"MÉTODO, APARELHO E PROGRAMA DE COMPUTADOR PARAPROVER UM MECANISMO GENÉRICO PARA O SERVIDOR DE APLICAÇÃO DE REDE".
Referência
Este pedido reivindica prioridade do Pedido de Patente Provisório US60/669,873, depositado em 11 de abril de 2005. O assunto deste pedidodepositado anteriormente é aqui incorporado por referência.
Campo da Invenção
Esta invenção é relacionada a um mecanismo genérico para umservidor de aplicação para determinar qual chave da Arquitetura de AutenticaçãoGenérica (GAA) permitiria uma integração fácil dos servidores de aplicaçãoadicionais ao estender um padrão existente para as Configurações de Segurançado Usuário (USS).
Descrição da Técnica Anterior
A autenticação inicial (i.e., bootstrapping) da Arquitetura deAutenticação Genérica (GAA) do ProJeto de Parceiros da Terceira Geração(3GPP) é baseado no AKA (Protocolo de Acordo de Chave e Autenticação).Dependendo do terminal móvel, tal como um telefone móvel, e o Cartão deCircuito Integrado (UICC) do Sistema de Telecomunicações Móvel Universal(UMTS) ou módulo de identidade do assinante inserido no terminal móvel, aArquitetura de Autenticação Genérica (GAA) 3GPP pode ter as chaves a seguir:Ks_int_NAF, Ks_ext_NAF, e Ks_NAF. Hoje, o número de serviços que usam GAAé bem pequeno e uma definição sobre qual chave usar para um cartão inteligenteparticular ou módulo de identidade do assinante pode ser implementadodiretamente em um servidor de Função de Aplicação de Rede (NAF) que oferece oserviço ao usuário. Porém, tal implementação no servidor não é muito escalávelou fácil para o administrador no caso de mudanças, tal como novos casos de usoe mudanças ou atualizações nos serviços existentes, ou o usuário que adquire umnovo cartão inteligente. As mudanças ou atualizações no NAF requereria umaconfiguração manual, que é especialmente difícil, se o NAF reside não na rede deorigem do usuário ou assinante, mas em uma rede de terceira parte.
A chave de Ks_int_NAF é usada para segurar o Protocolo de
Transporte de Hipertexto (HTTPS) entre o cartão inteligente ou módulo deidentidade do assinante e o servidor de aplicação NAF. A aplicação residiria nocartão inteligente ou módulo de identidade do assinante e o terminal móvel apenasatuaria como um modem. Este mecanismo pode ser usado como uma alternativapara apresentar as mensagens de configuração OTA SMS para carregar as novasatualizações ou outras aplicações SAT.
O único caso de uso para a chave Ks_int_NAF definida hoje é noServiço de Multidifusão/Radiodifusão de Multimídia (MBMS). No MBMS, o NAF éconfigurado de acordo com as definições na especificação TS 33.246 3GPP,acoplada aqui como Apêndice A, os conteúdos deste sendo incorporados aqui porreferência. No MBMS, uma escolha sobre qual chave usar é definido peladescrição das chaves específicas na especificação TS 33.246. Então para estecaso de uso, nenhum mecanismo de escolha de chave é requerido porque a chaveé implementada diretamente no NAF que está oferecendo o serviço MBMS para ousuário.
Resumo da Invenção
De acordo com uma incorporação da presente invenção, é providoum método para prover um mecanismo genérico para o servidor de aplicação derede. O método inclui receber um pedido do equipamento do usuário para provera informação de autenticação para a função de aplicação de rede. O método incluideterminar uma chave de uma arquitetura de autenticação genérica para integraros servidores de aplicação de rede adicionais ao estender o padrão existente paraas configurações de segurança do usuário. O método inclui prover a informação deautenticação para a função de aplicação de rede.
De acordo com uma incorporação da presente invenção, é providoum aparelho para prover um mecanismo genérico para o servidor de aplicação derede. Um dispositivo receptor para receber um pedido do equipamento do usuáriopara prover a informação de autenticação para a função de aplicação de rede. Umdispositivo de determinação para determinar uma chave de uma arquitetura deautenticação genérica para integrar os servidores de aplicação de rede adicionaisao estender o padrão existente para as configurações de segurança do usuário.Um primeiro dispositivo de provimento para prover a informação de autenticaçãopara a função de aplicação de rede.
De acordo com uma incorporação da presente invenção, é providoum aparelho para prover um mecanismo genérico para o servidor de aplicação derede. O receptor recebe um pedido do equipamento do usuário para prover ainformação de autenticação para a função de aplicação de rede. Uma unidade dedeterminação determina uma chave de uma arquitetura de autenticação genéricapara integrar os servidores de aplicação de rede adicionais ao estender o padrãoexistente para as configurações de segurança do usuário. Uma unidade deprovimento prove a informação de autenticação para a função de aplicação de rede.
Breve Descrição das Figuras
Os desenhos apensos são incluídos para prover um melhorentendimento da invenção e são incorporados e constituem uma parte destaespecificação, ilustrando as incorporações da invenção que junto com a descriçãoserve para explicar os princípios da invenção, onde:
Figura 1A - ilustra um aparelho para prover um mecanismo genéricopara o servidor de aplicação de rede, de acordo com uma incorporação dapresente invenção;
Figura 1B - ilustra uma arquitetura de rede exemplar na qual umaFunção de Aplicação de Rede está na rede visitada, de acordo com umaincorporação da presente invenção;
Figura 2 - ilustra um aparelho para prover um mecanismo genéricopara o servidor de aplicação de rede, de acordo com uma incorporação dapresente invenção;
Figura 3 - ilustra um método para prover um mecanismo genéricopara o servidor de aplicação de rede, de acordo com uma incorporação dapresente invenção; e
Figura 4 - ilustra um método para prover um mecanismo genéricopara o servidor de aplicação de rede, de acordo com uma incorporação alternativada presente invenção.
Tabela de Abreviações
<table>table see original document page 5</column></row><table><table>table see original document page 6</column></row><table><table>table see original document page 7</column></row><table><table>table see original document page 8</column></row><table><table>table see original document page 9</column></row><table>
Descrição Detalhada da Invenção
O 3GPP é uma infra-estrutura de autenticação proposta (3GPP TS33.220, anexado aqui como Apêndice B, os conteúdos são incorporados aqui porreferência). Esta infra-estrutura pode ser utilizada para permitir as funções deaplicação no lado de rede e no lado do usuário para comunicar nas situações ondeo lado de rede e o lado do usuário não poderiam se comunicar. Estafuncionalidade é chamada de " autenticação inicial de segurança da aplicação," oumais simplesmente como "bootstrapping" (autenticação inicial).
Os princípios gerais da autenticação inicial são que uma função doservidor de autenticação inicial genérica (BSF) permite ao equipamento do usuário(UE) autenticar com este, e concorda nas chaves de sessão. Tal autenticaçãopode ser baseada no acordo de chave e autenticação (AKA). Ao rodar o AKA, oterminal móvel e a rede mutuamente autenticam um ao outro e concordam naschaves, especificamente uma chave de confidencialidade (CK) e uma chave deintegridade (IK). Depois desta autenticação, o UE e a função de aplicação de rede(NAF), que também pode ser referenciada como provedor de serviço, pode rodarem algum protocolo de aplicação específica, onde a autenticação das mensagensé baseada nas chaves de sessão acordadas entre o UE e o BSF.
A função de autenticação inicial não é pretendida para serdependente de qualquer função de aplicação de rede particular. O servidor queimplementa a função de autenticação inicial deve ser de responsabilidade de umoperador de origem para controlar os vetores de autenticação. As funções deaplicação de rede podem ser suportadas na rede de origem do operador, na redevisitada, ou em uma terceira rede.
A Figura 1A ilustra uma arquitetura de rede exemplar, de acordo comuma incorporação da presente invenção. A arquitetura de rede inclui umequipamento do usuário (UE) 100, pelo menos uma função de aplicação de rede(NAF) 102, uma função do servidor de autenticação inicial (BSF) 104, e umsistema do assinante de origem (HSS) 106. O BSF 104 e HSS 106 formam partedo operador de rede móvel de origem (MNO) 108. O UE 100 conecta no MNO 108de acordo com as técnicas de comunicação móveis conhecidas.
O NAF 102 é hospedado no elemento de rede, sob o controle doMNO 108, por exemplo, e o BSF pode também ser hospedado em um elementode rede sob o controle do MNO 108. Assim, para propósitos práticos, cada NAF102 e o BSF 104 pode ser considerado como um elemento de rede.
Como ilustrado na Figura 1A, o UE 100 comunica com o NAF 102pela interface Ua 110. O UE 100 comunica com o BSF 104 pela interface Ub 112.O NAF 102 comunica com o BSF 104 pela interface Zn 114. O BSF 104 comunicacom o HSS 106 pela interface Zh 116.
O NAF 102 pode ser provido em uma rede separada adicional. Porexemplo, como ilustrado na Figura 1B, uma arquitetura de rede exemplar é providana qual NAF 102 está na rede visitada. No caso onde o UE 100 contactou um NAF102 que é operado em outra rede que a rede de origem, este NAF 102 visitadousará um proxy de diâmetro (D-proxy) 118 da rede dos NAFs para comunicar como BSF do assinante (i.e., BSF de origem) 104. O NAF 102 comunica com o BSF104 pela interface Zn 114 para o D-Proxy 118 e pela interface Zn' 120 para o BSF104. A funcionalidade D-Proxy 118 pode ser implementada como um elemento derede separado, ou ser parte de qualquer elemento de rede (NE) na rede visitadaque implementa a funcionalidade proxy de Diâmetro (exemplos de tais NE's são osBSF da rede que o NAF 102 visitado pertence, ou um servidor AAA).
Para as Figuras 1A e 1B, o princípio de autenticação inicial é que oUE 100 e a função de autenticação inicial mutuamente se autenticam, porexemplo, usando o protocolo AKA, e concordam na secreta mestre compartilhada.Após, a secreta mestre compartilhada ser usada para derivar uma ou maissecretas mestres compartilhadas específicas da função de aplicação de rede quesão aplicadas entre o UE 100 e a função de aplicação de rede particular (NAFs)em questão. O material NAF específico da secreta mestre compartilhada é geradoespecificamente e independentemente para cada função de aplicação de rede.
Após a operação de autenticação inicial ter sido completada, o UE 100 e a funçãode aplicação de rede podem rodar em algum protocolo específico, onde asegurança das mensagens será baseada nestas chaves geradas durante aautenticação mútua entre o UE 100 e a função do servidor de autenticação inicial.
Assim, as chaves podem ser usadas para autenticação e proteção de integridade,e para confidencialidade. A função de aplicação de rede é então capaz de adquiriro NAF específico da secreta compartilhada derivada da secreta mestrecompartilhada estabelecida entre o equipamento do usuário e a função do servidorde autenticação inicial.
A interface de comunicação Ub 112 suporta a autenticação inicial e oprotocolo de acordo de chave e autenticação, para prover a autenticação mútua eo acordo de chave entre o UE 100 e o BSF 104. Este protocolo pode ser baseadono protocolo AKA 3GPP, por exemplo.
A interface Zh 116 permite ao BSF 104 buscar qualquer informaçãode autenticação requerida e a informação de perfil do assinante do HSS 106. Ainterface Ua 110 suporta qualquer protocolo de aplicação específica que sejaseguro usando o NAF específico da secreta compartilhada derivada da secretamestre compartilhada acordada entre o UE 100 e o BSF 104, baseado noprotocolo suportado pela interface Ub 112. A interface Zn 114 é usada pelo NAF102 para buscar o NAF específico da secreta compartilhada que tem derivado dasecreta mestre compartilhada acordada no protocolo suportado na interface Ub112 do BSF 104. A interface Zn 114 também podem ser usada para buscar ainformação de perfil do assinante do BSF 104.
A mensagem transmitida do BSF 104 para o NAF 102 inclui ainformação de autenticação inicial. A informação de autenticação inicial podeincluir um identificador de transação, um NAF específico da secreta compartilhada,e a informação de perfil do assinante opcional ("prof_naf" ou "qualquer NAFespecífico USSs"). O NAF específico da secreta compartilhada, denotado porKs_NAF, é estabelecido entre o UE 100 e o BSF 104, e pode ser modificado parauso específico para as comunicações entre o UE 100 e o NAF específico. Ks_NAFé derivada de Ks ao usar os parâmetros especificados no Anexo B 3GPP TS33.220 (Apêndice A). Ks é a secreta mestre compartilhada, e Ks_NAF é um NAFespecífico da secreta mestre compartilhada. A informação de autenticação inicialtransmitida para cada NAF é então única para este NAF, de acordo com Ks_NAFespecífico da secreta compartilhada para este NAF.
Um conjunto de todas as configurações de segurança do usuário(GUSS) contém o elemento de informação específico BSF e o conjunto de todosos USSs específicos-aplicação. O conjunto de todas as configurações desegurança do usuário (USSs), i.e. GUSS, é armazenado no HSS. No caso onde oassinante tem múltiplas assinaturas, i.e., múltiplos ISIM ou aplicações USIM noUICC, o HSS conterá um ou mais GUSSs que podem ser mapeados para qualquerde uma ou mais identidades, por exemplo IMPIs (Identidade Privada de MultimídiaIP) e IMSIs (Identidade do Assinante Móvel Internacional).
O desenvolvimento de um novo caso de uso, dois NAF específicosda secreta compartilhada no GBA_U, sendo um usado no UICC (Ks_int_NAF) e ooutro usado no equipamento móvel (Ks_ext_NAF). Este caso de uso necessita dealguma "decisão lógica" do que a chave ter, i.e., Ks_int_NAF, ou Ks_ext_NAF.Adições de novos serviços para esta 'lógica' deveriam ser possíveis sem uma novaconfiguração de cartão inteligente no terminal móvel. No caso do NAF suportarmais de um tipo de chave, qualquer tipo de ação de ataque do nível de segurançaprecisa ser prevenido. Este ataque pode ser que o NAF é enganado ao usar umachave de nível mais baixo de segurança em vez de requerer o uso do Ks_int_NAF.
De acordo com uma incorporação da presente invenção, é providoum mecanismo genérico para o servidor de aplicação obter o conhecimento sobrequal chave de uma Arquitetura de Autenticação Genérica (GAA) permitiria umaintegração fácil dos servidores de aplicação adicionais ao estender um padrãoexistente para as Configurações de Segurança do Usuário (USS). Os Pares-Valor-Atributo AVP (AVPs) são definidos nas mensagens de Pedido-Info-AutenticaçãoInicial/Resposta da interface Zn GAA 3GPP TS 29.109, anexado aqui comoApêndice C, os conteúdos deste são incorporados aqui por referência, e novosDiâmetro adicionais AVP são definidos no 3GPP TS 29.229, anexado aqui comoApêndice D, os conteúdos deste sendo incorporados aqui por referência.
Um mecanismo genérico pode ser implementado através de umacodificação rígida ou ao configurar localmente o uso da chave diretamente nosoftware em cada NAF durante a configuração do NAF (local no NAF), porcodificação rígida do uso da chave no BSF (BSF dita ao entregar apenas a chavepertinente a NAF), ao prover um campo(s) adicional na configuração de segurançado usuário (USS) armazenado no Servidor do Assinante de Origem (HSS) que étransferido ao BSF, e/ou ao usar o AVP armazenado no BSF que indica o uso dachave. Se o BSF entregasse apenas as chaves pertinentes ao NAF, o NAF nãoestaria atento à qualidade de segurança fornecida e ao tipo de chave que estáusando.
O 3GPP padronizado e as Configurações de Segurança do Usuário(USS) existentes poderiam ser estendidos e usados para indicar qual chave usar.Isto proporcionaria ao operador-origem do usuário o controle total e flexível,especialmente no caso em que o serviço é oferecido por um NAF de terceira partee a tarifação do serviço é feita pelo operador-origem.
De acordo com uma incorporação da presente invenção, pode haverpelo menos duas possíveis incorporações. Em uma primeira incorporação dapresente invenção, o USS poderia indicar que tipo de cartão inteligente ouambiente seguro o usuário possui. Também, a primeira incorporação proveria se oSIM Universal do assinante móvel (USIM), o cartão IMS SIM (ISIM) é ou nãopermitido para GBAJJ. Na primeira incorporação, pode haver um campo indicadorque indica se o cartão ou ambiente seguro é permitido para GBAJJ.
Em uma segunda incorporação da presente invenção, o USS podeincluir um ou dois campos indicadores de autorização que são transportados noUSS de uma especificação existente 3GPP TS 29.109, anexado aqui comoApêndice D, os conteúdos deste sendo incorporados aqui por referência. Noprimeiro campo indicador, se este campo estiver presente e indicar o uso dasecreta compartilhada baseado no UICC (Ks_int_NAF) este é obrigatório. Osegundo campo indicador pode ser um campo opcional onde se este segundocampo indicador estiver presente este indica o uso da secreta compartilhada(Ks_ext_NAF ou Ks_NAF).
Se o assinante móvel é aprovisionado por um operador de origemcom um novo módulo de identidade do assinante, então o USS pode serfacilmente atualizado para requerer que de agora em diante uma chaveKs_int_NAF mais segura seja usada. Ambas as alternativas impedem as ações deataque de segurança, i.e., a chave Ks_ext_NAF sendo usada em vez da chaveKs_int_NAF mais segura.
A Figura 2 ilustra um aparelho 150 para prover um mecanismogenérico para o servidor de aplicação de rede, de acordo com uma incorporaçãoda presente invenção. O aparelho 150 inclui uma unidade receptora 152 parareceber o pedido de um equipamento do usuário para prover a informação deautenticação para uma função de aplicação de rede. O aparelho 150 inclui umaunidade de determinação 154 para determinar uma chave de uma arquitetura deautenticação genérica para integrar os servidores de aplicação de rede adicionaisao estender o padrão existente para as configurações de segurança do usuário. Oaparelho 150 também inclui uma primeira unidade de provimento 156 para provera informação de autenticação à função de aplicação de rede.
A Figura 3 ilustra um método para prover um mecanismo genéricopara o servidor de aplicação de rede, de acordo com uma incorporação dapresente invenção. Na operação 200, o método recebe um pedido do equipamentodo usuário para prover a informação de autenticação para uma função deaplicação de rede. Na operação 210, o método determina uma chave de umaarquitetura de autenticação genérica para integrar os servidores de aplicação derede adicionais ao estender um padrão existente para as configurações desegurança do usuário. Na operação 220, prover a informação de autenticação àfunção de aplicação de rede. De acordo com uma incorporação da presenteinvenção, o USS poderia indicar que tipo de cartão inteligente o usuário possui, ouque tipo (i.e., Ks_ext_NAF ou Ks_int_NAF), de secreta compartilhada deve serusado. Na operação 230, o método determina se o SIM Universal do assinantemóvel (USIM), o cartão IMS SIM (ISIM) ou outro ambiente seguro é ou nãopermitido para o GBA_U. Na primeira incorporação, pode haver um campoindicador que indica se o cartão ou o ambiente seguro é habilitado ao GBA_U.
A Figura 4 ilustra um método para prover um mecanismo genéricopara o servidor de aplicação de rede, de acordo com uma incorporação alternativada presente invenção. Na operação 300, o método recebe um pedido doequipamento do usuário para prover a informação de autenticação para umafunção de aplicação de rede. Na operação 310, o método determina uma chavede uma arquitetura de autenticação genérica para integrar os servidores deaplicação de rede adicionais ao estender um padrão existente para asconfigurações de segurança do usuário. Na operação 320, prover a informação deautenticação à função de aplicação de rede. De acordo com uma incorporação dapresente invenção, o USS poderia indicar que tipo de cartão inteligente ouambiente seguro o usuário possui, ou que tipo de secreta compartilhada deva serusado. Na operação 330, o método determina se o USS inclui um ou dois camposindicadores a serem transportados no cabeçalho de Autorização da especificaçãoexistente 3GPP TS 29.109, anexado como Apêndice C. No primeiro campoindicador, se este campo estiver presente este indica que o uso da secreta(Ks_int_NAF) compartilhada baseada em UICC é obrigatório. O segundo campoindicador pode ser um campo opcional, onde se este segundo campo indicadorestiver presente, este indica o uso da secreta (Ks_ext_NAF ou Ks_NAF)compartilhada baseado no ME.
Se um novo servidor de aplicação for configurado na rede dooperador, este não necessita saber qual chave usar para qual usuário ou se ousuário será aprovisionado em um futuro próximo com um novo cartão SIM. ONAF obteria a informação de escolha da chave necessária do BSF.
De acordo uma incorporação da presente invenção, um novo AVPpoderia ser usado para indicar o tipo de chave derivada sendo usado. Porexemplo, o novo AVP pode indicar se a chave derivada é Ks_int_NAF ou algumoutro tipo de chave. O novo AVP indicaria se o cartão ou ambiente seguro éhabilitado ao GBAJJ ou, como uma alternativa, qual chave usar. Dependendo doindicador, o NAF pode usar a chave secreta compartilhada (Ks_int_NAF) baseadono UICC quando indicado. Quer dizer, o AVP indica que o cartão ou o ambienteseguro é habilitado ao GBA_U ou o AVP indica o uso de Ks_int_NAFexplicitamente. O NAF requereria então que esta chave fosse usada e não algumaoutra chave com um nível de segurança mais baixo.
Para o servidor de rede em um ambiente seguro, por exemplo umcartão inteligente, o cliente residiria no Cartão de Circuito Integrado (UICC) do
Sistema de Telecomunicações Móvel Universal (UMTS) e a aplicação tambémresidiria em um ambiente seguro. Isto seria tipicamente uma aplicação Java, umaaplicação XML, uma aplicação C++, uma aplicação de Perl, ou uma aplicaçãoVisual Basic ou outros tipos semelhantes de aplicações. Então, o UICC tambémpode atuar como um servidor de aplicação que oferece um serviço de rede paraoutras entidades, onde uma delas poderia residir em outro domínio confiável, porexemplo, em uma segunda área segura no telefone e a Ks_int_NAF pode serusada para comunicações seguras entre as entidades de serviço de rede. O NAFbaseado em UICC teria o papel de um WSP (Provedor de Serviço de Rede) comoesboçado pela Especificação de Estrutura de Serviço de Rede de Liberdade deAliança (ID-WSF) http://www.projectliberty.org/resources/specifications.php. OUICC pode atuar como um provedor de serviço de rede de acordo com aLiberdade de Aliança que prove uma entidade solicitante (i.e., o consumidor doserviço de rede) com uma informação sensível que pode ser autenticada/segurapela Ks_int_NAF. Outras chaves baseadas em GAA podem ser usadas tambémna estrutura de serviço de rede para identificação e segurança da mensagem.
Além disso, o TS 24.109 3GPP especifica a interface de autenticação inicial (Ub) ea interface da função de aplicação de rede (Ua), anexado aqui como Apêndice E,os conteúdos deste sendo incorporados aqui por referência. TS 29.109 3GPPespecifica as interfaces Zh e Zn baseadas no protocolo de diâmetro, anexado aquicomo Apêndice F, os conteúdos deste sendo incorporados aqui por referência.
A presente invenção pode permitir ao operador-origem do assinanteter total controle do nível de segurança usado. A atualização das configurações desegurança do usuário, no caso do usuário possuir um novo UICC poderiaacontecer centralmente no Servidor de Serviço de Origem (HSS) e não seriarequerido atualizar todos os NAFs individualmente. A lógica de decisão poderesidir no HSS ou BSF controlado pelo operador. Em adição, os ataques desegurança também não seriam mais possíveis para as novas aplicações.
A descrição precedente tem sido direcionada às incorporaçõesespecíficas desta invenção. Será aparente, porém, que outras variações emodificações às incorporações descritas podem ser feitas, com a realização dealgumas ou todas as suas vantagens. Então, é o objetivo das reivindicaçõesapensas cobrir todas as tais variações e modificações dentro do conceito inventivoe escopo da invenção.