技術領域

本發(fā)明涉及認證技術，特別涉及一種服務訪問認證方法和系統(tǒng)。

背景技術

隨著電信和網絡的發(fā)展，現在的很多用戶，在Internet網絡上使用了越來越多的服務，蜂窩運營商也在提供一些新的服務，如，在基于IMS的核心網開發(fā)中開發(fā)了許多諸如狀態(tài)呈現服務(presence)、即時消息(InstantMesssage)等新的業(yè)務。對于上述這些服務，一方面用戶需要通過服務提供者的認證后才能使用相應服務，另一方面，服務提供者需要知道哪個用戶在使用服務，從而對該用戶實現計費。

基于上述兩方面的需求，傳統(tǒng)的服務認證方法為：當用戶需要訪問某種服務時，用戶需要持有它將使用服務的信任狀，例如，手工輸入的用戶名和密碼，封裝在智能卡中的用戶名和密碼等；服務提供者利用用戶提供的信任狀，對該用戶進行服務認證，并確定用戶身份。這種服務認證方法存在的問題：一是如果使用的服務多，用戶需要持有不同服務的信任狀，管理這些信任狀不方便，二是這些信任狀(credentials)的提供，對用戶、運營商和其他服務提供者來說是非常昂貴的，同時，也會花費用戶的一些時間。

目前蜂窩移動通訊網絡正在為全球超過10億的用戶提供服務。蜂窩移動通訊網絡的主要優(yōu)勢之一在于其廣泛的覆蓋，在3GPP中，利用用戶和歸屬網絡(包括蜂窩網絡)的信任關系，提出了一種對服務訪問進行認證的框架，稱為GAA(Generation?Partnership?Project)，該框架確保運營商可以把3G的認證框架擴展到新的服務中。

GAA通常包括兩個過程：通用引導模型(Generic?BootstrappingArchitecture，GBA)引導過程和服務認證過程。其中，圖1為GBA的示意圖，它由四個實體構成：用戶設備(User?Equipment，UE)，網絡應用功能(Network?Authentication?Function，NAF)，引導服務功能(Bootstrapping?ServerFunction，BSF)，歸屬用戶服務器(Home?Subscriber?Server，HSS)，BSF是蜂窩無線網絡中的一個新的功能實體。

在GBA引導過程中，UE向NAF發(fā)送服務請求，NAF根據UE發(fā)送的請求，向BSF請求獲取服務認證密鑰；BSF接收NAF發(fā)送的服務認證密鑰獲取請求后，利用自身與UE間的協(xié)議協(xié)商服務認證密鑰。具體的協(xié)商過程包括：

首先，在UE和BSF間執(zhí)行認證和密鑰協(xié)商(AKA)過程。具體地，AKA即BSF與UE根據HSS下發(fā)給BSF的認證五元向量組進行UE和網絡之間的鑒權認證，并在通過鑒權認證后在UE和BSF中生成完整性密鑰IK和加密密鑰CK。

然后，UE和BSF根據AKA過程生成的IK和CK，以及第三方服務器的地址，即根據特定的NAF，生成針對于該NAF的服務認證密鑰。

最后，BSF將與UE協(xié)商好的服務認證密鑰下發(fā)給NAF。

在上述引導過程中，BSF用于生成服務認證密鑰，因此BSF為一種密鑰生成器。在本文中，將網絡側用于生成服務認證密鑰的設備稱為密鑰生成器。同時，UE和BSF之間使用的引導協(xié)議可以是HTTP?Digest?AKA。在引導的過程中BSF使用Diameter協(xié)議從HSS獲得認證五元向量組。NAF使用Diameter協(xié)議從BSF上獲得服務認證密鑰。該服務認證密鑰將應用在UE和BSF之間使用的應用協(xié)議上，而UE和NAF之間可以運行多種協(xié)議例如基于預共享密鑰的TLS協(xié)議或者HTTP摘要協(xié)議等。其中的AKA過程可以利用現有的擴展認證協(xié)議(EAP)進行。

通過GBA引導過程，UE和NAF均獲得了服務認證密鑰，然后GAA在接下來的服務認證過程中，使用這些服務認證密鑰來認證用戶或在用戶和一些應用服務器之間建立一條安全隧道，該服務認證過程在UE和NAF間進行。

在GAA框架中，當用戶請求任何一項服務時，均需要通過上述GBA引導過程生成服務認證密鑰，并通過服務認證過程進行服務認證。而在利用GBA引導過程生成服務認證密鑰時，為產生服務認證密鑰，均需要進行UE和網絡間的鑒權認證。因此，該服務認證密鑰生成過程大大增加了服務器訪問的延遲，并且導致每次進行服務認證均需要執(zhí)行兩次認證，一次是在引導過程中生成服務認證密鑰前，AKA過程所包括的UE和網絡間的鑒權認證，另一次是在UE和NAF獲取服務認證密鑰后，在UE和NAF間的服務認證。

發(fā)明內容