或安全套接 ...
【技术保护点】
一种在客户端终端(100、400)中用于实现与网络服务器(106、402)的安全通信的方法,所述方法包括:‑在与所述网络服务器的会话中从所述网络服务器获得(202)网页,‑确定(204)与所述会话和/或网页有关的上下文参数集合P1、...、Pn,‑基于所述上下文参数来创建(206)上下文特有密钥Ks_NAF’,以及‑使用(208)所创建的上下文特有密钥Ks_NAF’,以便如果在所述网络服务器中确定的上下文特有密钥与所述客户端终端创建的所述上下文特有密钥相匹配,则在所述网络服务器中验证所述客户端。
【技术特征摘要】
2011.04.01 US 61/470,7091.一种在客户端终端(100、400)中用于实现与网络服务器(106、402)的安全通信的方法,所述方法包括:-在与所述网络服务器的会话中从所述网络服务器获得(202)网页,-确定(204)与所述会话和/或网页有关的上下文参数集合P1、...、Pn,-基于所述上下文参数来创建(206)上下文特有密钥Ks_NAF’,以及-使用(208)所创建的上下文特有密钥Ks_NAF’,以便如果在所述网络服务器中确定的上下文特有密钥与所述客户端终端创建的所述上下文特有密钥相匹配,则在所述网络服务器中验证所述客户端。2.根据权利要求1所述的方法,其中,在注册请求中向所述网络服务器指示所创建的上下文特有密钥Ks_NAF’。3.根据权利要求1或2所述的方法,其中,所述上下文参数包括以下各项中的至少一项:所述网页的通用资源定位符(URL)的路径组成部分、所述会话的当前HTTP会话标识、以及所述会话的当前传输层安全性(TLS)/安全套接字层(SSL)会话标识。4.根据权利要求1至3中任意一项所述的方法,其中,通过将预定的密钥导出函数KDF应用于所述上下文参数来创建所述上下文特有密钥Ks_NAF’,所述密钥导出函数为所述网络服务器所知。5.根据权利要求4所述的方法,其中,基于所述上下文参数P1、..、Pn以预先确定的方式来创建聚合参数S,并且通过将所述聚合参数S和应用特有密钥Ks_NAF用作输入来应用所述密钥导出函数,使得:Ks_NAF’=KDF(Ks_NAF,S(P1,...Pn))。6.根据权利要求5所述的方法,其中,已经根据从引导程序服务功能BSF获得的主密钥Ks导出了所述应用特有密钥Ks_NAF。7.根据权利要求1至6中任意一项所述的方法,其中,通过与具有网络应用功能NAF的所述网络服务器进行通信来确定所述上下文参数。8.一种被配置为实现与网络服务器(402)的安全通信的客户端终端(400),所述客户端终端包括:-接收模块(400a),被适配为在与所述网络服务器的会话中从所述网络服务器获得网页,-密钥创建模块(400b),被适配为确定与所述会话和/或网页有关的上下文参数集合P1、...、Pn,并且基于所述上下文参数来创建上下文特有密钥Ks_NAF’,以及-发送模块(400c),被适配为向所述网络服务器发送指示所创建的上下文特有密钥Ks_NAF’的注册请求,以便如果在所述网络服务器中确定的上下文特有密钥与所述客户端终端创建的所述上下文特有密钥相匹配,则实现对所述客户端的验证。9.根据权利要求8所述的客户端终端,其中,所述密钥创建模块(400b)被进一步适配为:通过将预定的密钥导出函数KDF应用于所述上下文参数来创建所述上下文特有密钥Ks_NAF’,所述密钥导出函数为所述网络服务器所知。10.根据权利要求9所述的客户端终端,其中,所述密钥创建模块(400b)被进一步适配为:基于所述上下文参数P1、...、Pn以预先确定的方式来创建聚合参数S,并且通过将所述聚合参数S和应用特有密钥Ks_NAF用作输入来应用所述密钥导出函数,使得:Ks_NAF’=KDF(Ks_NAF,S(P1,...Pn))。11.根据权利要求8至10中任意一项所述的客...
【专利技术属性】
技术研发人员:奥斯卡·奥尔松,韦萨·勒托威尔塔,约翰·马特森,卡尔·诺曼,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。