技術(shù)領(lǐng)域

本發(fā)明涉及通信網(wǎng)絡(luò)領(lǐng)域，尤其涉及通用認(rèn)證機制的認(rèn)證方法。

背景技術(shù)

GBA(General Bootstrapping Architecture，通用認(rèn)證機制)，是一種網(wǎng)絡(luò)應(yīng)用和移動終端之間生成共享密鑰的方法，以保證客戶端和應(yīng)用服務(wù)器的通信安全。GBA描述了如何在移動的上下文環(huán)境中使用基于AKA(Authentication and Key Agreement,認(rèn)證與密鑰協(xié)商協(xié)議)機制為網(wǎng)絡(luò)中節(jié)點和應(yīng)用服務(wù)器之間提供預(yù)共享密鑰的方法。

GBA引入了網(wǎng)元BSF(BootStrapping Function，啟動引導(dǎo)功能)服務(wù)器，它通過與AUC(Authentication Centre，認(rèn)證中心)之間的接口獲得用戶安全信息和認(rèn)證信息。

其中AUC存儲有用于記錄所有使用者相關(guān)數(shù)據(jù)的數(shù)據(jù)庫；BSF服務(wù)器與網(wǎng)絡(luò)中節(jié)點之間執(zhí)行AKA協(xié)議相互鑒權(quán)，得到業(yè)務(wù)根密鑰Ks，節(jié)點和NAF(Network Application Function，網(wǎng)絡(luò)應(yīng)用功能)業(yè)務(wù)服務(wù)器之間可以用此密鑰對數(shù)據(jù)作加密；經(jīng)過GBA初始化后，節(jié)點和NAF業(yè)務(wù)服務(wù)器之間會執(zhí)行某個應(yīng)用層的安全協(xié)議，其鑒權(quán)是基于BSF服務(wù)器與節(jié)點雙向鑒權(quán)后得到的密鑰來實現(xiàn)的。綜上所述，GBA流程即節(jié)點與BSF服務(wù)器交互產(chǎn)生共享業(yè)務(wù)密鑰Ks，當(dāng)節(jié)點與NAF業(yè)務(wù)服務(wù)器交互的時候，NAF業(yè)務(wù)服務(wù)器先要到BSF服務(wù)器中取得有效的Ks，這樣節(jié)點與NAF業(yè)務(wù)服務(wù)器就可以用相同Ks進(jìn)行認(rèn)證鑒權(quán)。節(jié)點、BSF服務(wù)器和NAF業(yè)務(wù)服務(wù)器三個網(wǎng)元之間的通信獨立于具體應(yīng)用，所以GBA架構(gòu)是通用的。

通用認(rèn)證機制主要分為初始化和業(yè)務(wù)密鑰協(xié)商兩個過程，在初始化過程中，主要完成節(jié)點和BSF服務(wù)器之間的認(rèn)證和業(yè)務(wù)根密鑰協(xié)商；業(yè)務(wù)密鑰協(xié)商過程主要基于業(yè)務(wù)根密鑰完成節(jié)點和NAF業(yè)務(wù)服務(wù)器之間的共享業(yè)務(wù)密鑰協(xié)商，用于后續(xù)認(rèn)證和安全交互。

在實際應(yīng)用中，具有相同屬性或者具有相同業(yè)務(wù)應(yīng)用需求的多個節(jié)點可以構(gòu)成一個群組并且以群組的方式與網(wǎng)絡(luò)側(cè)進(jìn)行通信。在通信群組中，群組中的各個節(jié)點通常會采用統(tǒng)一分配的群組標(biāo)識和群組地址，統(tǒng)一進(jìn)行群組計費，統(tǒng)一進(jìn)行群組QoS(Quality of Service，服務(wù)質(zhì)量)管理及配置等措施實現(xiàn)終端的群組化管理，提高網(wǎng)絡(luò)對終端管理的效率及管理的一致性。

發(fā)明人經(jīng)過研究發(fā)現(xiàn)，現(xiàn)有技術(shù)中，至少存在有以下的缺陷：

現(xiàn)有的通用認(rèn)證機制中的認(rèn)證方法中，所采用的方式為基于網(wǎng)絡(luò)AKA機制，需要群組中的各個節(jié)點單獨和NAF進(jìn)行認(rèn)證并生成共享業(yè)務(wù)密鑰，每執(zhí)行一次只能夠?qū)σ粋€節(jié)點進(jìn)行認(rèn)證。所以，在對通信群組進(jìn)行認(rèn)證時，需要分別對通訊群組中的每一個節(jié)點單獨發(fā)起基于通用認(rèn)證機制的認(rèn)證；由于這種方式需要重復(fù)多次的認(rèn)證過程，從而給網(wǎng)絡(luò)帶來了很大的信令開銷，使得網(wǎng)絡(luò)資源占用較大。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實施例的目的在于提供一種通用認(rèn)證機制的認(rèn)證方法，以達(dá)到減少基于通用認(rèn)證機制中的認(rèn)證過程中所占用的網(wǎng)絡(luò)資源的目的。

為實現(xiàn)上述目的，本發(fā)明實施例提供了如下技術(shù)方案：

一種基于通用認(rèn)證機制的認(rèn)證方法，在基于通用認(rèn)證機制GBA認(rèn)證初始化時，包括步驟：

群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點進(jìn)行組內(nèi)雙向認(rèn)證，使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點相互認(rèn)可對方身份的有效性；

所述群組網(wǎng)關(guān)向網(wǎng)絡(luò)應(yīng)用功能NAF業(yè)務(wù)服務(wù)器請求接入后，與所述NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證；

所述組外雙向認(rèn)證包括：

所述群組網(wǎng)關(guān)被所述NAF業(yè)務(wù)服務(wù)器的NAF引導(dǎo)，獲準(zhǔn)進(jìn)行基于GBA認(rèn)證之后，所述群組網(wǎng)關(guān)向啟動引導(dǎo)功能BSF服務(wù)器發(fā)送包括有群組標(biāo)識的初始獲取請求消息；

所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向認(rèn)證中心AUC請求獲取網(wǎng)關(guān)認(rèn)證向量、與群組內(nèi)各個節(jié)點對應(yīng)的包括有節(jié)點加密密鑰CKi和節(jié)點完整性保護(hù)密鑰IKi的節(jié)點密鑰參數(shù)向量，并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp，根據(jù)所述節(jié)點密鑰參數(shù)向量生成群組內(nèi)每個節(jié)點的節(jié)點業(yè)務(wù)根密鑰Ksi；為所述群組網(wǎng)關(guān)生成網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp，為群組內(nèi)各個節(jié)點生成對應(yīng)的節(jié)點引導(dǎo)事務(wù)標(biāo)識B-TIDi；

所述群組網(wǎng)關(guān)分別向群組內(nèi)各個節(jié)點下發(fā)對應(yīng)的包括有所述網(wǎng)關(guān)認(rèn)證向量中的隨機數(shù)參數(shù)RAND和所述B-TIDi的參數(shù)傳輸消息，并根據(jù)網(wǎng)關(guān)根密鑰Kp和所述RAND生成Ksp；

群組內(nèi)各個節(jié)點存儲所述B-TIDi，并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量中的RAND和各自的根密鑰信息在本地生成節(jié)點加密密鑰CKi、節(jié)點完整性保護(hù)密鑰IKi和節(jié)點業(yè)務(wù)根密鑰Ksi。