保护接口以及用于建立安全通信链路的过程制造技术

本公开涉及用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程的方法以及物理和虚拟节点。在一个实施例中，所述方法包括：应用功能向认证功能发送认证请求消息，从认证功能接收包括认证质询的对认证请求的响应；以及向认证功能发送质询响应。所述方法包括：在从认证功能接收到指示成功的响应时，应用功能使用在认证质询中包括的秘密认证凭证和信息来生成会话密钥；以及应用功能与认证功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。

Protection interface and process for establishing secure communication link

The disclosure relates to methods for protecting interfaces and processes for establishing secure communication links between application functions and authentication functions located in non-secure zones, as well as physical and virtual nodes. In one embodiment, the method comprises sending an authentication request message to the authentication function by an application function, receiving a response to an authentication request including an authentication challenge from the authentication function, and sending a challenge response to the authentication function. The method includes: when a response indicating success is received from the authentication function, the application function generates a session key using the secret authentication credentials and information included in the authentication challenge; and the application function shakes hands with the authentication function, and uses the session key to establish a secure communication link, thereby protecting the application function and recognition. Interface between certificate functions.

【技术实现步骤摘要】
【国外来华专利技术】保护接口以及用于建立安全通信链路的过程
本公开涉及保护接口以及用于在网络实体之间建立安全通信链路的过程。
技术介绍
通用引导架构(GBA)在题为“第三代合作伙伴计划；技术规范组服务和系统方面；通用认证架构(GAA)；通用引导架构(GBA)”，3GPPTS33.220V12.3.0(2014-06)的文献中标准化和描述。图1示出了GBA的基本元素，GBA是一种使得能够对用户进行认证的技术。用户设备(UE)10通过Ub接口连接到引导服务器功能(BSF)20。UE还通过Ua接口连接到网络应用功能(NAF)。NAF30通过Zn接口50连接到BSF20。最后，BSF20通过Zh接口连接到归属用户服务器(HSS)40。在上面提到的标准文献更详细地解释了引导(认证过程的另一个名称)架构以及对每个接口Ub、Ua、Zh和Zn(在标准文献中被称为参考点)的要求。在历史上，网络应用功能(NAF)和引导服务器功能(BSF)都位于例如运营商的网络的安全区(也称为军事化区)中，并且可在没有重大安全问题的情况下通过Zn接口进行通信。通过安装和使用证书，即分别在NAF和BSF中的私钥和公钥，NAF和BSF使用非对称加密来保护Zn接口。然而，如今随着物联网(IoT)的出现，NAF被拉出安全区并且被带入例如企业网络，从而将Zn接口暴露于不可信网络。已经提出了在图2中示出的方案，其使用Zn-代理60以与BSF20通过不可信网络进行通信。然而，该方案向访问网络添加节点并且不易于扩展。
技术实现思路
因此，需要另一类型的方案。提供了一种用于保护接口以及保护用于在应用功能与认证功能之间建立安全通信链路的过程的方法。所述方法包括位于非安全区中的应用功能向认证功能发送认证请求消息；以及应用功能从认证功能接收对认证请求的响应，该响应包括认证质询。所述方法包括应用功能向认证功能发送质询响应；以及在从认证功能接收到指示成功的响应时，应用功能使用在认证质询中包括的秘密认证凭证和信息来生成会话密钥。所述方法包括应用功能与认证功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。提供了一种用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程的方法。所述方法包括认证功能从应用功能接收认证请求消息；以及针对在认证请求消息中提供的标识符，认证功能向归属用户服务器(HSS)发送对认证向量的请求。所述方法包括认证功能从HSS接收包括认证向量的响应；以及认证功能向应用功能发送对认证请求的响应，该响应包括从认证向量中获得的认证质询。所述方法包括认证功能从应用功能接收质询响应；以及在验证了质询响应时，认证功能使用认证向量中包括的信息来生成会话密钥。所述方法包括认证功能向应用功能发送指示成功的响应；以及认证功能与应用功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。提供了一种位于非安全区中的用于保护接口和用于建立到认证功能的安全通信链路的过程的应用功能节点，该应用功能节点包括处理电路和存储器。存储器包含能够由处理电路执行的指令，由此应用功能节点可操作以向认证功能发送认证请求消息；以及从认证功能接收对认证请求的响应，应当响应包括认证质询。应用功能节点可操作以向认证功能发送质询响应；以及在从认证功能接收到指示成功的响应时，使用在认证质询中包括的秘密认证凭证和信息来生成会话密钥。应用功能节点可操作以与认证功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。提供了一种用于保护接口和用于建立到位于非安全区中的应用功能的安全通信链路的过程的认证功能节点，该认证功能节点包括处理电路和存储器。存储器包含能够由处理电路执行的指令，由此认证功能节点可操作以从应用功能接收认证请求消息；以及针对在认证请求消息中提供的标识符，向归属用户服务器(HSS)发送对认证向量的请求。认证功能节点可操作以从HSS接收包括认证向量的响应；以及向应用功能发送对认证请求的响应，该响应包括从认证向量中获得的认证质询。认证功能节点可操作以从应用功能接收质询响应；以及在验证了质询响应时，使用认证向量中包括的信息来生成会话密钥。认证功能节点可操作以向应用功能发送指示成功的响应；以及与应用功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。提供了一种位于非安全区中的用于保护接口和用于建立到认证功能的安全通信链路的过程的应用功能节点。应用功能节点包括发送模块，其用于向认证功能发送认证请求消息；以及接收模块，其用于从认证功能接收对认证请求的响应，该响应包括认证质询。发送模块还用于向认证功能发送质询响应。接收模块还用于从认证功能接收指示成功的响应。应用功能节点包括处理模块，其用于在接收到指示成功的响应时，使用在认证质询中包括的秘密认证凭证和信息来生成会话密钥；以及通信模块，其用于与认证功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。提供了一种用于保护接口和用于建立到位于非安全区中的应用功能的安全通信链路的过程的认证功能节点。认证功能节点包括接收模块，其用于从应用功能接收认证请求消息；以及发送模块，其用于针对在认证请求消息中提供的标识符，向归属用户服务器(HSS)发送对认证向量的请求。接收模块还用于从HSS接收包括认证向量的响应。发送模块还用于向应用功能发送对认证请求的响应，该响应包括从认证向量中获得的认证质询。接收模块还用于从应用功能接收质询响应。认证功能节点包括处理模块，其用于在验证了质询响应时使用认证向量中包括的信息来生成会话密钥。发送模块还用于向应用功能发送指示成功的响应。认证功能节点包括通信模块，其用于与应用功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。提供了一种其上存储有指令的非暂时性计算机介质，所述指令用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程。所述指令包括应用功能向认证功能发送认证请求消息；以及应用功能从认证功能接收对认证请求的响应，该响应包括认证质询。所述指令包括应用功能向认证功能发送质询响应；以及在从认证功能接收到指示成功的响应时，应用功能使用在认证质询中包括的秘密认证凭证和信息来生成会话密钥。所述指令包括应用功能与认证功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。提供了一种其上存储有指令的非暂时性计算机介质，所述指令用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程。所述指令包括认证功能从应用功能接收认证请求消息；以及针对在认证请求消息中提供的标识符，认证功能向归属用户服务器(HSS)发送对认证向量的请求。所述指令包括认证功能从HSS接收包括认证向量的响应；以及认证功能向应用功能发送对认证请求的响应，该响应包括从认证向量中获得的认证质询。所述指令包括认证功能从应用功能接收质询响应；以及在验证了质询响应时，认证功能使用认证向量中包括的信息来生成会话密钥。所述指令包括认证功能向应用功能发送指示成功的响应；以及认证功能与应用功能握手，并使用该会话密钥来建立安全通信链本文档来自技高网...

【技术保护点】
1.一种用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程的方法，包括：‑所述应用功能向所述认证功能发送认证请求消息；‑所述应用功能从所述认证功能接收对所述认证请求的响应，所述响应包括认证质询；‑所述应用功能向所述认证功能发送质询响应；‑在从所述认证功能接收到指示成功的响应时，所述应用功能使用在所述认证质询中包括的秘密认证凭证和信息来生成会话密钥；以及‑所述应用功能与所述认证功能握手，并使用所述会话密钥来建立所述安全通信链路，从而保护所述应用功能与所述认证功能之间的所述接口。

【技术特征摘要】
【国外来华专利技术】1.一种用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程的方法，包括：-所述应用功能向所述认证功能发送认证请求消息；-所述应用功能从所述认证功能接收对所述认证请求的响应，所述响应包括认证质询；-所述应用功能向所述认证功能发送质询响应；-在从所述认证功能接收到指示成功的响应时，所述应用功能使用在所述认证质询中包括的秘密认证凭证和信息来生成会话密钥；以及-所述应用功能与所述认证功能握手，并使用所述会话密钥来建立所述安全通信链路，从而保护所述应用功能与所述认证功能之间的所述接口。2.根据权利要求1所述的方法，其中，所述应用功能是网络应用功能(NAF)，所述认证功能是如在通用引导架构(GBA)中定义的引导服务器功能(BSF)。3.根据权利要求2所述的方法，其中，所述接口是NAF与BSF之间的接口。4.根据权利要求1至3中任一项所述的方法，其中，所述认证质询是由归属用户服务器(HSS)生成的认证向量。5.根据权利要求1至4中任一项所述的方法，其中，所述会话密钥是能够用于特定的应用功能的引导密钥会话(Ksb)。6.根据权利要求1至5中任一项所述的方法，其中，所述秘密认证凭证包括物理用户身份模块(SIM)、嵌入式SIM或软件SIM。7.根据权利要求1至6中任一项所述的方法，其中，在所述认证质询中包括的所述信息包括消息认证码(MAC)和随机数(RAND)。8.根据权利要求1至7中任一项所述的方法，其中，所述安全通信链路是基于预共享密钥密码组(TLS-PSK)隧道的传输层安全。9.一种用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程的方法，包括：-所述认证功能从所述应用功能接收认证请求消息；-针对在所述认证请求消息中提供的标识符，所述认证功能向所述归属用户服务器(HSS)发送对认证向量的请求；-所述认证功能从所述HSS接收包括所述认证向量的响应；-所述认证功能向所述应用功能发送对所述认证请求的响应，所述响应包括从所述认证向量中获得的认证质询；-所述认证功能从所述应用功能接收质询响应；-在验证了所述质询响应时，所述认证功能使用所述认证向量中包括的信息来生成会话密钥；-所述认证功能向所述应用功能发送指示成功的响应；以及-所述认证功能与所述应用功能握手，并使用所述会话密钥来建立所述安全通信链路，从而保护所述应用功能与所述认证功能之间的所述接口。10.根据权利要求9所述的方法，其中，所述应用功能是网络应用功能(NAF)，所述认证功能是如在通用引导架构(GBA)中定义的引导服务器功能(BSF)。11.根据权利要求10所述的方法，其中，所述接口是NAF与BSF之间的接口。12.根据权利要求9至11中任一项所述的方法，其中，所述会话密钥是能够用于特定的应用功能的引导密钥会话(Ksb)。13.根据权利要求9至12中任一项所述的方法，其中，所述认证质询中包括的信息包括消息认证码(MAC)和随机数(RAND)。14.根据权利要求9至13中任一项所述的方法，其中，所述安全通信链路是基于预共享密钥密码组(TLS-PSK)隧道的传输层安全。15.一种应用功能节点，位于非安全区中，用于保护接口和用于建立到认证功能的安全通信链路的过程，所述应用功能节点包括处理电路和存储器，所述存储器包含能够由所述处理电路执行的指令，由此所述应用功能节点能够操作以：-向所述认证功能发送认证请求消息；-从所述认证功能接收对所述认证请求的响应，所述响应包括认证质询；-向所述认证功能发送质询响应；-在从所述认证功能接收到指示成功的响应时，使用在所述认证质询中包括的秘密认证凭证和信息来生成会话密钥；以及-与所述认证功能握手，并使用所述会话密钥来建立所述安全通信链路，从而保护所述应用功能与所述认证功能之间的所述接口。16.根据权利要求15所述的应用功能节点，其中，所述应用功能节点是网络应用功能(NAF)，所述认证功能是如在通用引导架构(GBA)中定义的引导服务器功能(BSF)。17.根据权利要求16所述的应用功能节点，其中，所述接口是NAF与BSF之间的接口。18.根据权利要求15至17中任一项所述的应用功能节点，其中，所述认证质询是由归属用户服务器(HSS)生成的认证向量。19.根据权利要求15至18中任一项所述的应用功能节点，其中，所述会话密钥是能够用于特定的应用功能的引导密钥会话(Ksb)。20.根据权利要求15至19中任一项所述的应用功能节点，其中，所述秘密认证凭证包括物理用户身份模块(SIM)、嵌入式SIM或软件SIM。21.根据权利要求15至20中任一项所述的方法，其中，在所述认证质询中包括的所述信息包括消息认证码(MAC)和随机数(RAND)。22.根据权利要求15至21中任一项所述的应用功能节点，其中，所述安全通信链路是基于预共享密钥密码组(TLS-PSK)隧道的传输层安全。23.一种认证功能节点，用于保护接口和用于建立到位于非安全区中的应用功能的安全通信链路的过程，所述认证功能节点包括处理电路和存储器，所述存储器包含能够由所述处理电路执行的指令，由此所述认证功能节点能够操作以：-从所述应用功能接收认证请求消息；-针对在所述认证请求消息中提供的标识符，向归属用户服务器(HSS)发送对认证向量的请求；-从所述HSS接收包括所述认证向量的响应；-向所述应用功能发送对所述认证请求的响应，所述响应包括从所述认证向量中获得的认证质询；-从所述应用功能接收质询响应；-在验证了所述质询响应时，使用所述认证向量中包括的信息来生成会话密钥；-向所述应用功能发送指示成功的响应；以及-与所述应用功能握手，并使用所述会话密钥来建立所述安全通信链路，从而保护所述应用功能与所述认证功能之间的所述接口。24.根据权利要求23所述的认证功能节点，其中，所述应用功能是网络应用功能(NAF)，所述认证功能节点是如在通用引导架构(GBA)中定义的引导服务器功能(BSF)。25.根据权利要求24所述的认证功能节点，其中，所述接口是NAF与BSF之间的接口。26.根据权利要求23至25中任一项所述的认证功能节点，其中，所述会话密钥是能够用于特定的应用功能的引导密钥会话(Ksb)。27.根据权利要求23至26中任一项所述的方法，其中，所述认证质询中包括的信息包括消息认证码(MAC)和随机数(RAND)。28.根据权利要求23至27中任一项所述的认证功能节点，其中，所述安全通信链路是基于预共享密钥密码组(TLS-PSK)隧道的传输层安全。29.一种应用功能节点，位于非安全区中，用于保护接口和用于建立到认证功能的安全通信链路的过程，所述应用功能节点包括：-发送模块，用于向所述认证功能发送认证请求消息；-接收模块，用于从所述认证功能接收对所述认证请求的响应，所述响应包括认证质询；-所述发送模块还用于向所述认证功能发送质询响应；-所述接收模块还用于从所述认证功能接收指示成功的响应；-处理模块，用于在接收到指示成功的响应时，使用在所述认证质询中包括的秘密认证凭证和信息来生成会话密钥；以及-通信模块，用于与认证功能握手，并使用所述会话密钥来建立所述安全通信链路，从而保护所述应用功能与所述认证功能之间的所述接口。30.一种认证功能节点，用于保护接口和用于建立到位于非安全区中的应用功能的安全通信链路的过程，所述认证功能节点包括：-接收模块，用于从所述应用功能接收认证请求消息；-发送模块，用于针对在所述认证请求消息中提供的标识符，向归属用户服务器(HSS)发送对认证向量的请求；-所述接收模块还用于接收来自所述HSS的响应，所述响应包括所述认证向量；-所述发送模块还用于向所述应用功能发送对所述认证请求的响应，所述响应包括从所述认证向量中获得的认证质询；-所述接收模块还用于从所述应用功能接收质询响应；-处理模块，用于在验证了所述质询响应时，使用所述认证向量中包括的信息来生成会话密钥；-所述发送模块还用于向所述应用功能发送指示成功的响应；以及-通信模块，用于与所述应用功能握手，并使用所述会话密钥来建立所述安全通信链路，从而保护所述应...

【专利技术属性】
技术研发人员：G·塔诺尼，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE