技術領域

本發明涉及移動通信領域，尤其涉及一種實現GBA密鑰的方法和一種實現GBA密鑰的終端可插拔設備。

背景技術

隨著數據業務的開展，運營商和用戶都需要有可靠的認證機制來保證合法的業務使用以及正確的計費。尤其是在3G(第三代移動通信網絡)業務中，很多應用都需要在終端(例如UE)和應用服務器之間進行雙向認證，如手機電視(MBMS)，為了驗證合法用戶對業務的使用，終端與業務系統之間都需要進行登錄鑒權；若業務數據流需要進行加擾或加密，則終端與業務系統之間需要進行保密通信。而眾多業務如果各自使用自己獨立的認證，就會造成屢次更換設備。

為了解決應用層的密鑰共享、業務鑒權等一系列問題，3GPP(第三代移動通信標準化組織)定義了一種通用引導架構認證機制(General?Bootstrapping?Architecture，GBA)。GBA是一種通用的鑒權機制，既可以用于現有的服務，也可以用于將來的新業務，以一種一致的方式解決安全認證的問題，從而避免為每一種新服務都提供獨有的鑒權機制，避免了各種認證鑒權機制之間的差異性。GBA廣泛應用于MBMS、安全定位服務(SUPL)等業務。

參見圖1，為現有2/3G網絡中GBA的簡單網絡模型。如圖所示，BSF(Bootstrapping服務功能)處于用戶的歸屬網絡中，可通過Zh接口從HLR/HSS(在2G網絡中是HLR，在3G網絡中是HSS，其中，HLR表示用戶歸屬位置寄存器，HSS表示歸屬用戶系統)獲得GBA的用戶安全設置(GUSS)；通過Ub接口與UE利用AKA協議進行相互認證，并且建立共享密鑰，這個密鑰將應用在UE和NAF(Network?Application?Function，網絡應用功能)之間；通過Zn接口將該共享密鑰和用戶安全設置傳遞給NAF，以便UE和NAF之間基于該共享密鑰進行安全的信息交互。GBA的相關流程通常分為GBA初始化階段(該階段將生成GBA密鑰資料Ks)以及基于GBA的業務訪問階段(即使用Ks生成GBA共享密鑰并以此進行業務通信)。

基于圖1所示的網絡模型，3G網絡中的GBA初始化階段的流程可如圖2所示，包括：

步驟201、UE向BSF發送HTTP請求，請求中攜帶用戶標識。

步驟202、BSF通過Zh接口從HLR/HSS中獲得該UE的用戶profile(其中包含用戶的全部GUSS)和AV(認證向量)，AV中包括RAND、AUTN、CK(Cipher?Key，加密密鑰)、IK(Integrity?Key，完整性密鑰)和XRES。

步驟203、BSF通過401消息把隨機數RAND和AUTN發送給UE。

步驟204、UE利用RAND生成AUTN，并與BSF發送過來的AUTN進行比對，對比的結果一致則成功認證網絡；UE還利用AKA算法生成CK、IK和RES。

步驟205、UE發送HTTP請求到BSF，其中包含摘要AKA響應，該響應使用RES作為驗證碼。

步驟206、BSF將摘要AKA響應與使用XRES生成的相應參數進行比對，從而對UE進行鑒權。

步驟207、如果鑒權成功，BSF利用CK和IK生成Ks，并且生成B-TID。B-TID能夠唯一標識該次Bootstrapping事件，以后NAF可以根據這個值向BSF索取達成的相關密鑰Ks_NAF。

步驟208、BSF發送200?OK消息到UE通知認證成功，該消息中包含B-TID，以及Ks的生存期。

步驟209、在UE中根據CK和IK產生Ks。

后續在基于GBA的業務訪問階段，UE和BSF利用Ks生成共享密鑰Ks_NAF，并以Ks_NAF作為UE和NAF之間信息交互的認證密鑰。

2G網絡中的GBA流程與此類似。

根據終端UICC(Universal?Integrated?Circuit?Card，通用集成電路卡)能力的不同，GBA可以分為GBA_ME和GBA_U。在GBA_ME模式下，GBA相關密鑰的協商和生成都在ME(Mobile?Equipment，移動設備)中完成，在GBA_U模式下，GBA相關密鑰的協商和生成都在SIM/USIM卡(即客戶識別模塊)中完成。