WO2012000313A1

WO2012000313A1 - 一种家庭网关认证方法和系统

Info

Publication number: WO2012000313A1
Application number: PCT/CN2011/070535
Authority: WO
Inventors: 祝文军; 杨永明; 陆春君
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-06-28
Filing date: 2011-01-24
Publication date: 2012-01-05
Also published as: CN101909052A

Abstract

本发明公开了一种家庭网关认证方法和系统，其中方法包括步骤：家庭网关管理平台对家庭网关进行通用认证机制GBA认证，家庭网关计算出BSF与家庭网关之间的共享认证密钥Ks；家庭网关根据共享认证密钥Ks向家庭网关管理平台发起HTTPDigest认证；如果认证通过，则家庭网关管理平台允许家庭网关的接入，否则拒绝家庭网关的接入。与现有技术相比，本实施例通过将GBA认证和HTTPDigset认证应用到家庭网关中，使用GBA认证和HTTPDigset认证对家庭网关进行合法性认证，防止非法用户对管理平台的恶意攻击和非被管设备的接入，提高了系统的安全性。

Description

一种家庭网关认证方法和系统技术领域

本发明属于通信技术领域，具体涉及一种家庭网关认证方法和系统。背景技术

随着第三代移动通信（3G )技术发展和众多业务的开展，运营商和用户都需要可靠的认证机制来保证合法业务的正常使用以及正确的计费。

尤其是在 3G业务中，无线网络带宽快速提升，在无线网络上为用户提供除语音、短信等基础业务外的数据、家庭影院等对带宽具有更高要求的业务成为可能。移动运营商也在积极发展这些业务。基于广域网管理协议 ( tr069 ) 的家庭网关就是作为提供这些业务功能的一种关键设备。市场上有很多基于 tr069协议的终端设备，如何安全、有效的管理这些设备成为运营商关注的问题。发明内容

有鉴于此，本发明的主要目的是提供一种家庭网关认证方法和系统，防止非法用户对家庭网关管理平台的恶意攻击和非被管终端设备的接入，提高系统的安全性。

为解决上述技术问题，本发明釆用了以下技术方案：

一种家庭网关认证方法，包括步骤：家庭网关通过家庭网关管理平台的通用引导框架 GBA认证后，家庭网关计算出引导服务功能实体 BSF与家庭网关之间的共享认证密钥；家庭网关根据共享认证密钥向家庭网关管理平台进行 HTTP摘要 HTTPDigest认证；如果认证通过，则家庭网关管理平台允许家庭网关的接入，否则拒绝家庭网关的接入。所述 GBA认证具体包括步骤：家庭网关获取 BSF地址，然后向 BSF 发送引导注册请求； BSF计算出鉴权元组 AV, 返回引导注册应答消息给家庭网关，所述引导注册应答消息包括 AV向量中的随机数；家庭网关根据所述随机数计算认证应答 RES, 向 BSF发送引导授权请求； BSF向家庭网关返回引导授权应答消息，家庭网关计算 BSF与家庭网关之间的共享认证密钥。

所述家庭网关获取 BSF地址具体包括步骤：家庭网关向无线应用协议 WAP网关发送引导创建请求，所述引导创建请求中包括国际移动设备身份码 IMSI和国际移动用户识别码 IMEI, WAP 网关匹配移动用户国际号码 MSISDN后，把设备标识转发给家庭网关管理平台；家庭网关管理平台向 WAP网关返回引导创建应答消息，所述引导创建应答消息中包括 IP多媒体子系统私有密钥 IMPI和 BSF地址； WAP网关将 IMPI和 BSF地址发送给家庭网关。

所述家庭网关管理平台向 WAP网关返回引导创建应答消息之前，还进一步包括步骤：家庭网关管理平台判断家庭网关是否订购业务；如果没有订购，则返回鉴权失败信息给 WAP 网关， WAP 网关返回鉴权失败信息给家庭网关，当前流程结束；如果有订购，则家庭网关管理平台向 WAP网关返回引导创建应答消息。

所述 HTTPDigest认证具体包括步骤：家庭网关判断自身是否已经有共享认证密钥，如果查找到，则将共享认证密钥发送给家庭网关管理平台进行 HTTPDigest认证；如果没有查找到，则家庭网关请求家庭网关管理平台进行 GBA认证。

所述将共享认证密钥发送给家庭网关管理平台进行 HTTPDigest认证之前，还包括步骤：家庭网关向家庭网关管理平台发送 HTTPDigest— Retrieve— Authorization— Request请求，其中包括引导事物标识 B-TID、 IMSI和 IMEI; 家庭网关管理平台根据 B-TID和 NAF-ID向 BSF发送 Authentication. REQ , BSF向家庭网关管理平台返回 Authentication应答消息，其中包括共享认证密钥和共享认证密钥的生命周期。

如果 BSF返回共享认证密钥，则进一步包括：家庭网关管理平台向家庭网关返回 HTTPDigest— Retrieve— Authorization应答消息，其中包括 NAF-ID 和 IMPI , 家庭网关根据 NAF-ID和 IMPI计算 HTTPDigest认证。

所述家庭网关判断自身是否已经有共享认证密钥之前，还包括步骤：家庭网关向家庭网关管理平台发送 HTTPDigest请求，家庭网关管理平台生成随机数，家庭网关管理平台向家庭网关返回 Authorization信息，其中包括随机数、算法参数和保护的质量参数；所述将共享认证密钥发送给家庭网关管理平台，进一步包括：基于随机数、算法参数和保护的质量参数进行 MD5力口密。

一种家庭网关认证系统，包括家庭网关、家庭网关管理平台和 BSF, 家庭网关与家庭网关管理平台连接，家庭网关管理平台与 BSF连接，所述家庭网关管理平台用于根据 BSF提供的共享认证密钥对家庭网关进行 GBA 认证和 HTTPDigest认证，如果通过 GBA认证和 HTTPDigest认证，则允许家庭网关的接入，否则拒绝家庭网关的接入。

与现有技术相比，本实施例通过将 GBA认证和 HTTPDigest认证应用到家庭网关中，使用 GBA认证和 HTTPDigest认证对家庭网关进行合法性认证，防止非法用户对家庭网关管理平台的恶意攻击和非被管设备的接入，提高了系统的安全性。附图说明

图 1为本发明实施例公开的一种家庭网关认证方法流程示意图；图 2为本发明实施例公开的一种家庭网关 GBA认证方法流程示意图；图 3为本发明实施例公开的一种家庭网关 HTTPDigest认证方法流程示意图；

图 4为本发明实施例公开的一种家庭网关认证系统结构示意图。具体实施方式

下面通过具体实施方式结合附图对本发明作进一步详细说明。

本发明的主旨是家庭网关接入家庭网关管理平台之前先经过 GBA ( General Bootstrapping Architecture , 通用引导框架 ) 认证, 再经过

HTTPDigest ( HyperText Transfer Protocol Digest, 超文本传输协议摘要）认证，防止非法用户对家庭网关管理平台的恶意攻击和非被管设备的接入，提高了系统的安全性。

请参阅图 1所示，一种家庭网关认证方法，包括步骤：

步骤 101 :家庭网关管理平台对家庭网关进行通用认证机制 GBA认证，家庭网关计算出 BSF ( Bootstrapping Server Function, 引导服务功能实体）与家庭网关之间的共享认证密钥 Ks。

步骤 102: 家庭网关根据共享认证密钥 Ks, 向家庭网关管理平台发起

HTTPDigest认证。

步骤 103: 如果认证通过，则进入步骤 104, 否则，进入步骤 105。步骤 104: 家庭网关管理平台允许家庭网关的接入。

步骤 105: 家庭网关管理平台拒绝家庭网关的接入。

请参阅图 2所示，图 2为 GBA认证的流程图，包括如下步骤：步骤 201：家庭网关上电后，基于具体网络向 WAP( Wireless Application

Protocol , 无线应用协议）网关发送引导创建请求 ( Bootstrapping— Initiation.REQ ) , 该 Bootstrapping— Initiation.REQ 中包括

IMEI( International Mobile Equipment Identity,国际移动设备身份码）和 IMSI ( International Mobile Subscriber Identity , 国际移动用户识别码）等信息。

步骤 202: WAP网关收到 Bootstrapping— Initiation.REQ后，基于 IMEI 和 IMSI在存储信息中匹配得到 MSISDN ( Mobile Station ISDN Number, 移动用户国际号码）后，把包括 IMEI、 IMSI和 MSISDN的设备标识转发给家庭网关管理平台。

步骤 203:家庭网关管理平台基于存储的设备标识判断用户是否订购业务，如果没有订购，则进入步骤 204-步骤 205 , 如果已经订购，则进入步骤 206。

步骤 204: 家庭网关管理平台返回鉴权失败信息给 WAP网关。

步骤 205: WAP网关返回鉴权失败信息给家庭网关，当前流程结束。步骤 206 : 家庭网关管理平台向 WAP 网关返回引导创建应答消息 ( Bootstrapping— Initiation.RES ),该 Bootstrapping— Initiation.RES中包括 IMPI ( IMS Private Identity, IP多媒体子系统私有密钥）和 BSF地址。

步骤 207 : WAP 网关收到 Bootstrapping— Initiation.RES 后，返回 Bootstrapping— Initiation.RES给家庭网关。

步骤 208: 家庭网关收到 Bootstrapping— Initiation.RES后，根据 BSF地址，向 BSF发送引导注册请求（Bootstrapping_Register.REQ )。

步骤 209: BSF收到 Bootstrapping— Register.REQ后，向 HLR ( Home Location Register, 归属位置寄存器）请求 AV ( Authentication Vector, 鉴权元组）， HLR执行 3元 AV运算，生成 AV向量 (RAND, SRES, Kc)。

步骤 210： BSF 向家庭网关返回引导注册应答消息 ( Bootstrapping Register.RES ),该 Bootstrapping Register.RES包括 AV向量信息。

步骤 211 : 家庭网关根据计算 RES , 具体的根据公式 KDF(key, "3gpp-gba-res", SRES) 计算。其中 key = Kc || Kc || RAND, (具体参见 3GPP TS33.220-740 )。

步骤 212 ：家庭网关向 BSF 发送引导授权请求 ( Bootstrapping— Authorization.REQ ) , 该 Bootstrapping— Authorization.REQ 中包括 RES。

步骤 213: BSF收到 Bootstrapping— Authorization.REQ后，进行鉴权，判断家庭网关发送的 RES与 BSF生成的 RES是否相等，如果相等，则鉴权成功，生成 Ks 和 B-TID。其中 Ks根据公式 Ks=KDF (key, Ks-input, "3gpp-gba-ks", SRES)计算， Ks-input是 BSF生成的一个 128位随机数。具体参见 3GPP TS33.220-740。 BSF 向家庭网关返回引导授权应答消息 ( Bootstrapping— Authorization.RES ),该 Bootstrapping— Authorization.RES中包括 B-TID ( Bootstrapping Transaction Identifier, 引导事物标识）、 Ks的生命周期。

步骤 214: 家庭网关计算 BSF与家庭网关之间的共享认证密钥 Ks。其中 Ks根据公式 Ks=KDF (key, Ks-input, "3gpp-gba-ks", SRES)计算， Ks-input 是 BSF生成的一个 128位随机数，由 BSF返回的 nonce里获取，通过对 nonce 的 base64解密取第 17-32字节。具体参见 3GPP TS33.220-740。

GBA认证流程结束。

本实施例中，家庭网关 GBA认证流程结束或者家庭网关发起管理要求时需要进行 HTTPDigest认证。

请参阅图 3所示，图 3为 HTTPDigest认证的流程图，包括如下步骤：步骤 301 : 家庭网关向家庭网关管理平台发送 HTTPDigest请求。

步骤 302: 家庭网关管理平台收到 HTTPDigest请求后，产生随机数 nounce„

步骤 303：家庭网关管理平台向家庭网关返回鉴权信息 ( Authorization. Info )消息 ,该 Authorization. Info消息中包括随机数 nounce、算法参数 algorithm和保护的质量参数 qop , 以上信息用于家庭网关进行 MD5力口密。步骤 304: 家庭网关查找与 NAF ( Network Application Function, 网络业务应用功能实体）之间的共享认证密钥 Ks, 如果找到，则进入步骤 305。如果没有找到，则进入步骤 201。由于 BSF上可以提供^多业务应用，因此，家庭网关与家庭网关管理平台之间的共享认证密钥即为家庭网关与 BSF之间的共享认证密钥。

步骤 305 : 家庭网关向家庭网关管理平台发送 HTTPDigest— Retrieve— Authorization— Request , 该

HTTPDigest— Retrieve— Authorization— Request中包括 B-TID、 IMSI和 IMEI 等信息。

步骤 306 ：家庭网关管理平台收到

HTTPDigest— Retrieve— Authorization— Request后，才艮据 B-TID和 NAF-ID( NAF 标识）向 BSF发送 Authentication请求（ Authentication. REQ )。所述 NAF-ID 是由 BSF生成用来鉴权家庭网关管理平台的标识。

步骤 307: BSF收到 Authentication.REQ后，根据 B-TID和 NAF-ID向家庭网关管理平台返回 Authentication应答消息，该 Authentication应答消息中包括：共享认证密钥 Ks— ext— NAF、 Ks— int— NAF、以及 Ks的生命周期，或者错误信息。如果 BSF返回错误信息，则家庭网关管理平台执行步骤 308; 否则执行步骤 309。

步骤 308: 家庭网关管理平台向家庭网关返回 HTTPDigest应答消息，具体可以为 HTTP 401鉴权失败， HTTPDigest流程结束。

步骤 309 : 家庭网关管理平台向家庭网关返回 HTTPDigest— Retrieve— Authorization 应答消息，该 HTTPDigest— Retrieve— Authorization应答消息中包括 NAF-ID和 IMPI。

步骤 310: 家庭网关收到 HTTPDigest— Retrieve— Authorization应答消息后，基于 NAF-ID和 IMPI计算 HTTPDigest认证，并基于随机数 nounce、算法参数 algorithm, 保护的质量参数 qop进行 MD5加密。

步骤 311 : 家庭网关向家庭网关管理平台发送 HTTPDigest 请求 ( HTTPDigest.REQ ), 该 HTTPDigest.REQ中包括加密后的 Ks。

步骤 312: 家庭网关管理平台收到 HTTPDigest.REQ后，基于家庭网关提供的 Ks和 BSF提供的 Ks— ext— NAF对家庭网关进行认证，并向家庭网关返回 HTTPDigest应答消息。

请参阅图 4所示，本实施例还公开了一种家庭网关认证系统，包括家庭网关 401、 WAP网关 402、家庭网关管理平台 403和 BSF 404, 所述家庭网关管理平台 403用于根据用户预定业务以及 BSF 404提供的共享认证密钥对家庭网关 401进行 GBA认证和 HTTPDigest认证，如果通过 GBA认证和 HTTPDigest认证，则允许家庭网关 401接入家庭网关管理平台 403。具体地，所述家庭网关管理平台 403用于对家庭网关 401进行 GBA认证，家庭网关 401通过 GBA认证后，根据 BSF 404提供的共享认证密钥对家庭网关 401进行 HTTPDigest认证，如果通过 GBA认证和 HTTPDigest认证，则允许家庭网关 401接入家庭网关管理平台 403;家庭网关 401用于通过 GBA 认证后，生成与 BSF 404之间的共享认证密钥。

GBA 认证：家庭网关 401 基于具体网络向 WAP 网关 402 发送 Bootstrapping lnitiation.REQ , 该 Bootstrapping— Initiation. REQ中包括 IMEI 和 IMSI等信息 , WAP网关 402基于 IMEI和 IMSI在存储信息中匹配得到 MSISDN后， 4巴包括 IMEI、 IMSI和 MSISDN的设备标识转发给家庭网关管理平台 403 ;

家庭网关管理平台 403基于存储的设备标识判断用户是否订购业务，如果没有订购 , 则返回鉴权失败信息给 WAP网关 402, WAP网关 402返回鉴权失败信息给家庭网关 401 ,流程结束；如果有订购，则向 WAP网关 402 返回 Bootstrapping— Initiation.RES , 该 Bootstrapping— Initiation.RES 中包括 IMPI和 BSF地址， WAP网关 402返回 Bootstrapping— Initiation.RES给家庭网关 401 ;

家庭网关 401 才艮据 BSF 地址，向 BSF 404 发送 Bootstrapping— Register.REQ, BSF 404

Bootstrapping— Register.REQ后, 通过 HLR获得 AV向量， BSF 404返回 Bootstrapping— Register.RES给家庭网关 401 , 该 Bootstrapping— Register.RES中包括 AV向量信息中的 BAND, 还可以包括 AUTN。

家庭网关 401 根据 BAND 计算 RES , 向 BSF 404 发送 Bootstrapping_Authorization.REQ , BSF 404 收到 Bootstrapping— Authorization.REQ 后 , 进行鉴权 , ，然后返回 Bootstrapping— Authorization.RES , 该 Bootstrapping— Authorization.RES 中包括 B-TID、 Ks的生命周期。

家庭网关 401计算 BSF与家庭网关之间的共享认证密钥 Ks, GBA认证流程结束。

HttpDigest 认证：家庭网关 401 向家庭网关管理平台 403 发送

HTTPDigest请求，家庭网关管理平台 403收到 HTTPDigest请求后，产生随机数 nounce , 家庭网关管理平台 403 向家庭网关 401 返回 Authorization. Info消息,该 Authorization.Info消息中包括随机数 nounce、算法参数 algorithm和保护的质量参数 qop„

家庭网关 401查找与 NAF之间的 Ks ext NAF, 如果找到，则向家庭网关管理平台 403 发送 HTTPDigest— Retrieve— Authorization— Request , 该 HTTPDigest— Retrieve— Authorization— Request中包括 B-TID、 IMSI和 IMEI 等信息；如果没有找到，则向家庭网关管理平台 403发起 GBA认证。

家庭网关管理平台 403 根据 B-TID 和 NAF-ID 向 BSF 404 发送 Authentication请求， BSF 404收到 Authentication请求后，向家庭网关管理平台 403返回 Authentication应答消息，该 Authentication应答消息中包括：共享认证密钥 Ks— ext— NAF、 Ks— int— NAF、以及 Ks的生命周期，或者错误信息，如果 BSF 404返回错误信息，则家庭网关管理平台 403向家庭网关 401 返回 HTTPDigest 应答消息，具体可以为 HTTP 401 鉴权失败， HTTPDigest流程结束；如果 BSF 404返回共享认证密钥 Ks相关信息，则家庭网关管理平台 403 向家庭网关 401 返回 HTTPDigest— Retrieve— Authorization 应答消息，该 HTTPDigest— Retrieve— Authorization应答消息中包括 NAF-ID和 IMPI, 家庭网关 401收到 HTTPDigest— Retrieve— Authorization应答消息后，基于 NAF-ID 和 IMPI计算 HTTPDigest认证，向家庭网关管理平台 403发送 HTTPDigest 报告请求，家庭网关管理平台 403收到 HTTPDigest报告请求后，向家庭网关 401返回 HTTPDigest应答消息。

本实施例中，所述家庭网关和家庭网关管理平台之间的认证消息可以通过 MD5加密，能够增加系统的安全性。

本实施例通过家庭网关在第一次启动或上电后，主动发起认证流程。家庭网关管理平台根据用户预定业务以及 BSF提供的密钥对家庭网关进行合法性认证，防止非法用户对家庭网关管理平台的恶意攻击和非被管设备的接入，提高了系统的安全性。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims

权利要求书

1、一种家庭网关认证方法，其特征在于，包括步骤：

家庭网关通过家庭网关管理平台的通用引导框架 GBA认证后，家庭网关计算出引导服务功能实体 BSF与家庭网关之间的共享认证密钥；

家庭网关根据共享认证密钥向家庭网关管理平台进行 HTTP 摘要 HTTPDigest认证；

如果认证通过，则家庭网关管理平台允许家庭网关的接入，否则拒绝家庭网关的接入。

2、如权利要求 1所述的方法，其特征在于，所述 GBA认证具体包括步骤：

家庭网关获取 BSF地址，然后向 BSF发送引导注册请求；

BSF计算出鉴权元组 AV, 返回引导注册应答消息给家庭网关，所述引导注册应答消息包括 AV向量中的随机数；

家庭网关根据所述随机数计算认证应答 RES, 向 BSF发送引导授权请求；

BSF向家庭网关返回引导授权应答消息，家庭网关计算 BSF与家庭网关之间的共享认证密钥。

3、如权利要求 2所述的方法，其特征在于，所述家庭网关获取 BSF地址具体包括步骤：

家庭网关向无线应用协议 WAP网关发送引导创建请求，所述引导创建请求中包括国际移动设备身份码 IMSI和国际移动用户识别码 IMEI, WAP 网关匹配移动用户国际号码 MSISDN后，把设备标识转发给家庭网关管理平台；

家庭网关管理平台向 WAP网关返回引导创建应答消息，所述引导创建应答消息中包括 IP多媒体子系统私有密钥 IMPI和 BSF地址； WAP网关将 IMPI和 BSF地址发送给家庭网关。

4、如权利要求 3所述的方法，其特征在于，所述家庭网关管理平台向 WAP网关返回引导创建应答消息之前，还进一步包括步骤：

家庭网关管理平台判断家庭网关是否订购业务；

如果没有订购，则返回鉴权失败信息给 WAP 网关， WAP 网关返回鉴权失败信息给家庭网关，当前流程结束；

如果有订购 ,则家庭网关管理平台向 WAP网关返回引导创建应答消息。

5、如权利要求 1至 4任一项所述的方法，其特征在于，所述 HTTPDigest 认证具体包括步骤：

家庭网关判断自身是否已经有共享认证密钥，如果查找到，则将共享认证密钥发送给家庭网关管理平台进行 HTTPDigest认证；

如果没有查找到，则家庭网关请求家庭网关管理平台进行 GBA认证。

6、如权利要求 5所述的方法，其特征在于，所述将共享认证密钥发送给家庭网关管理平台进行 HTTPDigest认证之前，还包括步骤：

家庭网关向家庭网关管理平台发送 HTTPDigest— Retrieve— Authorization— Request请求，其中包括引导事物标识 B-TID、 IMSI和 IMEI;

家庭网关管理平台根据 B-TID和 NAF-ID向 BSF发送 Authentication. REQ , BSF向家庭网关管理平台返回 Authentication应答消息，其中包括共享认证密钥和共享认证密钥的生命周期。

7、如权利要求 6所述的方法，其特征在于，如果 BSF返回共享认证密钥，则进一步包括：家庭网关管理平台向家庭网关返回 HTTPDigest— Retrieve— Authorization应答消息，其中包括 NAF-ID和 IMPI , 家庭网关根据 NAF-ID和 IMPI计算 HTTPDigest认证。

8、如权利要求 5所述的方法，其特征在于，所述家庭网关判断自身是否已经有共享认证密钥之前，还包括步骤：

家庭网关向家庭网关管理平台发送 HTTPDigest请求，家庭网关管理平台生成随机数，家庭网关管理平台向家庭网关返回 Authorization信息，其中包括随机数、算法参数和保护的质量参数；

所述将共享认证密钥发送给家庭网关管理平台，进一步包括：基于随机数、算法参数和保护的质量参数进行 MD5加密。

9、一种家庭网关认证系统，其特征在于，包括家庭网关、家庭网关管理平台和 BSF, 家庭网关与家庭网关管理平台连接，家庭网关管理平台与 BSF连接，所述家庭网关管理平台用于根据 BSF提供的共享认证密钥对家庭网关进行 GBA 认证和 HTTPDigest 认证，如果通过 GBA 认证和 HTTPDigest认证，则允许家庭网关的接入，否则拒绝家庭网关的接入。

10、根据权利要求 9所述的系统，其特征在于，所述家庭网关管理平台进行 GBA认证具体为：

家庭网关管理平台将 BSF地址发送给家庭网关，家庭网关根据 BSF地址向 BSF发送引导注册请求；

BSF计算出 AV, 返回引导注册应答消息给家庭网关；

家庭网关计算 RES , 向 BSF发送引导授权请求；

11、根据权利要求 10所述的系统，其特征在于，所述系统还包括 WAP 网关，

家庭网关向 WAP 网关发送引导创建请求，所述引导创建请求中包括 IMSI和 IMEI , WAP网关匹配 MSISDN后，把设备标识转发给家庭网关管理平台；

家庭网关管理平台向 WAP网关返回引导创建应答消息，所述引导创建应答消息中包括 IMPI和 BSF地址；

WAP网关将 IMPI和 BSF地址发送给家庭网关。

12、根据权利要求 9所述的系统，其特征在于，所述家庭网关还进一步用于：通过 GBA认证后，判断自己是否已经有与网络业务应用功能实体之间的共享认证密钥，如果有将共享认证密钥发送给家庭网关管理平台进行 HTTPDigest认证。

13、根据权利要求 12所述的系统，其特征在于，所述家庭网关，还用于：将 B-TID、 IMSI和 IMEI发送给家庭网关管理平台，家庭网关管理平台通过 B-TID和 NAF-ID向 BSF发送 Authentication请求， BSF向家庭网关管理平台返回 Authentication应答消息，其中包括共享认证密钥和共享认证密钥的生命周期。

14、根据权利要求 13所述的系统，其特征在于，所述家庭网关还用于：如果 BSF 返回共享认证密钥，则向家庭网关返回 HTTPDigest— Retrieve— Authorization应答消息，其中包括 NAF-ID和 IMPI , 家庭网关根据 NAF-ID和 IMPI计算 HTTPDigest认证。

15、根据权利要求 11至 13任一项所述的系统，其特征在于，所述家庭网关管理平台还用于：接收到家庭网关的 HTTPDigest请求后，生成随机参数，家庭网关管理平台向家庭网关返回 Authorization信息，其中包括随机数、算法参数和保护的质量参数。