[发明专利]保护接口以及用于建立安全通信链路的过程

说明书

本公开涉及用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程的方法以及物理和虚拟节点。在一个实施例中，所述方法包括：应用功能向认证功能发送认证请求消息，从认证功能接收包括认证质询的对认证请求的响应；以及向认证功能发送质询响应。所述方法包括：在从认证功能接收到指示成功的响应时，应用功能使用在认证质询中包括的秘密认证凭证和信息来生成会话密钥；以及应用功能与认证功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。

技术领域

本公开涉及保护接口以及用于在网络实体之间建立安全通信链路的过程。

背景技术

通用引导架构(GBA)在题为“第三代合作伙伴计划；技术规范组服务和系统方面；通用认证架构(GAA)；通用引导架构(GBA)”，3GPP TS 33.220V12.3.0(2014-06)的文献中标准化和描述。

图1示出了GBA的基本元素，GBA是一种使得能够对用户进行认证的技术。

用户设备(UE)10通过Ub接口连接到引导服务器功能(BSF)20。UE还通过Ua接口连接到网络应用功能(NAF)。NAF 30通过Zn接口50连接到BSF 20。最后，BSF 20通过Zh接口连接到归属用户服务器(HSS)40。在上面提到的标准文献更详细地解释了引导(认证过程的另一个名称)架构以及对每个接口Ub、Ua、Zh和Zn(在标准文献中被称为参考点)的要求。

在历史上，网络应用功能(NAF)和引导服务器功能(BSF)都位于例如运营商的网络的安全区(也称为军事化区)中，并且可在没有重大安全问题的情况下通过Zn接口进行通信。通过安装和使用证书，即分别在NAF和BSF中的私钥和公钥，NAF和BSF使用非对称加密来保护Zn接口。

然而，如今随着物联网(IoT)的出现，NAF被拉出安全区并且被带入例如企业网络，从而将Zn接口暴露于不可信网络。

已经提出了在图2中示出的方案，其使用Zn-代理60以与BSF 20通过不可信网络进行通信。然而，该方案向访问网络添加节点并且不易于扩展。

发明内容

因此，需要另一类型的方案。

提供了一种用于保护接口以及保护用于在应用功能与认证功能之间建立安全通信链路的过程的方法。所述方法包括位于非安全区中的应用功能向认证功能发送认证请求消息；以及应用功能从认证功能接收对认证请求的响应，该响应包括认证质询。所述方法包括应用功能向认证功能发送质询响应；以及在从认证功能接收到指示成功的响应时，应用功能使用在认证质询中包括的秘密认证凭证和信息来生成会话密钥。所述方法包括应用功能与认证功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。

提供了一种用于保护接口以及保护用于在位于非安全区中的应用功能与认证功能之间建立安全通信链路的过程的方法。所述方法包括认证功能从应用功能接收认证请求消息；以及针对在认证请求消息中提供的标识符，认证功能向归属用户服务器(HSS)发送对认证向量的请求。所述方法包括认证功能从HSS接收包括认证向量的响应；以及认证功能向应用功能发送对认证请求的响应，该响应包括从认证向量中获得的认证质询。所述方法包括认证功能从应用功能接收质询响应；以及在验证了质询响应时，认证功能使用认证向量中包括的信息来生成会话密钥。所述方法包括认证功能向应用功能发送指示成功的响应；以及认证功能与应用功能握手，并使用该会话密钥来建立安全通信链路，从而保护应用功能与认证功能之间的接口。