[发明专利]使用IPSEC ESP以支持用于基于UDP的OMA使能者的安全功能的方法和实体

权利要求书

1.一种在客户机中用于在OMA SEC_CF中在所述客户机和服务器之间向UDP上的业务提供安全服务的方法，包括：

在没有共享密钥协商的情况下建立IPSec ESP SA对，其中确定业务数据密码算法；

通过所确定的业务数据密码算法从预共享密钥导出业务数据安全密钥；以及

利用业务数据安全密钥通过IPSec ESP的使用向所述业务数据提供安全服务。

2.根据权利要求1的方法，其中，建立所述IPSec ESP SA对包括：

生成请求消息以传送给服务器，以便发起所述IPSec ESP SA的建立，所述请求消息包含第一SA相关参数集合，所述第一SA相关参数集合包括：

由所述客户机为所述IPSec ESP SA对分配的接收SPI和发送SPI，

由所述客户机为所述IPSec ESP SA对分配的接收UDP端口和发送UDP端口，和

所述客户机支持的密码算法的标识符列表；以及

从所述服务器接收包含第二SA相关参数集合的响应消息，所述第二SA相关参数集合包括：

由所述服务器为所述IPSec ESP SA对分配的接收SPI和发送SPI，

由所述服务器为所述IPSec ESP SA对分配的接收UDP端口和发送UDP端口，和

选择的密码算法的标识符列表。

3.根据权利要求2的方法，其中建立所述IPSec ESP SA对进一步包括：

响应于所述响应消息的接收，生成确认消息以传送给所述服务器，所述确认消息包括第三SA相关参数集合，所述第三SA相关参数集合包含由所述客户机分配的所述接收SPI、所述发送SPI、所述接收UDP端口和所述发送UDP端口，以及在所述响应消息中接收的第二SA相关参数集合。

4.根据权利要求3的方法，其中建立所述IPSec ESP SA对进一步包括：

将第一质询随机数嵌入所述请求消息以针对服务访问来认证所述服务器；

检查在所述响应消息中从所述服务器接收的第一质询响应；以及

将与在所述响应消息中从所述服务器接收的第二质询随机数对应的第二质询响应嵌入到所述确认消息中。

5.根据权利要求1至4中任意一项的方法，其中所述预共享密钥是预先设置的。

6.根据权利要求1至4中任意一项的方法，其中所述预共享密钥是通过重用在网络控制层或网络应用层或网络传输层中的认证和密钥协商过程的结果而获得的。

7.根据权利要求6的方法，其中所述认证和密钥协商包括UMTS AKA、IMS AKA和GBA中的任何一个。

8.根据权利要求1的方法，其中所述安全服务包括完整性保护盒机密性保护。

9.根据权利要求1的方法，其中所述在UDP上的业务是OMA使能者汇聚的IP消息传输的业务。

10.一种在服务器中用于在OMA SEC_CF中在客户机和所述服务器之间向UDP上的业务提供安全服务的方法，包括：

在没有共享密钥协商的情况下建立IPSec ESP SA对，其中确定业务数据密码算法；

通过所确定的业务数据密码算法从预共享密钥导出业务数据安全密钥；以及

利用业务数据安全密钥通过IPSec ESP的使用向所述业务数据提供安全服务。