[发明专利]一种通用引导架构推送的方法

说明书

技术领域

本发明涉及通讯网络中通用引导架构技术领域，特别是一种通用引导架构推送的方法。

背景技术

近年来，随着通用引导架构(Generic Bootstrapping Architecture，GBA)应用的日益广泛，一些由网络应用功能实体(NAF)向用户设备(UE)主动发起通信请求的GBA推送(PUSH)业务产生了新的需求。这种情况下，UE没有到网络侧的通道，或者只有到引导服务器功能实体(BSF)的反馈通道，即UE不能向NAF发送消息，因此也就不能主动连接到网络侧。此时必须由网络侧的NAF主动向BSF发起GBA PUSH请求过程，由BSF向UE主动推送GBA PUSH信息，并向NAF发送请求应答响应。GBA只能提供UE有返回网络应用实体NAF的反馈通道的安全保护，GBA PUSH适用于网络侧NAF主动发起的业务过程，但是并不限制在UE使用GBA PUSH过程中产生的GBA参数来保护UE主动发起的业务过程。

开放移动联盟(OMA)向第三代合作伙伴计划(3GPP)提出了如下的GBA PUSH需求：

1)一个网络实体能够安全地触发产生它和移动终端之间的安全关联；

2)网络侧的实体能够向移动终端发送产生共享安全关联的消息，这个消息在发送时是被安全保护的，并且也可以推迟发送；

3)移动终端最好不需要联系任何网络实体来产生安全关联或者检查消息。

为此，3GPP定义了一种通用引导架构推送功能(GBA PUSH)的架构。该架构如图1所示，通常包括：UE、BSF、用户归属网络服务器(HSS)、用户定位功能实体(SLF)和NAF。其中，BSF用于生成GBA会话参数；HSS中存储用于描述用户信息的签约文件，同时HSS还兼有产生鉴权信息的功能；SLF用于在存在多个HSS时，协助BSF查找相应的HSS；NAF用于为UE提供网络业务。

另外，当UE和BSF之间共享了一个根密钥(Ks)后，UE可以利用公式：

Ks_NAF或Ks_ext_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)或者公式：

Ks_int_NAF＝KDF(Ks，″gba-u″，RAND，IMPI，NAF_Id)

推导出与提供PUSH服务的NAF之间衍生的共享密钥Ks_NAF或者外部共享的衍生密钥(Ks_ext_NAF)/内部共享的衍生密钥(Ks_int_NAF)。为了描述方便，以下将Ks_NAF、Ks_ext_NAF、Ks_int_NAF统称为Ks_(ext/int)_NAF。在上述公式中，NAF_Id是由NAF域名以及要Ua接口上的协议标识(UaID)连接而成；RAND是BSF发送的随机数；私有用户标识(IMPI)是指UE的私有用户标识；″gba-me″或者″gba-u″代表字符串；KDF是密钥导出函数的缩写。这样，UE侧就获取了衍生的共享密钥Ks_(ext/int)_NAF。当BSF将Ks_(ext/int)_NAF发送给NAF后，UE和NAF之间就可以根据Ks_(ext/int)_NAF建立双方通讯的安全通道。

在上述现有技术中，虽然已经给出了GBA PUSH的架构，但是，目前还没有给出相关的GBA PUSH流程，也就说还没有具体实现GBA PUSH。

发明内容

有鉴于此，本发明提出了一种GBA PUSH的方法，用以实现GBA的推送。

根据上述目的，本发明提供了一种GBA PUSH的方法，该方法包括：

A.NAF向BSF发起认证请求消息；

B.BSF向UE发送用来建立BSF与UE之间的引导会话过程的PUSH信息消息，并向NAF发送携带衍生密钥的认证应答消息；

C.NAF使用所述衍生密钥加密PUSH数据，并通过PUSH业务消息发送给UE；

D.UE使用衍生密钥解密从NAF收到的PUSH数据。

步骤A中所述的认证请求消息中包括：UE的用户标识、NAF标识NAF_ID。

所述用户标识为：IMPI、或者IMPU、或者B-TID、或者表示用户标识的别名。

所述的认证请求消息进一步包括：请求密钥有效期参数、和/或GSID参数。

所述的认证请求消息中进一步包括表示GBA PUSH请求的标识；步骤B之前进一步包括：BSF根据所述表示GBA PUSH请求的标识，确定所述的认证请求消息为GBA PUSH认证请求。