CN102264069A - 基于通用引导架构的认证控制方法、装置及系统 - Google Patents
基于通用引导架构的认证控制方法、装置及系统 Download PDFInfo
- Publication number
- CN102264069A CN102264069A CN2010101947509A CN201010194750A CN102264069A CN 102264069 A CN102264069 A CN 102264069A CN 2010101947509 A CN2010101947509 A CN 2010101947509A CN 201010194750 A CN201010194750 A CN 201010194750A CN 102264069 A CN102264069 A CN 102264069A
- Authority
- CN
- China
- Prior art keywords
- authentication
- parameter
- gba
- bsf
- parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于通用引导架构的认证控制方法、装置及系统,其中,该方法包括:引导服务功能实体从用户归属服务器获取并保存鉴权参数及引导鉴权参数,其中,引导鉴权参数用于调用认证与密钥协商模块生成鉴权参数;基于通用引导架构的认证控制装置在收到引导鉴权参数时,调用SIM卡中的认证与密钥协商模块以得到鉴权参数;并根据鉴权参数及预设的与引导服务功能实体共享的秘密参数,生成认证参数;以及将认证参数发送至引导服务功能实体;引导服务功能实体根据存储的鉴权参数、秘密参数及认证参数进行认证操作。本发明有效解决了不合法终端带来的安全问题。
Description
技术领域
本发明涉及核心网中基于通用引导架构的认证领域,具体涉及一种基于通用引导架构的认证控制方法、装置及系统。
背景技术
GPP定义的通用引导架构(Generic Bootstrapping Architecture,简称GBA)提供了一种在UE和服务器之间建立共享业务密钥的通用机制,其基于认证与密钥协商(Authentication and Key Agreement,简称AKA)完成业务的安全引导过程,其中,AKA鉴权机制是2G或3G网络中使用的一种相互鉴权和密钥协商的机制。以3G网络为例说明,GBA的安全引导过程中,首先通过引导服务功能(Bootstrapping Server Function,简称BSF)实体、终端(如3G网络中的user,简称UE)及用户归属服务器(Home SubscriberSystem,简称HSS)之间使用AKA进行密钥协商,其次,在AKA完成后,BSF和UE协商出一个会话密钥;再次,应用服务器(Network ApplicationFunction,简称NAF)从BSF中取得会话密钥和用户相关信息。通过这种方式,UE和NAF之间建立了共享业务密钥,随后就能够利用此共享业务密钥为应用服务提供安全保护,特别是在应用服务会话开始时为UE和NAF提供相互鉴权,也能利用此密钥来完成机密性保护或完整性验证。其中,现有UE使用AKA进行密钥协商的具体过程如下:利用SIM卡中的GBA模块调用AKA模块生成鉴权参数Kc和SRES,再利用SIM卡根据鉴权参数Kc、SRES计算得到认证参数RES,以及根据鉴权参数Kc、SRES及密钥生成参数Ks_input计算得到GBA根密钥Ks,再将认证参数RES返回至BSF进行认证;且在业务访问时,SIM卡根据该GBA根密钥Ks生成业务密钥Ks_NAF。
由于Ks和Ks_NAF在SIM卡中,因此所有的加解密运算都需要依赖于SIM卡进行,若UE是一个可信的终端,那么现有的GBA认证方案是安全的;若UE是一个不合法的终端,或是攻击者定制的终端,则可能出现UE直接调用AKA,并模拟SIM卡计算GBA根密钥Ks及认证参数RES的过程。具体地说,在初始化阶段,UE不利用SIM卡中的GBA模块,而是直接调用SIM卡中的AKA模块生成认证参数Kc和SRES,UE再模仿正常流程中SIM卡的操作,计算并保存GBA根密钥Ks及认证参数RES,将RES返回给BSF作为认证码以完成GBA认证过程;在业务访问阶段,UE可利用Ks计算得到业务密钥Ks_NAF,而不再调用SIM卡的GBA模块。因此,攻击者只需要购买一张合法的SIM卡放置在该不合法的UE中,并合法订购该业务,利用上述方法获得Ks和Ks_NAF,并且将Ks和Ks_NAF定制在仿造的客户端软件中,由他人下载使用。若该业务为包月类型业务,那么使用该仿造的客户端软件的终端不需要付费就可以使用该业务,影响运营商的业务开展。另外,上述方案要求SIM卡具有GBA的功能,而目前的SIM卡都不具有GBA功能,因此如果要使用GBA的功能用户需要换卡。
现有基于通用引导架构的认证控制技术有如下不足:
(1)不合法的终端基于合法SIM卡及软件流程能获取认证参数及共享业务密钥非法使用对应的业务,安全性较低。
(2)合法的终端使用GBA的功能,要求SIM卡必须具有GBA的功能,应用受限。
发明内容
本发明的第一目的是提出一种安全性高的基于通用引导架构的认证控制方法。
本发明的第二目的是提出一种安全性高的基于通用引导架构的认证控制装置。
本发明的第三目的是提出一种安全性高的基于通用引导架构的认证控制系统。
为实现上述第一目的,本发明提供了一种基于通用引导架构的认证控制方法,包括:引导服务功能实体从用户归属服务器获取并保存鉴权参数及引导鉴权参数,其中,引导鉴权参数用于调用认证与密钥协商模块生成鉴权参数;基于通用引导架构的认证控制装置在收到引导鉴权参数时,调用SIM卡中的认证与密钥协商模块以得到鉴权参数;并根据鉴权参数及预设的与引导服务功能实体共享的秘密参数,生成认证参数;以及将认证参数发送至引导服务功能实体;引导服务功能实体根据存储的鉴权参数、秘密参数及认证参数进行认证操作。
为实现上述第二目的,本发明提供了一种基于通用引导架构的认证控制装置,包括:处理模块,用于在收到引导鉴权参数的情况下,调用SIM卡中的认证与密钥协商模块,得到与引导鉴权参数对应的鉴权参数,其中,引导鉴权参数用于调用认证与密钥协商模块生成鉴权参数;生成模块,用于根据鉴权参数及预设的与引导服务功能实体之间共享的秘密参数,生成认证参数;发送模块,用于将认证参数发送至引导服务功能实体。
为实现上述第三目的,本发明提供了一种基于通用引导架构的认证系统,包括:引导服务功能实体从用户归属服务器获取并保存鉴权参数及引导鉴权参数,其中,引导鉴权参数用于调用认证与密钥协商模块生成鉴权参数;基于通用引导架构的认证控制装置,用于在收到引导鉴权参数时,调用SIM卡中的认证与密钥协商模块,得到鉴权参数;并根据鉴权参数及预设的与引导服务功能实体共享的秘密参数,生成认证参数;以及将认证参数发送至引导服务功能实体。
本发明各个实施例中,通过认证控制装置采用预存的共享的秘密参数计算认证参数,由于不合法终端无法获知认证控制装置中的秘密参数,因此无法得到认证参数,有效解决了不合法终端带来的安全问题。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一并用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明的基于通用引导架构的认证控制方法的实施例一流程图;
图2为本发明的基于通用引导架构的认证控制方法的实施例二信令图;
图3为本发明的基于通用引导架构的认证控制装置的实施例一结构图;
图4为本发明的基于通用引导架构的认证控制装置的实施例二结构图;
图5为本发明的基于通用引导架构的认证控制装系统的实施例结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
方法实施例
图1为本发明的基于通用引导架构的认证控制方法的实施例一流程图。如图1所示,本实施例包括:
步骤S102:引导服务功能实体从用户归属服务器获取并保存鉴权参数及引导鉴权参数,其中,引导鉴权参数用于调用认证与密钥协商模块生成鉴权参数;具体操作过程参见图2的解释说明;
步骤S104:基于通用引导架构的认证控制装置在收到引导鉴权参数时,调用SIM卡中的认证与密钥协商模块以得到鉴权参数;并根据鉴权参数及预设的与引导服务功能实体共享的秘密参数,生成认证参数;以及将认证参数发送至引导服务功能实体;具体操作过程参见图2的解释说明;
步骤S106:引导服务功能实体根据存储的鉴权参数、秘密参数及认证参数进行认证操作;具体操作过程参见图2的解释说明。
本实施例通过认证控制装置采用预存的共享的秘密参数计算认证参数,由于不合法终端无法获知认证控制装置中的秘密参数,因此无法得到认证参数,有效解决了不合法终端带来的安全问题。
图2为本发明的基于通用引导架构的认证控制方法的实施例二信令图。如图2所示,本实施例包括:
步骤S201:在GBA初始化阶段,当终端(即2G网络中的ME,本发明各实施例均以2G网络为例进行解释说明,其同样可以适用于3G网络)需要安全通信时检测是否有共享业务密钥,如果没有,则向BSF发送GBA包括IMSI作为ME标识的初始化请求;该步骤S201与现有技术一样,本发明在于解释建立初始化认证及建立共享业务密钥的过程,故可以不包括该步骤S201,在此主要便于方便理解;
步骤S202:BSF根据该IMSI向HLR请求三元组认证向量AV,HLR返回该IMSI用户的三元组认证向量AV=(RAND,SRES,Kc),其中,Kc、SRES为鉴权参数,RAND为引导鉴权参数,当然根据实际需要还可以定义其他的参数作为鉴权参数与引导鉴权参数;BSF从认证向量的类型可以识别出该用户使用的是SIM卡;
步骤S203:BSF保存AV中的SRES和Kc,随机选择密钥生成参数Ks_input,向ME发送RAND、Ks_input作为挑战,对ME进行认证;其中,RAND用于认证,Ks_input用于生成共享业务密钥,因此,在认证阶段可以只发送RAND;
本领域技术人员可以理解:上述步骤S201-S203属于现有技术;此处主要为了便于理解,不应解释为对本发明的限制;
步骤S204:ME接收到RAND后,制定命令类型参数,并将命令类型参数指示为基于GBA的认证命令,以及将包含该引导鉴权参数RAND、密钥生成参数Ks_input及命令类型参数的请求信号发送至基于通用引导架构的认证控制装置(以下以SeM代为指示);
步骤S205:SeM根据该命令类型参数判断是基于GBA的认证命令,则保存Ks_input,并转发RAND给SIM卡;
步骤S206:SIM卡接收到RAND后,则调用其中的AKA模块计算得到Kc和SRES,如Kc‖SRES=AKA(Ki,RAND),并返回Kc与SRES至SeM;
需要说明的是,上述步骤S204-步骤S206是对步骤S102中的“认证控制装置在收到引导鉴权参数时,调用SIM卡中的认证与密钥协商模块以得到鉴权参数”的优选实施方式的解释说明,其表示SeM与BSF的信息交互需要经过终端ME,实际操作时,具体操作时,也可以将SeM设置为直接与BSF进行信息交互,并将从BSF接收的信息转发至终端ME,对应地,可以由BSF定制该命令参数类型;上述步骤S204-步骤S206中SeM的设置方式(SeM与BSF的信息交互需要经过终端ME)便于与现有的卡座集成(详见图4的解释说明),使得实现本发明的改动成本较小;
步骤S207:SeM接收到Kc及SRES后,根据预设的随机参数生成方法随机生成随机参数R;并根据随机参数R、鉴权参数Kc及SRES、秘密参数Ksem及密钥生成参数Ks_input,生成并保存用于生成业务密钥的GBA根密钥Ks(即第一根密钥),如:Ks=KDF(key,Ksem,R,Ks_input,”3gpp-gba-Ks”,SRES),其中key=Kc||Kc||RAND,KDF是预设的可以根据实际需要自由设定的密钥产生函数,”3gpp-gba-Ks”是密钥引导参数;以及根据随机参数R、鉴权参数Kc及SRES及秘密参数Ksem,生成认证参数RES,如RES=KDF(key,Ksem,R,Ks_input,”3gpp-gba-res”,SRES),其中,”3gpp-gba-res”是认证引导参数,将RES、随机参数及SeM的标识SeM Id返回给ME,此外,具体操作时,还可以RES=KDF(key,Ksem,R,SRES);
需要说明的是,步骤S207中根据预设的随机参数生成方法随机生成随机参数R,并利用该随机数生成认证参数,避免了利用合法的SIM卡及SeM生存认证码RES后,换掉对应的合法的SIM卡,如资费比较低的卡,实现认证进而使用相应的业务,因此该随机参数实现了SIM卡与SeM绑定,为优选的方案;根密钥用于生成共享业务密钥,因此,在认证阶段可以只发送RES;此外,将SeM的标识SeM_Id返回给ME,是为了对不同的SeM设置不同的秘密参数时,BSF利用此标识SeM_Id找到对应的秘密参数Ksem(结合步骤S209理解),具体操作时可以将所有的SeM中秘密参数设置为同一个,则可以不发送该标识SeM_Id,故将SeM_Id返回给ME为优选的方案;
步骤S208:ME将认证参数RES和认证控制装置SeM的标识SeM_Id发送给BSF;
步骤S209:BSF接收到RES后,通过SeM_Id及预设的该标识与秘密参数的对应关系,查找到对应的秘密参数Ksem,通过3元组中的值(即存储的鉴权参数Kc和SRES)及预设的秘密参数Ksem计算得到认证码(也可以称为验证参数)RES,如:RES=KDF(key,Ksem,R,Ks_input,”3gpp-gba-res”,SRES),与ME返回的RES比较,若相同则判定终端通过认证,否则GBA过程终止;BSF还可以根据存储的鉴权参数、随机参数、秘密参数及密钥生成参数,生成并保存用于生成业务密钥的GBA根密钥Ks(即第二根密钥),如可以表示为Ks=KDF(key,Ksem,R,Ks_input,”3gpp-gba-Ks”,SRES),以及随机产生B-TID作为ME的临时标示符,返回给ME;
需要说明的是,与步骤S207的解释说明相同,通过SeM_Id查找该共享秘密参数,根据随机参数生成验证参数及第二根密钥均为优选的方案,该步骤S208是对步骤S106的解释说明,具体操作时,还可以通过BSF解析ME返回的RES得到Ksem、SRES及Kc,若解析出的Ksem、SRES及Kc与BSF存储的相应参数一致,则认证通过,上述步骤S208便于利用BSF中已有的认证流程,为一种优选的方案;
在步骤S209之后,BSF根据ME需要访问的业务平台NAF的标示符(即NAF_id)生成业务密钥Ks_NAF,如可以表示为Ks_NAF=KDF(Ks,”gba-me”,RAND,IMSI,NAP_id),作为ME与NAF通信的业务保护密钥,将Ks NAF通过核心网安全通道发送给NAF。
步骤S211-步骤S213主要用于解释业务访问阶段的流程,在步骤S211-步骤S213之前,和现有技术一致,包括以下步骤aa-dd:
aa.当UE需要访问业务平台NAF时,发送B-TID给NAF;
bb.NAF根据B-TID在本地查询是否存在Ks_NAF,如果Ks_NAF不存在,则执行步骤cc;如果NAF查询到本地存在Ks_NAF,则执行步骤dd;
cc.NAF根据B-TID向BSF查询Ks_NAF,BSF根据B-TID查询Ks,若Ks已经超过有效期,则返回错误,要求UE发起GBA初始化过程;否则计算Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id),返回Ks_NAF和Ks_NAF有效期给NAF,NAF接收并保存Ks_NAF和有效期,则向UE发送认证挑战;
dd.如果NAF查询到本地存在Ks_NAF,则检查Ks_NAF是否在有效期内,如果Ks_NAF不在有效期内,则返回错误消息给UE,要求UE执行GBA初始化过程;如果NAF查询到本地存在Ks_NAF并在有效期内,则向UE发送认证挑战;
步骤S211:ME携带NAF_Id向SeM发送计算Ks_NAF的命令(即业务密钥生成请求),与步骤S204-步骤S206中的解释说明可知,通过终端发送也是一种优选的方式;具体操作时,该业务密钥生成请求也可以由BSF直接发送至SeM;
步骤S212:SeM检查当前SIM卡是否与做初始化过程(步骤S201-步骤S209)时的SIM卡是同一个SIM卡,如:通过查询IMSI等方式进行验证,若不同则重新发起GBA初始化过程;若相同,执行步骤S213;
步骤S213:根据NAF_id及第一根密钥生成业务密钥Ks_NAF=KDF(Ks,”gba-me”,RAND,IMSI,NAP_id),作为UE与NAF通信的业务保护密钥;UE用Ks_NAF与NAF执行HTTP Digest双向鉴权流程。
步骤S213后续的业务消息通过HTTP Digest安全通道保护;即:在业务访问阶段,业务平台NAF用Ks_NAF加密消息发送给ME,ME需要将该加密消息转发给SeM,由SeM用Ks_NAF解密;ME的消息也需要转发给SeM用Ks_NAF加密后,再发送给NAF解密,实现ME和NAF之间的安全传输。
本实施例通过SeM采用共享的秘密参数Ksem及随机参数计算GBA根密钥及认证参数,有效解决了不合法终端ME带来的安全问题,还避免了换SIM卡导致的非法使用业务的情况;同时,BSF利用SeM的标识查找秘密参数,便于在各SeM设置不同的秘密参数;SeM与BSF通过终端进行交互及BSF通过生成验证参数便于减少为了实现本发明各实施例在现有技术的改动,减少成本;此外,由于在该方案中SIM卡无需有GBA模块,因此用户需要使用GBA功能时无需换卡,进一步降低了用户使用业务的成本。
装置实施例
图3及图4分别为本发明的基于通用引导架构的认证控制装置的实施例一及实施例二结构图。上述方法实施例均可应用于图3及图4中。如图3所示,本实施例包括:处理模块32,用于在收到引导鉴权参数的情况下,调用SIM卡中的认证与密钥协商模块以得到与引导鉴权参数对应的鉴权参数,其中,引导鉴权参数用于调用认证与密钥协商模块生成鉴权参数,;生成模块34,用于根据鉴权参数及预设的共享的秘密参数,生成认证参数;发送模块36,用于发送认证参数。
具体操作时,处理模块32可以包括:接收子模块322,用于接收包括引导鉴权参数的请求信号;判断子模块324,用于根据请求信号中的命令类型参数,判断请求信号是否为基于通用引导架构的认证命令;处理子模块326,用于在判断子模块324判定请求信号为基于通用引导架构的认证命令时,保存请求信号中的密钥生成参数,并将请求信号中的引导鉴权参数发送至SIM卡以调用AKA模块生成鉴权参数。
生成模块34可以包括:第一生成子模块342,用于根据预设的随机参数生成方法生成随机参数;第二生成子模块344,用于根据随机参数、鉴权参数、预设的认证引导参数及秘密参数,生成认证参数;根据随机参数、鉴权参数、秘密参数、预设的密钥引导参数及密钥生成参数,生成并保存用于生成业务密钥的第一根密钥。
发送模块36可以包括:第一发送子模块362,用于通过终端发送认证参数;第二发送子模块364,用于通过终端发送随机参数及认证控制装置的标识。
该认证控制装置还可以包括验证模块38,用于在接收子模块322收到终端发送的业务密钥生成请求时,判断当前SIM卡与SIM卡是否一致,并在在判定当前SIM卡与SIM卡一致时,控制第二生成子模块根据第一根密钥生成业务密钥。
本实施例通过生成模块34用共享的秘密参数Ksem及随机参数计算GBA根密钥及认证参数,有效解决了不合法终端ME带来的安全问题,还避免了换SIM卡导致的非法使用业务的情况;同时,第二发送子模块364,发送该认证控制装置的标识以使BSF利用SeM的标识查找秘密参数,便于在各SeM设置不同的秘密参数。
本领域技术人员可以理解,该认证控制装置可以设置在终端内的主板上或者设置在终端内的卡座上。其中,设置在终端内的卡座上以便于该认证控制装置即(SeM)与BSF的交互均经过终端,减少改动,降低成本。其具体实施方式如图4所示,认证控制装置(具体操作时可以芯片形式存在,即SeM)44附在现有卡座42下面以形成新型卡座,同时该SeM及现有卡座42分别与SIM卡及ME主板相连以使得SIM卡与ME主板间的通信都经过SeM,提升安全性。具体可以为:该芯片SeM一面贴在现有卡座42下面与现有卡座42通信,另一面的触角保持和现有卡座42与ME主板的触角一致;新型卡座对上层通过7816接口与SIM卡通信,对下与终端的主板通信;SeM芯片会截获并转发所有SIM卡与终端的主板之间的通信,若是与GBA流程相关的会进行特殊处理,若无关可以透传;SeM芯片与BSF网元共享一个秘密参数Ksem,这里各SeM芯片中的Ksem可以都完全相同,也可以不相同;SeM芯片可以有唯一的ID。需要说明的是,当该认证控制设置在终端内的卡座上时,终端可以增设一个命令类型参数设置单元以设置命令类型参数,其操作步骤详见图2的解释说明。
本实施通过SeM与卡座结合,与主板的接口保持原有的7816接口,因此新型卡座可由卡商生产提供给终端厂商,终端无需增加额外的硬件或者修改主板,降低了成本。
系统实施例
图5为本发明的基于通用引导架构的认证系统的实施例结构图。上述方法实施例均可在图5中实现。如图5所示,本实施例包括引导服务功能实体52从用户归属服务器获取并保存鉴权参数及引导鉴权参数,其中,引导鉴权参数用于调用认证与密钥协商模块生成鉴权参数;基于通用引导架构的认证控制装置54,用于在收到引导鉴权参数时,调用SIM卡中的认证与密钥协商模块,得到鉴权参数;并根据鉴权参数及预设的与引导服务功能实体共享的秘密参数,生成认证参数;以及将认证参数发送至引导服务功能实体。其中,对引导服务功能实体52及认证控制装置54的解释说明可以参见图3及图4。引导服务功能实体可以包括(图未示):获取模块,用于从用户归属服务器获取并保存鉴权参数及引导鉴权参数;认证模块,用于根据存储的鉴权参数、秘密参数及认证参数进行认证操作。
本实施例通过认证控制装置54(即SeM)采用共享的秘密参数Ksem及随机参数计算GBA根密钥及认证参数,有效解决了不合法终端ME带来的安全问题,还避免了换SIM卡导致的非法使用业务的情况;同时,BSF利用SeM的标识查找秘密参数,便于在各SeM设置不同的秘密参数;SeM与BSF通过终端进行交互及BSF通过生成验证参数便于减少为了实现本发明各实施例在现有技术的改动,减少成本;此外,由于在该方案中SIM卡无需有GBA模块,因此用户需要使用GBA功能时无需换卡,进一步降低了用户使用业务的成本。
最后应说明的是:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种基于通用引导架构GBA的认证控制方法,其特征在于,包括:
引导服务功能实体BSF从用户归属服务器获取并保存鉴权参数及引导鉴权参数,其中,所述引导鉴权参数用于调用认证与密钥协商AKA模块生成所述鉴权参数;
基于GBA的认证控制装置在收到所述引导鉴权参数时,调用SIM卡中的AKA模块以得到所述鉴权参数;并根据所述鉴权参数及预设的与所述BSF共享的秘密参数,生成认证参数;以及将所述认证参数发送至所述BSF;
所述BSF根据存储的所述鉴权参数、所述秘密参数及所述认证参数进行认证操作。
2.根据权利要求1所述的基于GBA的认证控制方法,其特征在于,所述认证控制装置在收到所述引导鉴权参数时,调用SIM卡中的AKA模块以得到所述鉴权参数的步骤包括:
所述认证控制装置接收终端发送的包括所述引导鉴权参数的请求信号;
所述认证控制装置在根据所述请求信号中的命令类型参数,判定所述请求信号为基于GBA的认证命令时,保存所述请求信号中的密钥生成参数,并将所述引导鉴权参数发送至所述SIM卡,以调用所述AKA模块生成所述鉴权参数。
3.根据权利要求2所述的基于GBA的认证控制方法,其特征在于,所述将所述认证参数发送至所述BSF的步骤包括:
通过所述终端将所述认证参数及所述认证控制装置的标识发送至所述BSF。
4.根据权利要求3所述的基于GBA的认证控制方法,其特征在于,所述BSF根据存储的所述鉴权参数、所述秘密参数及所述认证参数进行认证操作的步骤包括:
所述BSF根据所述认证控制装置的标识及预设的所述认证控制装置的标识与所述秘密参数的对应关系,获取所述秘密参数;
所述BSF根据存储的所述鉴权参数及所述秘密参数生成用于验证所述认证参数的验证参数;
所述BSF在所述认证参数与所述验证参数一致时,判定通过认证。
5.根据上述权利要求1-4中任一项所述的基于GBA的认证控制方法,其特征在于,所述根据所述鉴权参数及预设的与所述BSF共享的秘密参数,生成认证参数;以及将所述认证参数发送至所述BSF的步骤包括:
根据预设的随机参数生成方法生成随机参数,并根据所述随机参数、所述鉴权参数、预设的认证引导参数及所述秘密参数,生成所述认证参数;
将所述随机参数及所述认证参数发送至所述BSF。
6.根据权利要求5所述的基于GBA的认证控制方法,其特征在于,所述BSF根据存储的所述鉴权参数、所述秘密参数及所述认证参数进行认证操作的步骤包括:
所述BSF根据存储的所述鉴权参数、所述秘密参数、所述认证参数及所述随机参数进行认证操作。
7.根据上述权利要求2-4中任一项所述的基于GBA的认证控制方法,其特征在于,在所述调用SIM卡中的AKA模块以得所述到鉴权参数的步骤之后还包括:
所述认证控制装置根据所述鉴权参数、秘密参数、预设的密钥引导参数及密钥生成参数,生成并保存用于生成业务密钥的第一根密钥;并在收到所述终端发送的业务密钥生成请求时且在判定当前SIM卡与所述SIM卡一致时,根据所述第一根密钥生成业务密钥;
所述BSF根据存储的所述鉴权参数、所述秘密参数、密钥引导参数及密钥生成参数,生成并保存用于验证所述业务密钥的第二根密钥。
8.一种基于通用引导架构GBA的认证控制装置,其特征在于,包括:
处理模块,用于在收到引导鉴权参数的情况下,调用SIM卡中的认证与密钥协商AKA模块,得到与所述引导鉴权参数对应的鉴权参数,其中,所述引导鉴权参数用于调用AKA模块生成所述鉴权参数;
生成模块,用于根据所述鉴权参数及预设的共享的秘密参数,生成认证参数;
发送模块,用于发送所述认证参数。
9.根据权利要求8所述的基于GBA的认证控制装置,其特征在于,所述处理模块包括:
接收子模块,用于接收包括所述引导鉴权参数的请求信号;
判断子模块,用于根据所述请求信号中的命令类型参数,判断所述请求信号是否为基于GBA的认证命令;
处理子模块,用于在所述判断子模块判定所述请求信号为基于GBA的认证命令时,保存所述请求信号中的密钥生成参数,并将所述请求信号中的引导鉴权参数发送至所述SIM卡,调用所述AKA模块生成所述鉴权参数。
10.根据权利要求9所述的基于GBA的认证控制装置,其特征在于,所述生成模块包括:
第一生成子模块,用于根据预设的随机参数生成方法生成随机参数;
第二生成子模块,用于根据所述随机参数、所述鉴权参数、预设的认证引导参数及所述秘密参数,生成所述认证参数;根据所述随机参数、鉴权参数、秘密参数、预设的密钥引导参数及密钥生成参数,生成并保存用于生成业务密钥的第一根密钥。
11.根据权利要求10所述的基于GBA的认证控制装置,其特征在于,所述发送模块包括:
第一发送子模块,用于通过终端发送所述认证参数;
第二发送子模块,用于通过所述终端发送所述随机参数及所述认证控制装置的标识。
12.根据权利要求10或11所述的基于GBA的认证控制装置,其特征在于,还包括:
验证模块,用于在所述接收子模块收到终端发送的业务密钥生成请求时,判断当前SIM卡与所述SIM卡是否一致,并在在判定当前SIM卡与所述SIM卡一致时,控制所述第二生成子模块根据所述第一根密钥生成业务密钥。
13.根据上述权利要求9-11中任一项所述的基于GBA的认证控制装置,其特征在于,其设置在终端内。
14.根据权利要求13所述的基于GBA的认证控制装置,其特征在于,其设置在所述终端内的卡座上,所述终端包括用于设置所述命令类型参数的命令类型参数设置单元。
15.一种基于通用引导架构GBA的认证系统,其特征在于,包括:
引导服务功能实体BSF从用户归属服务器获取并保存鉴权参数及引导鉴权参数,其中,所述引导鉴权参数用于调用认证与密钥协商AKA模块生成所述鉴权参数;
基于GBA的认证控制装置,用于在收到所述引导鉴权参数时,调用SIM卡中的AKA模块,得到所述鉴权参数;并根据所述鉴权参数及预设的与所述BSF共享的秘密参数,生成认证参数;以及将所述认证参数发送至所述BSF。
16.根据权利要求15所述的基于GBA的认证系统,其特征在于,所述BSF包括:
获取模块,用于从用户归属服务器获取并保存鉴权参数及引导鉴权参数;
认证模块,用于根据存储的所述鉴权参数、所述秘密参数及所述认证参数进行认证操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010194750.9A CN102264069B (zh) | 2010-05-28 | 2010-05-28 | 基于通用引导架构的认证控制方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010194750.9A CN102264069B (zh) | 2010-05-28 | 2010-05-28 | 基于通用引导架构的认证控制方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102264069A true CN102264069A (zh) | 2011-11-30 |
| CN102264069B CN102264069B (zh) | 2014-03-26 |
Family
ID=45010479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010194750.9A Active CN102264069B (zh) | 2010-05-28 | 2010-05-28 | 基于通用引导架构的认证控制方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102264069B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| CN103313244A (zh) * | 2012-03-14 | 2013-09-18 | 中国移动通信集团公司 | 一种基于gba的认证方法及装置 |
| WO2015013915A1 (zh) * | 2013-07-31 | 2015-02-05 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN111050322A (zh) * | 2018-08-23 | 2020-04-21 | 刘高峰 | 基于gba的客户端注册和密钥共享方法、装置及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697373A (zh) * | 2005-06-17 | 2005-11-16 | 中兴通讯股份有限公司 | 一种用户与应用服务器协商共享密钥的方法 |
| CN101087261A (zh) * | 2006-06-05 | 2007-12-12 | 华为技术有限公司 | 基于通用引导构架实现推送功能的方法、设备和系统 |
-
2010
- 2010-05-28 CN CN201010194750.9A patent/CN102264069B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697373A (zh) * | 2005-06-17 | 2005-11-16 | 中兴通讯股份有限公司 | 一种用户与应用服务器协商共享密钥的方法 |
| CN101087261A (zh) * | 2006-06-05 | 2007-12-12 | 华为技术有限公司 | 基于通用引导构架实现推送功能的方法、设备和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP: "《3GPP TS 33.220 V8.6.0》", 31 March 2009, article "《Generic Authentication Architecture(GAA),Generic bootstrapping architecture》", pages: 17-30 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| CN103313244A (zh) * | 2012-03-14 | 2013-09-18 | 中国移动通信集团公司 | 一种基于gba的认证方法及装置 |
| CN103313244B (zh) * | 2012-03-14 | 2016-12-14 | 中国移动通信集团公司 | 一种基于gba的认证方法及装置 |
| WO2015013915A1 (zh) * | 2013-07-31 | 2015-02-05 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN104584477A (zh) * | 2013-07-31 | 2015-04-29 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN104584477B (zh) * | 2013-07-31 | 2017-11-17 | 华为技术有限公司 | 认证方法、生成信任状的方法及相关装置 |
| CN111050322A (zh) * | 2018-08-23 | 2020-04-21 | 刘高峰 | 基于gba的客户端注册和密钥共享方法、装置及系统 |
| CN111050322B (zh) * | 2018-08-23 | 2023-06-30 | 刘高峰 | 基于gba的客户端注册和密钥共享方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102264069B (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chen et al. | NFC mobile transactions and authentication based on GSM network | |
| US8122250B2 (en) | Authentication in data communication | |
| US8533803B2 (en) | Method and apparatus for trusted federated identity | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| US9693226B2 (en) | Method and apparatus for securing a connection in a communications network | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| JP2000269959A (ja) | キー更新による認証方法 | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| WO2002101981A1 (en) | Method and arrangement for encrypting data transfer at an interface in mobile equipment in radio network, and mobile equipment in radio network | |
| CN103489101A (zh) | 基于融合通信技术的安全电子支付系统及支付方法 | |
| US11711693B2 (en) | Non-3GPP device access to core network | |
| US11917416B2 (en) | Non-3GPP device access to core network | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| TW201729562A (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| US20210256102A1 (en) | Remote biometric identification | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
| CN102264069B (zh) | 基于通用引导架构的认证控制方法、装置及系统 | |
| CN104753679A (zh) | 用户认证方法和系统、以及智能穿戴设备 | |
| EP1811719A1 (en) | Internetwork key sharing | |
| CN102202291B (zh) | 无卡终端及其业务访问方法及系统、有卡终端及初始化服务器 | |
| US9648495B2 (en) | Method and device for transmitting a verification request to an identification module | |
| CN101997682A (zh) | 安全通信系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |