[发明专利]通用认证机制的认证方法

说明书

技术领域

本发明涉及通信网络领域，尤其涉及通用认证机制的认证方法。

背景技术

GBA(General Bootstrapping Architecture，通用认证机制)，是一种网络应用和移动终端之间生成共享密钥的方法，以保证客户端和应用服务器的通信安全。GBA描述了如何在移动的上下文环境中使用基于AKA(Authentication and Key Agreement,认证与密钥协商协议)机制为网络中节点和应用服务器之间提供预共享密钥的方法。

GBA引入了网元BSF(BootStrapping Function，启动引导功能)服务器，它通过与AUC(Authentication Centre，认证中心)之间的接口获得用户安全信息和认证信息。

其中AUC存储有用于记录所有使用者相关数据的数据库；BSF服务器与网络中节点之间执行AKA协议相互鉴权，得到业务根密钥Ks，节点和NAF(Network Application Function，网络应用功能)业务服务器之间可以用此密钥对数据作加密；经过GBA初始化后，节点和NAF业务服务器之间会执行某个应用层的安全协议，其鉴权是基于BSF服务器与节点双向鉴权后得到的密钥来实现的。综上所述，GBA流程即节点与BSF服务器交互产生共享业务密钥Ks，当节点与NAF业务服务器交互的时候，NAF业务服务器先要到BSF服务器中取得有效的Ks，这样节点与NAF业务服务器就可以用相同Ks进行认证鉴权。节点、BSF服务器和NAF业务服务器三个网元之间的通信独立于具体应用，所以GBA架构是通用的。

通用认证机制主要分为初始化和业务密钥协商两个过程，在初始化过程中，主要完成节点和BSF服务器之间的认证和业务根密钥协商；业务密钥协商过程主要基于业务根密钥完成节点和NAF业务服务器之间的共享业务密钥协商，用于后续认证和安全交互。

在实际应用中，具有相同属性或者具有相同业务应用需求的多个节点可以构成一个群组并且以群组的方式与网络侧进行通信。在通信群组中，群组中的各个节点通常会采用统一分配的群组标识和群组地址，统一进行群组计费，统一进行群组QoS(Quality of Service，服务质量)管理及配置等措施实现终端的群组化管理，提高网络对终端管理的效率及管理的一致性。

发明人经过研究发现，现有技术中，至少存在有以下的缺陷：

现有的通用认证机制中的认证方法中，所采用的方式为基于网络AKA机制，需要群组中的各个节点单独和NAF进行认证并生成共享业务密钥，每执行一次只能够对一个节点进行认证。所以，在对通信群组进行认证时，需要分别对通讯群组中的每一个节点单独发起基于通用认证机制的认证；由于这种方式需要重复多次的认证过程，从而给网络带来了很大的信令开销，使得网络资源占用较大。

发明内容

有鉴于此，本发明实施例的目的在于提供一种通用认证机制的认证方法，以达到减少基于通用认证机制中的认证过程中所占用的网络资源的目的。

为实现上述目的，本发明实施例提供了如下技术方案：

一种基于通用认证机制的认证方法，在基于通用认证机制GBA认证初始化时，包括步骤：

群组网关与群组内各个节点进行组内双向认证，使群组网关与群组内各个节点相互认可对方身份的有效性；

所述群组网关向网络应用功能NAF业务服务器请求接入后，与所述NAF业务服务器进行组外双向认证；

所述组外双向认证包括：

所述群组网关被所述NAF业务服务器的NAF引导，获准进行基于GBA认证之后，所述群组网关向启动引导功能BSF服务器发送包括有群组标识的初始获取请求消息；

所述BSF服务器根据所述群组标识向认证中心AUC请求获取网关认证向量、与群组内各个节点对应的包括有节点加密密钥CKi和节点完整性保护密钥IKi的节点密钥参数向量，并根据所述网关认证向量生成网关业务根密钥Ksp，根据所述节点密钥参数向量生成群组内每个节点的节点业务根密钥Ksi；为所述群组网关生成网关引导事务标识B-TIDp，为群组内各个节点生成对应的节点引导事务标识B-TIDi；

所述群组网关分别向群组内各个节点下发对应的包括有所述网关认证向量中的随机数参数RAND和所述B-TIDi的参数传输消息，并根据网关根密钥Kp和所述RAND生成Ksp；

群组内各个节点存储所述B-TIDi，并根据所述网关认证向量中的RAND和各自的根密钥信息在本地生成节点加密密钥CKi、节点完整性保护密钥IKi和节点业务根密钥Ksi。