扩展的通用引导架构认证方法、装置及存储介质制造方法及图纸

本申请提供一种扩展的通用引导架构认证方法、装置及存储介质，该方法包括：第一网元获取B‑TID和Key lifetime；第一网元发送B‑TID和Key lifetime至终端，以使终端根据B‑TID和Key lifetime，与第一网元进行基于EAP的GBA AKA认证，从而实现终端与第一网元基于EAP完成GBA AKA认证。

Extended general guidance architecture authentication method, device and storage medium

【技术实现步骤摘要】
扩展的通用引导架构认证方法、装置及存储介质
本申请涉及通信
，尤其涉及一种扩展的通用引导架构认证方法、装置及存储介质。
技术介绍
作为移动通信的一种通用引导架构(GenericBootstrappingArchitecture,GBA)，GBA技术可被用来建立用户设备(UserEquipment,UE)与网络应用服务器(NetworkApplicationFunction,NAF)之间的安全隧道。其中，GBA技术包括GBA认证与密钥协商(AuthenticationandKeyAgreement,AKA)认证。在通用移动通信系统(UniversalMobileTelecommunicationsSystem,UMTS)3G场景，3GPPTS33.220已经给出了具体的GBAAKA认证定义。该已定义的GBAAKA认证中，是由UE与引导服务器功能(BootstrappingServerFunction,BSF)基于超文本传输协议(HyperTextTransferProtocol,HTTP)完成GBAAKA认证。专利技术人考虑到可扩展的身份验证协议(ExtensibleAuthenticationProtocol,EAP)的发展趋势，以及未来其他应用的可能性，研究一种扩展的GBA认证方法。
技术实现思路
本申请提供一种扩展的通用引导架构认证方法、装置及存储介质，以使UE与BSF基于EAP完成GBAAKA认证。第一方面，本申请提供一种扩展的通用引导架构认证方法，包括：第一网元获取B-TID和Keylifetime；第一网元发送B-TID和Keylifetime至终端，以使终端根据B-TID和Keylifetime，与第一网元进行基于EAP的GBAAKA认证。本申请的有益效果包括：由于本申请提供的扩展的通用引导架构认证方法基于EAP，因此，可以使UE与BSF基于EAP完成GBAAKA认证。可选地，第一网元获取B-TID，可以包括：第一网元根据RAND和BSFservername生成B-TID；或者，第一网元生成一标识，将该标识作为B-TID。可选地，第一网元发送B-TID和Keylifetime至终端，包括：第一网元发送EAP请求的AKA挑战消息给终端，该EAP请求的AKA挑战消息携带B-TID和Keylifetime。即通过EAP请求的AKA挑战消息传输B-TID和Keylifetime。可选地，第一网元发送B-TID和Keylifetime至终端之后，本申请提供的方法还可以包括：第一网元接收终端发送的RES和MAC，并执行RES和MAC的验证；若验证成功，第一网元生成密钥，并发送EAP-success消息至终端，完成基于EAP的GBAAKA认证。可选地，第一网元获取B-TID和Keylifetime之前，还包括：第一网元接收终端发送的终端的标识。可选地，第一网元接收终端发送的终端的标识之后，还包括：第一网元通过以下任一方式获取RAND、AUTN和MAC：方式一、第一网元执行AKA算法，生成RAND、AUTN和MAC；方式二、第一网元接收RAND、AUTN和MAC。可选地，第一网元接收终端发送的终端的标识，可以包括：第一网元接收第二网元发送的终端的标识，该终端的标识是由终端在接收到第二网元发送的EAP请求消息之后，发送给第二网元的。其中，EAP请求消息用于请求终端的标识。第二方面，本申请提供一种扩展的通用引导架构认证方法，包括：终端接收第一网元发送的B-TID和Keylifetime；终端根据B-TID和Keylifetime，与第一网元进行基于EAP的GBAAKA认证。本申请的有益效果包括：由于本申请提供的扩展的通用引导架构认证方法基于EAP，因此，可以使UE与BSF基于EAP完成GBAAKA认证。可选地，终端接收第一网元发送的B-TID和Keylifetime，可以包括：终端接收第一网元发送的EAP请求的AKA挑战消息，该EAP请求的AKA挑战消息携带B-TID和Keylifetime。可选地，终端根据B-TID和Keylifetime，与第一网元进行基于EAP的GBA认证，包括：终端获取获取RAND、AUTN和MAC；终端执行AKA算法，验证AUTN和MAC；终端生成RES和密钥；终端发送RES和MAC给所述第一网元，以使第一网元执行RES和MAC的验证，若验证成功，第一网元生成密钥，并发送EAP-success消息至终端；终端接收EAP-success消息。可选地，终端接收第一网元发送的B-TID和Keylifetime之前，还包括：终端发送终端的标识给第一网元。可选地，终端发送终端的标识给第一网元，包括：终端发送终端的标识给第二网元，以使第二网元发送终端的标识给第一网元。可选地，终端发送终端的标识给第一网元之前，还包括：终端接收第二网元发送的EAP请求消息，该EAP请求消息用于请求终端的标识。在上述基础上，还存在以下可能的实施方式：可选地，B-TID还可以用于确定BSF地址和/或密钥。可选地，B-TID和Keylifetime受MAC保护。可选地，终端和第一网元之间通过第二网元收发信息，这里的信息包括但不限于上述B-TID和Keylifetime。可选地，终端的标识可以为永久标识或者临时标识，包括以下任意一项：SUPI，SUCI，IMSI，IMPI，TMPI，GUTI，TMSI，IMPU，AppID，网络标识，服务标识和NAI。第三方面，本申请提供一种密钥生成方法，包括：获取密钥参数，该密钥参数包括；CK和IK、EMSK、MSK中的至少一项；根据密钥参数生成密钥。可选地，根据密钥参数生成密钥，包括以下实现方式的任一种：实现方式一、密钥参数包括；CK和IK，计算推衍公式一：Ks＝CK||IK，CK||IK代表CK和IK的级联；实现方式二、密钥参数包括；EMSK，计算推衍公式二：Ks＝EMSK；实现方式三、密钥参数包括；MSK，计算推衍公式三：Ks＝MSK；上述公式中，Ks表示生成的密钥。可选地，根据密钥参数生成密钥，包括：基于认证过程中生成的基础密钥生成密钥，其中，该基础密钥包括CK||IK、EMSK和MSK中的至少一项。可选地，基于认证过程中生成的基础密钥生成密钥，可以包括：通过以下方式生成密钥Ks，具体的推衍公式如下：公式四、Ks＝KDF(基础密钥)，其中，KDF表示密钥推衍函数；公式五、Ks＝KDF(基础密钥,BSFID)；公式六、Ks＝KDF(基础密钥,SNID)，SNID表示服务网络ID；公式七、Ks＝KDF(基础密钥,SNID,BSFID)。可选地，上述任一推衍公式还可以包括：指示协议类型的指示，该协议类型包括以下至少一项：EAP，EAPAKA，EAPAKA’，5G，5GAKA，GBA和5GGBA等。可选地，上述任一推衍公式还包括以下参数本文档来自技高网...

【技术保护点】
1.一种扩展的通用引导架构认证方法，其特征在于，包括：/n第一网元获取引导交易标识B-TID和密钥的生命周期Key lifetime；/n第一网元发送所述B-TID和所述Key lifetime至终端，以使所述终端根据所述B-TID和所述Key lifetime，与所述第一网元进行基于可扩展的身份验证协议EAP的通用引导架构GBA认证与密钥协商AKA认证。/n

【技术特征摘要】
1.一种扩展的通用引导架构认证方法，其特征在于，包括：
第一网元获取引导交易标识B-TID和密钥的生命周期Keylifetime；
第一网元发送所述B-TID和所述Keylifetime至终端，以使所述终端根据所述B-TID和所述Keylifetime，与所述第一网元进行基于可扩展的身份验证协议EAP的通用引导架构GBA认证与密钥协商AKA认证。


2.根据权利要求1所述的方法，其特征在于，所述第一网元获取B-TID，包括：
所述第一网元根据随机数RAND和引导服务器功能BSF服务器名称生成B-TID；
或者，所述第一网元生成一标识，作为所述B-TID。


3.根据权利要求1所述的方法，其特征在于，所述第一网元发送所述B-TID和所述Keylifetime至终端，包括：
所述第一网元发送EAP请求的AKA挑战消息给所述终端，所述EAP请求的AKA挑战消息携带所述B-TID和所述Keylifetime。


4.根据权利要求1所述的方法，其特征在于，所述第一网元发送所述B-TID和所述Keylifetime至终端之后，还包括：
所述第一网元接收所述终端发送的RES和消息验证码MAC；
所述第一网元执行所述RES和所述MAC的验证；
若验证成功，所述第一网元生成密钥，并发送EAP-success消息至所述终端。


5.根据权利要求1至4任一项所述的方法，其特征在于，所述终端和所述第一网元之间通过第二网元收发信息，所述信息包括所述B-TID和所述Keylifetime。


6.根据权利要求5所述的方法，其特征在于，所述第一网元获取B-TID和Keylifetime之前，还包括：
所述第一网元接收所述终端发送的所述终端的标识。


7.根据权利要求6所述的方法，其特征在于，所述第一网元接收所述终端发送的所述终端的标识之后，还包括：
所述第一网元通过以下任一方式获取随机数RAND、认证令牌AUTN和消息验证码MAC：
方式一、所述第一网元执行AKA算法，生成所述RAND、所述AUTN和所述MAC；
方式二、所述第一网元接收所述RAND、所述AUTN和所述MAC。


8.根据权利要求6所述的方法，其特征在于，所述第一网元接收所述终端发送的所述终端的标识，包括：
所述第一网元接收所述第二网元发送的所述终端的标识，所述终端的标识是由所述终端在接收到所述第二网元发送的EAP请求消息之后，发送给所述第二网元的，所述EAP请求消息用于请求所述终端的标识。


9.一种扩展的通用引导架构认证方法，其特征在于，包括：
终端接收第一网元发送的引导交易标识B-TID和密钥的生命周期Keylifetime；
所述终端根据所述B-TID和所述Keylifetime，与所述第一网元进行基于可扩展的身份验证协议EAP的通用引导架构GBA认证与密钥协商AKA认证。


10.根据权利要求9所述的方法，其特征在于，所述终端接收第一网元发送的B-TID和Keylifetime，包括：
所述终端接收所述第一网元发送的EAP请求的AKA挑战消息，所述EAP请求的AKA挑战消息携带所述B-TID和所述Keylifetime。


11.根据权利要求9所述的方法，其特征在于，所述终端根据所述B-TID和所述Keylifetime，与所述第一网元进行基于EAP的GBA认证，包括：
所述终端获取获取随机数RAND、认证令牌AUTN和消息验证码MAC；
所述终端执行AKA算法，验证所述AUTN和所述MAC；
所述终端生成RES和密钥；
所述终端发送所述RES和所述MAC给所述第一网元，以使所述第一网元执行所述RES和所述MAC的验证，若验证成功，所述第一网元生成密钥，并发送EAP-success消息至所述终端；
所述终端接收所述EAP-success消息。


12.根据权利要求9至11任一项所述的方法，其特征在于，所述终端和所述第一网元之间通过第二网元收发信息，所述信息包括所述B-TID和所述Keylifetime。


13.根据权利要求12所述的方法，其特征在于，所述终端接收第一网元发送的B-TID和Keylifetime之前，还包括：
所述终端发送所述终端的标识给所述第一网元。


14.根据权利要求13所述的方法，其特征在于，所述终端发送所述终端的标识给所述第一网元，包括：
所述终端发送所述终端的标识给所述第二网元，以使所述第二网元发送所述终端的标识给所述第一网元。


15.根据权利要求...

【专利技术属性】
技术研发人员：张博，菲利普·金兹伯格，瓦特里·尼米，佩卡·莱蒂宁，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44