[发明专利]一种服务访问认证方法和系统

说明书

技术领域

本发明涉及认证技术，特别涉及一种服务访问认证方法和系统。

背景技术

随着电信和网络的发展，现在的很多用户，在Internet网络上使用了越来越多的服务，蜂窝运营商也在提供一些新的服务，如，在基于IMS的核心网开发中开发了许多诸如状态呈现服务(presence)、即时消息(InstantMesssage)等新的业务。对于上述这些服务，一方面用户需要通过服务提供者的认证后才能使用相应服务，另一方面，服务提供者需要知道哪个用户在使用服务，从而对该用户实现计费。

基于上述两方面的需求，传统的服务认证方法为：当用户需要访问某种服务时，用户需要持有它将使用服务的信任状，例如，手工输入的用户名和密码，封装在智能卡中的用户名和密码等；服务提供者利用用户提供的信任状，对该用户进行服务认证，并确定用户身份。这种服务认证方法存在的问题：一是如果使用的服务多，用户需要持有不同服务的信任状，管理这些信任状不方便，二是这些信任状(credentials)的提供，对用户、运营商和其他服务提供者来说是非常昂贵的，同时，也会花费用户的一些时间。

目前蜂窝移动通讯网络正在为全球超过10亿的用户提供服务。蜂窝移动通讯网络的主要优势之一在于其广泛的覆盖，在3GPP中，利用用户和归属网络(包括蜂窝网络)的信任关系，提出了一种对服务访问进行认证的框架，称为GAA(Generation Partnership Project)，该框架确保运营商可以把3G的认证框架扩展到新的服务中。

GAA通常包括两个过程：通用引导模型(Generic BootstrappingArchitecture，GBA)引导过程和服务认证过程。其中，图1为GBA的示意图，它由四个实体构成：用户设备(User Equipment，UE)，网络应用功能(Network Authentication Function，NAF)，引导服务功能(Bootstrapping ServerFunction，BSF)，归属用户服务器(Home Subscriber Server，HSS)，BSF是蜂窝无线网络中的一个新的功能实体。

在GBA引导过程中，UE向NAF发送服务请求，NAF根据UE发送的请求，向BSF请求获取服务认证密钥；BSF接收NAF发送的服务认证密钥获取请求后，利用自身与UE间的协议协商服务认证密钥。具体的协商过程包括：

首先，在UE和BSF间执行认证和密钥协商(AKA)过程。具体地，AKA即BSF与UE根据HSS下发给BSF的认证五元向量组进行UE和网络之间的鉴权认证，并在通过鉴权认证后在UE和BSF中生成完整性密钥IK和加密密钥CK。

然后，UE和BSF根据AKA过程生成的IK和CK，以及第三方服务器的地址，即根据特定的NAF，生成针对于该NAF的服务认证密钥。

最后，BSF将与UE协商好的服务认证密钥下发给NAF。

在上述引导过程中，BSF用于生成服务认证密钥，因此BSF为一种密钥生成器。在本文中，将网络侧用于生成服务认证密钥的设备称为密钥生成器。同时，UE和BSF之间使用的引导协议可以是HTTP Digest AKA。在引导的过程中BSF使用Diameter协议从HSS获得认证五元向量组。NAF使用Diameter协议从BSF上获得服务认证密钥。该服务认证密钥将应用在UE和BSF之间使用的应用协议上，而UE和NAF之间可以运行多种协议例如基于预共享密钥的TLS协议或者HTTP摘要协议等。其中的AKA过程可以利用现有的扩展认证协议(EAP)进行。

通过GBA引导过程，UE和NAF均获得了服务认证密钥，然后GAA在接下来的服务认证过程中，使用这些服务认证密钥来认证用户或在用户和一些应用服务器之间建立一条安全隧道，该服务认证过程在UE和NAF间进行。

在GAA框架中，当用户请求任何一项服务时，均需要通过上述GBA引导过程生成服务认证密钥，并通过服务认证过程进行服务认证。而在利用GBA引导过程生成服务认证密钥时，为产生服务认证密钥，均需要进行UE和网络间的鉴权认证。因此，该服务认证密钥生成过程大大增加了服务器访问的延迟，并且导致每次进行服务认证均需要执行两次认证，一次是在引导过程中生成服务认证密钥前，AKA过程所包括的UE和网络间的鉴权认证，另一次是在UE和NAF获取服务认证密钥后，在UE和NAF间的服务认证。

发明内容