WO2021258922A1

WO2021258922A1 - 引导认证方法、系统、电子设备和可读存储介质

Info

Publication number: WO2021258922A1
Application number: PCT/CN2021/094396
Authority: WO
Inventors: 刘小军; 刘建华
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-06-23
Filing date: 2021-05-18
Publication date: 2021-12-30
Also published as: CN113840283A

Abstract

本申请实施例涉及通讯技术领域，公开了一种引导认证方法、系统、电子设备和可读存储介质。本申请中，上述引导认证方法包括：接收网络应用功能/认证代理NAF/AP网元发送的响应信息；若从所述响应信息中识别出预设的第一标识，且确定UE本地存储有引导事务标识B-TID，根据所述B-TID与所述NAF/AP网元进行双向认证；其中；所述第一标识为所述NAF/AP网元确定要执行业务挑战时，在所述响应信息中携带的标识。

Description

引导认证方法、系统、电子设备和可读存储介质

相关申请的交叉引用

本申请基于申请号为202010580221.6、申请日为2020年6月23日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此以引入方式并入本申请。

技术领域

本申请涉及通讯技术领域，特别涉及一种引导认证方法、系统、电子设备和可读存储介质。

背景技术

通用引导架构(Generic Bootstrapping Architecture，简称：GBA)是第三代合作伙伴计划(The Third Generation Partnership Project，简称：3GPP)定义的一种通用引导架构。随着众多通信业务的开展，运营商和用户都需要可靠的认证机制来保证业务的合法使用。尤其是在3G/4G业务中，很多应用都需要用户设备(User Equipment，简称：UE)和应用服务器(Application Server，简称：AS)之间进行交互，如业务激活、业务设置、业务访问等。为了保证业务应用的安全性，就要求在UE和AS之间进行双向认证。如果UE和AS直接交互，存在两个严重问题：UE和每个AS之间都要进行独立的认证，包括认证机制的协商、密钥的管理；UE每次登陆不同的AS，都需要输入密钥，用户体验差。因此3GPP标准组织提出了通用认证架构的概念，其中GBA就是一种基于共享密钥的通用认证架构。GBA使用第三代移动通讯网络的认证与密钥协商协议(Authentication and Key Agreement,简称：AKA)为UE和网络之间提供一种密钥共享、相互认证和业务保护的机制，具有较高的安全性和通用性。

发明内容

本申请实施例的主要目的在于提出一种引导认证方法、系统、电子设备和可读存储介质，可以有效的减少UE与BSF网元之间的信令交互，降低引起网络风暴的风险，提高GBA网络的可靠性。

本申请实施例提供了一种引导认证方法，应用于用户设备UE，包括：接收网络应用功能/认证代理NAF/AP网元发送的响应信息；若从所述响应信息中识别出预设的第一标识，且确定UE本地存储有引导事务标识B-TID，根据所述B-TID与所述NAF/AP网元进行双向认证；其中，所述第一标识为所述NAF/AP网元确定要执行业务挑战时，在所述响应信息中携带的标识。

本申请实施例提供了一种引导认证方法，应用于网络应用功能/认证代理NAF/AP网元，包括：若确定要执行业务挑战，向用户设备UE发送携带预设的第一标识的响应信息，以供所述UE在识别出所述第一标识且确定所述UE本地存储有引导事务标识B-TID时，根据所述B-TID与所述NAF/AP网元进行双向认证。

本申请实施例提供了一种引导认证系统，包括：网络应用功能/认证代理NAF/AP网元和用户设备UE；所述NAF/AP网元，用于若确定要执行业务挑战，向用户设备UE发送携带预设的第一标识的响应信息；所述UE，用于接收所述NAF/AP网元发送的响应信息，若从所述响应信息中识别出所述第一标识，且确定UE本地存储有引导事务标识B-TID，根据所述B-TID与所述NAF/AP网元进行双向认证。

本申请实施例提供了一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，当所述电子设备为网络应用功能/认证代理网元，所述至少一个处理器能够执行如上述的应用于NAF/AP网元的引导认证方法；当所述电子设备为用户设备，所述至少一个处理器能够执行如上述的应用于UE的引导认证方法。

本申请实施例提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现上述的应用于NAF/AP网元的引导认证方法，或者实现上述的应用于UE的引导认证方法。

附图说明

图1是本申请第一实施例提到的GBA架构的示意图；

图2是本申请第一实施例提到的在一些情形中，GBA典型业务流程图；

图3是本申请第一实施例提到的在一些情形中，GBA重引导业务流程；

图4是本申请第一实施例提到的在一些情形中，多NAF/AP网元的应用场景下可能发生频繁重引导，引起网络风暴的业务流程图；

图5是本申请第一实施例提到的引导认证方法的流程图；

图6是本申请第一实施例提到的UE收到携带第一标识的响应信息的业务流程图；

图7是本申请第一实施例提到的UE收到携带第二标识的响应信息的业务流程图；

图8是本申请第二实施例提到的UE根据B-TID与NAF/AP网元进行双向认证的过程的示意图；

图9是本申请第二实施例提到的UE访问多个NAF/AP网元的流程图；

图10是本申请第三实施例提到的引导认证方法的流程图；

图11是本申请第四实施例提到的在一些情形中针对容灾场景，设计的GBA组网示意图；

图12是本申请第四实施例提到的在一些情形中的容灾流程图；

图13是本申请第四实施例提到的备份容灾数据的流程图；

图14是本申请第四实施例提到的刷新引导认证的流程图；

图15是本申请第四实施例提到的从检测到BSF网元故障到通过可接管BSF网元下载容灾数据的业务流程图；

图16是本申请第五实施例提到的引导认证系统的示意图；

图17是本申请第六实施例提到的电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本申请各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便，不应对本申请的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合相互引用。

本申请的第一实施例涉及一种引导认证方法，应用于用户设备UE，UE分布在GBA架构中。为便于理解，下面首先对GBA架构进行简单说明：

在一个例子中，GBA架构的示意图可以参考图1，GBA架构中的逻辑实体可以包括：引导服务功能(Bootstrapping Server Function，简称：BSF)网元、网络应用功能(Network Application Function，简称：NAF)/认证代理(Authentication Proxy，简称：AP)网元(即NAF/AP网元)、用户归属网络服务器(Home Subscribe Server，简称：HSS)、用户设备(User Equipment，简称：UE)等。各逻辑实体的功能可以如下：

BSF网元，处于用户的归属网络，BSF网元通过Zh接口从HSS获得GBA的用户安全设置和AKA认证向量，并完成对UE的认证，建立共享密钥Ks。

NAF网元，相当于应用服务器AS，NAF网元收到UE的业务请求后，可以通过Zn接口从BSF网元获取UE和BSF网元引导认证过程中协商的密钥信息，并完成对UE的认证。

AP网元，一般部署在UE和AS之间。AP网元可以代理AS完成对UE的认证，然后AP网元可以将UE的业务请求转发至AS，由AS处理业务请求。

HSS，用户安全设置、私有用户标识、认证向量都存储在HSS中，HSS支持通过Zh接口，给BSF网元返回认证向量。

UE，UE支持AKA协议/超文本传输摘要式协议(Hyper Text Transfer Protocol,简称：HTTP)Digest协议，并且能够与BSF网元双向认证产生Ks，进而根据Ks，产生衍生密钥Ks_NAF，该衍生密钥可以用于UE和NAF/AP之间所进行的双向认证。

发明人发现：目前，GBA典型业务流程中，网络应用功能/认证代理(Network Application Function/Authentication Proxy，简称：NAF/AP)网元发起挑战响应和发起重引导响应,在协议中是同一个响应消息(401响应)，因此UE只要收到401响应，都会立即发起四步引导流程，即引导服务功能(Bootstrapping Server Function，简称：BSF)与UE之间的引导认证流程。在多NAF/AP应用场景下可能发生频繁重引导，导致信令骤增，容易引起网络风暴，GBA网络的可靠性较低。

本申请申请人通过对一些情形中GBA典型业务流程进行分析，发现GBA典型业务流程中NAF/AP发起业务挑战(图2的步骤1-2)和NAF/AP发起重引导(图3的步骤3-4)在协议中是同一个响应消息(401 Unauthorized，未经授权)，信令一模一样，无法进行区分。因此UE只要收到401响应，无法区分是挑战还是重引导，都需要立即发起四步引导流程。在多NAF/AP应用场景下(图4)可能发生频繁重引导，引起网络风暴。下面对本段所提到的图2、图3、图4进行简单说明：

图2为在一些情形中，GBA典型业务流程图，包括：

步骤1-1～1-2，UE发送初次业务请求(HTTP GET,无B-TID)到NAF/AP网元，NAF/AP 网元向UE发起业务挑战。

步骤1-3～1-9，UE收到NAF/AP网元发起的业务挑战后执行四步引导流程(即引导发起、引导挑战、引导挑战响应、引导成功)。步骤1-3～1-9具体如下：

步骤1-3，UE向BSF网元发送HTTP请求，表示引导发起。该HTTP请求中可以携带用户的私有用户标识(IMPI)。

步骤1-4，BSF网元向HSS发送用户鉴权请求(Multimedia Authentication Request,简称：MAR)，MAR中可以携带IMPI。

步骤1-5，HSS发送用户鉴权响应(Multimedia Authentication Answer，简称：MAA)给BSF网元。

其中，HSS收到MAR消息之后，运行AKA算法，为该用户计算认证向量，MAA中携带认证向量，如AKA鉴权的五元组向量：随机数RAND、网络认证令牌AUTN、期望的认证应答XRES、保密性密钥CK、完整性密钥IK。

步骤1-6，BSF网元向UE发送引导挑战。

其中，BSF网元可以根据MAA中携带认证向量构造401 Unauthorized发送给UE，即表示BSF网元向UE发送引导挑战。401 Unauthorized中可以包含RAND和AUTN，不携带IK、CK、XRES。

步骤1-7，UE向BSF网元回复引导挑战响应。

其中，UE通过检查AUTN来认证网络，包括检查是否失序，UE根据自身密钥信息计算出CK、IK和RES，从而BSF和UE各自拥有共享密钥Ks＝CK||IK。UE发送HTTP GET到BSF，其中包含着UE计算的AKA响应值(RES)即UE向BSF网元回复引导挑战响应(HTTP GET)。

步骤1-8，BSF网元认证UE，并生成共享密钥Ks和B-TID。

其中，BSF可以通过自身密钥信息，计算RES完成对UE的认证。

步骤1-9，BSF网元向UE发送引导成功(200OK)消息。

其中，BSF网元对UE认证成功后生成，BSF网元发送200OK消息到UE通知认证成功，该消息中包含B-TID。在具体实现中，200OK消息中还可以包含共享密钥Ks的生存期。

至此，上述步骤1-3～1-9通过AKA协议实现BSF与UE之间进行的引导认证，当认证成功后，UE和BSF拥有B-TID和Ks。

步骤1-10，UE引导成功之后，发送携带B-TID的业务挑战响应至NAF/AP网元。

步骤1-11，NAF/AP网元去BSF网元查找用户鉴权数据。

步骤1-12，BSF网元返回用户鉴权数据至NAF/AP网元。

步骤1-13，业务鉴权并保存(B-TID，Ks_NAF)。

其中，NAF/AP网元与UE之间通过Ks衍生的衍生密钥Ks_NAF来完成双向认证。

步骤1-14～1-16，NAF/AP网元转发业务请求至AS，接收AS回复的业务响应，并返回至UE。

步骤1-17～1-19，UE再次发起业务请求，NAF/AP网元基于上次保存的B-TID和Ks_NAF对UE进行认证，鉴权通过后转发业务请求至AS，从而快速完成业务访问流程。

图3为在一些情形中，GBA重引导业务流程，包括：

步骤3-1～3-2，UE发送初次业务请求到NAF/AP网元，NAF/AP网元向UE发起业务挑战。

步骤3-3，UE收到挑战后执行四步引导流程。通过AKA协议实现BSF与UE之间进行的引导认证，当认证成功后，UE和BSF拥有B-TID1、Ks以及IMPI。可参考对图2中四步引导流程的相关描述，这里不再赘述。

步骤3-4～3-7，UE引导成功之后，发送携带B-TID1业务挑战响应。NAF/AP网元根据挑战响应中的B-TID1到BSF查询用户鉴权数据，但BSF返回失败响应(BSF发送重启等异常场景，用户签约数据丢失)。NAF/AP网元查询失败，向UE回复401响应，指示UE发起重引导流程。

步骤3-8，UE收到重引导响应后执行四步引导流程。通过AKA协议实现BSF与UE之间进行的双向认证，当认证成功后，UE和BSF拥有B-TID2、Ks以及IMPI。

步骤3-9～3-15，重引导成功之后，UE执行业务访问流程。UE与NAF/AP之间通过Ks所产生的Ks_NAF来完成双向认证。

图4为在一些情形中，多NAF/AP网元的应用场景下可能发生频繁重引导，引起网络风暴的业务流程图，包括：

步骤4-1～4-6，UE发起到NAF1/AP1网元的业务请求，UE经过四步引导后和BSF网元得到B-TID1、Ks。NAF1/AP1网元执行业务鉴权后，本地存储的B-TID1和Ks_NAF1，转发业务请求至AS。

步骤4-7～4-13，UE发起到NAF2/AP2网元的业务请求，UE再次四步引导后和BSF网元得到新的B-TID2、Ks。NAF2/AP2网元执行业务鉴权后，本地存储的B-TID2和Ks_NAF2，转发业务请求至AS。

步骤4-14～4-16，UE再访问NAF1/AP1网元时，因为访问NAF2/AP2网元时执行了重引导流程，携带的是B-TID2，NAF1/AP1网元检查本地没有B-TID2，回401指示UE重引导。

步骤4-17，UE再次发起到BSF网元的重引导，生成B-TID3。

接下来，NAF1/AP1网元从BSF网元查询B-TID3和Ks_NAF对UE进行认证。NAF1/AP1网元本地保存B-TID3和Ks_NAF数据。同时NAF1/AP1网元本地还有未超期的B-TID1和Ks_NAF垃圾数据。

以此类推，UE再访问NAF2/AP2网元，又会发起四步引导流程，生成B-TID4，则原来存储的B-TID1、B-TID2、B-TID3都变为垃圾数据。

这种场景会导致NAF/AP网元存储大量垃圾数据，到NAF/AP网元、BSF网元的信令骤增并可能引起网络风暴，降低GBA的网络可靠性。

本申请第一实施例中提出的引导认证方法，可以有效的减少UE与BSF网元之间的信令交互，降低引起网络风暴的风险，提高GBA网络的可靠性。下面对本实施例的引导认证方法的实现细节进行说明，以下内容仅为方便理解而提供的实现细节，并非实施本方案的必须。

本实施例中的引导认证方法的流程图可以参考图5，包括：

步骤501：接收网络应用功能/认证代理NAF/AP网元发送的响应信息。

具体的说，UE可以接收NAF/AP网元发送的响应信息，该响应信息可以为401响应。

在一个例子中，如果NAF/AP网元确定要执行业务挑战，可以向UE发送携带预设的第一标识的响应信息，从而UE可以接收到该携带有第一标识的响应信息。其中，NAF/AP网元在以下情况下可以确定要执行业务挑战：NAF/AP网元接收到UE发送的业务请求(HTTP GET)，该业务请求中未携带B-TID，此时NAF/AP网元可以确定要执行业务挑战。

在另一个例子中，如果NAF/AP网元确定要执行重引导，可以向UE发送携带预设的第二标识的响应信息，从而UE可以接收到该携带有第二标识的响应信息。其中，NAF/AP网元在以下情况下可以确定要执行重引导：NAF/AP网元接收到UE发送的业务请求(HTTP GET)，该业务请求中携带B-TID，但NAF/AP网元检测到本地并未存储该B-TID，且在BSF网元中也未查找到该B-TID，说明NAF/AP网元接收到的业务请求中携带的B-TID过期或非法，此时NAF/AP网元可以确定要执行重引导。或者，NAF/AP网元检测到BSF网元故障时，可以确定要执行重引导。

在一个例子中，第一标识和第二标识为Reason-Phrase参数的不同参数值。其中，Reason-Phrase参数的参数值可以自定义，比如，第一标识为unauthorized，第二标识为renegotiation，则携带第一标识的响应信息可以表示为401 unauthorized，即挑战响应；携带第二标识的响应信息可以表示为401renegotiation，即重引导响应。其中，unauthorized和renegotiation均可以理解为对Reason-Phrase参数自定义的参数值。需要说明的是，本实施方式中，只是以上述两种自定义的参数值为例，在具体实现中并不以此为限，本领域技术人员可以根据实际需要自定义Reason-Phrase参数的参数值以区分第一标识和第二标识。通过对Reason-Phrase参数定义不同的参数值，方便了区分接收到的响应信息为业务挑战响应(NAF/AP网元确定要执行业务挑战时，发出的响应信息)还是重引导响应(NAF/AP网元确定要执行重引导，发出的响应信息)。

在具体实现中，第一标识和第二标识可以为互不相同的数字、字母、符号等，然而，本实施方式对第一标识和第二标识的具体表现形式不做具体限定。

在一个例子中，第一标识和第二标识位于响应信息的头部。位于响应信息的头部，方便UE在接收到响应信息后可以快速识别出该响应信息携带的是哪个标识。

在一个例子中，如果NAF/AP网元确定要执行业务挑战，可以向UE发送携带预设的第一标识的响应信息。如果NAF/AP网元确定要执行重引导，可以向UE发送不增加标识的响应信息。如此设置，UE在接收到响应信息后，如果从响应信息中识别出第一标识，则可以确定接收的响应信息实际为业务挑战响应，如果从响应信息中没有识别任何预设标识，则可以确定接收的响应信息实际为重引导响应，即UE也可以区分出业务挑战响应和重引导响应。本实施方式中旨在使得UE可以区分出业务挑战响应和重引导响应，对区分的方式不做具体限定。

步骤502：确定是否从响应信息中识别出第一标识；如果是，则执行步骤503，否则执行步骤504。

也就是说，UE可以判断是否从响应信息中识别出第一标识，如果识别出第一标识可以执行步骤503，如果未识别出第一标识，可以执行步骤504。

步骤503：若确定UE本地存储有引导事务标识B-TID，根据B-TID与NAF/AP网元进行双向认证。

具体的说，如果UE从响应信息中识别出预设的第一标识，可以确定NAF/AP网元发送的响应信息实际为业务挑战响应。此时，UE可以判断本地是否存储有引导事务标识B-TID，如果UE确定本地存储有B-TID，即表明本地存储的B-TID有效，则UE可以根据B-TID与NAF/AP网元进行双向认证。

在一个例子中，UE根据B-TID与NAF/AP网元进行双向认证的过程可以如下：

UE向NAF/AP网元发送携带B-TID的业务挑战响应，NAF/AP网元在接收到业务挑战响应后，到BSF网元查询UE的鉴权数据，NAF/AP本地保存B-TID和衍生密钥Ks_NAF等数据，NAF/AP与UE之间通过衍生密钥进行双向认证，认证通过后转发业务请求到AS，由AS处理业务请求。由于，NAF/AP与UE之间如何通过衍生密钥进行双向认证属于公知范畴，本实施例对如何通过衍生密钥进行双向认证的实现方式不再展开描述。

在一个例子中，如果UE从响应信息中识别出预设的第一标识，但确定本地未存储有B-TID，则UE可以发起与BSF网元之间的引导认证流程。其中，UE发起与BSF网元之间的引导认证流程的过程可以参考图2中所示的四步引导流程，为避免重复在此不再赘述。识别出第一标识，且确定UE本地未存储有B-TID，说明UE与BSF网元之间还未进行过引导认证，或者UE与BSF网元进行引导认证后得到的B-TID已经失效，此时再发起与BSF网元之间的引导认证流程，有利于确保在必要时引导认证流程的正常进行。

步骤504：发起与引导服务功能BSF网元之间的引导认证流程。

在一个例子中，若UE从响应信息中未识别出第一标识，但识别出预设的第二标识，可以确定NAF/AP网元发送的响应信息实际为重引导响应。此时，UE可以直接发起与BSF网元之间的引导认证流程，其中，UE发起与BSF网元之间的引导认证流程的实现过程可以参考图2中所示的四步引导流程，为避免重复在此不再赘述。

在另一个例子中，若NAF/AP网元在确定要执行重引导，向UE发送了不增加标识的响应信息，则UE在未识别出第一标识后，可以直接发起与引导服务功能BSF网元之间的引导认证流程。

为便于对本实施方式的理解，下面对UE收到携带第一标识的响应信息的业务流程进行简单说明，可以参考图6，包括：

步骤6-1，UE发起到BSF网元的四步引导认证流程，从BSF网元获取B-TID和Ks。其中，四步引导认证流程的具体实现方式可以参考图2，在此不再赘述。

步骤6-2，UE发起业务请求(HTTP GET)给NAF/AP网元。

步骤6-3，NAF/AP网元确定接收的是初次业务请求，执行业务挑战。

步骤6-4，NAF/AP网元向UE发送携带第一标识的响应信息。

步骤6-5，UE识别出第一标识，且本地已有B-TID，不发起重引导流程。其中，UE识别出第一标识时可以确定接收到的响应信息为业务挑战响应。

步骤6-6，UE向NAF/AP网元发送业务挑战响应。其中，UE根据上次引导的B-TID和Ks导出衍生秘钥，根据衍生秘钥计算响应值response，UE将该响应值response携带在给NAF/AP网元回复的业务挑战响应中。

步骤6-7～6-10，NAF/AP网元到BSF网元查询UE鉴权数据即用户鉴权数据，本地保存B-TID和Ks_NAF等数据，并对UE认证，认证通过后转发业务请求到AS(图6中未示出)。

为便于对本实施方式的理解，下面对UE收到携带第二标识的响应信息的业务流程进行简单说明，可以参考图7，包括：

步骤7-1，UE发起四步引导认证流程，从BSF网元获取B-TID和Ks。其中，四步引导认证流程的具体实现方式可以参考图2，在此不再赘述。

步骤7-2，UE发起初次业务请求给NAF/AP网元；其中，初次业务请求中可以不携带B-TID。

步骤7-3，NAF/AP网元确定接收的是初次业务请求，执行业务挑战。

步骤7-4，NAF/AP网元向UE发送携带第一标识的响应信息，如业务挑战(401unauthorized)。

步骤7-5，UE根据B-TID1和Ks导出衍生秘钥，计算响应值response，给NAF/AP网元回挑战响应，挑战响应中携带B-TID1和response等。

步骤7-6，NAF/AP网元获取B-TID1失败或者检测到BSF容灾，确定执行重引导。其中，在NAF/AP网元未在本地或者BSF网元检测到B-TID1的情况下，可以认为NAF/AP网元获取B-TID1失败。

步骤7-7，NAF/AP网元向UE发送携带第二标识的响应信息，如401renegotiation。

步骤7-8，UE收到重引导响应，重新发起到BSF网元的四步引导流程，获取新的Ks和B-TID2。

步骤7-9，UE向NAF/AP网元回业务挑战响应。其中，UE根据B-TID2和Ks导出衍生秘钥，计算响应值response，给NAF/AP网元回携带响应值response的业务挑战响应，业务挑战响应中还携带有B-TID2。

步骤7-10～7-13，NAF/AP网元到BSF网元查询UE鉴权数据即用户鉴权数据，本地保存B-TID2和Ks_NAF等数据，并对UE认证，认证通过转发业务请求到AS(图7中未示出)。

需要说明的是，本实施方式中的上述各示例均为为方便理解进行的举例说明，并不对本申请的技术方案构成限定。

在本实施例中，UE根据第一标识，可以方便的识别出响应信息为NAF/AP网元在确定要执行业务挑战时发出的响应信息。如果UE从响应信息中识别出第一标识，UE可以确定接收到的响应信息为业务挑战响应，如果此时确定本地已存储B-TID，UE可以直接利用该B-TID与NAF/AP进行双向认证，而无需再执行UE与BSF网元之间的引导认证流程，有利于减少UE发起与BSF网元之间的引导认证流程的次数，从而可以有效的减少UE与BSF网元之间的信令交互，降低引起网络风暴的风险，提高GBA网络的可靠性。另外，UE根据第二标识，可以方便的识别出响应信息为NAF/AP网元再确定要执行重引导时发出的响应信息。如果UE从响应信息中识别出第二标识，UE可以确定接收到的响应信息为重引导响应，则UE可以发起与BSF网元之间的引导认证流程。而且，由于GBA典型业务流程中NAF/AP网元发起重引导信息的概率较小，因此，UE因为接收到重引导响应，而发起与BSF网元之间的引导认证流程的概率也就较小。UE通过第一标识和第二标识可以明显的区分接收到的响应信息是业务挑战响应还是重引导响应，有利于减少UE发起与BSF网元之间的引导认证流程的次数，从而可以有效的减少UE与BSF网元之间的信令交互，降低引起网络风暴的风险，提高GBA网络的可靠性。

本申请第二实施例涉及一种引导认证方法，本实施方式中UE执行与BSF网元的引导流程之后，可以利用一次认证成功后得到的B-TID和共享密钥，同时访问多个NAF/AP，有利于减少UE发起与BSF网元之间的引导认证流程的次数，从而可以有效的减少UE与BSF网元之间的信令交互，降低引起网络风暴的风险，提高GBA网络的可靠性。下面对本实施例的引导认证方法的实现细节进行说明，以下内容仅为方便理解而提供的实现细节，并非实施本方案的必须。

本实施例中在接收NAF/AP网元发送的响应信息之前，还包括：UE发起与BSF网元之间的引导认证流程，并在引导认证成功后获取B-TID和与B-TID对应的共享密钥。

在一个例子中，UE根据B-TID与NAF/AP网元进行双向认证的过程可以参考图8，包括：

步骤801：确定发送响应信息的NAF/AP网元对应的加密信息。

其中，不同的NAF/AP网元对应不同的加密信息。加密信息可以包括：随机数RAND、NAF_Id等，NAF_Id可以由AS的主机名和安全标识Ua组成。

步骤802：根据与B-TID对应的共享密钥以及NAF/AP网元对应的加密信息，生成衍生密钥。

在一个例子中，UE与NAF/AP之间的认证功能集成在手机中，衍生密钥可以表示为Ks_NAF，Ks_NAF的获取方式可以为：Ks_NAF＝KDF(Ks,gba-me,RAND,IMPI,NAF_Id)，其中，gba-me中me指mobile equipment，对应手机，gba-me可以理解为手机的标识信息。

在另一个例子中，UE与NAF/AP之间的认证功能集成在手机卡中，衍生密钥可以表示为Ks_int_NAF，Ks_int_NAF的获取方式可以为：Ks_int_NAF＝KDF(Ks,gba-u,RAND,IMPI,NAF_Id)，其中，gba-u中的u指Universal Integrated Circuit Card，简称uicc，对应手机卡，gba-u可以理解为手机卡的标识信息。

可以理解的是，对不不同的NAF/AP网元，由于加密信息不同，最终生成的衍生密钥也不相同。

步骤803：根据衍生密钥与NAF/AP网元进行双向认证。

为便于对本实施方式的理解，下面对UE访问多个NAF/AP网元的流程进行简单说明，可以参考图9，包括：

步骤9-1，UE发起四步引导认证流程，从BSF网元获取B-TID和Ks。

步骤9-2，UE发起业务请求给NAF1/AP1网元。

步骤9-3，NAF1/AP1网元向UE发送携带第一标识的响应信息，如业务挑战(401unauthorized)。

步骤9-4，UE向NAF1/AP1网元回业务挑战响应。其中，UE识别出第一标识，且确认本地已有B-TID，则不发起重引导流程。UE根据上次引导的B-TID和Ks以及NAF1/AP1网元对应的加密信息，生成衍生秘钥Ks_int_NAF1。UE使用衍生秘钥Ks_int_NAF1，计算响应值response，给NAF1/AP1回业务挑战响应。

步骤9-5～9-7，NAF1/AP1到BSF查询UE鉴权数据，即用户鉴权数据后，本地保存B-TID和Ks_NAF1等数据，并对UE认证，认证通过转发业务请求到AS(图9中未示出)。

步骤9-8，UE发起业务请求给NAF2/AP2网元。

步骤9-9，NAF2/AP2网元向UE发送携带第一标识的响应信息，如业务挑战(401unauthorized)。

步骤9-10，UE向NAF2/AP2网元回业务挑战响应。其中，UE识别出第一标识，且确认本地已有B-TID，则不发起重引导流程。UE根据上次引导的B-TID和Ks以及NAF2/AP2网元对应的加密信息，生成衍生秘钥Ks_int_NAF2。UE使用衍生秘钥Ks_int_NAF2，计算响应值response，给NAF2/AP2回业务挑战响应。

步骤9-11～9-13，NAF2/AP2网元到BSF网元查询UE鉴权数据，即用户鉴权数据后，本地保存B-TID和Ks_NAF2等数据，并对UE认证，认证通过转发业务请求到AS。

步骤9-14～9-16，UE发起业务请求给NAF1/AP1网元。NAF1/AP1网元执行业务挑战向UE发送业务挑战(401 unauthorized)。UE和NAF1/AP1网元仍然基于上次的衍生秘钥Ks_NAF进行双向认证。

通过图9可以看出，UE同时访问多个NAF/AP网元，比如上述的NAF1/AP1网元、NAF2/AP2网元，当UE收到的是业务挑战响应(比如，401 unauthorized)时，UE可以检查本地存储的B-TID是否有效(未超时)，如果本地存储的B-TID有效，则UE可以根据已经引导的B-TID、Ks生成衍生秘钥，直接使用其认证，不再重引导，从而实现一个B-TID同时访问多个AS。其中，UE可以检查本地存储的B-TID是否有效，可以理解为：UE检查本地是否存储有B-TID，如果B-TID失效UE检查将删除该B-TID，不会保存。

本实施例中，对于不同的NAF/AP均可以根据已引导认证成功后的B-TID、共享密钥以及NAF/AP网元对应的加密信息生成衍生密钥，从而使得NAF/AP网元可以与UE基于该衍生密钥完成双向认证。即UE执行与BSF网元的引导流程之后，可以利用一次认证成功后得到的B-TID和共享密钥，同时访问多个NAF/AP，有利于减少UE发起与BSF网元之间的引导认证流程的次数，从而可以有效的减少UE与BSF网元之间的信令交互，降低引起网络风暴的风险，提高GBA网络的可靠性。

本申请的第三实施例涉及一种引导认证方法，应用于NAF/AP网元，下面对本实施例的引导认证方法的实现细节进行说明，以下内容仅为方便理解而提供的实现细节，并非实施本方案的必须。

本实施例中引导认证方法的流程图可以参考图10，包括：

步骤1001：确定是否要执行业务挑战；如果是，则执行步骤1002，否则执行步骤1003。

也就是说，NAF/AP网元可以确定是否要执行业务挑战。在一个例子中，NAF/AP网元在以下情况下可以确定要执行业务挑战：NAF/AP网元接收到UE发送的业务请求(HTTP GET)，该业务请求中未携带B-TID，此时NAF/AP网元可以确定要执行业务挑战。

步骤1002：向UE发送携带预设的第一标识的响应信息，以供UE在识别出第一标识且确定UE本地存储有B-TID时，根据B-TID与NAF/AP网元进行双向认证。

步骤1003：若确定要执行重引导，向UE发送携带预设的第二标识的响应信息，以供UE在识别出第二标识时，发起与BSF网元之间的引导认证流程。

由于本实施方式的引导认证方法应用于NAF/AP网元，第一、二实施方式中的引导认证方法应用于UE，本实施方式与第一、二实施方式相互对应，因此本实施方式可与第一、第二实施方式互相配合实施。第一、二实施方式中提到的相关技术细节在本实施方式中依然有效，在第一、二实施方式中所能达到的技术效果在本实施方式中也同样可以实现，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在第一、二实施方式中。

本申请的第四实施例涉及一种引导认证方法，下面对本实施例的引导认证方法的实现细节进行说明，以下内容仅为方便理解而提供的实现细节，并非实施本方案的必须。

本实施例中主要考虑到容灾场景下的引导认证，容灾场景也可能导致信令骤增，降低GBA的网络可靠性。容灾也称为异地容灾或地理容灾，指位于不同地理位置的2个站点，当其中一个站点因自然灾害、战争、电力故障等不可控因素无法提供服务时，另一个站点可以接管其业务。在一些情形中，针对容灾场景，设计的GBA组网如图11所示，采用的是负荷分担容灾组网。多个BSF网元进行业务的分担，但不共享容灾数据，也不进行容灾数据同步，当一个设备故障失效时，剩余的BSF设备可以快速接管。但对于某个用户来说，BSF设备故障后，需要重新执行引导认证流程才能恢复业务。一些情形中的容灾流程可以如图12所示，包括：

步骤12-1～12-4，UE发起到NAF/AP网元的业务请求，UE经过四步引导后和BSF1网元得到B-TID1和Ks。UE根据B-TID1发送业务挑战响应。

步骤12-5～12-7，NAF/AP网元检测到BSF1故障，执行容灾流程。NAF/AP网元回401Unauthorized指示UE重引导。UE再执行四步重引导流程，从BSF2网元得到B-TID2和Ks。

步骤12-8～12-12，UE根据B-TID2回挑战响应，NAF/AP网元到BSF2网元查询用户鉴权数据，对UE进行认证，并再本地保存B-TID2和Ks_NAF，认证通过转发业务请求到AS。

上述容灾流程，在一定程度上会导致增加BSF2的引导流程并可能引起网络风暴，降低GBA的网络可靠性。

本实施例对于容灾流程存在能引起网络风暴的风险的情形，提出如下解决方案：当UE与BSF网元引导认证成功后，BSF网元将容灾数据备份到预设的备份网元，通过备份网元备份和共享容灾数据。使得当一个BSF网元故障失效时，剩余的BSF网元可以快速接管，并从备份网元下载容灾数据，不需要重引导就可以处理业务，即不需要再次执行UE与BSF网元之间的引导认证流程。其中，备份网元可以根据实际需要设置为HSS或是新部署的中央数据节点CDB，本实施方式对此不做具体限定。

其中，容灾数据可以为BSF网元与UE在引导认证成功后备份的数据，比如BSF网元将容灾数据上传至备份网元。

在一个例子中，UE与BSF网元完成初始引导认证后，BSF网元可以将容灾数据备份至备份网元。当UE与BSF网元之间刷新引导认证后，BSF网元刷新备份至备份网元上的容灾数据。当容灾数据的存续时长超过其预设的生命周期后，BSF网元删除在备份网元上备份的容灾数据。

在一个例子中，容灾数据可以包括：B-TID和与B-TID对应的共享密钥。B-TID在BSF网元与UE初始引导认证成功后生成，刷新引导认证时更新。共享密钥为BSF网元与UE在引导认证过程中协商的密钥，在其生命周期内有效，刷新引导认证时更新。在具体实现中，容灾数据还可以包括：临时用户标识TMPI、BSF网元名、用户签约的安全设置等信息。

为进一步便于对本实施例的理解，下面对备份容灾数据的流程进行简单说明，可以参考图13，包括：

步骤13-1，UE发起初始引导认证流程，发送初始引导请求给BSF网元。

其中，初始引导请求表明UE当前未在GBA网络认证，发起业务前需要先执行初始引导认证流程。

步骤13-2，BSF网元发送用户鉴权请求给HSS。其中，BSF网元发送用户鉴权请求给HSS，即BSF网元去HSS查询用户鉴权数据。

步骤13-3，HSS返回用户鉴权响应，携带认证向量。其中，鉴权响应可以理解为HSS返回的用户鉴权数据。

步骤13-4，BSF网元根据认证向量，构造挑战请求401 Unauthorized，发送给UE。

步骤13-5，UE向BSF网元回复引导挑战响应。

步骤13-6，BSF网元向UE发送初始引导成功响应(200OK)。其中，BSF网元收到UE发送的挑战响应后，通过本地保存的认证向量对UE进行认证。认证通过后生成用户引导认证标识B-TID、计算共享密钥Ks的生命周期，BSF网元将B-TID和Ks的生命周期携带在200OK中返回给UE。

步骤13-7，BSF网元备份容灾数据至备份网元。其中，容灾数据包括临时用户标识TMPI、用户引导认证标识B-TID、共享密钥Ks、Ks的生命周期、BSF网元名等信息。

步骤13-8，备份网元返回备份应答。其中，备份网元存储好容灾数据后，可以向BSF网元返回备份应答。

为进一步便于对本实施例的理解，下面对刷新引导认证的流程进行简单说明，可以参考图14，包括：

步骤14-1，UE发起刷新引导认证流程，发送刷新引导请求给BSF网元。比如，UE之前已经在GBA网络认证成功，在生命周期超期前发起刷新引导认证流程。

步骤14-2，BSF网元发送用户鉴权请求给HSS。

步骤14-3，HSS返回用户鉴权响应，携带认证向量。

步骤14-4，BSF网元根据认证向量，构造挑战请求401 Unauthorized，发送给UE。

步骤14-5，UE向BSF网元回复引导挑战响应。

步骤14-6，BSF网元向UE发送刷新引导成功响应(200OK)。其中，BSF网元收到UE发送的挑战响应后，通过本地保存的认证向量对UE进行认证。认证通过后生成新的B-TID、计算新的共享密钥Ks的生命周期，BSF网元将新的B-TID和新的Ks的生命周期携带在200OK中返回给UE。

步骤14-7，BSF网元刷新备份的容灾数据。

步骤14-8，备份网元返回刷新应答。其中，备份网元刷新完备份的容灾数据后，可以向BSF网元返回刷新应答。

在一个例子中，在共享密钥Ks生命周期超时前UE未发起刷新引导认证流程，BSF网元则删除本地保存的该UE相关数据。BSF网元删除本地UE相关数据时，通知备份网元删除该UE对应的容灾数据。

本实施例中，NAF/AP网元在与UE进行双向认证的过程中，当NAF/AP网元确定需从BSF网元获取衍生密钥，且检测到该BSF网元故障，则NAF/AP网元从预设的可接管BSF网元获取基于备份的容灾数据生成的衍生密钥；NAF/AP网元根据从可接管BSF网元获取的衍生密钥，与UE进行双向认证。比如，可接管BSF网元可以从备份网元上下载容灾数据，基于下载的容灾数据生成衍生密钥。比如，从检测到BSF网元故障到通过可接管BSF网元下载容灾数据的业务流程图可以参考图15，包括：

步骤15-1，UE发起四步引导认证流程，从BSF1网元获取B-TID和Ks。

步骤15-2，BSF1网元将容灾数据(B-TID，Ks)备份至备份网元。

步骤15-3，UE发起业务请求给NAF/AP网元。

步骤15-4，NAF/AP网元向UE回业务挑战(401 unauthorized)。

步骤15-5，UE向NAF1/AP网元回业务挑战响应，该业务挑战响应携带B-TID。

步骤15-6，NAF/AP网元根据B-TID确定引导UE的BSF1网元故障，容灾到其他可接管网元，比如BSF2网元。在具体实现中，NAF/AP网元可以从UE发的业务挑战响应中导出BSF网元主机名，再确定该BSF网元主机名对应的BSF网元是否故障。

步骤15-7，NAF/AP网元向BSF2网元发送用户鉴权请求，该鉴权请求携带B-TID。

步骤15-8，BSF2网元向备份网元发送查询容灾数据请求，该查询容灾数据请求携带B-TID。

步骤15-9，备份网元返回容灾数据。其中，备份网元接收到容灾数据请求后，根据其携带的B-TID查询与B-TID对应的容灾数据，比如共享密钥。即可以理解为，BSF2网元从备份网元下载得到容灾数据。

步骤15-10，BSF2网元返回鉴权响应至NAF/AP网元。其中，BSF2网元可以根据容灾数据，生成衍生密钥，将衍生密钥携带在鉴权响应中返回给NAF/AP。

步骤15-11～15-12，NAF/AP网元根据衍生密钥，对UE认证，认证通过转发业务请求到AS。

本实施例中，当一个BSF网元故障失效时，剩余的BSF网元可以快速接管，NAF/AP网元可以从预设的可接管BSF网元获取基于备份的容灾数据生成的衍生密钥，不需要可接管BSF网元与UE之间重新进行引导认证，有利于减少重引导的次数，减少信令交互，降低出现网络风暴的风险，提高GBA网络的可靠性。

由于本实施方式的引导认证方法应用于NAF/AP网元，第一、二实施方式中的引导认证方法应用于UE，本实施方式与第一、二实施方式相互对应，因此本实施方式可与第一、第二实施方式互相配合实施。第一、二实施方式中提到的相关技术细节在本实施方式中依然有效，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在第一、二实施方式中。

此外，本领域技术人员可以理解，上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。

本申请第五实施例涉及一种引导认证系统，如图16所示，包括：网络应用功能/认证代理NAF/AP网元1601和用户设备UE1602；NAF/AP网元1601，用于若确定要执行业务挑战，向UE1602发送携带预设的第一标识的响应信息；UE1602，用于接收NAF/AP网元1601发送的响应信息，若从响应信息中识别出第一标识，且确定UE本地存储有引导事务标识B-TID，根据B-TID与NAF/AP网元1601进行双向认证。

需要说明的是，为了突出本申请的创新部分，本实施方式中并没有将与解决本申请所提出的技术问题关系不太密切的网元引入，但这并不表明本实施方式中不存在其它的网元。

不难发现，本实施方式为与第一至第四实施方式相对应的系统实施例，本实施方式可与第一至第四实施方式互相配合实施。第一至第四实施方式中提到的相关技术细节和技术效果在本实施方式中依然有效，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在第一至第四实施方式中。

本领域的技术人员应该明白，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。

上文中的全部或某些装置中的功能模块/单元包括储存逻辑非暂态机器可读存储介质，该逻辑可用于例如执行如下各项的功能的至少一部分：存储模块、获取模块、触发模块和删除模块等。逻辑可包括指令、数据和/或代码，如果这些指令、数据和/或代码被机器执行，则可以使得机器执行本文所述的方法、处理和/或操作。该机器可包括：例如，任意适当的处理平台、计算平台、计算装置、处理装置、计算系统、处理系统、计算机、处理器等，并且可使用硬件、软件、固件等的任意适当的组合来实施。逻辑可包括或可被实施为：软件、软件模块、应用、程序、子程序、指令、指令集、计算代码、词、值、符号等。这些指令可包括任意合适类型的代码，例如，源代码、编译代码、解译代码、可执行代码、静态代码、动态代码等。这些指令可根据预定的计算机语言、方式或语法来实现，以指导处理器执行某一功能。这些指令可使用任意合适的高级、低级、面向对象的、可视的、编译的和/或解译的编程语言来实现，例如，C、C++、Java、BASIC、Matlab、Pascal、Visual BASIC、汇编语言、机器代码等等。

本申请第六实施例涉及一种电子设备，如图17所示，包括：至少一个处理器1701；以及，与至少一个处理器1701通信连接的存储器1702；其中，存储器1702存储有可被至少一个处理器1701执行的指令，指令被至少一个处理器1701执行，

当电子设备为用户设备，所述至少一个处理器能够执行第一或第二实施方式中的引导认证方法；

当电子设备为网络应用功能/认证代理网元，所述至少一个处理器能够执行第三或第四实施方式中的引导认证方法。

其中，存储器1702和处理器1701采用总线方式连接，总线可以包括任意数量的互联的总线和桥，总线将一个或多个处理器1701和存储器1702的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器1701处理的数据通过天线在无线介质上进行传输，进一步，天线还接收数据并将数据传送给处理器1701。

处理器1701负责管理总线和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器1702可以被用于存储处理器1701在执行操作时所使用的数据。

本申请第七实施例涉及一种计算机可读存储介质，存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的暂态性或非暂态性、可移除或不可移除的介质。

即，本领域技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域的普通技术人员可以理解，上述各实施例是实现本申请的具体实施例，而在实际应用中，可以在形式上和细节上对其作各种改变，而不偏离本申请的精神和范围。

Claims

一种引导认证方法，其中，应用于用户设备UE，包括：

接收网络应用功能/认证代理NAF/AP网元发送的响应信息；

若从所述响应信息中识别出预设的第一标识，且确定UE本地存储有引导事务标识B-TID，根据所述B-TID与所述NAF/AP网元进行双向认证；其中；所述第一标识为所述NAF/AP网元确定要执行业务挑战时，在所述响应信息中携带的标识。
根据权利要求1所述的引导认证方法，其中，在所述接收网络应用功能/认证代理NAF/AP网元发送的响应信息之后，还包括：

若从所述响应信息中识别出预设的第二标识，发起与引导服务功能BSF网元之间的引导认证流程；其中，所述第二标识为所述NAF/AP网元确定要执行重引导时，在所述响应信息中携带的标识。
根据权利要求2所述的引导认证方法，其中，所述第一标识和所述第二标识为Reason-Phrase参数的不同参数值。
根据权利要求2所述的引导认证方法，其中，所述第一标识和所述第二标识位于所述响应信息的头部。
根据权利要求1所述的引导认证方法，其中，在所述接收网络应用功能/认证代理NAF/AP网元发送的响应信息之后，还包括：

若从所述响应信息中识别出所述第一标识，且确定UE本地未存储有所述B-TID，发起与所述BSF网元之间的引导认证流程。
根据权利要求1所述的引导认证方法，其中，在所述接收网络应用功能/认证代理NAF/AP网元发送的响应信息之前，还包括：

发起与所述BSF网元之间的引导认证流程，并在引导认证成功后获取所述B-TID和与所述B-TID对应的共享密钥；

所述根据所述B-TID与所述NAF/AP网元进行双向认证，包括：

确定发送所述响应信息的所述NAF/AP网元对应的加密信息；其中，不同的NAF/AP网元对应不同的加密信息；

根据与所述B-TID对应的共享密钥以及所述NAF/AP网元对应的加密信息，生成衍生密钥；

根据所述衍生密钥与所述NAF/AP网元进行双向认证。
一种引导认证方法，其中，应用于网络应用功能/认证代理NAF/AP网元，包括：

若确定要执行业务挑战，向用户设备UE发送携带预设的第一标识的响应信息，以供所述UE在识别出所述第一标识且确定所述UE本地存储有引导事务标识B-TID时，根据所述B-TID与所述NAF/AP网元进行双向认证。
根据权利要求7所述的引导认证方法，其中，所述NAF/AP网元在以下情况下确定要执行业务挑战：所述NAF/AP网元接收到UE发送的业务请求，且所述业务请求中未携带 B-TID，则NAF/AP网元确定要执行业务挑战。
根据权利要求7所述的引导认证方法，其中，所述方法还包括：

若确定要执行重引导，向所述UE发送携带预设的第二标识的响应信息，以供所述UE在识别出所述第二标识时，发起与引导服务功能BSF网元之间的引导认证流程。
根据权利要求9所述的引导认证方法，其中，所述NAF/AP网元在以下情况下确定要执行重引导：

所述NAF/AP网元接收到所述UE发送的业务请求，所述业务请求中携带B-TID，但所述NAF/AP网元检测到本地并未存储所述B-TID，且在所述BSF网元中也未查找到所述B-TID，说明所述NAF/AP网元接收到的业务请求中携带的B-TID过期或非法，则所述NAF/AP网元确定要执行重引导。
根据权利要求9所述的引导认证方法，其中，所述NAF/AP网元在以下情况下确定要执行重引导：

所述NAF/AP网元检测到BSF网元故障时，则所述NAF/AP网元确定要执行重引导。
根据权利要求9所述的引导认证方法，其中，所述方法还包括：

若确定要执行重引导，向所述UE发送不增加标识的响应信息，使得UE在接收到响应信息后，如果从响应信息中没有识别任何预设标识，则确定接收的响应信息为重引导响应。
根据权利要求7所述的引导认证方法，其中，在所述进行双向认证的过程中，包括：

当确定需从BSF网元获取衍生密钥，且检测到所述BSF网元故障，从预设的可接管BSF网元获取基于备份的容灾数据生成的所述衍生密钥；

根据从所述可接管BSF网元获取的所述衍生密钥，与所述UE进行双向认证。
根据权利要求13所述的引导认证方法，其中，所述容灾数据为所述BSF网元与所述UE在引导认证成功后备份的数据。
根据权利要13或14所述的引导认证方法，其中，所述容灾数据至少包括：所述B-TID和与所述B-TID对应的共享密钥。
一种引导认证系统，其中，包括：网络应用功能/认证代理NAF/AP网元和用户设备UE；

所述NAF/AP网元，用于若确定要执行业务挑战，向用户设备UE发送携带预设的第一标识的响应信息；

所述UE，用于接收所述NAF/AP网元发送的响应信息，若从所述响应信息中识别出所述第一标识，且确定UE本地存储有引导事务标识B-TID，根据所述B-TID与所述NAF/AP网元进行双向认证。
一种电子设备，其中，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，

当所述电子设备为用户设备，所述至少一个处理器能够执行如权利要求1至6中任一所述的引导认证方法；

当所述电子设备为网络应用功能/认证代理网元，所述至少一个处理器能够执行如权利要求7至15所述的引导认证方法。
一种计算机可读存储介质，存储有计算机程序，其中，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的引导认证方法，或者实现权利要求7至15所述的引导认证方法。