CN103781026A - 通用认证机制的认证方法 - Google Patents
通用认证机制的认证方法 Download PDFInfo
- Publication number
- CN103781026A CN103781026A CN201210401696.XA CN201210401696A CN103781026A CN 103781026 A CN103781026 A CN 103781026A CN 201210401696 A CN201210401696 A CN 201210401696A CN 103781026 A CN103781026 A CN 103781026A
- Authority
- CN
- China
- Prior art keywords
- group
- gateway
- node
- authentication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本实施例公开了基于通用认证机制的认证方法,在通用认证机制认证初始化时,包括步骤:群组网关与群组内各个节点进行组内双向认证,使群组网关与群组内各个节点相互认可对方身份的有效性;所述群组网关向网络应用功能NAF业务服务器请求接入后,与所述NAF业务服务器进行组外双向认证;由于在本发明实施例中,群组内的各个节点不需要分别与NAF业务服务器进行认证;所以有效地减少了与NAF业务服务器的认证次数,进而也就节约了由于认证所带来的网络传输信令的开销。
Description
技术领域
本发明涉及通信网络领域,尤其涉及通用认证机制的认证方法。
背景技术
GBA(General Bootstrapping Architecture,通用认证机制),是一种网络应用和移动终端之间生成共享密钥的方法,以保证客户端和应用服务器的通信安全。GBA描述了如何在移动的上下文环境中使用基于AKA(Authentication andKey Agreement,认证与密钥协商协议)机制为网络中节点和应用服务器之间提供预共享密钥的方法。
GBA引入了网元BSF(BootStrapping Function,启动引导功能)服务器,它通过与AUC(Authentication Centre,认证中心)之间的接口获得用户安全信息和认证信息。
其中AUC存储有用于记录所有使用者相关数据的数据库;BSF服务器与网络中节点之间执行AKA协议相互鉴权,得到业务根密钥Ks,节点和NAF(Network Application Function,网络应用功能)业务服务器之间可以用此密钥对数据作加密;经过GBA初始化后,节点和NAF业务服务器之间会执行某个应用层的安全协议,其鉴权是基于BSF服务器与节点双向鉴权后得到的密钥来实现的。综上所述,GBA流程即节点与BSF服务器交互产生共享业务密钥Ks,当节点与NAF业务服务器交互的时候,NAF业务服务器先要到BSF服务器中取得有效的Ks,这样节点与NAF业务服务器就可以用相同Ks进行认证鉴权。节点、BSF服务器和NAF业务服务器三个网元之间的通信独立于具体应用,所以GBA架构是通用的。
通用认证机制主要分为初始化和业务密钥协商两个过程,在初始化过程中,主要完成节点和BSF服务器之间的认证和业务根密钥协商;业务密钥协商过程主要基于业务根密钥完成节点和NAF业务服务器之间的共享业务密钥协商,用于后续认证和安全交互。
在实际应用中,具有相同属性或者具有相同业务应用需求的多个节点可以构成一个群组并且以群组的方式与网络侧进行通信。在通信群组中,群组中的各个节点通常会采用统一分配的群组标识和群组地址,统一进行群组计费,统一进行群组QoS(Quality of Service,服务质量)管理及配置等措施实现终端的群组化管理,提高网络对终端管理的效率及管理的一致性。
发明人经过研究发现,现有技术中,至少存在有以下的缺陷:
现有的通用认证机制中的认证方法中,所采用的方式为基于网络AKA机制,需要群组中的各个节点单独和NAF进行认证并生成共享业务密钥,每执行一次只能够对一个节点进行认证。所以,在对通信群组进行认证时,需要分别对通讯群组中的每一个节点单独发起基于通用认证机制的认证;由于这种方式需要重复多次的认证过程,从而给网络带来了很大的信令开销,使得网络资源占用较大。
发明内容
有鉴于此,本发明实施例的目的在于提供一种通用认证机制的认证方法,以达到减少基于通用认证机制中的认证过程中所占用的网络资源的目的。
为实现上述目的,本发明实施例提供了如下技术方案:
一种基于通用认证机制的认证方法,在基于通用认证机制GBA认证初始化时,包括步骤:
群组网关与群组内各个节点进行组内双向认证,使群组网关与群组内各个节点相互认可对方身份的有效性;
所述群组网关向网络应用功能NAF业务服务器请求接入后,与所述NAF业务服务器进行组外双向认证;
所述组外双向认证包括:
所述群组网关被所述NAF业务服务器的NAF引导,获准进行基于GBA认证之后,所述群组网关向启动引导功能BSF服务器发送包括有群组标识的初始获取请求消息;
所述BSF服务器根据所述群组标识向认证中心AUC请求获取网关认证向量、与群组内各个节点对应的包括有节点加密密钥CKi和节点完整性保护密钥IKi的节点密钥参数向量,并根据所述网关认证向量生成网关业务根密钥Ksp,根据所述节点密钥参数向量生成群组内每个节点的节点业务根密钥Ksi;为所述群组网关生成网关引导事务标识B-TIDp,为群组内各个节点生成对应的节点引导事务标识B-TIDi;
所述群组网关分别向群组内各个节点下发对应的包括有所述网关认证向量中的随机数参数RAND和所述B-TIDi的参数传输消息,并根据网关根密钥Kp和所述RAND生成Ksp;
群组内各个节点存储所述B-TIDi,并根据所述网关认证向量中的RAND和各自的根密钥信息在本地生成节点加密密钥CKi、节点完整性保护密钥IKi和节点业务根密钥Ksi。
优选的,在本发明实施例中,所述BSF服务器根据所述群组标识向AUC请求获取网关认证向量、与群组内各个节点对应的包括有CKi和IKi的节点密钥参数向量,并根据所述网关认证向量生成Ksp,根据所述节点密钥参数向量生成群组内每个节点的Ksi,为群组内各个节点生成对应的B-TIDi,包括:
所述BSF服务器向所述AUC发送认证向量请求消息,所述AUC根据所述认证向量请求消息中的业务层群组标识获取所述群组网关的签约信息和网关根密钥Kp;并生成所述群组网关的四元组或五元组网关认证向量;同时,所述AUC根据所述群组标识获取群组内各个节点的签约信息及节点根密钥Ki,并生成群组内各个节点的节点密钥参数向量CKi与IKi;
所述AUC向所述BSF服务器返回包括有所述群组标识、网关认证向量和群组内各个节点的节点密钥参数向量的认证向量响应消息;
所述群组网关获取由所述BSF服务器发送的、包括有网关认证向量中RAND和认证令牌的认证消息,并通过所述认证令牌的验证后,根据Kp和所述RAND生成认证响应参数RESP和网关密钥参数向量CKp与IKp,并生成Ksp;所述群组网关向所述BSF服务器发送包括有RESP的认证响应消息;
所述BSF服务器验证通过所述认证响应消息后,根据获取自所述AUC的网关认证向量生成Ksp,并根据获取自所述AUC的节点密钥参数向量生成群组内各个节点的Ksi;为群组内各个节点生成对应的B-TIDi。
优选的,在本发明实施例中,所述群组网关分别向群组内各个节点下发对应的包括有网关认证向量中的随RAND和B-TIDi的参数传输消息,包括:
所述群组网关接收所述BSF服务器发送的包括有网关引导事务标识B-TIDp和群组内各个节点的B-TIDi的确认消息;
所述群组网关将包括所述RAND和B-TIDi的参数传输消息发送至对应的群组内各个节点。
优选的,在本发明实施例中,根据所述Ksi为群组内各个节点生成对应的B-TIDi,包括:
根据Ksi按照设定的节点排序生成群组内各个节点的B-TIDi;
所述群组网关将包括所述RAND和B-TIDi的参数传输消息发送至对应的群组内各个节点,包括:
按照设定的节点排序将包括所述RAND和B-TIDi的参数传输消息发送至群组内各个节点。
优选的,在本发明实施例中,根据所述Ksi为群组内各个节点生成对应的B-TIDi,包括:
根据所述确认消息中还包括,与所述B-TIDi对应的节点标识;所述节点标识用于标识群组内各个节点。
所述群组网关将包括所述RAND和B-TIDi的参数传输消息发送至对应的群组内各个节点为:
将所述B-TIDi的参数传输消息发送至与所述节点标识对应的群组内各个节点。
优选的,在本发明实施例中,分段传输所述认证向量响应消息。
优选的,在本发明实施例中,所述组内双向认证包括:
基于预共享密钥PSK认证方法。
优选的,在本发明实施例中,所述组内双向认证包括:
基于公共密钥架构PKI认证方法。
优选的,在本发明实施例中,所述群组标识记录于所述群组网关(U)SIM卡、群组内各个节点(U)SIM卡和所述AUC中的签约信息中。
优选的,在本发明实施例中,所述群组标识包括:
群组网关的网关业务层标识IMPIp。
优选的,在本发明实施例中,所述所群组内的各个节点的节点标识包括:
所述群组标识和节点业务层标识IMPIi。
优选的,在本发明实施例中,当所述组内双向认证由群组内的节点发起时,群组网关对所述发起组内双向认证的节点进行双向认证后,再对群组内其他节点进行双向认证。
优选的,在本发明实施例中,还包括业务密钥协商:
所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成节点业务密Ks_NAFi后向所述群组网关发送;所述节点请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
根据所述节点应用请求消息中的B-TIDi,所述NAF业务服务器获取相应节点的Ks_NAFi及上下文信息并向所述群组网关发送节点应用应答消息;
所述群组网关向所述群组内节点转发所述节点应用应答消息。
优选的,在本发明实施例中,还包括业务密钥协商,步骤如下:
所述群组网关根据Ksp生成网关业务密钥Ks_NAFp后向所述NAF业务服务器发送网关应用请求消息;
根据所述网关应用请求消息,所述NAF业务服务器向BSF服务器发送包括B-TIDp和NAF业务服务器标识NAF-hostname的认证请求消息,在获取所述BSF服务器返回的认证应答消息后,所述NAF业务服务器存储所述群组网关的Ks_NAFp及上下文信息,以及群组内各个节点的Ks_NAFi、B-TIDi和上下文信息,并向所述群组网关发送网关应用应答消息;
在所述群组网关与所述NAF业务服务器完成业务密钥协商后,所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成Ks_NAFi后,向所述群组网关发送;所述节点应用请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
所述NAF业务服务器根据所述节点应用请求消息中的B-TIDi查找对应的Ks_NAFi及上下文信息并向所述群组网关返回节点应用应答消息;
所述群组网关向所述群组内节点转发所述节点应用应答消息。
在本发明实施例中,还提供了另一种基于通用认证机制的认证方法,在通用认证机制GBA认证初始化时,包括步骤:
群组网关与群组内各个节点进行组内双向认证,使群组网关与群组内各个节点相互认可对方身份的有效性;
所述群组网关向网络应用功能NAF业务服务器请求接入后,与所述NAF业务服务器进行组外双向认证;
所述组外双向认证包括:
所述群组网关被所述NAF业务服务器的NAF引导,获准进行基于GBA认证之后,所述群组网关向BSF服务器发送包括有群组标识的初始获取请求消息;
所述BSF服务器根据所述群组标识向认证中心AUC获取网关认证向量和群组内各个节点的节点认证向量,以网关认证向量中的随机数、网关的用户名和口令为参数生成网关业务根密钥Ksp,以所述随机数、群组中各个节点各自的用户名和口令为参数生成对应的节点业务根密钥Ksi;生成网关引导事务标识B-TIDp和群组内各个节点的节点引导事务标识B-TIDi;
所述群组网关以所述随机数、网关用户名和口令为参数生成认证响应参数以及Ksp,并分别向群组内各个节点下发对应的包括有所述随机数和所述B-TIDi的参数传输消息;
群组内各个节点存储所述B-TIDi,并以所述随机数和群组内各个节点的用户名和口令为参数在本地生成节点业务根密钥Ksi。
优选的,在本发明实施例中,所述BSF服务器根据所述群组标识向认证中心AUC获取网关认证向量和群组内各个节点的节点认证向量,以网关认证向量中的随机数、网关的用户名和口令为参数生成网关业务根密钥Ksp,以所述随机数、群组中各个节点各自的用户名和口令为参数生成对应的节点业务根密钥Ksi;生成网关引导事务标识B-TIDp和群组内各个节点的节点引导事务标识B-TIDi;和,
所述群组网关以所述随机数、网关用户名和口令为参数生成认证响应参数以及Ksp,并分别向群组内各个节点下发对应的包括有所述随机数和所述B-TIDi的参数传输消息,具体包括步骤:
所述BSF服务器向所述AUC发送认证向量请求消息,所述认证向量请求消息请求包括有所述业务层群组标识;
所述AUC根据所述业务层群组标识获取群组网关信息并生成网关认证向量SD-AVp;根据所述业务层群组标识获取群组中各个节点的节点信息,并生成节点认证向量SD-AVi后,向所述BSF服务器发送认证向量响应消息;
所述BSF服务器获取所述认证向量响应消息中的所述网关认证向量和群组内各个节点的节点认证向量,并向所述群组网关发送包括有随机数的认证消息;
所述群组网关接收所述认证消息后,以随机数、网关用户名和口令为参数生成认证响应参数以及Ksp,并向所述BSF服务器返回包括有认证响应参数RESP的认证响应消息;
所述BSF服务器验证通过所述认证响应消息后,以随机数、网关用户名和口令为参数生成Ksp,并生成B-TIDp、并以随机数、节点用户名和口令为参数生成群组中各个节点的Ksi,并生成其对应的B-TIDi;并向所述群组网关发送包括有B-TIDp和群组中各个节点的B-TIDi。
优选的,在本发明实施例中,所述群组标识包括:
群组网关的网关用户名。
优选的,在本发明实施例中,所述所群组内的各个节点的节点标识包括:
所述群组标识和节点用户名。
优选的,在本发明实施例中,还包括业务密钥协商:
所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成节点业务密钥Ks_NAFi后向所述群组网关发送;所述节点请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
根据所述节点应用请求消息,所述NAF业务服务器向BSF服务器发送认证请求消息,在获取所述BSF服务器返回的认证应答消息后,存储所述群组内节点的Ks_NAFi及上下文信息并向所述群组网关发送节点应用应答消息;所述认证请求消息包括B-TIDi和NAF业务服务器标识NAF-hostname;
所述群组网关向所述群组内节点转发所述节点应用应答消息。
优选的,在本发明实施例中,还包括业务密钥协商:
所述群组网关根据Ksp生成Ks_NAFp后向所述NAF业务服务器发送网关应用请求消息;所述网关应用请求消息包括B-TIDp以及网关消息信息msg;
根据所述网关应用请求消息,所述NAF业务服务器向BSF服务器发送包括B-TIDp和NAF-hostname的认证请求消息,在获取所述BSF服务器返回的认证应答消息后,所述NAF业务服务器存储所述群组网关的Ks _NAFp及上下文信息,以及群组内各个节点的Ks_NAFi、B-TIDi和上下文信息,并向所述群组网关发送网关应用应答消息;
在所述群组网关与所述NAF业务服务器完成业务密钥协商后,所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成Ks_NAFi后,向所述群组网关发送;所述节点应用请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
所述NAF业务服务器根据所述节点应用请求消息中的B-TIDi查找对应的Ks_NAFi及上下文信息并向所述群组网关返回节点应用应答消息;
所述群组网关向所述群组内节点转发所述节点应用应答消息综上所述,在本发明实施例中,通过群组网关将群组内的各个节点首先进行群组内双向认证,然后再由群组网关与NAF业务服务器进行组外双向认证,由于在本发明实施例中,群组内的各个节点不需要分别与NAF业务服务器进行认证;所以有效地减少了与NAF业务服务器的认证次数,进而也就节约了由于认证所带来的网络传输信令的开销。
附图说明
图1为本发明实施例中所述通用认证机制的认证方法的流程示意图;
图2为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图3为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图4为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图5为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图6为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图7为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图8为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图9为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图10为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图11为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图12为本发明实施例中所述通用认证机制的认证方法的又一流程示意图;
图13为本发明实施例中所述通用认证机制的认证方法的又一流程示意图。
具体实施方式
本发明实施例公开了通用认证机制的认证方法,为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
参考图1,在本发明实施例中,基于GBA的认证方法,在通用认证机制认证初始化时,包括步骤:
S11、群组网关与群组内各个节点进行组内双向认证,使群组网关与群组内各个节点相互认可对方身份的有效性;
本发明实施例的应用场景之一包括智能抄表应用,具体的,同一地理位置区域的计量表(如水表、电表、气表)可组成一个群组,通过网关,群组内的各个节点与外网和业务平台进行通信。此外,本发明实施例还可以应用于以家庭为群组,家庭中的多个智能终端为群组内各个节点,通过网关与外网和业务平台进行通信的场景;或者,以应用于将车载设备组合为群组,车辆中的多个智能终端为群组内各个节点,通过网关与外网和业务平台进行通信的场景。
在本发明实施例中,应用例之一设定为群组的网关和群组内的各个节点均设有(U)SIM卡;群组设有群组标识,群组标识可以记录于群组网关(U)SIM卡、群组内各个节点(U)SIM卡和所述AUC中的签约信息中。具体的,该群组标识可以是群组网关的网关业务层标识IMPIp,群组内的各个节点包含网关业务层标识IMPIp和节点业务层标识IMPIi。
在发起组内双向认证时,可以首先由群组内的节点向群组网关发送接入请求消息;群组网关在接收到接入请求消息后通过向群组内各个节点发送认证请求消息以发起组内双向认证,当群组内的各个节点向群组网关返回认证响应消息后,组内双向认证完成。
在本发明实施例中,组内双向认证具体的可以是基于预共享密钥PSK认证方法,或基于公共密钥架构PKI认证方法。
为了避免非法节点通过发送接入请求消息而发起的主动攻击,在本发明实施例中,组内双向认证还可以是,在群组网关接收到群组内的节点向群组网关发送的接入请求后,首先与发送该接入请求的节点进行双向认证,然后再与群组内的其他节点进行双向认证。
群组网关向NAF业务服务器请求接入后,与NAF业务服务器进行组外双向认证;组外双向认证包括:
S12、群组网关被NAF业务服务器的网络应用功能引导,获准进行基于GBA认证之后,群组网关向BSF服务器发送包括有业务层群组标识的初始获取请求消息;
在组内双向认证完成后,群组网关启动基于GBA的组外双向认证,具体包括:
群组网关向具有NAF功能的NAF业务服务器发送接入请求消息,以请求接入NAF业务服务器;在NAF需要使用基于GBA方法进行认证并获得共享密钥的情况下,NAF向群组网关发送引导初始化请求消息,以获准群组网关发起基于GBA的组外双向认证。
群组网关接收引导初始化请求消息后,向BSF服务器发送包括有业务层群组标识的初始获取请求消息。
S13、BSF服务器根据群组标识向AUC请求获取网关认证向量、与群组内各个节点对应的包括有CKi和IKi的节点密钥参数向量,并根据网关认证向量生成Ksp,根据节点密钥参数向量生成群组内每个节点的Ksi,为群组网关生成B-TIDp,为群组内各个节点生成对应的B-TIDi;
参考图2,具体的,步骤S13可以细化为以下子步骤:
S131、BSF服务器向AUC发送认证向量请求消息,所述AUC根据认证向量请求消息中的业务层群组标识获取群组网关的签约信息和Kp;并生成群组网关的四元组或五元组网关认证向量;同时,AUC根据业务层群组标识获取群组内各个节点的签约信息及Ki,并生成群组内各个节点的节点密钥参数向量CKi与IKi;
BSF服务器接收到初始获取请求消息后,向AUC发送认证向量请求消息,该认证向量请求消息包括有业务层群组标识;
AUC根据业务层群组标识获取群组网关的签约信息和Kp,并生成群组网关完整的四元组或五元组网关认证向量;同时,根据业务层群组标识,AUC还要获取该群组内各个节点的签约信息及Ki,并生成各个节点的节点密钥参数向量CKi和IKi。
S132、AUC向BSF服务器返回包括有业务层群组标识、网关认证向量和群组内各个节点的节点密钥参数向量的认证向量响应消息;
接着,AUC向BSF服务器返回包括网关认证向量、与群组内各个节点对应的节点密钥参数向量的认证向量响应消息,节点密钥参数向量包括有CKi和IKi。具体的,在实际应用中,认证向量响应消息可以在其数据量较大时,分段传输。
S133、群组网关获取由所述BSF服务器发送的、包括有网关认证向量中RAND和认证令牌的认证消息,并通过认证令牌的验证后,根据Kp和RAND生成RESP和网关密钥参数向量CKp与IKp,并生成Ksp;群组网关向BSF服务器发送包括有RESP的认证响应消息;
BSF服务器在接收到认证向量响应消息后,会向群组网关发送认证消息,该认证消息包括RAND和认证令牌;
群组网关接收到BSF服务器所发送的认证消息后,对认证令牌的合法性进行验证,在通过认证令牌的合法性验证后,根据Kp和RAND生成RESP和网关密钥参数向量CKp与IKp,并生成Ksp。接着,群组网关向BSF服务器发送包括有RESP的认证响应消息。如果认证令牌的合法性验证失败,则表明群组网关对网络认证失败,此时退出处理流程。
S134、BSF服务器验证通过认证响应消息后,根据获取自AUC的网关认证向量生成Ksp,为群组网关生成B-TIDp;并根据获取自AUC的节点密钥参数向量生成群组内各个节点的Ksi;为群组内各个节点生成对应的B-TIDi。
BSF服务器在收到认证响应消息后,首先要将群组网关发送的认证响应消息中认证响应参数与认证向量中的XRES进行匹配验证,匹配通过后,根据已获取自所述AUC的网关认证向量生成群组网关的Ksp,并生成B-TIDp;并根据已获取自AUC的节点密钥参数向量生成群组内各个节点的Ksi;为群组内各个节点生成对应的B-TIDi。接着,BSF服务器向群组网关发送确认消息。如果匹配不通过,则表明网络对群组网关认证失败,此时退出处理流程。确认消息中包括网关引导事务标识和群组内各个节点的节点引导事务标识。
S14、群组网关分别向群组内各个节点下发对应的包括有所述网关认证向量中的随机数参数和B-TIDi的参数传输消息,并根据Kp和RAND生成Ksp;
参考图3具体的,步骤S14可以细化为以下子步骤:
S141、群组网关接收BSF服务器发送的包括有B-TIDp和群组内各个节点的B-TIDi的确认消息;
S142、群组网关将包括RAND和B-TIDi的参数传输消息发送至对应的群组内各个节点。
S15、群组内各个节点存储对应的B-TIDi,并根据所述网关认证向量中的RAND和各自的根密钥信息在本地生成CKi、IKi和Ksi;
群组内各个节点接收到参数传输消息后,存储对应的B-TIDi;并且,根据RAND和各自的根密钥信息在本地生成CKi、IKi和Ksi,从而完成通用认证机制认证初始化的过程。
为了确保群组内各个节点可以存储对应的B-TIDi,在本发明实施例中,当为群组内各个节点生成对应的B-TIDi时,具体可以是按照设定的节点排序生成群组内各个节点的B-TIDi;
这样,当群组网关向群组内各个节点发送参数传输消息时,按照同样的节点排序发送,从而可以将包括RAND和B-TIDi的传输消息发送至对应的群组内各个节点。
此外,为了确保群组内各个节点可以存储对应的B-TIDi,在本发明实施例中,还可以在确认消息中包括有节点标识;所述节点标识用于标识群组内各个节点,这样,当群组网关向群组内各个节点发送参数传输消息时,根据节点标识即可将包括RAND和B-TIDi的传输消息发送至对应的群组内各个节点。
在本发明实施例中,在包括上述GBA认证初始化的全部过程的同时,还可以包括有业务密钥协商的过程。在实际应用中,业务密钥协商可以由群组内的节点发起,也可以由群组的网关发起。
参考图4当业务密钥协商由群组内的节点发起时,业务密钥协商所包括的步骤有:
S21、群组网关向NAF业务服务器转发群组内节点的节点应用请求消息;节点应用请求消息由群组内节点根据节点业务根密钥Ksi生成节点业务密钥Ks_NAFi后向群组网关发送;节点请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
GBA认证初始化完成后,群组内节点根据Ksi生成Ks_NAFi,并向群组网关发送包括与应用相关的特定消息集msg信息和B-TIDi的节点应用请求消息。
群组网关接收到节点应用请求消息后,将节点应用请求消息转发至NAF业务服务器。
S22、根据节点应用请求消息,NAF业务服务器向BSF服务器发送认证请求消息,在获取BSF服务器返回的认证应答消息后,存储群组内节点的Ks_NAFi及上下文信息并向群组网关发送节点应用应答消息;认证请求消息包括节点引导事务标识和NAF业务服务器标识NAF-hostname;
参考图5步骤S22具体可以包括以下子步骤:
S221、NAF业务服务器在接收到节点应用请求消息后,向BSF服务器发送包括B-TIDi和NAF业务服务器标识NAF-hostname的认证请求消息;
S222、BSF服务器根据B-TIDi,获取该群组内节点对应的Ks_NAFi及上下文信息;并向NAF业务服务器返回包括该群组内节点对应的Ks_NAFi及上下文信息的认证应答消息;
S223、NAF业务服务器接收认证应答消息后,存储其中的Ks_NAFi及上下文信息,并向群组网关返回节点应用应答消息;
S23、群组网关向群组内节点转发节点应用应答消息。
至此,群组内的各个节点与NAF服务器间完成密钥的协商,两者之间的安全通信环境建立。
在本发明实施例中,包括通用认证机制认证初始化和业务密钥协商的完整过程,并由群组内的节点发起业务密钥协商的完整流程如图6所示,包括:
1、在节点准备登陆业务服务器发起业务数据通信时,节点向群组网关发送接入请求消息,触发群组网关发起组内双向认证过程,这里的接入请求消息是由某一个节点发起的。
2、组内双向认证过程触发之后,群组网关向群组内每个节点发送认证请求消息发起组内双向认证过程,组内双向认证可基于PSK或PKI方式实现。
组内双向认证过程由群组内的节点触发,那么群组网关可以首先对发送接入请求消息的节点进行认证,认证通过之后再对群组内其他节点进行认证,从而能够防止非法节点通过发送接入请求消息而发起的主动攻击。
3、群组内各个节点返回认证响应消息后,完成组内双向认证。
4、组内双向认证过程完成之后,群组网关启动基于GBA的组外双向认证过程。群组网关向NAF业务服务器发送接入请求消息,请求接入NAF业务服务器。
5、在NAF业务服务器需要使用基于GBA方法进行认证并获得共享密钥的情况下,NAF业务服务器向群组网关发送引导初始化请求消息。
6、群组网关收到NAF业务服务器发送的引导初始化请求消息之后,发起GBA认证过程。群组网关向BSF发送初始获取请求Initial GET request消息,Initial GET request消息中携带网关业务层群组标识IMPIg。
7、BSF向AUC发送认证向量请求消息,请求获取群组节点的认证向量信息,认证向量请求消息中携带业务层群组标识IMPIg。
8、接收到BSF发送的认证向量请求消息之后,根据认证向量请求消息所携带的IMPIg,AUC查找群组网关签约信息,获取群组网关的网关根密钥Kp,并计算群组网关完整的四元组或五元组网关认证向量;同时,根据网关业务层群组标识IMPIg,AUC查找出与群组关联的每个节点的签约信息及节点根密钥Ki,并生成群组内各个节点的节点密钥参数向量CKi和IKi。
接着,AUC向BSF发送认证向量响应消息,其中携带IMPIg,群组网关认证向量(RAND||AUTN||XRES||CKp||IKp)以及每个群组节点的节点标识及节点密钥参数向量(IMPIi,CKi||IKi)。如果群组内的节点数量较多,认证向量响应消息内容数据量较大,可以将整个消息分段多次传输。
9、BSF向群组网关发送认证消息,即,401Unauthorized WWW-AuthenticateDigest消息,其中携带RAND和AUTN。
10、群组网关收到BSF发送的消息后,对AUTN的合法性进行验证。如果验证通过,则根据网关根密钥Kp及接收到的RAND,计算认证响应参数RESP及密钥CKp与IKp,并且进而生成网关业务根密钥Ksp=CKp||IKp。如果验证失败,则表明群组网关对网络认证失败,退出处理流程。密钥计算完成后,群组网关向BSF发送认证响应Request Authorization Digest消息,其中携带认证响应参数RESP,用于网络对群组网关的认证。
11、BSF收到群组网关返回的认证响应消息后,验证群组网关发送的RESP是否与认证向量中的XRES匹配。若匹配,则根据之前从AUC获得的认证向量为群组网关计算网关业务根密钥Ksp=CKp||IKp,并且为群组网关生成B-TIDp;并根据之前从AUC获得的每一个节点的节点密钥参数(IMPIi,CKi||IKi)按照节点标识IMPIi的先后顺序为每一个节点计算节点业务根密钥Ksi=CKi||IKi,并且对于每一个Ksi,生成与之对应的B-TIDi。之后,BSF向群组网关发送200OK消息进行确认,200OK消息中携带B-TIDp以及每一个节点的B-TIDi。若不匹配,则表明网络对群组网关认证失败,退出处理流程。
12、接收到200OK消息后,群组网关按照群组节点标识IMPIi的先后顺序,依次向群组内每一个节点发送参数传输消息,用于传输RAND及B-TIDi。
13、群组内每一个节点基于接收到的参数RAND以及节点根密钥Ki计算生成CKi,IKi,进而计算节点业务根密钥Ksi=CKi||IKi。同时,每一个节点存储接收到的对应的B-TIDi。此外,节点向群组网关发送参数确认消息,确认参数传输成功。
至此,通过群组网关代理认证的方式,每一个群组节点完成了它与BSF之间的相互认证,并且协商好了它们之间的共享密钥。之后进行业务密钥协商过程。
14、在GBA初始化过程完成后,群组节点根据节点业务根密钥Ksi采用相应算法生成节点业务密钥Ks NAFi,并向群组网关发送节点应用请求消息,其中携带之前认证过程中为节点Ai下发的B-TIDi以及消息信息msg。
15、群组网关向业务服务器NAF功能转发接收到的节点应用请求消息。
16、接收到节点发送的节点应用请求消息后,NAF向BSF发送认证请求消息,其中携带B-TIDi和NAF-hostname,用于获取群组节点密钥及上下文信息。
17、根据B-TIDi与群组节点信息的对应关系,BSF获取群组节点Ai的密钥及上下文信息,并向NAF返回认证应答消息,其中携带群组节点的Ks NAFi和上下文信息。
18、NAF收到BSF返回的认证应答消息后,业务服务器存储群组节点的Ks NAFi及上下文信息,并向群组网关发送节点应用应答消息。
19、群组网关向群组节点转发节点应用应答消息。至此,群组内节点与网络应用服务器NAF间完成密钥的协商,两者之间的安全通信环境建立。
参考图7当业务密钥协商由群组网关发起时,业务密钥协商所包括的步骤有:
S31、群组网关根据Ksp生成Ks_NAFp后向NAF业务服务器发送网关应用请求消息;网关应用请求消息包括与应用相关的特定消息集msg信息和B-TIDp;
在GBA初始化过程完成后,群组网关根据Ksp采用相应算法生成Ks NAFp,并向NAF业务服务器发送网关应用请求消息,网关应用请求消息中携带之前认证过程中为群组网关下发的B-TIDp以及网关msg信息。
S32、根据网关应用请求消息,NAF业务服务器向BSF服务器发送包括B-TIDp和NAF-hostname的认证请求消息,在获取BSF服务器返回的认证应答消息后,NAF业务服务器存储群组网关的Ks_NAFp及上下文信息,以及群组内各个节点的Ks_NAFi、B-TIDi和上下文信息,并向群组网关发送网关应用应答消息;具体包括:
NAF业务服务器接收到群组网关发送的网关应用请求消息后,NAF业务服务器向BSF服务器发送认证请求消息,认证请求消息中携带B-TIDp和NAF-hostname;
BSF服务器根据网关引导事务标识与群组内各个节点信息的对应关系,获取群组网关及群组内各个节点的密钥及上下文信息,并向NAF业务服务器返回认证应答消息,认证应答消息中携带群组网关的Ks_NAFp及上下文信息,以及群组内各个节点的B-TIDi、Ks_NAFp及上下文信息;
NAF业务服务器收到BSF服务器返回的认证应答消息后,NAF业务服务器存储群组网关的Ks_NAFp和上下文信息,以及群组内各个节点的B-TIDi、Ks_NAFp及上下文信息;
NAF业务服务器向群组网关发送网关应用应答消息。
S33、在群组网关接收网关应用应答消息后,群组网关向NAF业务服务器转发群组内节点的节点应用请求消息;节点应用请求消息由群组内节点根据Ksi生成Ks_NAFi后,向群组网关发送;节点应用请求消息中包括与应用相关的节点特定消息集msg信息和B-TIDi,具体包括:
群组网关接收网关应用应答消息,即,群组网关与网络应用服务器NAF间完成密钥协商,此后,群组中的节点根据Ksi生成Ks_NAFi,向所述群组网关发送节点应用请求消息;节点应用请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
群组网关向NAF业务服务器转发节点应用请求消息;
S34、NAF业务服务器根据节点应用请求消息中的B-TIDi查找对应的Ks_NAFi及上下文信息并向群组网关返回节点应用应答消息;
NAF业务服务器收到节点应用请求消息后,根据节点应用请求消息中的B-TIDi查找NAF业务服务器自身存储的与群组节点对应的Ks_NAFi及上下文信息,并向群组网关发送节点应用应答消息。
S35、群组网关向群组内节点转发节点应用应答消息。
至此,群组内的各个节点与NAF服务器间完成密钥的协商,两者之间的安全通信环境建立。
在本发明实施例中,包括通用认证机制认证初始化和业务密钥协商的完整过程,并由群组网关发起业务密钥协商的完整流程如图8所示,包括:
1、在节点准备登陆业务服务器发起业务数据通信时,节点向群组网关发送接入请求消息,触发群组网关发起组内双向认证过程,这里的接入请求消息是由某一个节点发起的。
2、组内双向认证过程触发之后,群组网关向群组内每个节点发送认证请求消息发起组内双向认证过程,组内双向认证可基于PSK或PKI方式实现。
组内双向认证过程由群组内的节点触发,那么群组网关可以首先对发送接入请求消息的节点进行认证,认证通过之后再对群组内其他节点进行认证,从而能够防止非法节点通过发送接入请求消息而发起的主动攻击。
3、群组内各个节点返回认证响应消息后,完成组内双向认证。
4、组内双向认证过程完成之后,群组网关启动基于GBA的组外双向认证过程。群组网关向NAF业务服务器发送接入请求消息,请求接入NAF业务服务器。
5、在NAF业务服务器需要使用基于GBA方法进行认证并获得共享密钥的情况下,NAF业务服务器向群组网关发送引导初始化请求消息。
6、群组网关收到NAF业务服务器发送的引导初始化请求消息之后,发起GBA认证过程。群组网关向BSF发送初始获取请求Initial GET request消息,Initial GET request消息中携带网关业务层群组标识IMPIg。
7、BSF向AUC发送认证向量请求消息,请求获取群组节点的认证向量信息,认证向量请求消息中携带业务层群组标识IMPIg。
8、接收到BSF发送的认证向量请求消息之后,根据认证向量请求消息所携带的IMPIg,AUC查找群组网关签约信息,获取群组网关的网关根密钥Kp,并计算群组网关完整的四元组或五元组网关认证向量;同时,根据网关业务层群组标识IMPIg,AUC查找出与群组关联的每个节点的签约信息及节点根密钥Ki,并生成群组内各个节点的节点密钥参数向量CKi和IKi。
接着,AUC向BSF发送认证向量响应消息,其中携带IMPIg,群组网关认证向量(RAND||AUTN||XRES||CKp||IKp)以及每个群组节点的节点标识及节点密钥参数向量(IMPIi,CKi||IKi)。如果群组内的节点数量较多,认证向量响应消息内容数据量较大,可以将整个消息分段多次传输。
9、BSF向群组网关发送认证消息,即,401Unauthorized WWW-AuthenticateDigest消息,其中携带RAND和AUTN。
10、群组网关收到BSF发送的消息后,对AUTN的合法性进行验证。如果验证通过,则根据网关根密钥Kp及接收到的RAND,计算认证响应参数RESP及密钥CKp与IKp,并且进而生成网关业务根密钥Ksp=CKp||IKp。如果验证失败,则表明群组网关对网络认证失败,退出处理流程。密钥计算完成后,群组网关向BSF发送认证响应Request Authorization Digest消息,其中携带认证响应参数RESP,用于网络对群组网关的认证。
11、BSF收到群组网关返回的消息后,验证群组网关发送的RESP是否与认证向量中的XRES匹配。若匹配,则根据之前从AUC获得的认证向量为群组网关计算网关业务根密钥Ksp=CKp||IKp,并且为群组网关生成B-TIDp;并根据之前从AUC获得的每一个节点的节点密钥参数(IMPIi,CKi||IKi)按照节点标识IMPI的先后顺序为每一个节点计算密钥Ksi=CKi||IKi,并且对于每一个Ksi,生成与之对应的B-TIDi。之后,BSF向群组网关发送200 OK消息进行确认,200 OK消息中携带B-TIDp以及每一个节点的B-TIDi。若不匹配,则表明网络对群组网关认证失败,退出处理流程。
12、接收到200 OK消息后,群组网关按照群组节点标识IMPIi的先后顺序,依次向群组内每一个节点发送参数传输消息,用于传输RAND及B-TIDi。
13、群组内每一个节点基于接收到的参数RAND以及节点根密钥Ki计算生成CKi,IKi,进而计算节点业务根密钥Ksi=CKi||IKi。同时,每一个节点存储接收到的对应的B-TIDi。此外,节点向群组网关发送参数确认消息,确认参数传输成功。
至此,通过群组网关代理认证的方式,每一个群组节点完成了它与BSF之间的相互认证,并且协商好了它们之间的共享密钥。之后进行业务密钥协商过程。
14、在GBA初始化过程完成后,群组网关根据Ksp采用相应算法生成Ks_NAFp,并向NAF业务服务器NAF发送网关应用请求消息,其中携带之前认证过程中为群组网关下发的B-TIDp以及消息信息msg
15、接收到群组网点发送的网关应用请求消息后,NAF向BSF发送认证请求消息,其中携带B-TIDp和NAF-hostname。
16、根据B-TIDp与群组内各个节点信息的对应关系,BSF获取群组网关及群组内各个节点的业务密钥及上下文信息,并向NAF业务服务器返回认证应答消息,认证应答消息中携带群组网关的网关业务密钥Ks_NAFp和上下文信息,以及群组所有节点的节点业务密钥Ks_NAFi、B-TIDi及上下文信息。
17、NAF收到BSF返回的认证应答消息后,NAF业务服务器存储群组网关的网关业务密钥Ks_NAFp和上下文信息,以及群组内各个节点的节点业务密钥Ks_NAFi、B-TIDi及上下文信息,并向群组网关发送网关应用应答消息。
18、群组网关接收到网关应用应答消息,即,群组网关与网络应用服务器NAF间完成密钥协商后,群组内各个节点根据各自的Ksi采用相应算法生成各自的节点业务密钥Ks_NAFi,并向群组网关发送节点应用请求消息,节点应用请求消息中携带之前认证过程中为节点下发的B-TIDi以及节点消息信息msg。
19、群组网关向NAF业务服务器转发接收到的节点应用请求消息。
20、NAF收业务服务器到后,根据节点应用请求消息中的B-TIDi,查找NAF业务服务器存储的对应的节点的Ks_NAFi及上下文信息,并向群组网关发送节点应用应答消息。
21、群组网关向群组节点转发节点应用应答消息。至此,所有群组节点与网络应用服务器NAF间完成密钥的协商,两者之间的安全通信环境建立。
由于在实际应用中,还存在群组中的网关和节点没有(U)SIM卡的情况,为此,在本发明实施例中,还提供了另一种基于GBA的认证方法,参考图9,在GBA认证初始化时,包括步骤:
S41、群组网关与群组内各个节点进行组内双向认证,使群组网关与群组内各个节点相互认可对方身份的有效性;
在本发明实施例中,群组标识可以为群组网关的用户名;节点标识可以为节点用户名,节点中还包括群组标识。在本发明实施例中,组内双向认证具体的可以是基于预共享密钥PSK认证方法,或基于公共密钥架构PKI认证方法。
为了避免非法节点通过发送接入请求消息而发起的主动攻击,在本发明实施例中,组内双向认证还可以是,在群组网关接收到群组内的节点向群组网关发送的接入请求后,首先与发送该接入请求的节点进行双向认证,然后再与群组内的其他节点进行双向认证。
群组网关向网络应用功能NAF业务服务器请求接入后,与NAF业务服务器进行组外双向认证,组外双向认证包括:
S42、群组网关被NAF业务服务器的网络应用功能NAF引导,获准进行基于GBA认证之后,群组网关向BSF服务器发送包括有群组标识的初始获取请求消息;
在组内双向认证完成后,群组网关启动基于GBA的组外双向认证,具体包括:
群组网关向具有NAF功能的NAF业务服务器发送接入请求消息,以请求接入NAF业务服务器;在NAF业务服务器需要使用基于GBA方法进行认证并获得共享密钥的情况下,NAF业务服务器向群组网关发送引导初始化请求消息,以获准群组网关发起基于GBA的组外双向认证。
群组网关接收引导初始化请求消息后,向BSF服务器发送包括有群组标识的初始获取请求消息。
S43、BSF服务器根据群组标识向AUC获取网关认证向量和群组内各个节点的节点认证向量,以网关认证向量中的随机数、网关用户名和口令为参数,生成网关业务根密钥Ksp;以网关认证向量中的随机数、节点用户名和口令为参数生成群组中各个节点的Ksi;并生成B-TIDp和B-TIDi;
S44、群组网关以网关用户名和口令为参数,生成认证响应参数以及Ksp,并分别向群组内各个节点下发对应的包括有随机数和B-TIDi的参数传输消息;
步骤S43和S44具体可以包括:
BSF服务器获取初始获取请求消息后,向AUC发送包括群组标识的认证向量请求消息;
AUC接收认证向量请求消息后,根据群组标识获取网关认证向量SD-AVp和群组内各个节点的节点认证向量SD-AVi
AUC向BSF服务器发送认证向量响应消息,认证向量响应消息中包括群组标识,群组网关标识以及对应的网关认证向量SD-AVp,和群组内各个节点的节点标识以及与各个节点标识对应的节点认证向量SD-AVi;在实际应用中,当认证向量响应消息的数据量较大时,可以将认证向量响应消息分段传输。
BSF服务器获取认证向量响应消息中的网关认证向量和群组内各个节点的节点认证向量,并向群组网关发送包括有随机数的认证消息;
群组网关接收认证消息后,以网关用户名和口令为参数生成认证响应参数以及Ksp,并向BSF服务器返回包括有认证响应参数RESP的认证响应消息;
BSF服务器验证通过认证响应消息后,以网关用户名和密码为参数为群组网关生成生成Ksp,并生成与其对应的B-TIDp;以群组节点用户名和密码为参数为群组中各个节点生成Ksi,并生成与及其对应的B-TIDi;并向群组网关发送包括有B-TIDp和群组中各个节点的B-TIDp的确认消息。
S45、群组内各个节点存储B-TIDi,并以随机数和群组内各个节点的用户名和口令为参数在本地生成节Ksi。
群组网关接收到包括有B-TIDp和群组中各个节点的B-TIDi的确认消息后,向群组内各个节点发送参数传输消息,参数传输消息中包括随机数和对应的B-TIDi;
群组内各个节点存储B-TIDi,并以随机数和群组内各个节点的用户名和口令为参数在本地生成Ksi,从而完成通用认证机制认证初始化的过程。
在本发明实施例中,在包括上述基于GBA认证初始化的全部过程的同时,还可以包括有业务密钥协商的过程。在实际应用中,业务密钥协商可以由群组内的节点发起,也可以由群组的网关发起。
参考图10当业务密钥协商由群组内的节点发起时,业务密钥协商所包括的步骤有:
S51、群组网关向NAF业务服务器转发群组内节点的节点应用请求消息;节点应用请求消息由群组内节点根据Ksi生成Ks_NAFi后向群组网关发送;节点请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
在GBA认证初始化完成后,节点根据Ksi生成Ks_NAFi,接着向群组网关发送节点应用请求消息;节点请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
群组网关向NAF业务服务器转发该节点应用请求消息;
S52、根据节点应用请求消息,NAF业务服务器向BSF服务器发送认证请求消息,在获取BSF服务器返回的认证应答消息后,存储群组内节点的节点业务密钥Ks_NAFi及上下文信息并向群组网关发送节点应用应答消息;认证请求消息包括B-TIDi和NAF-hostname,具体包括:
NAF业务服务器接收节点应用请求消息后,向BSF服务器发送认证请求消息,认证请求消息包括B-TIDi和NAF-hostname;
BSF服务器根据B-TIDi与节点信息的对应关系获取节点的Ksi和上下文信息;向NAF业务服务器返回包括Ksi和上下文信息的认证应答消息;
NAF业务服务器存储Ksi和上下文信息后,向群组网关发送节点应用应答消息。
S53、群组网关向群组内节点转发节点应用应答消息。
至此,群组内的各个节点与NAF服务器间完成密钥的协商,两者之间的安全通信环境建立。
在本发明实施例中,包括通用认证机制认证初始化和业务密钥协商的完整过程,并由群组内的节点发起业务密钥协商的完整流程如图11所示,包括:
1、在群组节点准备登陆业务服务器发起业务数据通信时,群组节点向群组网关发送接入请求消息,触发群组网关发起群组认证过程,这里的接入请求消息是由某一个节点发起的。
2、群组认证过程触发之后,群组网关发送认证请求消息向每个群组节点发起组内双向认证过程。该组内双向认证过程可基于PSK或PKI方式实现。
组内双向认证过程由群组内的节点触发,那么群组网关首先对接入请求消息的发送节点进行认证,认证通过之后再对群组内其他节点进行认证。这样能够防止非法节点通过发送接入请求消息而发起的主动攻击。
3、群组内各个节点返回认证响应消息,完成组内双向认证。
4、组内双向认证过程完成之后,群组网关启动基于GBA的组外双向认证过程。群组网关向NAF业务服务器发送接入请求消息,请求接入NAF业务服务器。
5、在NAF业务服务器需要使用基于GBA方法进行认证并获得共享密钥的情况下,NAF业务服务器向群组网关发送引导初始化请求消息。
6、群组网关收到NAF业务服务器发送的引导初始化请求消息之后,发起GBA认证过程。群组网关向BSF发送初始获取请求Initial GET request消息,其中携带群组标识。
7、BSF向AUC发送认证向量请求消息,请求获取群组节点的认证向量信息,认证向量请求消息中携带群组标识。
8、接收到BSF发送的认证向量请求消息之后,根据所携带的群组标识,AUC查找群组网关信息并计算群组网关认证向量SD-AVp;同时,根据群组标识,AUC查找出与群组标识关联的群组内每个群组节点信息,并计算群组内每个群组节点的认证向量SD-AVi。
接着,AUC向BSF发送认证向量响应消息,其中携带群组标识和对应的网关认证向量(IMPIp,SD-AVp),以及,每个群组节点标识和对应的节点认证向量(IMPIi,SD-AVi)。如果群组内的节点数量较多,认证向量响应消息内容数据量较大,可以将整个向量响应消息分段多次传输。
9、BSF向群组网关发送认证消息,即401Unauthorized WWW-AuthenticateDigest消息,其中携带随机数nonce。
10、群组网关收到BSF发送的消息后,根据与usernamep,passwordp等参数相关的参量计算认证响应参数RESP,并生成网关业务根密钥Ksp=CKp||IKp。密钥计算完成后,群组网关向BSF发送认证响应RequestAuthorization Digest消息,认证响应中携带认证响应参数RESP,用于网络对群组网关的认证。
11、BSF收到群组网关返回的认证响应消息后,计算XRES并验证群组网关发送的RESP是否与XRES匹配。若匹配,则基于与username和password等参数相关的参量计算网关业务根密钥Ksg和节点业务根密钥Ksi,并且对于网关业务根密钥Ksp生成对应的网关引导事务标识B-TIDp,对于每一个节点业务根密钥Ksi,生成与之对应的节点引导事务标识B-TIDi。之后,BSF向群组网关发送确认200 OK消息进行确认,200 OK消息中携带B-TIDp以及B-TIDi。若不匹配,则表明网络对群组网关认证失败,退出处理流程。
12、群组网关接收到200 OK消息后,依次向群组内每一个节点发送包括随机数和B-TIDi的参数传输消息。
13、群组内的每一个群组节点基于与usernamei,passwordi相关的参量生成节点业务根密钥Ksi,同时,每一个节点存储接收到的对应的节点引导事务标识B-TIDi。此外,节点向群组网关发送参数确认消息,确认参数传输成功。
至此,通过群组网关代理认证的方式,群组内每一个节点完成了与BSF之间的相互认证,并且协商好了它们之间的共享密钥。之后进行业务密钥协商过程。
14、在GBA初始化过程完成后,节点根据节点业务根密钥Ksi采用相应算法生成节点业务密钥Ks_NAFi,并向群组网关发送节点应用请求消息,其中携带之前认证过程中为节点Ai下发的B-TIDi以及消息信息msg。
15、群组网关向业务服务器NAF功能转发接收到的节点应用请求消息。
16、接收到节点发送的节点应用请求消息后,NAF向BSF发送认证请求消息,其中携带B-TIDi和NAF-hostname,用于获取群组节点密钥及上下文信息。
17、根据B-TIDi与群组节点信息的对应关系,BSF获取群组节点的密钥及上下文信息,并向NAF返回认证应答消息,其中携带群组节点的Ks_NAFi和上下文信息。
18、NAF收到BSF返回的认证应答消息后,业务服务器存储群组节点的Ks_NAFi及上下文信息,并向群组网关发送节点应用应答消息。
19、群组网关向群组节点转发节点应用应答消息。至此,群组内节点与网络应用服务器NAF间完成密钥的协商,两者之间的安全通信环境建立。
此外,在本发明实施例中,当业务密钥协商由群组网关发起时,参考图12,业务密钥协商所包括的步骤有:
S61、群组网关根据Ksp生成Ks_NAFp后向NAF业务服务器发送网关应用请求消息;网关应用请求消息中包括B-TIDp以及网关消息信息msg;
在GBA认证初始化完成后,群组网关根据Ksp生成Ks_NAFp后向NAF业务服务器发送网关应用请求消息;
S62、根据网关应用请求消息,NAF业务向BSF服务器发送包括B-TIDp和NAF-hostname的认证请求消息,在获取BSF服务器返回的认证应答消息后,NAF业务服务器存储群组网关的Ks_NAFp及上下文信息,以及群组内各个节点的Ks_NAFi、B-TIDi和上下文信息,并向群组网关发送网关应用应答消息,具体包括:
NAF业务服务器向BSF服务器发送包括B-TIDp和NAF-hostname的认证请求消息;
BSF服务器根据B-TIDp与群组节点的对应关系,获取Ks_NAFp及上下文信息,和,群组内各个节点的Ks_NAFi、B-TIDi及上下文信息,并向NAF业务服务器返回认证应答消息;认证应答消息中包括Ks_NAFp及上下文信息,和,群组内各个节点的Ks_NAFi、B-TIDi及上下文信息;
NAF业务服务器存储认证应答消息中的Ks_NAFp及上下文信息,和,群组内各个节点的Ks_NAFi、B-TIDi及上下文信息,并向群组网关发送网关应用应答消息。
S63、在群组网关与NAF业务服务器完成业务密钥协商后,群组网关向NAF业务服务器转发群组内节点的节点应用请求消息;节点应用请求消息由群组内节点根据Ksi生成Ks_NAFi后,向群组网关发送;述节点应用请求消息中包括与应用相关的节点特定消息集msg信息和B-TIDi,具体的:
群组网关接收网关应用应答消息,即,群组网关与NAF业务服务器完成业务密钥协商,此后,节点根据Ksi采用相应算法生成Ks_NAFi,并向群组网关发送节点应用请求消息,节点应用请求消息中携带之前认证过程中为节点下发的B-TIDi以及节点消息信息msg。
群组网关将节点应用请求消息转发至NAF业务服务器。
S64、NAF业务服务器根据节点应用请求消息中的B-TIDi查找对应的Ks_NAFi及上下文信息并向群组网关返回节点应用应答消息。
S65、群组网关向群组内节点转发节点应用应答消息。
至此,群组内的各个节点与NAF服务器间完成密钥的协商,两者之间的安全通信环境建立。
在本发明实施例中,包括通用认证机制认证初始化和业务密钥协商的完整过程,并由群组内的节点发起业务密钥协商的完整流程如图13所示,包括:
1、在群组节点准备登陆业务服务器发起业务数据通信时,群组节点向群组网关发送接入请求消息,触发群组网关发起群组认证过程,这里的接入请求消息是由某一个节点发起的。
2、群组认证过程触发之后,群组网关发送认证请求消息向每个群组节点发起组内双向认证过程。该组内双向认证过程可基于PSK或PKI方式实现。
组内双向认证过程由群组内的节点触发,那么群组网关首先对接入请求消息的发送节点进行认证,认证通过之后再对群组内其他节点进行认证。这样能够防止非法节点通过发送接入请求消息而发起的主动攻击。
3、群组内各个节点返回认证响应消息,完成组内双向认证。
4、组内双向认证过程完成之后,群组网关启动基于GBA的组外双向认证过程。群组网关向NAF业务服务器发送接入请求消息,请求接入NAF业务服务器。
5、在NAF业务服务器需要使用基于GBA方法进行认证并获得共享密钥的情况下,NAF业务服务器向群组网关发送引导初始化请求消息。
6、群组网关收到NAF业务服务器发送的引导初始化请求消息之后,发起GBA认证过程。群组网关向BSF发送初始获取请求Initial GET request消息,其中携带群组标识。
7、BSF向AUC发送认证向量请求消息,请求获取群组节点的认证向量信息,认证向量请求消息中携带群组标识。
8、接收到BSF发送的认证向量请求消息之后,根据所携带的群组标识,,群组网关标识AUC查找群组网关信息并计算群组网关认证向量SD-AVp;同时,根据群组标识,AUC查找出与群组标识关联的群组内每个群组节点信息,并计算群组内每个群组节点的认证向量SD-AVi。
接着,AUC向BSF发送认证向量响应消息,其中携带群组标识和对应的网关认证向量(IMPIp,SD-AVp),以及,每个群组节点标识和对应的节点认证向量(IMPIi,SD-AVi)。如果群组内的节点数量较多,认证向量响应消息内容数据量较大,可以将整个向量响应消息分段多次传输。
9、BSF向群组网关发送认证消息,即401 Unauthorized WWW-AuthenticateDigest消息,其中携带随机数nonce。
10、群组网关收到BSF发送的消息后,根据与usernamep,passwordp等参数相关的参量计算认证响应参数RESP,并生成网关业务根密钥Ksp=CKp||IKp。密钥计算完成后,群组网关向BSF发送认证响应RequestAuthorization Digest消息,认证响应中携带认证响应参数RESP,用于网络对群组网关的认证。
11、BSF收到群组网关返回的认证响应消息后,计算XRES并验证群组网关发送的RESP是否与XRES匹配。若匹配,则基于与usernamep和passwordp等参数相关的参量计算网关业务根密钥Ksg,基于与usernamei和passwordi等参数相关的参量计算节点业务根密钥Ksi,并且对于网关业务根密钥Ksp生成对应的网关事务临时标识B-TIDp,对于每一个节点业务根密钥Ksi,生成与之对应的节点事务临时标识B-TIDi。之后,BSF向群组网关发送确认200OK消息进行确认,200OK消息中携带B-TIDp以及B-TIDi。若不匹配,则表明网络对群组网关节点认证失败,退出处理流程。
12、群组网关接收到200OK消息后,依次向群组内每一个节点发送包括随机数和B-TIDi的参数传输消息。
13、群组内的每一个群组节点基于与usernamei,passwordi相关的参量生成节点业务根密钥Ksi,同时,每一个节点存储接收到的对应的节点引导事务标识B-TIDi。此外,节点向群组网关发送参数确认消息,确认参数传输成功。
至此,通过群组网关代理认证的方式,群组内每一个节点完成了与BSF之间的相互认证,并且协商好了它们之间的共享密钥。之后进行业务密钥协商过程。
14、在GBA初始化过程完成后,群组网关根据网关业务根密钥Ksp采用相应算法生成网关业务密钥Ks_NAFp,并向NAF业务服务器发送网关应用请求消息,网关应用请求消息中携带之前认证过程中为群组网关下发的网关引导事务标识B-TIDp以及网关消息信息msg。
15、NAF接收到群组网关发送的网关应用请求消息后,向BSF发送认证请求消息,其中携带网关引导事务标识B-TIDp和NAF-hostname。
16、根据网关事务临时标识B-TIDp与群组节点信息的对应关系,BSF获取群组网关及群组节点的业务密钥及上下文信息,并向NAF业务服务器返回认证应答消息,其中携带群组网关的Ks_NAFp和上下文信息,以及所有群组节点的Ks_NAFi,B-TIDi和上下文信息。
17、NAF收到BSF返回的认证应答消息后,NAF业务服务器存储群组网关节点的Ks_NAFp和上下文信息,以及群组节点的Ks_NAFi,B-TIDi和上下文信息,并向群组网关发送网关应用应答消息。
18、在群组网关与NAF业务服务器NAF间完成密钥协商后,群组内的节点根据Ksi采用相应算法生成节点业务密钥Ks_NAFi,并向群组网关发送节点应用请求消息,其中携带之前认证过程中为节点下发的B-TIDi以及节点消息信息msg。
19、群组网关向业务服务器NAF功能转发接收到的节点应用请求消息。
20、NAF收到节点应用请求消息后,根据节点应用消息中的B-TIDi查找存储的对应的节点的Ks_NAFi及上下文信息,并向群组网关发送节点应用应答消息。
21、群组网关向相应的节点转发节点应用应答消息。至此,所有群组节点与NAF应用服务器间完成密钥的协商,两者之间的安全通信环境建立。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (20)
1.一种基于通用认证机制的认证方法,其特征在于,在基于通用认证机制GBA认证初始化时,包括步骤:
群组网关与群组内各个节点进行组内双向认证,使群组网关与群组内各个节点相互认可对方身份的有效性;
所述群组网关向网络应用功能NAF业务服务器请求接入后,与所述NAF业务服务器进行组外双向认证;
所述组外双向认证包括:
所述群组网关被所述NAF业务服务器的NAF引导,获准进行基于GBA认证之后,所述群组网关向启动引导功能BSF服务器发送包括有群组标识的初始获取请求消息;
所述BSF服务器根据所述群组标识向认证中心AUC请求获取网关认证向量、与群组内各个节点对应的包括有节点加密密钥CKi和节点完整性保护密钥IKi的节点密钥参数向量,并根据所述网关认证向量生成网关业务根密钥Ksp,根据所述节点密钥参数向量生成群组内每个节点的节点业务根密钥Ksi;为所述群组网关生成网关引导事务标识B-TIDp,为群组内各个节点生成对应的节点引导事务标识B-TIDi;
所述群组网关分别向群组内各个节点下发对应的包括有所述网关认证向量中的随机数参数RAND和所述B-TIDi的参数传输消息,并根据网关根密钥Kp和所述RAND生成Ksp;
群组内各个节点存储所述B-TIDi,并根据所述网关认证向量中的RAND和各自的根密钥信息在本地生成节点加密密钥CKi、节点完整性保护密钥IKi和节点业务根密钥Ksi。
2.根据权利要求1所述的通用认证机制中的认证方法,其特征在于,所述BSF服务器根据所述群组标识向AUC请求获取网关认证向量、与群组内各个节点对应的包括有CKi和IKi的节点密钥参数向量,并根据所述网关认证向量生成Ksp,根据所述节点密钥参数向量生成群组内每个节点的Ksi,为群组内各个节点生成对应的B-TIDi,包括:
所述BSF服务器向所述AUC发送认证向量请求消息,所述AUC根据所述认证向量请求消息中的业务层群组标识获取所述群组网关的签约信息和网关根密钥Kp;并生成所述群组网关的四元组或五元组网关认证向量;同时,所述AUC根据所述群组标识获取群组内各个节点的签约信息及节点根密钥Ki,并生成群组内各个节点的节点密钥参数向量CKi与IKi;
所述AUC向所述BSF服务器返回包括有所述群组标识、网关认证向量和群组内各个节点的节点密钥参数向量的认证向量响应消息;
所述群组网关获取由所述BSF服务器发送的、包括有网关认证向量中RAND和认证令牌的认证消息,并通过所述认证令牌的验证后,根据Kp和所述RAND生成认证响应参数RESP和网关密钥参数向量CKp与IKp,并生成Ksp;所述群组网关向所述BSF服务器发送包括有RESP的认证响应消息;
所述BSF服务器验证通过所述认证响应消息后,根据获取自所述AUC的网关认证向量生成Ksp,并根据获取自所述AUC的节点密钥参数向量生成群组内各个节点的Ksi;为群组内各个节点生成对应的B-TIDi。
3.根据权利要求2所述的通用认证机制中的认证方法,其特征在于,所述群组网关分别向群组内各个节点下发对应的包括有网关认证向量中的随RAND和B-TIDi的参数传输消息,包括:
所述群组网关接收所述BSF服务器发送的包括有网关引导事务标识B-TIDp和群组内各个节点的B-TIDi的确认消息;
所述群组网关将包括所述RAND和B-TIDi的参数传输消息发送至对应的群组内各个节点。
4.根据权利要求3中所述的通用认证机制中的认证方法,其特征在于,
根据所述Ksi为群组内各个节点生成对应的B-TIDi,包括:
根据Ksi按照设定的节点排序生成群组内各个节点的B-TIDi;
所述群组网关将包括所述RAND和B-TIDi的参数传输消息发送至对应的群组内各个节点,包括:
按照设定的节点排序将包括所述RAND和B-TIDi的参数传输消息发送至群组内各个节点。
5.根据权利要求3中所述的通用认证机制中的认证方法,其特征在于,
根据所述Ksi为群组内各个节点生成对应的B-TIDi,包括:
根据所述确认消息中还包括,与所述B-TIDi对应的节点标识;所述节点标识用于标识群组内各个节点。
所述群组网关将包括所述RAND和B-TIDi的参数传输消息发送至对应的群组内各个节点为:
将所述B-TIDi的参数传输消息发送至与所述节点标识对应的群组内各个节点。
6.根据权利要求5所述的通用认证机制中的认证方法,其特征在于,分段传输所述认证向量响应消息。
7.根据权利要求1所述的通用认证机制中的认证方法,其特征在于,所述组内双向认证包括:
基于预共享密钥PSK认证方法。
8.根据权利要求1所述的通用认证机制中的认证方法,其特征在于,所述组内双向认证包括:
基于公共密钥架构PKI认证方法。
9.根据权利要求1所述的通用认证机制中的认证方法,其特征在于,
所述群组标识记录于所述群组网关(U)SIM卡、群组内各个节点(U)SIM卡和所述AUC中的签约信息中。
10.根据权利要求1所述的通用认证机制中的认证方法,其特征在于,所述群组标识包括:
群组网关的网关业务层标识IMPIp。
11.根据权利要求1所述的通用认证机制中的认证方法,其特征在于,所述所群组内的各个节点的节点标识包括:
所述群组标识和节点业务层标识IMPIi。
12.根据权利要求1所述通用认证机制中的认证方法,其特征在于,当所述组内双向认证由群组内的节点发起时,群组网关对所述发起组内双向认证的节点进行双向认证后,再对群组内其他节点进行双向认证。
13.根据权利要求1所述通用认证机制中的认证方法,其特征在于,还包括业务密钥协商:
所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成节点业务密Ks_NAFi后向所述群组网关发送;所述节点请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
根据所述节点应用请求消息中的B-TIDi,所述NAF业务服务器获取相应节点的Ks_NAFi及上下文信息并向所述群组网关发送节点应用应答消息;
所述群组网关向所述群组内节点转发所述节点应用应答消息。
14.根据权利要求1所述通用认证机制中的认证方法,其特征在于,还包括业务密钥协商,步骤如下:
所述群组网关根据Ksp生成网关业务密钥Ks_NAFp后向所述NAF业务服务器发送网关应用请求消息;
根据所述网关应用请求消息,所述NAF业务服务器向BSF服务器发送包括B-TIDp和NAF业务服务器标识NAF-hostname的认证请求消息,在获取所述BSF服务器返回的认证应答消息后,所述NAF业务服务器存储所述群组网关的Ks_NAFp及上下文信息,以及群组内各个节点的Ks_NAFi、B-TIDi和上下文信息,并向所述群组网关发送网关应用应答消息;
在所述群组网关与所述NAF业务服务器完成业务密钥协商后,所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成Ks_NAFi后,向所述群组网关发送;所述节点应用请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
所述NAF业务服务器根据所述节点应用请求消息中的B-TIDi查找对应的Ks_NAFi及上下文信息并向所述群组网关返回节点应用应答消息;
所述群组网关向所述群组内节点转发所述节点应用应答消息。
15.一种基于通用认证机制的认证方法,其特征在于,在通用认证机制GBA认证初始化时,包括步骤:
群组网关与群组内各个节点进行组内双向认证,使群组网关与群组内各个节点相互认可对方身份的有效性;
所述群组网关向网络应用功能NAF业务服务器请求接入后,与所述NAF业务服务器进行组外双向认证;
所述组外双向认证包括:
所述群组网关被所述NAF业务服务器的NAF引导,获准进行基于GBA认证之后,所述群组网关向BSF服务器发送包括有群组标识的初始获取请求消息;
所述BSF服务器根据所述群组标识向认证中心AUC获取网关认证向量和群组内各个节点的节点认证向量,以网关认证向量中的随机数、网关的用户名和口令为参数生成网关业务根密钥Ksp,以所述随机数、群组中各个节点各自的用户名和口令为参数生成对应的节点业务根密钥Ksi;生成网关引导事务标识B-TIDp和群组内各个节点的节点引导事务标识B-TIDi;
所述群组网关以所述随机数、网关用户名和口令为参数生成认证响应参数以及Ksp,并分别向群组内各个节点下发对应的包括有所述随机数和所述B-TIDi的参数传输消息;
群组内各个节点存储所述B-TIDi,并以所述随机数和群组内各个节点的用户名和口令为参数在本地生成节点业务根密钥Ksi。
16.根据权利要求15所述通用认证机制中的认证方法,其特征在于,所述BSF服务器根据所述群组标识向认证中心AUC获取网关认证向量和群组内各个节点的节点认证向量,以网关认证向量中的随机数、网关的用户名和口令为参数生成网关业务根密钥Ksp,以所述随机数、群组中各个节点各自的用户名和口令为参数生成对应的节点业务根密钥Ksi;生成网关引导事务标识B-TIDp和群组内各个节点的节点引导事务标识B-TIDi;和,
所述群组网关以所述随机数、网关用户名和口令为参数生成认证响应参数以及Ksp,并分别向群组内各个节点下发对应的包括有所述随机数和所述B-TIDi的参数传输消息,具体包括步骤:
所述BSF服务器向所述AUC发送认证向量请求消息,所述认证向量请求消息请求包括有所述业务层群组标识;
所述AUC根据所述业务层群组标识获取群组网关信息并生成网关认证向量SD-AVp;根据所述业务层群组标识获取群组中各个节点的节点信息,并生成节点认证向量SD-AVi后,向所述BSF服务器发送认证向量响应消息;
所述BSF服务器获取所述认证向量响应消息中的所述网关认证向量和群组内各个节点的节点认证向量,并向所述群组网关发送包括有随机数的认证消息;
所述群组网关接收所述认证消息后,以随机数、网关用户名和口令为参数生成认证响应参数以及Ksp,并向所述BSF服务器返回包括有认证响应参数RESP的认证响应消息;
所述BSF服务器验证通过所述认证响应消息后,以随机数、网关用户名和口令为参数生成Ksp,并生成B-TIDp、并以随机数、节点用户名和口令为参数生成群组中各个节点的Ksi,并生成其对应的B-TIDi;并向所述群组网关发送包括有B-TIDp和群组中各个节点的B-TIDi。
17.根据权利要求15所述通用认证机制中的认证方法,其特征在于,所述群组标识包括:
群组网关的网关用户名。
18.根据权利要求15所述的通用认证机制中的认证方法,其特征在于,所述所群组内的各个节点的节点标识包括:
所述群组标识和节点用户名。
19.根据权利要求15所述通用认证机制中的认证方法,其特征在于,还包括业务密钥协商:
所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成节点业务密钥Ks_NAFi后向所述群组网关发送;所述节点请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
根据所述节点应用请求消息,所述NAF业务服务器向BSF服务器发送认证请求消息,在获取所述BSF服务器返回的认证应答消息后,存储所述群组内节点的Ks_NAFi及上下文信息并向所述群组网关发送节点应用应答消息;所述认证请求消息包括B-TIDi和NAF业务服务器标识NAF-hostname;
所述群组网关向所述群组内节点转发所述节点应用应答消息。
20.根据权利要求15所述通用认证机制中的认证方法,其特征在于,还包括业务密钥协商:
所述群组网关根据Ksp生成Ks_NAFp后向所述NAF业务服务器发送网关应用请求消息;所述网关应用请求消息包括B-TIDp以及网关消息信息msg;
根据所述网关应用请求消息,所述NAF业务服务器向BSF服务器发送包括B-TIDp和NAF-hostname的认证请求消息,在获取所述BSF服务器返回的认证应答消息后,所述NAF业务服务器存储所述群组网关的Ks_NAFp及上下文信息,以及群组内各个节点的Ks_NAFi、B-TIDi和上下文信息,并向所述群组网关发送网关应用应答消息;
在所述群组网关与所述NAF业务服务器完成业务密钥协商后,所述群组网关向所述NAF业务服务器转发群组内节点的节点应用请求消息;所述节点应用请求消息由群组内节点根据Ksi生成Ks_NAFi后,向所述群组网关发送;所述节点应用请求消息中包括与应用相关的特定消息集msg信息和B-TIDi;
所述NAF业务服务器根据所述节点应用请求消息中的B-TIDi查找对应的Ks_NAFi及上下文信息并向所述群组网关返回节点应用应答消息;
所述群组网关向所述群组内节点转发所述节点应用应答消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210401696.XA CN103781026B (zh) | 2012-10-19 | 2012-10-19 | 通用认证机制的认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210401696.XA CN103781026B (zh) | 2012-10-19 | 2012-10-19 | 通用认证机制的认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103781026A true CN103781026A (zh) | 2014-05-07 |
CN103781026B CN103781026B (zh) | 2017-05-31 |
Family
ID=50572761
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210401696.XA Active CN103781026B (zh) | 2012-10-19 | 2012-10-19 | 通用认证机制的认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103781026B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685644A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 通信加密方法和装置、网关、服务器、智能终端和系统 |
CN108353259A (zh) * | 2015-11-24 | 2018-07-31 | 瑞典爱立信有限公司 | 对于匿名化的网络服务利用的计费记录鉴别 |
CN109962924A (zh) * | 2019-04-04 | 2019-07-02 | 北京思源互联科技有限公司 | 群聊构建方法、群消息发送方法、群消息接收方法及系统 |
CN110419193A (zh) * | 2017-10-26 | 2019-11-05 | 顺天乡大学校产学协力团 | 用于安全智能家居环境的基于ksi的认证和通信方法及其系统 |
CN110519300A (zh) * | 2019-09-24 | 2019-11-29 | 杭州字节信息技术有限公司 | 基于口令双向认证的客户端密钥安全存储方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102238146B (zh) * | 2010-04-27 | 2014-10-08 | 中国移动通信集团公司 | 认证方法、装置、认证中心及系统 |
CN102137397B (zh) * | 2011-03-10 | 2014-04-02 | 西安电子科技大学 | 机器类型通信中基于共享群密钥的认证方法 |
-
2012
- 2012-10-19 CN CN201210401696.XA patent/CN103781026B/zh active Active
Non-Patent Citations (1)
Title |
---|
3GPP: "《3GPP TS 33.220 V11.4.0 (2012-09)》", 19 September 2012 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106685644A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 通信加密方法和装置、网关、服务器、智能终端和系统 |
CN108353259A (zh) * | 2015-11-24 | 2018-07-31 | 瑞典爱立信有限公司 | 对于匿名化的网络服务利用的计费记录鉴别 |
CN108353259B (zh) * | 2015-11-24 | 2021-02-02 | 瑞典爱立信有限公司 | 对匿名化网络服务利用进行计费记录鉴别的方法和装置 |
CN110419193A (zh) * | 2017-10-26 | 2019-11-05 | 顺天乡大学校产学协力团 | 用于安全智能家居环境的基于ksi的认证和通信方法及其系统 |
CN109962924A (zh) * | 2019-04-04 | 2019-07-02 | 北京思源互联科技有限公司 | 群聊构建方法、群消息发送方法、群消息接收方法及系统 |
CN109962924B (zh) * | 2019-04-04 | 2021-07-16 | 北京思源理想控股集团有限公司 | 群聊构建方法、群消息发送方法、群消息接收方法及系统 |
CN110519300A (zh) * | 2019-09-24 | 2019-11-29 | 杭州字节信息技术有限公司 | 基于口令双向认证的客户端密钥安全存储方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103781026B (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112073379B (zh) | 一种基于边缘计算的轻量级物联网安全密钥协商方法 | |
Guo et al. | Blockchain meets edge computing: A distributed and trusted authentication system | |
US9467432B2 (en) | Method and device for generating local interface key | |
CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
CN101156352B (zh) | 基于移动网络端到端通信的认证方法、系统及认证中心 | |
CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
CN113783836A (zh) | 基于区块链和ibe算法的物联网数据访问控制方法及系统 | |
Ha et al. | Efficient authentication of resource-constrained IoT devices based on ECQV implicit certificates and datagram transport layer security protocol | |
US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
US20230089134A1 (en) | Data communication method and apparatus, computer device, and storage medium | |
CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
CN113055363A (zh) | 一种基于区块链信任机制的标识解析系统实现方法 | |
US11367065B1 (en) | Distributed ledger system for electronic transactions | |
CN101426190A (zh) | 一种服务访问认证方法和系统 | |
CN103781026A (zh) | 通用认证机制的认证方法 | |
AU2020102146A4 (en) | Defence method to avoid automated attacks in iot networks using physical unclonable function (puf) based mutual authentication protocol | |
CN110247803A (zh) | 一种针对网络管理协议SNMPv3的协议优化架构及其方法 | |
Srikanth et al. | An efficient Key Agreement and Authentication Scheme (KAAS) with enhanced security control for IIoT systems | |
CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
Weng et al. | A lightweight anonymous authentication and secure communication scheme for fog computing services | |
Erroutbi et al. | Secure and lightweight HMAC mutual authentication protocol for communication between IoT devices and fog nodes | |
CN102209066B (zh) | 网络认证的方法和设备 | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |