[发明专利]一种GBA初始化方法、装置

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种GBA初始化方法及装置。

背景技术

GBA（Generic Bootstrapping Architecture，通用引导架构）是一种使用对称密钥来完成鉴权和密钥协商的通用安全机制，它属于GAA（Generic Authentication Architecture，通用认证架构）框架的一部分。GBA提供了一种在UE（User Equipment，用户设备）和服务器之间建立共享密钥的通用机制，该机制基于3GPP（The 3rd Generation Partnership Project，第三代合作伙伴项目）AKA（Authentication and Key Agreement，认证和密匙协商机制），AKA是移动网络中使用的一种相互鉴权和密钥协商的机制。

GBA充分利用了AKA的优点来完成业务的安全引导过程。GBA引入了一个新的网元BSF（Bootstrapping Server Function，引导业务功能），通过BSF，UE和HSS（Home Subscriber Server，归属服务器）/ HLR（Home Location Register，归属位置寄存器）之间使用AKA进行密钥协商。AKA完成后，BSF和UE协商出一个GBA主密钥Ks，这个过程称为GBA初始化过程（GBA Bootstrapping）。GBA初始化完成之后，NAF（Network Application Function，网络应用功能）服务器从BSF中取得GBA主密钥Ks和用户相关信息。通过这种方式UE和NAF之间建立了共享密钥，随后就能够利用此密钥为应用服务提供安全保护，特别是在应用服务会话开始时为UE和NAF提供相互鉴权。

GBA初始化过程的基础是通信网络的AKA鉴权机制，对于GSM(Global System for Mobile Communications，全球数字移动通信系统）网络，AKA鉴权机制就是SIM（Subscriber Identity Module，用户身份识别模块）卡和HLR之间的三元组鉴权，而对于3G网络，AKA鉴权机制指USIM（Universal Subscriber Identity Module，通用用户识别模块）卡和HSS之间的的五元组鉴权。因此，通常情况下GBA机制是在SIM卡或USIM卡上实现的。

基于以上技术，现有技术提出了一种基于UAM（User Authentication Module，用户认证模块）来实现GBA的技术方案，该方案在终端上引入了嵌入式模块UAM，该模块用于和网络侧的BSF等服务器完成GBA机制。具体地，如图1所示，现有技术中GBA初始化流程如下：

步骤101，客户端软件向SIM卡发送读取EF_IMSI命令；

步骤102，SIM卡向客户端软件返回IMSI（International Mobile Subscriber Identity，国际移动用户识别码）；

步骤103，客户端软件向UAM模块端发送读取EF_UAMCV（UAM cardversion，UAM协议版本号）命令；

步骤104，UAM模块向客户端软件返回版本号信息；

步骤105，客户端软件向SIM卡发送认证命令，其中携带随机数RAND；

步骤106，SIM卡根据认证命令中的随机数，以及SIM卡存储的客户鉴权键Ki计算出SRES（Authentication value returned by the SIM or by the USIM in 2G AKA，2G AKA卡侧鉴权相应值）、Kc（Ciphering Key in 2G，2G会话密钥）；

步骤107，SIM卡向客户端软件返回认证响应消息，其中携带SRES、Kc；

步骤108，客户端软件向UAM模块发送认证命令，命令中携带RAND、Kc、Ks_input（GBA鉴权输入参数）、SRES；

步骤109，UAM模块生成4-10byte的随机数cnonce，通过特定算法，利用RAND、Kc、Ks_input、SRES、生成Ks和RES’；

步骤110，UAM模块向客户端软件返回RES’、cnonce；

步骤111，客户端软件向UAM模块中写入Ks的标识B-TID、Ks的生命周期；

步骤112，UAM模块保存Ks的标识B-TID和Ks的生命周期；