归属用户服务器中的智能卡安全特征简档制造技术

根据本发明专利技术的示例性实施方式，至少提供一种方法、可执行计算机程序和装置，在网络应用功能处确定要使用的期望的用户装备安全特征的列表，按照网络应用功能的偏好对所述列表的安全特征进行排序；经由引导服务器功能将所述列表发送至用户安全设置的数据库；由所述网络应用功能经由所述启动程序服务器功能接收安全特征响应，所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥，从而向网络应用功能通知用户装备中的期望的安全特征中的至少一个的可用性。

【技术实现步骤摘要】
分案申请本申请是申请号为201080056027.2、申请日为2010年11月22日并且专利技术名称为“归属用户服务器中的智能卡安全特征简档”的专利申请的分案申请。相关申请的交叉引用本专利申请依据35U.S.C第119条第(e)项要求享受2009年12月11日递交的序号为61/284,045的临时专利申请的优先权，其全部公开内容以引用方式并入本文。
概括地说，根据本专利技术的示例性和非限制性实施例的教导涉及无线通信系统、方法、设备和计算机程序，并且更具体地，涉及通用引导(bootstrapping)架构和安全功能。
技术介绍
本部分旨在提供权利要求书中阐述的本专利技术的
技术介绍
或上下文。这里的说明可包括能够实现的概念，但不一定是先前设想的、实现的或介绍的概念。因此，除非这里特别指出的，在这个部分中描述的内容并非本申请中的说明书和权利要求的现有技术，并且不会通过包含在这个部分中而被承认是现有技术。在说明书和/或附图中可发现以下缩写定义如下：AAA 认证授权记账AKA 认证与密钥协商协议AUTN 认证令牌AV 认证向量AVP 直径(diameter)消息中的属性值对BSF 引导服务器功能CK 秘密密钥(confidential key)GAA 通用认证架构GBA 通用引导架构GPL 通用推送层(push layer)GSID GAA服务标识符GUSS GBA用户安全设置HLR 归属位置寄存器HSS 归属用户服务器IK 完整性密钥IMS 因特网协议(IP)多媒体子系统LDAP 轻量级目录访问协议NAF 网络应用功能(服务)NDS 网络域安全RAND 随机挑战SLF 订户位置功能TLS 传输层安全UE 具有智能卡的用户终端UICC 通用集成电路卡USS 用户安全设置Ua GAA应用的UE-NAF接口Ub 引导的UE-BSF接口XRES 认证中的预期响应Zh 引导过程的BSF-HSS接口Zh’ 引导过程的BSF-HLR接口Zn GAA应用的BSF-NAF接口Zpn GAA应用的NAF-BSF接口对以下两个出版物进行参考：3GPP TS 29.109 V9.0.0(2009-09)技术规范第三代合作伙伴计划；技术规范组核心网络和终端；通用认证架构(GAA)；基于直径(Diameter)协议的Zh和Zn接口；第3阶段(版本9)；和3GPP TS 33.224 V9.0.0(2009-09)技术规范第三代合作伙伴计划；技术规范组服务和系统方面；通用认证架构(GAA)；通用引导架构(GBA)推送层(版本9)。在移动设备中，GBA的使用启用了用户或订户的验证。GBA的使用假设用户在HLR或HSS上具有有效的身份。通过共享秘密来对用户验证进行实例化，对于移动网络，一个在移动设备的智能卡中，且另一个在HLR/HSS中。在例如固定网络的不同网络架构中，共享秘密可存储于可信模块(例如PC上的可信芯片)中和AAA服务器的网络中。GBA通过使网络组件挑战智能卡并随后使用AKA协议验证对于挑战的回答类似于HLR/HSS预测的回答之一来对用户进行认证。BSF建立附加证书(称为Ks)。通过这个证书，其导出认证实体和服务提供商之间的服务提供商专用的共享秘密。在操作中，智能卡中的密钥用于对网络进行认证。然后，BSF从这个服务专用密钥导出主秘密。终端导出相同密钥。因此，每个服务具有不同密钥(如果一方妥协则仅一个服务会受到影响)。服务专用共享秘密在时间上受限并且对于专用服务域(称为Ks_(ext/int)_NAF)受限。SLF是在网络运营商具有若干HSS的情况下通知BSF在哪个HSS上找到订户数据的功能。GBA中目前存在的一个问题涉及，在服务(NAF)想要建立与UE中的认证实体(特别地是智能卡)的安全关联时出现的情形。对此出现，NAF需要知道为了安全关联的建立所支持的安全特征。目前，服务提供NAF无法从终端或从网络获得这个信息。可注意的是，NAF可驻留于运营商网
络的外部，结果是将不具有与HSS的直接接口。
技术实现思路
在本专利技术的示例性方面，提供一种方法，包括：在网络应用功能处确定要使用的期望用户装备安全特征的列表，按照网络应用功能的偏好对所述列表的安全特征进行排序；经由引导服务器功能将所述列表发送至用户安全设置的数据库；以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应，所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望安全特征的安全密钥，从而向网络应用功能通知用户装备中的期望安全特征的至少一个的可用性。在本专利技术的另一示例性方面，提供一种包含计算机程序指令的非临时性计算机可读介质，由至少一个处理器执行所述计算机程序指令以执行包括以下内容的操作：在网络应用功能处确定要使用的期望用户装备安全特征的列表，按照网络应用功能的偏好对所述列表的安全特征进行排序；经由引导服务器功能将所述列表发送至用户安全设置的数据库；以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应，所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望安全特征的安全密钥，从而向网络应用功能通知用户装备中的期望安全特征的至少一个的可用性。在本专利技术的又一示例性方面，提供一种装置，包括：至少一个处理器；和至少一个包括计算机程序代码的存储器，其中所述至少一个存储器和计算机程序代码被配置为，利用所述至少一个处理器，使得所述装置至少进行：在网络应用功能处确定要使用的期望用户装备安全特征的列表，按照网络应用功能的偏好对所述列表的安全特征进行排序；经由引导服务器功能将所述列表发送至用户安全设置的数据库；以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应，所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望安全特征的安全密钥，从而向网络应用功能通知用户装备中的期望安全特征的至少一个的可
用性。附图说明在下面的详细说明中，当接合附图阅读时，本专利技术的实施方式的以上和其他方面将变得更清楚，其中：图1是GBA推送(push)架构的框图；图2是GBA架构的框图；图3是GBA架构的另一实施方式的框图；图4A和4B是图1至3中分别示出的UE和BSF/HSS/NAF的简化框图；图5是根据本专利技术示例性实施方式的信号/消息流程图；图6是示出根据本专利技术示例性实施方式的计算机可读存储器上体现的计算机程序指令的执行的结果和方法的操作的逻辑流程图。具体实施方式本专利技术的示例性实施方式提供了对HSS、BSF和NAF的增强。图1示出GBA推送架构的框图。示出的是BSF 10、SLF 12、HSS 14、NAF 16、和UE 18。这些框经由上述接口进行互连。图2示出GBA架构的框图。除了图1所示的框，将GUSS数据库(DB)20示为HSS 14的一部分。图3是GBA架构的另一实施方式，其中假设GUSS DB 20在网络外部，并经由某些适当接口21与BSF 10连接。图4A示出UE 18的实施方式的简化框图。为了说明本发本文档来自技高网...

【技术保护点】
一种方法，包括：在网络应用功能处确定要使用的期望的用户装备安全特征的优先顺序列表；经由引导服务器功能将所述优先顺序列表发送至用户安全设置的数据库，其中所述数据库包括通用引导架构用户安全设置数据库，其中在安全特征请求消息中发送所述优先顺序列表，其中使用属性值对直径消息来发送所述安全特征请求消息，并且其中所述安全特征请求消息包括：读作“element name＝“securityfeaturesrequest”type＝“xsd:string”minOccurs＝“0””的元素；以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应，所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥，从而向网络应用功能通知用户装备中至少期望的安全特征的可用性。

【技术特征摘要】
2009.12.11 US 61/284,0451.一种方法，包括：在网络应用功能处确定要使用的期望的用户装备安全特征的优先顺序列表；经由引导服务器功能将所述优先顺序列表发送至用户安全设置的数据库，其中所述数据库包括通用引导架构用户安全设置数据库，其中在安全特征请求消息中发送所述优先顺序列表，其中使用属性值对直径消息来发送所述安全特征请求消息，并且其中所述安全特征请求消息包括：读作“element name＝“securityfeaturesrequest”type＝“xsd:string”minOccurs＝“0””的元素；以及由所述网络应用功能经由所述引导服务器功能接收安全特征响应，所述安全特征响应包括从数据库中存储的信息导出的、对应于所述列表中包含的期望的安全特征的安全密钥，从而向网络应用功能通知用户装备中至少期望的安全特征的可用性。2.如权利要求1所述的方法，其中所述安全特征响应包括列表共用的安全特征的指示，以及其中根据从数据库中存储的信息导出的那样对共用安全特征进行排序。3.如权利要求1所述的方法，其中，经由归属用户服务器将所述优先顺序列表发送至用户安全设置的数据库。4.如权利要求1所述的方法，其中，所述数据库在包含网络应用功能和引导服务器功能的系统的外部。5.如权利要求1所述的方法，其中，所述数据库包括用于存储所支持的安全特征的字段。6.如权利要求1所述的方法，其中，所述安全特征请求消息的类型是八位字节字符串OctetString。7.如权利要求1所述的方法，其中，所述属性值对直径消息包含期望用户装备安全特征。8.如权利要求1所述的方法，其中，所述安全特征请求消息包括：按期望的用户装备安全特征的优先顺序由分号分隔的期望的用户装置安全特征。9.一种包含计算机程序指令的非暂态计算机可读介质，至少一个处理器执行所述计算机程序指令以执行操作，所述操作包括：在网络应用功能处确定要使用的期望的用户装备安全特征的优先顺序列表；经由引导服务器功能将所述优先顺序列表发送至用户安全设置的数据库，其中所述数据库包括通用引导架构用户安全设置数据库，其中在安全特征请求消息中发送所述优先顺序列表，其中使用属性值对直径消息来发送所述安全特征请求消息，并且其中所述安全特征请求消息包括：读作“element name＝“securityfeaturesrequest”type...

【专利技术属性】
技术研发人员：S·霍尔特曼斯，
申请(专利权)人：诺基亚技术有限公司，
类型：发明
国别省市：芬兰;FI