一种基于GBA的认证方法及装置制造方法及图纸

本发明专利技术公开了一种基于GBA的认证方法和装置，包括：BSF接收用户终端发送的初始化请求消息，并根据该消息中携带的用户标识从用户归属服务器中获取并保存鉴权参数和引导鉴权参数；用户终端接收并保存BSF发送的引导鉴权参数，将引导鉴权参数发送给用户卡，接收用户卡返回的鉴权参数；UAM模块获取与UAM产品序列号对应的预置密钥，生成随机参数，根据预置密钥、随机参数、以及用户终端发送的鉴权参数和引导鉴权参数生成认证参数；BSF根据初始化消息中携带的UAM产品序列号，获取与之对应的预置密钥，根据随机参数、鉴权参数、引导鉴权参数和预置密钥对认证参数进行认证操作。和现有技术相比，能够提高GBA初始化流程的安全性。

【技术实现步骤摘要】
一种基于GBA的认证方法及装置
本专利技术涉及移动通信技术，特别涉及一种基于GBA的认证方法及装置。
技术介绍
通用引导架构(GenericBootstrappingArchitecture，GBA)是一种使用对称密钥来完成鉴权和密钥协商的通用安全机制，它属于通用鉴权框架(GenericAuthenticationArchitecture，GAA)的一部分。GBA在3GPP相互鉴权和密钥协商机制(AuthenticationandKeyAgreement，AKA)的基础上，提供了一种在用户设备(UserEquipment，UE)和服务器之间建立共享密钥的通用机制。GBA的相关流程通常分为GBA初始化阶段(该阶段将生成GBA根密钥Ks)以及基于GBA的业务访问阶段(即使用Ks生成GBA共享密钥并以此进行业务通信)。在GBA的初始化过程中，通过引导服务功能实体(BootstrappingServerFunction，BSF)，UE和HSS/HLR之间使用AKA进行密钥协商，在AKA完成之后，BSF和UE协商出一个GBA的根密钥Ks；在基于GBA的业务访问阶段，应用服务器(NetworkApplicationFunction，NAF)从BSF中取得GBA的根密钥Ks和用户相关信息，应用服务器(NAF)从BSF中取得根密钥Ks和UE相关信息后，UE和NAF之间建立共享密钥，随后就能够利用此密钥为应用服务提供安全保护，特别是在应用服务会话开始时为UE和NAF提供相互鉴权。因此，GBA的初始化过程是GBA安全机制的关键环节。移动多媒体广播业务(如：手机电视业务)基于GBA安全机制设计了自身的业务安全策略，并在用户终端中引入用户认证模块(UserAuthenticationModule，UAM)，用于和BSF完成GBA机制。图1为现有基于2G网络的GBA初始化流程图，如图1所示，包括如下所述的步骤：步骤101～103：用户终端向BSF发送GBAbootstrapping请求消息，该请求消息中携带IMSI(IntemationalMobileSubscriberIdentity，国际移动用户标识码)和UAM协议版本号。步骤104：BSF根据IMSI向HLR获取三元组认证向量AV，保存UAM协议版本号。在本步骤中，BSF根据IMSI向HLR发送请求获取三元组认证向量AV，HLR返回与该IMSI对应的三元组认证向量AV＝(RAND，SRES，Kc)，其中，RAND为引导鉴权参数，SRES和Kc为鉴权参数。步骤105：BSF保存AV中的SRES和Kc，随机选择Ks_input，使用消息把RAND和Ks_input发送给用户终端。步骤106～107：用户终端将RAND转发给SIM卡，SIM卡以RAND作为引导鉴权参数调用SIM卡中的GBA模块，SIM卡的GBA模块调用SIM卡中的AKA鉴权模块计算得到Kc和SRES。步骤108：SIM卡将Kc和SRES发送给用户终端。步骤109：用户终端将RAND、Kc、Ks_input和SRES发送给UAM模块。步骤110：UAM模块生成随机数cnonce，根据随机数cnonce、预先存储的与UAM协议版本号对应的预置密钥Km以及用户终端发送的RAND、Kc、Ks_input和SRES，计算得到GBA根密钥Ks；并且，BSF根据随机数cnonce、预先存储的与UAM协议版本号对应的Km以及终端发送的RAND、Kc和SRES生成RES’。步骤111：SIM卡将生成的RES’和cnonce发送给用户终端。步骤112：用户终端将RES’和cnonce转发给BSF。步骤113：BSF根据随机数cnonce、预先存储的与UAM协议版本号对应的预置密钥Km以及AV中的RAND、Kc和SRES计算得到RES’，BSF将该RES’与用户终端返回的RES’比较，若两者相同则认证通过，否则认证不通过，终止GBA流程；当认证通过时，BSF根据随机数cnonce、预先存储的与UAM协议号对应的Km以及BSF保存的RAND、Kc、Ks_input和SRES，计算得到GBA根密钥Ks。步骤114：BSF随机产生B-TID作为ME的临时标示符，将B-TID和Ks生命周期返回给用户终端。步骤115：用户终端向UAM模块发送命令，将B-TID和Ks的生命周期写入UAM模块。步骤116：UAM模块保存B-TID和Ks的生命周期。步骤117：UAM模块向用户终端返回引导业务标识B-TID和Ks的生命周期是否写入成功的状态字。在实现本专利技术的过程中，专利技术人发现现有技术中至少存在如下问题：在现有移动多媒体广播业务的GBA初始化流程中，UAM协议版本号只用于标识不同的UAM生产厂商，由于每个UAM模块的生产厂商只能拿到一个UAM协议版本号，如果该UAM生产厂商出现密钥泄露或密钥被攻击的情况，那么该UAM生产厂商生产的所有UAM产品将全部被攻破，从而无法保证GBA初始化流程的安全性。
技术实现思路
有鉴于此，本专利技术的主要目的在于提供一种基于GBA的认证方法，能够提高GBA初始化流程的安全性。本专利技术的另一目的在于提供两种基于GBA的认证装置，能够提高GBA初始化流程的安全性。为达到上述目的，本专利技术的技术方案是这样实现的：一种基于通用引导结构GBA的认证方法，所述方法包括：引导服务功能设备BSF接收用户终端发送的初始化请求消息，所述初始化请求消息中携带用户标识，以及与用户认证模块UAM对应的UAM产品序列号；所述BSF根据所述用户标识从用户归属服务器中获取并保存鉴权参数和引导鉴权参数；用户终端接收并保存所述BSF发送的所述引导鉴权参数，将所述引导鉴权参数发送给用户卡，并接收所述用户卡返回的所述鉴权参数；UAM模块根据预先保存的所述UAM产品序列号，获取与所述UAM产品序列号对应的预置密钥，并按照预设的随机参数生成方法生成随机参数，根据所述预置密钥、所述随机参数，以及所述用户终端发送的所述鉴权参数和所述引导鉴权参数生成认证参数，并通过所述用户终端将所述认证参数和所述随机参数发送给所述BSF；所述BSF根据所述UAM产品序列号，获取与所述UAM产品序列号对应的所述预置密钥，并根据所述随机参数、所述鉴权参数、所述引导鉴权参数和所述预置密钥对所述认证参数进行认证操作。一种引导服务功能设备BSF，包括：第一接收单元，用于接收用户终端发送的初始化请求消息，所述初始化请求消息中携带用户标识，以及与用户认证模块UAM对应的UAM产品序列号，将所述用户标识发送给第一获取单元，将所述UAM产品序列号发送给认证单元；所述第一获取单元，用于根据所述用户标识从用户归属服务器中获取并保存鉴权参数和引导鉴权参数，将所述鉴权参数发送给认证单元，将所述引导鉴权参数发送给第一发送单元和所述认证单元；所述第一发送单元，用于将所述引导鉴权参数发送给所述用户终端；所述第一接收单元，还用于接收所述UAM模块通过所述用户终端发送的认证参数和随机参数，将所述认证参数和所述随机参数发送给所述认证单元；所述认证单元，用于根据所述UAM产品序列号，获取与所述UAM产品序列号对应的预置密钥，并根据所述随机参数、所述鉴权参数、所述引导鉴权参数和所述预置密钥对所述认证参本文档来自技高网...

【技术保护点】
一种基于通用引导架构GBA的认证方法，其特征在于，包括：引导服务功能设备BSF接收用户终端发送的初始化请求消息，所述初始化请求消息中携带用户标识，以及与用户认证模块UAM对应的UAM产品序列号；所述BSF根据所述用户标识从用户归属服务器中获取并保存鉴权参数和引导鉴权参数；用户终端接收并保存所述BSF发送的所述引导鉴权参数，将所述引导鉴权参数发送给用户卡，并接收所述用户卡返回的所述鉴权参数；UAM模块根据预先保存的所述UAM产品序列号，获取与所述UAM产品序列号对应的预置密钥，并按照预设的随机参数生成方法生成随机参数，根据所述预置密钥、所述随机参数，以及所述用户终端发送的所述鉴权参数和所述引导鉴权参数生成认证参数，并通过所述用户终端将所述认证参数和所述随机参数发送给所述BSF；所述BSF根据所述UAM产品序列号，获取与所述UAM产品序列号对应的所述预置密钥，并根据所述随机参数、所述鉴权参数、所述引导鉴权参数和所述预置密钥对所述认证参数进行认证操作。

【技术特征摘要】
1.一种基于通用引导架构GBA的认证方法，其特征在于，包括：引导服务功能设备BSF接收用户终端发送的初始化请求消息，所述初始化请求消息中携带用户标识，以及与用户认证模块UAM对应的UAM产品序列号；所述BSF根据所述用户标识从用户归属服务器中获取并保存鉴权参数和引导鉴权参数；用户终端接收并保存所述BSF发送的所述引导鉴权参数，将所述引导鉴权参数发送给用户卡，并接收所述用户卡返回的鉴权参数；UAM根据预先保存的所述UAM产品序列号，获取与所述UAM产品序列号对应的预置密钥，并按照预设的随机参数生成方法生成随机参数，根据所述预置密钥、所述随机参数，以及所述用户终端发送的所述鉴权参数和所述引导鉴权参数生成认证参数，并通过所述用户终端将所述认证参数和所述随机参数发送给所述BSF；所述BSF根据所述UAM产品序列号，获取与所述UAM产品序列号对应的所述预置密钥，并根据所述随机参数、所述鉴权参数、所述引导鉴权参数和所述预置密钥对所述认证参数进行认证操作。2.根据权利要求1所述的方法，其特征在于，还包括：所述初始化请求消息中还携带UAM协议版本号；所述BSF根据所述UAM协议版本号，在预先保存的UAM协议版本号数据库中进行查找，若查找失败，根据所述UAM产品序列号，获取与所述UAM产品序列号对应的所述预置密钥，并根据所述随机参数、所述鉴权参数、所述引导鉴权参数和所述预置密钥对所述认证参数进行认证操作。3.根据权利要求1所述的方法，其特征在于，所述UAM根据预先保存的所述UAM产品序列号，获取与所述UAM产品序列号对应的预置密钥，包括：所述UAM根据所述UAM产品序列号中的标志位，判断所述UAM是否已经被激活，若是，所述UAM获取预先保存的与所述UAM产品序列号对应的所述预置密钥，否则，通过预定算法计算与所述UAM产品序列号对应的新的预置密钥。4.根据权利要求1所述的方法，其特征在于，所述BSF根据所述UAM产品序列号，获取与所述UAM产品序列号对应的所述预置密钥，包括：所述BSF根据所述UAM产品序列号中的标志位，判断所述UAM是否已经被激活，若是，在预先保存的所述UAM产品序列号与所述预置密钥的对应关系中查找与所述UAM产品序列号对应的所述预置密钥，否则，通过预定算法计算得到与所述UAM产品序列号对应的新的预置密钥。5.根据权利要求3所述的方法，其特征在于，还包括：在计算得出所述新的预置密钥之后，所述UAM将所述UAM产品序列号中的标志位标记为已经被激活，并保存所述新的预置密钥。6.一种引导服务功能设备BSF，其特征在于，包括：第一接收单元，用于接收用户终端发送的初始化请求消息，所述初始化请求消息中携带用户标识，以及与用户认证模块UAM对应的UAM产品序列号，将所述用户标识发送给第一获取单元，将所述UAM产品序列号发送给认证单元；所述第一获取单元，用于根据所述用户标识从用户归属服务器中获取并保存鉴权参数和引导鉴权参数，将所述鉴权参数发送给认证单元，将所述引导鉴权参数发送给第一发送单元和所述认证单元；所述第一发送单元，用于将所述引导鉴权参数发送给所述用户终端；所...

【专利技术属性】
技术研发人员：王健，罗红，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：