[发明专利]生成本地接口密钥的方法及装置

说明书

技术领域

本发明涉及通用鉴权框架(GAA)技术领域，特别是指一种生成本 地接口密钥的方法及装置。

发明背景

在第三代无线通信标准中，GAA是多种应用业务实体使用的一个用 于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应 用业务的用户进行检查和验证身份。上述多种应用业务可以是多播或广 播业务、用户证书业务、信息即时提供业务等，也可以是代理业务。

图1a为现有技术通用鉴权框架结构示意图，如图1a所示，通用鉴 权框架通常由用户、执行用户身份初始检查验证的服务功能(BSF)实 体、归属用户服务器(HSS)和网络业务应用(NAF)实体组成。下文 中将BSF实体简称为BSF，将NAF实体简称为NAF。其中，BSF用于 与用户进行互认证，该互认证过程为互相验证身份，同时生成BSF与用 户的共享密钥的过程，该互认证过程也称为Bootstrapping过程或GBA 过程，称能够与BSF实现GBA过程的用户为具备GBA功能的用户； HSS中存储用于描述用户信息的描述(Profile)文件，同时HSS还兼有 产生鉴权信息的功能；NAF可以代表不同的网络业务应用实体，用户要 实现某种业务时，必须访问该业务对应的NAF并与该NAF进行通信。 各个实体之间的接口如图1a所示，BSF与NAF之间通过Zn接口连接； 用户通过用户终端(UE)与BSF或NAF连接，UE与BSF之间通过Ub 接口连接，UE与NAF之间通过Ua接口连接。本文中，可以将BSF、 NAF及HSS统一称为网络侧。

用户需要使用某种业务时，如果用户知道该业务需要到BSF进行 GBA过程，则直接到BSF进行互鉴权，否则，用户会首先和该业务对 应的NAF联系，如果该NAF使用GAA通用鉴权框架，并且发现该用 户还未到BSF进行互认证过程，NAF则通知该用户到BSF进行互鉴权 以验证身份。

用户与BSF之间的GBA(互鉴权)的步骤包括：用户向BSF发出 鉴权请求；BSF接到鉴权请求后，首先到HSS获取该用户的鉴权信息； BSF获得鉴权信息后与用户进行双向认证以及密钥协商，完成用户和 BSF之间身份的互相认证及共享密钥Ks的生成，BSF还为共享密钥Ks 定义了一个有效期限即生存周期(Key-lifetime)，以便Ks进行定期更新。 共享密钥Ks是作为根密钥来使用的，用于衍生出加密通信的密钥。

之后，BSF分配一个会话事务标识(B-TID)发送给用户，该B-TID 与Ks相关联，可以用于标识Ks，还包含了Ks的有效期限。

用户收到B-TID后，重新向NAF发出连接请求，且请求消息中携 带了该B-TID，同时用户侧根据Ks计算出衍生密钥Ks_NAF。

NAF收到连接请求后，先在本地查询是否有用户携带的该B-TID， 如果NAF不能在本地查询到该B-TID，则向BSF进行查询，该查询消 息中携带了NAF标识(NAF_ID)和B-TID。如果BSF不能在本地查询 到该B-TID，则通知NAF没有该用户的信息，此时，NAF将通知用户 到BSF重新进行认证鉴权。BSF查询到该B-TID后，使用与用户侧相 同的算法计算出Ks的衍生密钥Ks_NAF，并向NAF发送成功的响应消 息，该成功的响应中包括NAF所需的B-TID、与该B-TID对应的衍生 密钥Ks_NAF、以及BSF为该密钥设置的有效期限。NAF收到BSF的 成功响应消息后，就认为该用户是经过BSF认证的合法用户，同时NAF 和用户也就共享了由Ks衍生的密钥Ks_NAF。

之后，NAF和用户在后续的通信过程中通过Ks_NAF来进行加密通 信。

当用户发现Ks即将过期，或NAF要求用户重新到BSF进行鉴权时， 用户就会重复上述的步骤重新到BSF进行互鉴权，以得到新的共享密钥 Ks及衍生密钥Ks_NAF。

这里需要说明的是，GBA过程可以分为GBA_ME过程和GBA_U 过程，对于GBA_ME过程，将会产生密钥Ks_NAF，该Ks_NAF存储 于移动设备(ME)中；对于GBA_U过程，将会产生两个密钥，其中一 个是移动设备中的用户身份模块UICC的密钥即Ks_int_NAF，另一个是 ME的密钥即Ks_ext_NAF。