CN103686710B - 一种gba初始化方法、装置 - Google Patents
一种gba初始化方法、装置 Download PDFInfo
- Publication number
- CN103686710B CN103686710B CN201210363295.XA CN201210363295A CN103686710B CN 103686710 B CN103686710 B CN 103686710B CN 201210363295 A CN201210363295 A CN 201210363295A CN 103686710 B CN103686710 B CN 103686710B
- Authority
- CN
- China
- Prior art keywords
- user
- gba
- information
- equipment
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种GBA初始化方法,在GBA初始化流程中利用UAM模块与网络侧设备之间的验证代替SIM卡的三元组或者五元组鉴权过程,同时将UAM模块与SIM卡进行绑定;在无需对任一移动终端的基带芯片进行修改的前提下,使运营商可在该移动终端上实现GBA初始化流程。本发明同时还公开了一种应用上述方法的装置。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种GBA初始化方法及装置。
背景技术
GBA(Generic Bootstrapping Architecture,通用引导架构)是一种使用对称密钥来完成鉴权和密钥协商的通用安全机制,它属于GAA(Generic AuthenticationArchitecture,通用认证架构)框架的一部分。GBA提供了一种在UE(User Equipment,用户设备)和服务器之间建立共享密钥的通用机制,该机制基于3GPP(The 3rd GenerationPartnership Project,第三代合作伙伴项目)AKA(Authentication and Key Agreement,认证和密匙协商机制),AKA是移动网络中使用的一种相互鉴权和密钥协商的机制。
GBA充分利用了AKA的优点来完成业务的安全引导过程。GBA引入了一个新的网元BSF(Bootstrapping Server Function,引导业务功能),通过BSF,UE和HSS(HomeSubscriber Server,归属服务器)/HLR(Home Location Register,归属位置寄存器)之间使用AKA进行密钥协商。AKA完成后,BSF和UE协商出一个GBA主密钥Ks,这个过程称为GBA初始化过程(GBA Bootstrapping)。GBA初始化完成之后,NAF(Network ApplicationFunction,网络应用功能)服务器从BSF中取得GBA主密钥Ks和用户相关信息。通过这种方式UE和NAF之间建立了共享密钥,随后就能够利用此密钥为应用服务提供安全保护,特别是在应用服务会话开始时为UE和NAF提供相互鉴权。
GBA初始化过程的基础是通信网络的AKA鉴权机制,对于GSM(Global System forMobile Communications,全球数字移动通信***)网络,AKA鉴权机制就是SIM(SubscriberIdentity Module,用户身份识别模块)卡和HLR之间的三元组鉴权,而对于3G网络,AKA鉴权机制指USIM(Universal Subscriber Identity Module,通用用户识别模块)卡和HSS之间的的五元组鉴权。因此,通常情况下GBA机制是在SIM卡或USIM卡上实现的。
基于以上技术,现有技术提出了一种基于UAM(User Authentication Module,用户认证模块)来实现GBA的技术方案,该方案在终端上引入了嵌入式模块UAM,该模块用于和网络侧的BSF等服务器完成GBA机制。具体地,如图1所示,现有技术中GBA初始化流程如下:
步骤101,客户端软件向SIM卡发送读取EFIMSI命令;
步骤102,SIM卡向客户端软件返回IMSI(International Mobile SubscriberIdentity,国际移动用户识别码);
步骤103,客户端软件向UAM模块端发送读取EFUAMCV(UAM cardversion,UAM协议版本号)命令;
步骤104,UAM模块向客户端软件返回版本号信息;
步骤105,客户端软件向SIM卡发送认证命令,其中携带随机数RAND;
步骤106,SIM卡根据认证命令中的随机数,以及SIM卡存储的客户鉴权键Ki计算出SRES(Authentication value returned by the SIM or by the USIM in 2G AKA,2G AKA卡侧鉴权相应值)、Kc(Ciphering Key in 2G,2G会话密钥);
步骤107,SIM卡向客户端软件返回认证响应消息,其中携带SRES、Kc;
步骤108,客户端软件向UAM模块发送认证命令,命令中携带RAND、Kc、Ks_input(GBA鉴权输入参数)、SRES;
步骤109,UAM模块生成4-10byte的随机数cnonce,通过特定算法,利用RAND、Kc、Ks_input、SRES、生成Ks和RES’;
步骤110,UAM模块向客户端软件返回RES’、cnonce;
步骤111,客户端软件向UAM模块中写入Ks的标识B-TID、Ks的生命周期;
步骤112,UAM模块保存Ks的标识B-TID和Ks的生命周期;
步骤113,UAM模块向客户端软件返回写入是否成功状态字节。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
在步骤101至步骤S106中,主要是SIM卡和网络侧在协商密钥Kc,然后SIM卡将密钥Kc发给UAM之后,才是UAM和网络侧协商。3G模式和2G模式类似,只是参与运算的参数略有不同。现有方式在GBA初始化过程中都需要SIM卡参与并进行AKA协商过程,待AKA协商过程完成之后,利用生成的参数Kc再进行后续GBA流程。由于UAM方案基本上沿用了标准GBA的初始化流程和参数,因此在GBA初始化过程中仍然需要(U)SIM卡进行三元组或者五元组鉴权,并将相关参数传给UAM模块。为了满足上述需求,必须修改终端上的基带芯片,即对终端基带芯片做定制化要求,这使得UAM方案的应用范围受到了一定的限制,现有的GBA流程只能在定制终端上使用,限制了多媒体业务的发展。
由此可见,在SIM卡的三元组或五元组鉴权对于现有的GBA初始化流程为必不可缺的情况下,终端上的基带芯片必须进行相应的修改,这样SIM卡方能将自身的相关鉴权参数传送至UAM模块。由于现有的移动手机业务在应用前均需要进行GBA初始化流程,因此各运营商只能在自身的定制移动终端上开展自营的移动手机业务,无法在其他运营商的定制移动终端或是非定制移动终端上开展相关移动手机业务,这样不仅极大限制了用户对于移动手机业务的多样化需求,同时也不利于运营商移动手机业务的发展,无法将手机业务的收益最大化。
发明内容
本发明实施例提供一种GBA初始化方法及装置,在无需对任一移动终端的基带芯片进行修改的前提下,使运营商可在该移动终端上实现GBA初始化流程。
为达到上述目的,本发明一方面提供了一种通用引导架构GBA初始化方法,网络设备和用户设备上设置有与用户认证模块UAM序列号对应的共享参数,该方法包括以下步骤:
网络设备接收到用户设备发送的GBA初始化请求消息后,根据所述GBA初始化请求消息获取对应用户的用户识别数据和UAM序列号;
所述网络设备根据所述UAM序列号查找对应的共享参数,利用所述共享参数生成网络侧验证信息,利用所述共享参数加密所述用户识别数据,并向所述用户设备返回GBA初始化响应消息,其中携带所述网络设备生成的网络侧验证信息以及加密后的用户识别数据;
所述网络设备接收到所述用户设备发送的验证请求消息后,对所述验证请求消息中携带的用户侧验证信息进行验证,并在验证通过后为所述用户生成GBA根密钥,向所述用户设备返回验证响应消息,其中携带所述网络设备所生成的GBA根密钥的标识信息和生命周期信息;其中,所述验证请求消息的发送过程包括:所述用户设备在收到所述GBA初始化响应消息后,利用本地设置的共享参数对所述网络侧验证请求消息中携带的网络侧验证信息进行校验,并在验证通过后生成用户侧验证信息和GBA根密钥,向所述网络设备发送验证请求消息,其中携带所述用户设备生成的用户侧验证信息。
优选地,所述验证响应消息中携带有所述用户设备生成的随机数;
所述网络设备为所述用户生成GBA根密钥,具体为:所述网络设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,为所述用户生成GBA根密钥。
优选地,所述用户设备生成用户侧验证信息,具体为:所述用户设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数生成用户侧验证信息。
优选地,该方法还包括:所述网络设备在为所述用户生成GBA根密钥后,将所述GBA根密钥的标识信息与所述用户识别数据进行绑定。
优选地,所述用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
除了上述方法,本发明还提供了一种通用引导架构GBA初始化方法,网络设备和用户设备上设置有与用户认证模块UAM序列号对应的共享参数,该方法包括以下步骤:
用户设备向网络设备发送GBA初始化请求消息,其中携带有UAM序列号和用户识别数据;
所述用户设备在接收到所述网络设备返回的GBA初始化响应消息后,利用本地设置的共享参数对所述验证响应消息中携带的网络侧验证信息进行验证,并在验证通过后生成用户侧验证信息和GBA根密钥,向所述网络设备发送验证请求消息,其中携带所述用户设备生成的用户侧验证信息;其中,所述GBA初始化响应消息的发送过程包括:所述网络设备根据所述GBA初始化请求消息后,获取UAM序列号和用户识别数据,根据所述UAM序列号查找对应的共享参数,利用所述共享参数生成网络侧验证信息,利用所述共享参数加密所述用户识别数据,并向所述用户设备返回GBA初始化响应消息,其中携带所述网络设备生成的网络侧验证信息以及加密后的用户识别数据;
所述用户设备接收所述网络设备返回的验证响应消息,保存其中携带的GBA根密钥的标识信息和生命周期信息;其中,所述验证响应消息的发送过程包括:所述网络设备接收到所述用户设备发送的验证请求消息后,对所述验证请求消息中携带的用户侧验证信息进行验证,并在验证通过后为所述用户生成GBA根密钥,向所述用户设备返回验证响应消息,其中携带所述网络设备所生成的GBA根密钥的标识信息和生命周期信息。
优选地,所述验证响应消息中携带有所述用户设备生成的随机数;
所述用户设备生成GBA根密钥,具体为:所述用户设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,生成GBA根密钥;
所述网络设备为所述用户生成GBA根密钥,具体为:所述网络设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,为所述用户生成GBA根密钥。
优选地,所述用户设备生成用户侧验证信息,具体为:所述用户设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数生成用户侧验证数据。
优选地,所述用户设备在保存所述验证响应消息携带的GBA根密钥的标识信息和生命周期信息后,还包括:
所述用户设备将所述用户识别数据与所述GBA根密钥的标识信息进行绑定。
优选地,用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
另一方面,本发明还提供了一种网络设备,包括接口模块,还包括:
存储模块,用于存储与用户认证模块UAM序列号对应的共享参数;
获取模块,用于在所述接口模块接收用户设备发送的GBA初始化请求消息后,根据所述GBA初始化请求消息获取对应用户的用户识别数据和UAM序列号,并根据所述UAM序列号,根据所述存储模块查找对应的共享参数;
GBA初始化处理模块,用于利用所述共享参数生成网络侧验证信息,利用所述共享参数加密所述用户识别数据,并通过所述接口模块向所述用户设备返回GBA初始化响应消息,其中携带所述网络设备生成的网络侧验证信息以及加密后的用户识别数据;
验证模块,用于在所述接口模块接收到所述用户设备发送的验证请求消息后,对所述验证请求消息中携带的用户侧验证信息进行验证;
密钥生成模块,用于在所述验证模块验证通过后为所述用户生成GBA根密钥,并通过所述接口模块向所述用户设备返回验证响应消息,其中携带所述网络设备所生成的GBA根密钥的标识信息和生命周期信息。
优选地,所述密钥生成模块具体用于,利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,为所述用户生成GBA根密钥。
优选地,还包括:
绑定模块,用于在所述密钥生成模块为所述用户生成GBA根密钥后,将所述GBA根密钥的标识信息与所述用户识别数据进行绑定。
优选地,所述用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
另一方面,本发明还提供了一种用户设备,包括接口模块,其特征在于,还包括:
GBA初始化请求模块,用于通过所述接口模块向网络设备发送GBA初始化请求消息,其中携带有UAM序列号和用户识别数据;
验证模块,用于在所述接口模块接收到所述网络设备返回的GBA初始化响应消息后,利用本地设置的共享参数对所述验证响应消息中携带的网络侧验证信息进行验证;
密钥生成模块,用于在所述验证模块验证通过后生成用户侧验证信息和GBA根密钥,通过所述接口模块向所述网络设备发送验证请求消息,其中携带所述用户设备生成的用户侧验证信息;
存储模块,用于在所述接口模块接收到所述网络设备返回的验证响应消息后,保存其中携带的GBA根密钥的标识信息和生命周期信息。
优选地,所述验证响应消息中携带有所述用户设备生成的随机数;
所述密钥生成模块具体用于,利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,生成GBA根密钥。
优选地,还包括:
绑定模块,用于在所述存储模块保存所述验证响应消息携带的GBA根密钥的标识信息和生命周期信息后,将所述用户识别数据与所述GBA根密钥的标识信息进行绑定。
优选地,用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,在GBA初始化流程中利用UAM模块与网络侧设备之间的验证代替SIM卡的三元组或者五元组鉴权过程,同时将UAM模块与SIM卡进行绑定,从而在无需对移动终端的基带芯片进行修改的前提下,使运营商可在该移动终端上实现GBA初始化流程,并能够准确对该移动终端的用户进行计费操作。
附图说明
图1为现有技术中GBA初始化流程示意图;
图2为本发明具体实施例提出的一种GBA初始化流程示意图;
图3为本发明具体实施例提出的一种网络设备的结构示意图;
图4为本发明具体实施例提出的一种用户设备的结构示意图。
具体实施方式
基于现有技术方案的不足,本发明所提出的技术方案通过引入UAM模块的序列号UAMSN,在GBA初始化流程中,利用UAM模块与网络侧设备之间的验证,代替SIM卡的三元组或者五元组鉴权过程,同时将UAM模块与SIM卡进行绑定,从而在无需对移动终端的基带芯片进行修改的前提下,在移动终端上实现GBA初始化流程,并可进一步对移动终端的用户进行计费操作。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方案进行说明。
本发明实施例中,针对相应用户,在用户侧和网络侧预先设置相同的密钥Km和随机数RAND。另外,在GBA初始化流程中新引入了一个参数UAMSN,即UAM模块的序列号,可唯一标识一个UAM模块。相应的,在BSF上预先以UAM序列号为索引,存储用户侧与网络侧的预置密钥Km。
另外,与现有GBA初始化流程相同的是,在用户侧和网络侧设置有相同的GBA初始化相关算法,包括鉴权算法、GBA根密钥算法等。
如图2所示,为本发明实施例所提出的一种以SIM卡为例的GBA初始化流程,该流程同样适用于USIM卡,该方法具体包括以下步骤:
步骤301,客户端软件在用户启动GBA初始化流程后,从SIM卡获取IMSI;
步骤302,客户端软件从UAM模块获取UAM序列号UAMSN;
由于本发明实施例中的GBA初始化流程不再依赖SIM卡的鉴权参数,而是通过UAM模块和BSF服务器之间的预置密钥Km完成,而与这个密钥对应的唯一标识就是UAMSN,网络侧在获取由UAM模块上报的其自身UAMSN后,根据UAMSN来查找其对应的Km。
步骤303,客户端软件向BSF服务器发送GBA初始化请求消息,其中携带有客户端软件获取到的IMSI和UAMSN;
步骤304,该消息经过WAP网关时,WAP网关在该条消息中***与该IMSI对应的MSISDN;
步骤305,WAP网关继续向BSF服务器发送该GBA初始化请求消息,其中携带有IMSI、UAMSN和MSISDN;
步骤306,BSF服务器收到该GBA初始化请求消息后,获取其中携带的UAMSN、IMSI和MSISDN,根据该UAMSN查询对应的预置密钥Km,以该Km为参数生成MAC(MessageAuthentication Code,消息认证码),BSF以Km和RAND为参数加密该IMSI和MSISDN。
步骤307,BSF服务器向UAM返回GBA初始化响应消息,其中携带有步骤306中计算的MAC、加密后的IMSI和MSISDN,以及RAND;
步骤308,UAM收到该GBA初始化响应消息后,获取其中携带的MAC、RAND、加密后的IMSI和MSISDN,使用自身存储的Km以及RAND对接收到的MAC进行验证;在验证通过后,用自身存储的Km和RAND解密IMSI和MSISDN,生成UAM侧随机数cnonce,然后以自己存储的Km、RAND,解密得到的IMSI、MSISDN,以及生成的cnonce为参数计算得到用户侧的GBA根密钥Ks和RES;
在该步骤中,UAM在计算Ks时将会依据IMSI和MSISDN,这样计算得到的Ks将会包含UAM模块和SIM卡的相关信息,从而实现了用户SIM卡与UAM模块之间的绑定。
步骤309,UAM向BSF服务器发送验证请求消息,其中携带有自己生成的cnonce和RES;
步骤310,BSF服务器接收到该验证请求消息后,获取其中携带的cnonce和RES,使用网络侧为用户设备预置的Km和RAND、接收到的cnonce,以及该用户的IMSI、MSISDN对接收到的RES进行验证;在验证通过后,以自己存储的与该用户对应的Km、RAND、该用户的IMSI、MSISDN,以及接收到的cnonce为参数生成网络侧的GBA根密钥Ks,然后将该密钥Ks的标识B-TID与该用户的MSISDN进行绑定,该操作通过将B-TID和MSISDN都作为Ks的标识信息,只有在B-TID和MSISDN的信息都一致的情况下,该Ks才有效。与之前的步骤308类似,为了在后续的流程能够对Ks进行有效的管理,该步骤中将Ks的标识B-TID与MSISDN进行绑定。
步骤311,BSF服务器向UAM返回验证通过消息,其中携带有其所生成的GBA根密钥Ks的B-TID和该GBA根密钥Ks的生命周期;
步骤312,UAM保存接收到的B-TID和GBA根密钥Ks的生命周期,并将该B-TID和IMSI绑定;
在该步骤中,UAM将B-TID和IMSI绑定,而不是与MSISDN进行绑定,这是因为只有网络侧的WAP网关才能提供准确的MSISDN,而对于终端侧的任何软件、硬件、包括外置配件都无法得到SIM卡的MSISDN。
步骤313,UAM向客户端软件返回B-TID和Ks的写入状态。
至此,GBA初始化流程结束。
由于UAM将用户的GBA根密钥Ks的B-TID与该用户的IMSI进行了绑定,因此当使用UAM模块时,UAM在向终端确认IMSI信息时,如果终端发过来的IMSI信息和UAM保存的绑定信息(即IMSI和B-TID的绑定关系信息)中的IMSI一致,则说明终端没有更换SIM卡,后续流程可以继续执行,否则,说明终端更换了SIM卡,此时UAM模块将会强制启动GBA初始化流程,重新生成Ks,重新将UAM模块与新的SIM卡进行绑定。
在本发明的另一实施例中,为了确保IMSI和MSISDN的安全可靠,可由运营商WAP网关先提供MSISDN给BSF,再由BSF将IMSI和MSISDN加密下发给UAM模块。
由于在本发明实施例中,Ks计算过程不涉及SIM卡鉴权参数,如果不在Ks中引入其它SIM卡参数,将会导致Ks的计算结果与SIM卡完全无关,那么UAM模块将会和SIM卡失去绑定关系,这将直接导致用户恶意使用UAM模块,使运营商无法追溯UAM模块的使用情况,并且也无法进行相应的收费。为解决该问题,本发明的上述实施例中,通过在Ks的计算过程中引入SIM卡的个人化数据(如IMSI和MSISDN),实现了UAM模块和SIM卡的绑定,通常,SIM卡的个人化数据中最为核心的数据就是IMSI和MSISDN,因此,本发明实施例通过将IMSI和MSISDN作为SIM卡的个人化数据并将其发送给UAM模块,作为UAM模块计算Ks时的参数。
本发明的上述实施例中,通过在GBA初始化流程中利用UAM模块与网络侧设备之间的验证代替SIM卡的三元组或者五元组鉴权过程,同时将UAM模块与SIM卡进行绑定,从而在无需对移动终端的基带芯片进行修改的前提下,使运营商可在该移动终端上实现GBA初始化流程,并能够准确对该移动终端的用户进行计费操作。
为了实现上述的技术方案,如图3所述,本发明还提供了一种网络设备,包括接口模块31,还包括:
存储模块32,用于存储与用户认证模块UAM序列号对应的共享参数;
获取模块33,用于在接口模块31接收用户设备发送的GBA初始化请求消息后,根据GBA初始化请求消息获取对应用户的用户识别数据和UAM序列号,并根据UAM序列号,根据存储模块32查找对应的共享参数;
GBA初始化处理模块34,用于利用共享参数生成网络侧验证信息,利用共享参数加密用户识别数据,并通过接口模块31向用户设备返回GBA初始化响应消息,其中携带网络设备生成的网络侧验证信息以及加密后的用户识别数据;
验证模块35,用于在接口模块31接收到用户设备发送的验证请求消息后,对验证请求消息中携带的用户侧验证信息进行验证;
密钥生成模块36,用于在验证模块35验证通过后为用户生成GBA根密钥,并通过接口模块31向用户设备返回验证响应消息,其中携带网络设备所生成的GBA根密钥的标识信息和生命周期信息。
进一步地,在具体的应用场景中,密钥生成模块36具体用于利用共享参数、用户识别数据和用户设备生成的随机数,为用户生成GBA根密钥。
进一步地,在具体的应用场景中,还包括:
绑定模块37,用于在密钥生成模块36为用户生成GBA根密钥后,将GBA根密钥的标识信息与用户识别数据进行绑定。
进一步地,在具体的应用场景中,用户识别数据具体包括:IMSI和MSISDN。
如图4所示,本发明还提供了一种用户设备,包括接口模块41,其特征在于,还包括:
GBA初始化请求模块42,用于通过接口模块41向网络设备发送GBA初始化请求消息,其中携带有UAM序列号和用户识别数据;
验证模块43,用于在接口模块41接收到网络设备返回的GBA初始化响应消息后,利用本地设置的共享参数对验证响应消息中携带的网络侧验证信息进行验证;
密钥生成模块44,用于在验证模块43验证通过后生成用户侧验证信息和GBA根密钥,通过接口模块41向网络设备发送验证请求消息,其中携带用户设备生成的用户侧验证信息;
存储模块45,用于在接口模块41接收到网络设备返回的验证响应消息后,保存其中携带的GBA根密钥的标识信息和生命周期信息。
进一步地,在具体的应用场景中,验证响应消息中携带有用户设备生成的随机数;
密钥生成模块44具体用于,利用共享参数、用户识别数据和用户设备生成的随机数,生成GBA根密钥。
进一步地,在具体的应用场景中,还包括:
绑定模块46,用于在存储模块45保存验证响应消息携带的GBA根密钥的标识信息和生命周期信息后,将用户识别数据与GBA根密钥的标识信息进行绑定。
进一步地,在具体的应用场景中,用户识别数据具体包括:IMSI和MSISDN。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,在GBA初始化流程中利用UAM模块与网络侧设备之间的验证代替SIM卡的三元组或者五元组鉴权过程,同时将UAM模块与SIM卡进行绑定,从而在无需对移动终端的基带芯片进行修改的前提下,使运营商可在该移动终端上实现GBA初始化流程,并能够准确对该移动终端的用户进行计费操作。
(补充装置)
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (18)
1.一种通用引导架构GBA初始化方法,其特征在于,网络设备和用户设备上设置有与用户认证模块UAM序列号对应的共享参数,该方法包括以下步骤:
网络设备接收到用户设备发送的GBA初始化请求消息后,根据所述GBA初始化请求消息获取对应用户的用户识别数据和UAM序列号;
所述网络设备根据所述UAM序列号查找对应的共享参数,利用所述共享参数生成网络侧验证信息,利用所述共享参数加密所述用户识别数据,并向所述用户设备返回GBA初始化响应消息,其中携带所述网络设备生成的网络侧验证信息以及加密后的用户识别数据;
所述网络设备接收到所述用户设备发送的验证请求消息后,对所述验证请求消息中携带的用户侧验证信息进行验证,并在验证通过后为所述用户生成GBA根密钥,向所述用户设备返回验证响应消息,其中携带所述网络设备所生成的GBA根密钥的标识信息和生命周期信息;其中,所述验证请求消息的发送过程包括:所述用户设备在收到所述GBA初始化响应消息后,利用本地设置的共享参数对所述网络侧验证请求消息中携带的网络侧验证信息进行校验,并在验证通过后生成用户侧验证信息和GBA根密钥,向所述网络设备发送验证请求消息,其中携带所述用户设备生成的用户侧验证信息。
2.如权利要求1所述的方法,其特征在于,所述验证响应消息中携带有所述用户设备生成的随机数;
所述网络设备为所述用户生成GBA根密钥,具体为:所述网络设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,为所述用户生成GBA根密钥。
3.如权利要求1所述的方法,其特征在于,所述用户设备生成用户侧验证信息,具体为:所述用户设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数生成用户侧验证信息。
4.如权利要求1所述的方法,其特征在于,该方法还包括:所述网络设备在为所述用户生成GBA根密钥后,将所述GBA根密钥的标识信息与所述用户识别数据进行绑定。
5.如权利要求1-4中任一项所述的方法,其特征在于,所述用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
6.一种通用引导架构GBA初始化方法,其特征在于,网络设备和用户设备上设置有与用户认证模块UAM序列号对应的共享参数,该方法包括以下步骤:
用户设备向网络设备发送GBA初始化请求消息,其中携带有UAM序列号和用户识别数据;
所述用户设备在接收到所述网络设备返回的GBA初始化响应消息后,利用本地设置的共享参数对验证响应消息中携带的网络侧验证信息进行验证,并在验证通过后生成用户侧验证信息和GBA根密钥,向所述网络设备发送验证请求消息,其中携带所述用户设备生成的用户侧验证信息;其中,所述GBA初始化响应消息的发送过程包括:所述网络设备根据所述GBA初始化请求消息后,获取UAM序列号和用户识别数据,根据所述UAM序列号查找对应的共享参数,利用所述共享参数生成网络侧验证信息,利用所述共享参数加密所述用户识别数据,并向所述用户设备返回GBA初始化响应消息,其中携带所述网络设备生成的网络侧验证信息以及加密后的用户识别数据;
所述用户设备接收所述网络设备返回的验证响应消息,保存其中携带的GBA根密钥的标识信息和生命周期信息;其中,所述验证响应消息的发送过程包括:所述网络设备接收到所述用户设备发送的验证请求消息后,对所述验证请求消息中携带的用户侧验证信息进行验证,并在验证通过后为所述用户生成GBA根密钥,向所述用户设备返回验证响应消息,其中携带所述网络设备所生成的GBA根密钥的标识信息和生命周期信息。
7.如权利要求6所述的方法,其特征在于,所述验证响应消息中携带有所述用户设备生成的随机数;
所述用户设备生成GBA根密钥,具体为:所述用户设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,生成GBA根密钥;
所述网络设备为所述用户生成GBA根密钥,具体为:所述网络设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,为所述用户生成GBA根密钥。
8.如权利要求6所述的方法,其特征在于,所述用户设备生成用户侧验证信息,具体为:所述用户设备利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数生成用户侧验证数据。
9.如权利要求6所述的方法,其特征在于,所述用户设备在保存所述验证响应消息携带的GBA根密钥的标识信息和生命周期信息后,还包括:
所述用户设备将所述用户识别数据与所述GBA根密钥的标识信息进行绑定。
10.如权利要求6-9中任一项所述的方法,其特征在于,用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
11.一种网络设备,包括接口模块,其特征在于,还包括:
存储模块,用于存储与用户认证模块UAM序列号对应的共享参数;
获取模块,用于在所述接口模块接收用户设备发送的GBA初始化请求消息后,根据所述GBA初始化请求消息获取对应用户的用户识别数据和UAM序列号,并根据所述UAM序列号,根据所述存储模块查找对应的共享参数;
GBA初始化处理模块,用于利用所述共享参数生成网络侧验证信息,利用所述共享参数加密所述用户识别数据,并通过所述接口模块向所述用户设备返回GBA初始化响应消息,其中携带所述网络设备生成的网络侧验证信息以及加密后的用户识别数据;
验证模块,用于在所述接口模块接收到所述用户设备发送的验证请求消息后,对所述验证请求消息中携带的用户侧验证信息进行验证;
密钥生成模块,用于在所述验证模块验证通过后为所述用户生成GBA根密钥,并通过所述接口模块向所述用户设备返回验证响应消息,其中携带所述网络设备所生成的GBA根密钥的标识信息和生命周期信息。
12.如权利要求11所述的网络设备,其特征在于,所述密钥生成模块具体用于,利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,为所述用户生成GBA根密钥。
13.如权利要求11所述的网络设备,其特征在于,还包括:
绑定模块,用于在所述密钥生成模块为所述用户生成GBA根密钥后,将所述GBA根密钥的标识信息与所述用户识别数据进行绑定。
14.如权利要求11-13中任一项所述的网络设备,其特征在于,所述用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
15.一种用户设备,包括接口模块,其特征在于,还包括:
GBA初始化请求模块,用于通过所述接口模块向网络设备发送GBA初始化请求消息,其中携带有UAM序列号和用户识别数据;
验证模块,用于在所述接口模块接收到所述网络设备返回的GBA初始化响应消息后,利用本地设置的共享参数对所述验证响应消息中携带的网络侧验证信息进行验证;
密钥生成模块,用于在所述验证模块验证通过后生成用户侧验证信息和GBA根密钥,通过所述接口模块向所述网络设备发送验证请求消息,其中携带所述用户设备生成的用户侧验证信息;
存储模块,用于在所述接口模块接收到所述网络设备返回的验证响应消息后,保存其中携带的GBA根密钥的标识信息和生命周期信息。
16.如权利要求15所述的用户设备,其特征在于,所述验证响应消息中携带有所述用户设备生成的随机数;
所述密钥生成模块具体用于,利用所述共享参数、所述用户识别数据和所述用户设备生成的随机数,生成GBA根密钥。
17.如权利要求15所述的用户设备,其特征在于,还包括:
绑定模块,用于在所述存储模块保存所述验证响应消息携带的GBA根密钥的标识信息和生命周期信息后,将所述用户识别数据与所述GBA根密钥的标识信息进行绑定。
18.如权利要求15-17中任一项所述的用户设备,其特征在于,用户识别数据具体包括:国际移动用户识别码IMSI和移动用户国际号码MSISDN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210363295.XA CN103686710B (zh) | 2012-09-26 | 2012-09-26 | 一种gba初始化方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210363295.XA CN103686710B (zh) | 2012-09-26 | 2012-09-26 | 一种gba初始化方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103686710A CN103686710A (zh) | 2014-03-26 |
| CN103686710B true CN103686710B (zh) | 2017-03-22 |
Family
ID=50322720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210363295.XA Active CN103686710B (zh) | 2012-09-26 | 2012-09-26 | 一种gba初始化方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103686710B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105813072B (zh) * | 2014-12-29 | 2019-10-18 | ***通信集团公司 | 一种终端鉴权方法、***及云端服务器 |
| CN104902475B (zh) * | 2015-04-24 | 2020-06-02 | 梁融凌 | 一种远端sim卡转接装置及其鉴权方法 |
| CN113015159B (zh) * | 2019-12-03 | 2023-05-09 | ***通信有限公司研究院 | 初始安全配置方法、安全模块及终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1873668A1 (en) * | 2006-06-28 | 2008-01-02 | Nokia Siemens Networks Gmbh & Co. Kg | Integration of device integrity attestation into user authentication |
| CN101917671A (zh) * | 2010-08-06 | 2010-12-15 | 中兴通讯股份有限公司 | 一种鉴权参数的管理方法及终端 |
| CN102111669A (zh) * | 2009-12-24 | 2011-06-29 | ***通信集团公司 | 手机电视鉴权方法、装置及*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012092604A2 (en) * | 2010-12-30 | 2012-07-05 | Interdigital Patent Holdings, Inc. | Authentication and secure channel setup for communication handoff scenarios |
-
2012
- 2012-09-26 CN CN201210363295.XA patent/CN103686710B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1873668A1 (en) * | 2006-06-28 | 2008-01-02 | Nokia Siemens Networks Gmbh & Co. Kg | Integration of device integrity attestation into user authentication |
| CN102111669A (zh) * | 2009-12-24 | 2011-06-29 | ***通信集团公司 | 手机电视鉴权方法、装置及*** |
| CN101917671A (zh) * | 2010-08-06 | 2010-12-15 | 中兴通讯股份有限公司 | 一种鉴权参数的管理方法及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103686710A (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101641976B (zh) | 认证方法 | |
| JP4263384B2 (ja) | ユーザ加入識別モジュールの認証についての改善された方法 | |
| CN106101068B (zh) | 终端通信方法及*** | |
| CN101366299B (zh) | 使用特殊随机询问的引导认证 | |
| EP3249849B1 (en) | Key agreement for wireless communication | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和*** | |
| WO2018040758A1 (zh) | 认证方法、认证装置和认证*** | |
| CN108848495B (zh) | 一种使用预置密钥的用户身份更新方法 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN103581154B (zh) | 物联网***中的鉴权方法和装置 | |
| WO2015139622A1 (zh) | 密钥协商方法、用户设备和近距离通信控制网元 | |
| CN101621794A (zh) | 一种无线应用服务***的安全认证实现方法 | |
| CN103313242A (zh) | 密钥的验证方法及装置 | |
| CN102223231A (zh) | M2m终端认证***及认证方法 | |
| CN108156601A (zh) | 一种锁定sim卡的方法及装置 | |
| CN105813060A (zh) | 一种获取虚拟用户身份的方法及装置 | |
| CN111065101A (zh) | 基于区块链的5g通信信息加解密方法、设备及存储介质 | |
| US11647390B2 (en) | Information exchange method and apparatus | |
| CN102892102B (zh) | 一种在移动网络中实现机卡绑定的方法、***和设备 | |
| CN103686710B (zh) | 一种gba初始化方法、装置 | |
| CN100479569C (zh) | 一种受控的密钥更新方法 | |
| CN103313244B (zh) | 一种基于gba的认证方法及装置 | |
| CN101192921A (zh) | 共享密钥管理装置 | |
| CN104509144B (zh) | 在终端联接至接入网期间实现安全关联 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |