【技术实现步骤摘要】
扩展的通用引导架构认证方法、装置及存储介质
本申请涉及通信
,尤其涉及一种扩展的通用引导架构认证方法、装置及存储介质。
技术介绍
作为移动通信的一种通用引导架构(GenericBootstrappingArchitecture,GBA),GBA技术可被用来建立用户设备(UserEquipment,UE)与网络应用服务器(NetworkApplicationFunction,NAF)之间的安全隧道。其中,GBA技术包括GBA认证与密钥协商(AuthenticationandKeyAgreement,AKA)认证。在通用移动通信系统(UniversalMobileTelecommunicationsSystem,UMTS)3G场景,3GPPTS33.220已经给出了具体的GBAAKA认证定义。该已定义的GBAAKA认证中,是由UE与引导服务器功能(BootstrappingServerFunction,BSF)基于超文本传输协议(HyperTextTransferProtocol,HTTP)完成GBAAKA认证。专利技术人考虑到可扩展的身份验证协议(ExtensibleAuthenticationProtocol,EAP)的发展趋势,以及未来其他应用的可能性,研究一种扩展的GBA认证方法。
技术实现思路
本申请提供一种扩展的通用引导架构认证方法、装置及存储介质,以使UE与BSF基于EAP完成GBAAKA认证。第一方面,本申请提供一种扩展的通用引导架构认证方法,包括:第一网元获取B-TID和Key ...
【技术保护点】
1.一种扩展的通用引导架构认证方法,其特征在于,包括:/n第一网元获取引导交易标识B-TID和密钥的生命周期Key lifetime;/n第一网元发送所述B-TID和所述Key lifetime至终端,以使所述终端根据所述B-TID和所述Key lifetime,与所述第一网元进行基于可扩展的身份验证协议EAP的通用引导架构GBA认证与密钥协商AKA认证。/n
【技术特征摘要】
1.一种扩展的通用引导架构认证方法,其特征在于,包括:
第一网元获取引导交易标识B-TID和密钥的生命周期Keylifetime;
第一网元发送所述B-TID和所述Keylifetime至终端,以使所述终端根据所述B-TID和所述Keylifetime,与所述第一网元进行基于可扩展的身份验证协议EAP的通用引导架构GBA认证与密钥协商AKA认证。
2.根据权利要求1所述的方法,其特征在于,所述第一网元获取B-TID,包括:
所述第一网元根据随机数RAND和引导服务器功能BSF服务器名称生成B-TID;
或者,所述第一网元生成一标识,作为所述B-TID。
3.根据权利要求1所述的方法,其特征在于,所述第一网元发送所述B-TID和所述Keylifetime至终端,包括:
所述第一网元发送EAP请求的AKA挑战消息给所述终端,所述EAP请求的AKA挑战消息携带所述B-TID和所述Keylifetime。
4.根据权利要求1所述的方法,其特征在于,所述第一网元发送所述B-TID和所述Keylifetime至终端之后,还包括:
所述第一网元接收所述终端发送的RES和消息验证码MAC;
所述第一网元执行所述RES和所述MAC的验证;
若验证成功,所述第一网元生成密钥,并发送EAP-success消息至所述终端。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述终端和所述第一网元之间通过第二网元收发信息,所述信息包括所述B-TID和所述Keylifetime。
6.根据权利要求5所述的方法,其特征在于,所述第一网元获取B-TID和Keylifetime之前,还包括:
所述第一网元接收所述终端发送的所述终端的标识。
7.根据权利要求6所述的方法,其特征在于,所述第一网元接收所述终端发送的所述终端的标识之后,还包括:
所述第一网元通过以下任一方式获取随机数RAND、认证令牌AUTN和消息验证码MAC:
方式一、所述第一网元执行AKA算法,生成所述RAND、所述AUTN和所述MAC;
方式二、所述第一网元接收所述RAND、所述AUTN和所述MAC。
8.根据权利要求6所述的方法,其特征在于,所述第一网元接收所述终端发送的所述终端的标识,包括:
所述第一网元接收所述第二网元发送的所述终端的标识,所述终端的标识是由所述终端在接收到所述第二网元发送的EAP请求消息之后,发送给所述第二网元的,所述EAP请求消息用于请求所述终端的标识。
9.一种扩展的通用引导架构认证方法,其特征在于,包括:
终端接收第一网元发送的引导交易标识B-TID和密钥的生命周期Keylifetime;
所述终端根据所述B-TID和所述Keylifetime,与所述第一网元进行基于可扩展的身份验证协议EAP的通用引导架构GBA认证与密钥协商AKA认证。
10.根据权利要求9所述的方法,其特征在于,所述终端接收第一网元发送的B-TID和Keylifetime,包括:
所述终端接收所述第一网元发送的EAP请求的AKA挑战消息,所述EAP请求的AKA挑战消息携带所述B-TID和所述Keylifetime。
11.根据权利要求9所述的方法,其特征在于,所述终端根据所述B-TID和所述Keylifetime,与所述第一网元进行基于EAP的GBA认证,包括:
所述终端获取获取随机数RAND、认证令牌AUTN和消息验证码MAC;
所述终端执行AKA算法,验证所述AUTN和所述MAC;
所述终端生成RES和密钥;
所述终端发送所述RES和所述MAC给所述第一网元,以使所述第一网元执行所述RES和所述MAC的验证,若验证成功,所述第一网元生成密钥,并发送EAP-success消息至所述终端;
所述终端接收所述EAP-success消息。
12.根据权利要求9至11任一项所述的方法,其特征在于,所述终端和所述第一网元之间通过第二网元收发信息,所述信息包括所述B-TID和所述Keylifetime。
13.根据权利要求12所述的方法,其特征在于,所述终端接收第一网元发送的B-TID和Keylifetime之前,还包括:
所述终端发送所述终端的标识给所述第一网元。
14.根据权利要求13所述的方法,其特征在于,所述终端发送所述终端的标识给所述第一网元,包括:
所述终端发送所述终端的标识给所述第二网元,以使所述第二网元发送所述终端的标识给所述第一网元。
15.根据权利要求...
【专利技术属性】
技术研发人员:张博,菲利普·金兹伯格,瓦特里·尼米,佩卡·莱蒂宁,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。