[发明专利]一种密钥推演的方法、装置及计算存储介质

说明书

本申请提供一种扩展的通用引导架构认证方法、装置及存储介质，该方法包括：第一网元获取B‑TID和Key lifetime；第一网元发送B‑TID和Key lifetime至终端，以使终端根据B‑TID和Key lifetime，与第一网元进行基于EAP的GBA AKA认证，从而实现终端与第一网元基于EAP完成GBA AKA认证。

技术领域

本申请涉及通信技术领域，尤其涉及一种扩展的通用引导架构认证方法、装置及存储介质。

背景技术

作为移动通信的一种通用引导架构(Generic Bootstrapping Architecture,GBA)，GBA技术可被用来建立用户设备(User Equipment,UE)与网络应用服务器(NetworkApplication Function, NAF)之间的安全隧道。其中，GBA技术包括GBA认证与密钥协商(Authentication and Key Agreement,AKA)认证。

在通用移动通信系统(Universal Mobile Telecommunications System,UMTS)3G场景，3GPP TS33.220已经给出了具体的GBA AKA认证定义。该已定义的GBA AKA认证中，是由UE 与引导服务器功能(Bootstrapping Server Function,BSF)基于超文本传输协议(HyperText Transfer Protocol,HTTP)完成GBA AKA认证。发明人考虑到可扩展的身份验证协议(Extensible Authentication Protocol,EAP)的发展趋势，以及未来其他应用的可能性，研究一种扩展的GBA 认证方法。

发明内容

本申请提供一种扩展的通用引导架构认证方法、装置及存储介质，以使UE与BSF基于 EAP完成GBA AKA认证。

第一方面，本申请提供一种扩展的通用引导架构认证方法，包括：第一网元获取B-TID 和Key lifetime；第一网元发送B-TID和Key lifetime至终端，以使终端根据B-TID和Key lifetime，与第一网元进行基于EAP的GBA AKA认证。

本申请的有益效果包括：由于本申请提供的扩展的通用引导架构认证方法基于EAP，因此，可以使UE与BSF基于EAP完成GBA AKA认证。

可选地，第一网元获取B-TID，可以包括：第一网元根据RAND和BSF server name生成 B-TID；或者，第一网元生成一标识，将该标识作为B-TID。

可选地，第一网元发送B-TID和Key lifetime至终端，包括：第一网元发送EAP请求的 AKA挑战消息给终端，该EAP请求的AKA挑战消息携带B-TID和Key lifetime。即通过EAP请求的AKA挑战消息传输B-TID和Key lifetime。

可选地，第一网元发送B-TID和Key lifetime至终端之后，本申请提供的方法还可以包括：第一网元接收终端发送的RES和MAC，并执行RES和MAC的验证；若验证成功，第一网元生成密钥，并发送EAP-success消息至终端，完成基于EAP的GBA AKA认证。

可选地，第一网元获取B-TID和Key lifetime之前，还包括：第一网元接收终端发送的终端的标识。

可选地，第一网元接收终端发送的终端的标识之后，还包括：第一网元通过以下任一方式获取RAND、AUTN和MAC：

方式一、第一网元执行AKA算法，生成RAND、AUTN和MAC；

方式二、第一网元接收RAND、AUTN和MAC。