通用認(rèn)證機(jī)制的認(rèn)證方法
【專利摘要】本實(shí)施例公開了基于通用認(rèn)證機(jī)制的認(rèn)證方法���,在通用認(rèn)證機(jī)制認(rèn)證初始化時����,包括步驟:群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)進(jìn)行組內(nèi)雙向認(rèn)證,使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)相互認(rèn)可對方身份的有效性��;所述群組網(wǎng)關(guān)向網(wǎng)絡(luò)應(yīng)用功能NAF業(yè)務(wù)服務(wù)器請求接入后��,與所述NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證����;由于在本發(fā)明實(shí)施例中,群組內(nèi)的各個節(jié)點(diǎn)不需要分別與NAF業(yè)務(wù)服務(wù)器進(jìn)行認(rèn)證���;所以有效地減少了與NAF業(yè)務(wù)服務(wù)器的認(rèn)證次數(shù)����,進(jìn)而也就節(jié)約了由于認(rèn)證所帶來的網(wǎng)絡(luò)傳輸信令的開銷�����。
【專利說明】通用認(rèn)證機(jī)制的認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信網(wǎng)絡(luò)領(lǐng)域����,尤其涉及通用認(rèn)證機(jī)制的認(rèn)證方法�。
【背景技術(shù)】
[0002]GBA(General Bootstrapping Architecture,通用認(rèn)證機(jī)制)�����,是一種網(wǎng)絡(luò)應(yīng)用和移動終端之間生成共享密鑰的方法����,以保證客戶端和應(yīng)用服務(wù)器的通信安全��。GBA描述了如何在移動的上下文環(huán)境中使用基于AKA (Authentication and Key Agreement,認(rèn)證與密鑰協(xié)商協(xié)議)機(jī)制為網(wǎng)絡(luò)中節(jié)點(diǎn)和應(yīng)用服務(wù)器之間提供預(yù)共享密鑰的方法�。
[0003]GBA引入了網(wǎng)元BSF (Bootstrapping Function,啟動引導(dǎo)功能)服務(wù)器,它通過與AUC (Authentication Centre,認(rèn)證中心)之間的接口獲得用戶安全信息和認(rèn)證信息�。
[0004]其中AUC存儲有用于記錄所有使用者相關(guān)數(shù)據(jù)的數(shù)據(jù)庫;BSF服務(wù)器與網(wǎng)絡(luò)中節(jié)點(diǎn)之間執(zhí)行AKA協(xié)議相互鑒權(quán),得到業(yè)務(wù)根密鑰Ks,節(jié)點(diǎn)和NAF (Network ApplicationFunction,網(wǎng)絡(luò)應(yīng)用功能)業(yè)務(wù)服務(wù)器之間可以用此密鑰對數(shù)據(jù)作加密��;經(jīng)過GBA初始化后��,節(jié)點(diǎn)和NAF業(yè)務(wù)服務(wù)器之間會執(zhí)行某個應(yīng)用層的安全協(xié)議����,其鑒權(quán)是基于BSF服務(wù)器與節(jié)點(diǎn)雙向鑒權(quán)后得到的密鑰來實(shí)現(xiàn)的。綜上所述�����,GBA流程即節(jié)點(diǎn)與BSF服務(wù)器交互產(chǎn)生共享業(yè)務(wù)密鑰Ks,當(dāng)節(jié)點(diǎn)與NAF業(yè)務(wù)服務(wù)器交互的時候���,NAF業(yè)務(wù)服務(wù)器先要到BSF服務(wù)器中取得有效的Ks���,這樣節(jié)點(diǎn)與NAF業(yè)務(wù)服務(wù)器就可以用相同Ks進(jìn)行認(rèn)證鑒權(quán)。節(jié)點(diǎn)�、BSF服務(wù)器和NAF業(yè)務(wù)服務(wù)器三個網(wǎng)元之間的通信獨(dú)立于具體應(yīng)用,所以GBA架構(gòu)是通用的��。
[0005]通用認(rèn)證機(jī)制主要分為初始化和業(yè)務(wù)密鑰協(xié)商兩個過程�����,在初始化過程中�����,主要完成節(jié)點(diǎn)和BSF服務(wù)器之間的認(rèn)證和業(yè)務(wù)根密鑰協(xié)商�����;業(yè)務(wù)密鑰協(xié)商過程主要基于業(yè)務(wù)根密鑰完成節(jié)點(diǎn)和NAF業(yè)務(wù)服務(wù)器之間的共享業(yè)務(wù)密鑰協(xié)商����,用于后續(xù)認(rèn)證和安全交互。
[0006]在實(shí)際應(yīng)用中�����,具有相同屬性或者具有相同業(yè)務(wù)應(yīng)用需求的多個節(jié)點(diǎn)可以構(gòu)成一個群組并且以群組的方式與網(wǎng)絡(luò)側(cè)進(jìn)行通信���。在通信群組中�,群組中的各個節(jié)點(diǎn)通常會采用統(tǒng)一分配的群組標(biāo)識和群組地址��,統(tǒng)一進(jìn)行群組計費(fèi)����,統(tǒng)一進(jìn)行群組QoS (Quality ofService,服務(wù)質(zhì)量)管理及配置等措施實(shí)現(xiàn)終端的群組化管理�����,提高網(wǎng)絡(luò)對終端管理的效率及管理的一致性��。
[0007]發(fā)明人經(jīng)過研究發(fā)現(xiàn)��,現(xiàn)有技術(shù)中�,至少存在有以下的缺陷:
[0008]現(xiàn)有的通用認(rèn)證機(jī)制中的認(rèn)證方法中,所采用的方式為基于網(wǎng)絡(luò)AKA機(jī)制���,需要群組中的各個節(jié)點(diǎn)單獨(dú)和NAF進(jìn)行認(rèn)證并生成共享業(yè)務(wù)密鑰�,每執(zhí)行一次只能夠?qū)σ粋€節(jié)點(diǎn)進(jìn)行認(rèn)證。所以�,在對通信群組進(jìn)行認(rèn)證時,需要分別對通訊群組中的每一個節(jié)點(diǎn)單獨(dú)發(fā)起基于通用認(rèn)證機(jī)制的認(rèn)證�����;由于這種方式需要重復(fù)多次的認(rèn)證過程����,從而給網(wǎng)絡(luò)帶來了很大的信令開銷,使得網(wǎng)絡(luò)資源占用較大�。
【發(fā)明內(nèi)容】
[0009]有鑒于此,本發(fā)明實(shí)施例的目的在于提供一種通用認(rèn)證機(jī)制的認(rèn)證方法��,以達(dá)到減少基于通用認(rèn)證機(jī)制中的認(rèn)證過程中所占用的網(wǎng)絡(luò)資源的目的�。[0010]為實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供了如下技術(shù)方案:
[0011]一種基于通用認(rèn)證機(jī)制的認(rèn)證方法����,在基于通用認(rèn)證機(jī)制GBA認(rèn)證初始化時,包括步驟:
[0012]群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)進(jìn)行組內(nèi)雙向認(rèn)證���,使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)相互認(rèn)可對方身份的有效性;
[0013]所述群組網(wǎng)關(guān)向網(wǎng)絡(luò)應(yīng)用功能NAF業(yè)務(wù)服務(wù)器請求接入后,與所述NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證�;
[0014]所述組外雙向認(rèn)證包括:
[0015]所述群組網(wǎng)關(guān)被所述NAF業(yè)務(wù)服務(wù)器的NAF引導(dǎo),獲準(zhǔn)進(jìn)行基于GBA認(rèn)證之后�����,所述群組網(wǎng)關(guān)向啟動引導(dǎo)功能BSF服務(wù)器發(fā)送包括有群組標(biāo)識的初始獲取請求消息���;
[0016]所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向認(rèn)證中心AUC請求獲取網(wǎng)關(guān)認(rèn)證向量�����、與群組內(nèi)各個節(jié)點(diǎn)對應(yīng)的包括有節(jié)點(diǎn)加密密鑰CKi和節(jié)點(diǎn)完整性保護(hù)密鑰IKi的節(jié)點(diǎn)密鑰參數(shù)向量�,并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp����,根據(jù)所述節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)每個節(jié)點(diǎn)的節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi ;為所述群組網(wǎng)關(guān)生成網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp,為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi ����;
[0017]所述群組網(wǎng)關(guān)分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有所述網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)參數(shù)RAND和所述B-TIDi的參數(shù)傳輸消息,并根據(jù)網(wǎng)關(guān)根密鑰Kp和所述RAND生成Ksp �����;
[0018]群組內(nèi)各個節(jié)點(diǎn)存儲所述B-TIDi,并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量中的RAND和各自的根密鑰信息在本地生成節(jié)點(diǎn)加密密鑰CK1�����、節(jié)點(diǎn)完整性保護(hù)密鑰IKi和節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi����。
[0019]優(yōu)選的,在本發(fā)明實(shí)施例中��,所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向AUC請求獲取網(wǎng)關(guān)認(rèn)證向量���、與群組內(nèi)各個節(jié)點(diǎn)對應(yīng)的包括有CKi和IKi的節(jié)點(diǎn)密鑰參數(shù)向量,并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量生成Ksp,根據(jù)所述節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)每個節(jié)點(diǎn)的Ksi,為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi���,包括:
[0020]所述BSF服務(wù)器向所述AUC發(fā)送認(rèn)證向量請求消息,所述AUC根據(jù)所述認(rèn)證向量請求消息中的業(yè)務(wù)層群組標(biāo)識獲取所述群組網(wǎng)關(guān)的簽約信息和網(wǎng)關(guān)根密鑰Kp ;并生成所述群組網(wǎng)關(guān)的四元組或五元組網(wǎng)關(guān)認(rèn)證向量�����;同時��,所述AUC根據(jù)所述群組標(biāo)識獲取群組內(nèi)各個節(jié)點(diǎn)的簽約信息及節(jié)點(diǎn)根密鑰Ki����,并生成群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量CKi與 IKi ��;
[0021]所述AUC向所述BSF服務(wù)器返回包括有所述群組標(biāo)識��、網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量的認(rèn)證向量響應(yīng)消息;
[0022]所述群組網(wǎng)關(guān)獲取由所述BSF服務(wù)器發(fā)送的����、包括有網(wǎng)關(guān)認(rèn)證向量中RAND和認(rèn)證令牌的認(rèn)證消息,并通過所述認(rèn)證令牌的驗(yàn)證后�,根據(jù)Kp和所述RAND生成認(rèn)證響應(yīng)參數(shù)RESP和網(wǎng)關(guān)密鑰參數(shù)向量CKp與ΙΚρ,并生成Ksp ;所述群組網(wǎng)關(guān)向所述BSF服務(wù)器發(fā)送包括有RESP的認(rèn)證響應(yīng)消息�;
[0023]所述BSF服務(wù)器驗(yàn)證通過所述認(rèn)證響應(yīng)消息后,根據(jù)獲取自所述AUC的網(wǎng)關(guān)認(rèn)證向量生成Ksp��,并根據(jù)獲取自所述AUC的節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)各個節(jié)點(diǎn)的Ksi ;為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi�����。[0024]優(yōu)選的�����,在本發(fā)明實(shí)施例中�����,所述群組網(wǎng)關(guān)分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有網(wǎng)關(guān)認(rèn)證向量中的隨RAND和B-TIDi的參數(shù)傳輸消息,包括:
[0025]所述群組網(wǎng)關(guān)接收所述BSF服務(wù)器發(fā)送的包括有網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp和群組內(nèi)各個節(jié)點(diǎn)的B-TIDi的確認(rèn)消息����;
[0026]所述群組網(wǎng)關(guān)將包括所述RAND和B-TIDi的參數(shù)傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)。
[0027]優(yōu)選的��,在本發(fā)明實(shí)施例中�����,根據(jù)所述Ksi為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi����,包括:
[0028]根據(jù)Ksi按照設(shè)定的節(jié)點(diǎn)排序生成群組內(nèi)各個節(jié)點(diǎn)的B-TIDi ;
[0029]所述群組網(wǎng)關(guān)將包括所述RAND和B-TIDi的參數(shù)傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)���,包括:
[0030]按照設(shè)定的節(jié)點(diǎn)排序?qū)ㄋ鯮AND和B-TIDi的參數(shù)傳輸消息發(fā)送至群組內(nèi)各個節(jié)點(diǎn)���。
[0031]優(yōu)選的,在本發(fā)明實(shí)施例中���,根據(jù)所述Ksi為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi�����,包括:
[0032]根據(jù)所述確認(rèn)消息中還包括�����,與所述B-TIDi對應(yīng)的節(jié)點(diǎn)標(biāo)識���;所述節(jié)點(diǎn)標(biāo)識用于標(biāo)識群組內(nèi)各個節(jié)點(diǎn)。
[0033]所述群組網(wǎng)關(guān)將包括所述RAND和B-TIDi的參數(shù)傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)為:
[0034]將所述B-TIDi的參數(shù)傳輸消息發(fā)送至與所述節(jié)點(diǎn)標(biāo)識對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)�����。
[0035]優(yōu)選的����,在本發(fā)明實(shí)施例中,分段傳輸所述認(rèn)證向量響應(yīng)消息�。
[0036]優(yōu)選的,在本發(fā)明實(shí)施例中��,所述組內(nèi)雙向認(rèn)證包括:
[0037]基于預(yù)共享密鑰PSK認(rèn)證方法����。
[0038]優(yōu)選的,在本發(fā)明實(shí)施例中���,所述組內(nèi)雙向認(rèn)證包括:
[0039]基于公共密鑰架構(gòu)PKI認(rèn)證方法��。
[0040]優(yōu)選的���,在本發(fā)明實(shí)施例中�����,所述群組標(biāo)識記錄于所述群組網(wǎng)關(guān)(U) SM卡�����、群組內(nèi)各個節(jié)點(diǎn)⑶SIM卡和所述AUC中的簽約信息中�。
[0041]優(yōu)選的�����,在本發(fā)明實(shí)施例中�,所述群組標(biāo)識包括:
[0042]群組網(wǎng)關(guān)的網(wǎng)關(guān)業(yè)務(wù)層標(biāo)識IMPIp。
[0043]優(yōu)選的���,在本發(fā)明實(shí)施例中���,所述所群組內(nèi)的各個節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識包括:
[0044]所述群組標(biāo)識和節(jié)點(diǎn)業(yè)務(wù)層標(biāo)識MPI i���。
[0045]優(yōu)選的,在本發(fā)明實(shí)施例中�,當(dāng)所述組內(nèi)雙向認(rèn)證由群組內(nèi)的節(jié)點(diǎn)發(fā)起時,群組網(wǎng)關(guān)對所述發(fā)起組內(nèi)雙向認(rèn)證的節(jié)點(diǎn)進(jìn)行雙向認(rèn)證后����,再對群組內(nèi)其他節(jié)點(diǎn)進(jìn)行雙向認(rèn)證。
[0046]優(yōu)選的���,在本發(fā)明實(shí)施例中,還包括業(yè)務(wù)密鑰協(xié)商:
[0047]所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息����;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成節(jié)點(diǎn)業(yè)務(wù)密Ks_NAFi后向所述群組網(wǎng)關(guān)發(fā)送;所述節(jié)點(diǎn)請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ���;
[0048]根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi���,所述NAF業(yè)務(wù)服務(wù)器獲取相應(yīng)節(jié)點(diǎn)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息;[0049]所述群組網(wǎng)關(guān)向所述群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息��。
[0050]優(yōu)選的,在本發(fā)明實(shí)施例中���,還包括業(yè)務(wù)密鑰協(xié)商��,步驟如下:
[0051 ] 所述群組網(wǎng)關(guān)根據(jù)Ksp生成網(wǎng)關(guān)業(yè)務(wù)密鑰Ks_NAFp后向所述NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息�����;
[0052]根據(jù)所述網(wǎng)關(guān)應(yīng)用請求消息���,所述NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送包括B-TIDp和NAF業(yè)務(wù)服務(wù)器標(biāo)識NAF-hostname的認(rèn)證請求消息,在獲取所述BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后�,所述NAF業(yè)務(wù)服務(wù)器存儲所述群組網(wǎng)關(guān)的Ks_NAFp及上下文信息,以及群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1����、B-TIDi和上下文信息,并向所述群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息��;
[0053]在所述群組網(wǎng)關(guān)與所述NAF業(yè)務(wù)服務(wù)器完成業(yè)務(wù)密鑰協(xié)商后����,所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi后�,向所述群組網(wǎng)關(guān)發(fā)送�;所述節(jié)點(diǎn)應(yīng)用請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi �����;
[0054]所述NAF業(yè)務(wù)服務(wù)器根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi查找對應(yīng)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)返回節(jié)點(diǎn)應(yīng)用應(yīng)答消息����;
[0055]所述群組網(wǎng)關(guān)向所述群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息。
[0056]在本發(fā)明實(shí)施例中����,還提供了另一種基于通用認(rèn)證機(jī)制的認(rèn)證方法,在通用認(rèn)證機(jī)制GBA認(rèn)證初始化時,包括步驟:
[0057]群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)進(jìn)行組內(nèi)雙向認(rèn)證����,使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)相互認(rèn)可對方身份的有效性;
[0058]所述群組網(wǎng)關(guān)向網(wǎng)絡(luò)應(yīng)用功能NAF業(yè)務(wù)服務(wù)器請求接入后���,與所述NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證;
[0059]所述組外雙向認(rèn)證包括:
[0060]所述群組網(wǎng)關(guān)被所述NAF業(yè)務(wù)服務(wù)器的NAF引導(dǎo)�,獲準(zhǔn)進(jìn)行基于GBA認(rèn)證之后,所述群組網(wǎng)關(guān)向BSF服務(wù)器發(fā)送包括有群組標(biāo)識的初始獲取請求消息�;
[0061]所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向認(rèn)證中心AUC獲取網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量,以網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)�、網(wǎng)關(guān)的用戶名和口令為參數(shù)生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp�����,以所述隨機(jī)數(shù)��、群組中各個節(jié)點(diǎn)各自的用戶名和口令為參數(shù)生成對應(yīng)的節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi ;生成網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識 B-TIDi ����;
[0062]所述群組網(wǎng)關(guān)以所述隨機(jī)數(shù)���、網(wǎng)關(guān)用戶名和口令為參數(shù)生成認(rèn)證響應(yīng)參數(shù)以及Ksp����,并分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有所述隨機(jī)數(shù)和所述B-TIDi的參數(shù)傳輸消息�����;
[0063]群組內(nèi)各個節(jié)點(diǎn)存儲所述B-TIDi�����,并以所述隨機(jī)數(shù)和群組內(nèi)各個節(jié)點(diǎn)的用戶名和口令為參數(shù)在本地生成節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi����。
[0064]優(yōu)選的��,在本發(fā)明實(shí)施例中����,所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向認(rèn)證中心AUC獲取網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量��,以網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)�、網(wǎng)關(guān)的用戶名和口令為參數(shù)生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp,以所述隨機(jī)數(shù)��、群組中各個節(jié)點(diǎn)各自的用戶名和口令為參數(shù)生成對應(yīng)的節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi ;生成網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi ;和�����,[0065]所述群組網(wǎng)關(guān)以所述隨機(jī)數(shù)���、網(wǎng)關(guān)用戶名和口令為參數(shù)生成認(rèn)證響應(yīng)參數(shù)以及Ksp����,并分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有所述隨機(jī)數(shù)和所述B-TIDi的參數(shù)傳輸消息���,具體包括步驟:
[0066]所述BSF服務(wù)器向所述AUC發(fā)送認(rèn)證向量請求消息,所述認(rèn)證向量請求消息請求包括有所述業(yè)務(wù)層群組標(biāo)識���;
[0067]所述AUC根據(jù)所述業(yè)務(wù)層群組標(biāo)識獲取群組網(wǎng)關(guān)信息并生成網(wǎng)關(guān)認(rèn)證向量SD-AVp ;根據(jù)所述業(yè)務(wù)層群組標(biāo)識獲取群組中各個節(jié)點(diǎn)的節(jié)點(diǎn)信息���,并生成節(jié)點(diǎn)認(rèn)證向量SD-AVi后�,向所述BSF服務(wù)器發(fā)送認(rèn)證向量響應(yīng)消息���;
[0068]所述BSF服務(wù)器獲取所述認(rèn)證向量響應(yīng)消息中的所述網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量�����,并向所述群組網(wǎng)關(guān)發(fā)送包括有隨機(jī)數(shù)的認(rèn)證消息����;
[0069]所述群組網(wǎng)關(guān)接收所述認(rèn)證消息后����,以隨機(jī)數(shù)、網(wǎng)關(guān)用戶名和口令為參數(shù)生成認(rèn)證響應(yīng)參數(shù)以及Ksp,并向所述BSF服務(wù)器返回包括有認(rèn)證響應(yīng)參數(shù)RESP的認(rèn)證響應(yīng)消息���;
[0070]所述BSF服務(wù)器驗(yàn)證通過所述認(rèn)證響應(yīng)消息后�����,以隨機(jī)數(shù)�����、網(wǎng)關(guān)用戶名和口令為參數(shù)生成Ksp�,并生成B-TIDp、并以隨機(jī)數(shù)�����、節(jié)點(diǎn)用戶名和口令為參數(shù)生成群組中各個節(jié)點(diǎn)的Ksi�����,并生成其對應(yīng)的B-TIDi ;并向所述群組網(wǎng)關(guān)發(fā)送包括有B-TIDp和群組中各個節(jié)點(diǎn)的 B-TIDi0
[0071]優(yōu)選的����,在本發(fā)明實(shí)施例中,所述群組標(biāo)識包括:
[0072]群組網(wǎng)關(guān)的網(wǎng)關(guān)用戶名����。
[0073]優(yōu)選的,在本發(fā)明實(shí)施例中���,所述所群組內(nèi)的各個節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識包括:
[0074]所述群組標(biāo)識和節(jié)點(diǎn)用戶名�。
[0075]優(yōu)選的,在本發(fā)明實(shí)施例中��,還包括業(yè)務(wù)密鑰協(xié)商:
[0076]所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息��;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAFi后向所述群組網(wǎng)關(guān)發(fā)送�;所述節(jié)點(diǎn)請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ����;
[0077]根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息,所述NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送認(rèn)證請求消息���,在獲取所述BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后��,存儲所述群組內(nèi)節(jié)點(diǎn)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息����;所述認(rèn)證請求消息包括B-TIDi和NAF業(yè)務(wù)服務(wù)器標(biāo)識NAF-hostname �����;
[0078]所述群組網(wǎng)關(guān)向所述群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息���。
[0079]優(yōu)選的�����,在本發(fā)明實(shí)施例中���,還包括業(yè)務(wù)密鑰協(xié)商:
[0080]所述群組網(wǎng)關(guān)根據(jù)Ksp生成Ks_NAFp后向所述NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息��;所述網(wǎng)關(guān)應(yīng)用請求消息包括B-TIDp以及網(wǎng)關(guān)消息信息msg ��;
[0081]根據(jù)所述網(wǎng)關(guān)應(yīng)用請求消息����,所述NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送包括B-TIDp和NAF-hostname的認(rèn)證請求消息���,在獲取所述BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后����,所述NAF業(yè)務(wù)服務(wù)器存儲所述群組網(wǎng)關(guān)的Ks _NAFp及上下文信息���,以及群組內(nèi)各個節(jié)點(diǎn)的Ks_NAFi, B-TIDi和上下文信息����,并向所述群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息��;
[0082]在所述群組網(wǎng)關(guān)與所述NAF業(yè)務(wù)服務(wù)器完成業(yè)務(wù)密鑰協(xié)商后,所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息�����;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi后����,向所述群組網(wǎng)關(guān)發(fā)送��;所述節(jié)點(diǎn)應(yīng)用請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ��;
[0083]所述NAF業(yè)務(wù)服務(wù)器根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi查找對應(yīng)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)返回節(jié)點(diǎn)應(yīng)用應(yīng)答消息����;
[0084]所述群組網(wǎng)關(guān)向所述群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息綜上所述,在本發(fā)明實(shí)施例中�����,通過群組網(wǎng)關(guān)將群組內(nèi)的各個節(jié)點(diǎn)首先進(jìn)行群組內(nèi)雙向認(rèn)證��,然后再由群組網(wǎng)關(guān)與NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證�,由于在本發(fā)明實(shí)施例中,群組內(nèi)的各個節(jié)點(diǎn)不需要分別與NAF業(yè)務(wù)服務(wù)器進(jìn)行認(rèn)證���;所以有效地減少了與NAF業(yè)務(wù)服務(wù)器的認(rèn)證次數(shù)���,進(jìn)而也就節(jié)約了由于認(rèn)證所帶來的網(wǎng)絡(luò)傳輸信令的開銷����。
【專利附圖】
【附圖說明】
[0085]圖1為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的流程示意圖����;
[0086]圖2為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖;
[0087]圖3為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖���;
[0088]圖4為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖����;
[0089]圖5為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖�;
[0090]圖6為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖;
[0091]圖7為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖�����;
[0092]圖8為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖��;
[0093]圖9為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖����;
[0094]圖10為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖���;
[0095]圖11為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖;
[0096]圖12為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖���;
[0097]圖13為本發(fā)明實(shí)施例中所述通用認(rèn)證機(jī)制的認(rèn)證方法的又一流程示意圖����。
【具體實(shí)施方式】
[0098]本發(fā)明實(shí)施例公開了通用認(rèn)證機(jī)制的認(rèn)證方法�����,為使本發(fā)明的目的���、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉實(shí)施例��,對本發(fā)明作進(jìn)一步詳細(xì)說明�����。
[0099]參考圖1���,在本發(fā)明實(shí)施例中�,基于GBA的認(rèn)證方法,在通用認(rèn)證機(jī)制認(rèn)證初始化時�,包括步驟:
[0100]S11、群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)進(jìn)行組內(nèi)雙向認(rèn)證��,使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)相互認(rèn)可對方身份的有效性�;
[0101]本發(fā)明實(shí)施例的應(yīng)用場景之一包括智能抄表應(yīng)用,具體的���,同一地理位置區(qū)域的計量表(如水表��、電表���、氣表)可組成一個群組,通過網(wǎng)關(guān)��,群組內(nèi)的各個節(jié)點(diǎn)與外網(wǎng)和業(yè)務(wù)平臺進(jìn)行通信�。此外,本發(fā)明實(shí)施例還可以應(yīng)用于以家庭為群組���,家庭中的多個智能終端為群組內(nèi)各個節(jié)點(diǎn)�,通過網(wǎng)關(guān)與外網(wǎng)和業(yè)務(wù)平臺進(jìn)行通信的場景�����;或者,以應(yīng)用于將車載設(shè)備組合為群組�����,車輛中的多個智能終端為群組內(nèi)各個節(jié)點(diǎn)����,通過網(wǎng)關(guān)與外網(wǎng)和業(yè)務(wù)平臺進(jìn)行通信的場景。
[0102]在本發(fā)明實(shí)施例中����,應(yīng)用例之一設(shè)定為群組的網(wǎng)關(guān)和群組內(nèi)的各個節(jié)點(diǎn)均設(shè)有(U) SIM卡�;群組設(shè)有群組標(biāo)識,群組標(biāo)識可以記錄于群組網(wǎng)關(guān)(U) SIM卡����、群組內(nèi)各個節(jié)點(diǎn)(U)SM卡和所述AUC中的簽約信息中。具體的����,該群組標(biāo)識可以是群組網(wǎng)關(guān)的網(wǎng)關(guān)業(yè)務(wù)層標(biāo)識MPIp,群組內(nèi)的各個節(jié)點(diǎn)包含網(wǎng)關(guān)業(yè)務(wù)層標(biāo)識MPIp和節(jié)點(diǎn)業(yè)務(wù)層標(biāo)識MPIi���。
[0103]在發(fā)起組內(nèi)雙向認(rèn)證時����,可以首先由群組內(nèi)的節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送接入請求消息;群組網(wǎng)關(guān)在接收到接入請求消息后通過向群組內(nèi)各個節(jié)點(diǎn)發(fā)送認(rèn)證請求消息以發(fā)起組內(nèi)雙向認(rèn)證�����,當(dāng)群組內(nèi)的各個節(jié)點(diǎn)向群組網(wǎng)關(guān)返回認(rèn)證響應(yīng)消息后��,組內(nèi)雙向認(rèn)證完成�。
[0104]在本發(fā)明實(shí)施例中,組內(nèi)雙向認(rèn)證具體的可以是基于預(yù)共享密鑰PSK認(rèn)證方法��,或基于公共密鑰架構(gòu)PKI認(rèn)證方法���。
[0105]為了避免非法節(jié)點(diǎn)通過發(fā)送接入請求消息而發(fā)起的主動攻擊����,在本發(fā)明實(shí)施例中�����,組內(nèi)雙向認(rèn)證還可以是���,在群組網(wǎng)關(guān)接收到群組內(nèi)的節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送的接入請求后����,首先與發(fā)送該接入請求的節(jié)點(diǎn)進(jìn)行雙向認(rèn)證,然后再與群組內(nèi)的其他節(jié)點(diǎn)進(jìn)行雙向認(rèn)證�����。
[0106]群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器請求接入后����,與NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證;組外雙向認(rèn)證包括:
[0107]S12���、群組網(wǎng)關(guān)被NAF業(yè)務(wù)服務(wù)器的網(wǎng)絡(luò)應(yīng)用功能引導(dǎo)�,獲準(zhǔn)進(jìn)行基于GBA認(rèn)證之后�,群組網(wǎng)關(guān)向BSF服務(wù)器發(fā)送包括有業(yè)務(wù)層群組標(biāo)識的初始獲取請求消息�;
[0108]在組內(nèi)雙向認(rèn)證完成后,群組網(wǎng)關(guān)啟動基于GBA的組外雙向認(rèn)證��,具體包括:
[0109]群組網(wǎng)關(guān)向具有NAF功能的NAF業(yè)務(wù)服務(wù)器發(fā)送接入請求消息����,以請求接入NAF業(yè)務(wù)服務(wù)器���;在NAF需要使用基于GBA方法進(jìn)行認(rèn)證并獲得共享密鑰的情況下,NAF向群組網(wǎng)關(guān)發(fā)送引導(dǎo)初始化請求消息���,以獲準(zhǔn)群組網(wǎng)關(guān)發(fā)起基于GBA的組外雙向認(rèn)證����。
[0110]群組網(wǎng)關(guān)接收引導(dǎo)初始化請求消息后���,向BSF服務(wù)器發(fā)送包括有業(yè)務(wù)層群組標(biāo)識的初始獲取請求消息�����。
[0111]S13�����、BSF服務(wù)器根據(jù)群組標(biāo)識向AUC請求獲取網(wǎng)關(guān)認(rèn)證向量���、與群組內(nèi)各個節(jié)點(diǎn)對應(yīng)的包括有CKi和IKi的節(jié)點(diǎn)密鑰參數(shù)向量,并根據(jù)網(wǎng)關(guān)認(rèn)證向量生成Ksp��,根據(jù)節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)每個節(jié)點(diǎn)的Ksi,為群組網(wǎng)關(guān)生成B-TIDp�����,為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi �����;
[0112]參考圖2��,具體的��,步驟S13可以細(xì)化為以下子步驟:
[0113]S13UBSF服務(wù)器向AUC發(fā)送認(rèn)證向量請求消息����,所述AUC根據(jù)認(rèn)證向量請求消息中的業(yè)務(wù)層群組標(biāo)識獲取群組網(wǎng)關(guān)的簽約信息和Kp ;并生成群組網(wǎng)關(guān)的四元組或五元組網(wǎng)關(guān)認(rèn)證向量;同時��,AUC根據(jù)業(yè)務(wù)層群組標(biāo)識獲取群組內(nèi)各個節(jié)點(diǎn)的簽約信息及Ki����,并生成群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量CKi與IKi ;
[0114]BSF服務(wù)器接收到初始獲取請求消息后��,向AUC發(fā)送認(rèn)證向量請求消息��,該認(rèn)證向量請求消息包括有業(yè)務(wù)層群組標(biāo)識�;
[0115]AUC根據(jù)業(yè)務(wù)層群組標(biāo)識獲取群組網(wǎng)關(guān)的簽約信息和Kp,并生成群組網(wǎng)關(guān)完整的四元組或五元組網(wǎng)關(guān)認(rèn)證向量�����;同時�����,根據(jù)業(yè)務(wù)層群組標(biāo)識���,AUC還要獲取該群組內(nèi)各個節(jié)點(diǎn)的簽約信息及Ki�����,并生成各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量CKi和IKi�。
[0116]S132���、AUC向BSF服務(wù)器返回包括有業(yè)務(wù)層群組標(biāo)識����、網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量的認(rèn)證向量響應(yīng)消息�����;
[0117]接著,AUC向BSF服務(wù)器返回包括網(wǎng)關(guān)認(rèn)證向量����、與群組內(nèi)各個節(jié)點(diǎn)對應(yīng)的節(jié)點(diǎn)密鑰參數(shù)向量的認(rèn)證向量響應(yīng)消息,節(jié)點(diǎn)密鑰參數(shù)向量包括有CKi和IKi��。具體的,在實(shí)際應(yīng)用中��,認(rèn)證向量響應(yīng)消息可以在其數(shù)據(jù)量較大時�����,分段傳輸�。
[0118]S133、群組網(wǎng)關(guān)獲取由所述BSF服務(wù)器發(fā)送的����、包括有網(wǎng)關(guān)認(rèn)證向量中RAND和認(rèn)證令牌的認(rèn)證消息,并通過認(rèn)證令牌的驗(yàn)證后���,根據(jù)Kp和RAND生成RESP和網(wǎng)關(guān)密鑰參數(shù)向量CKp與ΙΚρ����,并生成Ksp ;群組網(wǎng)關(guān)向BSF服務(wù)器發(fā)送包括有RESP的認(rèn)證響應(yīng)消息;
[0119]BSF服務(wù)器在接收到認(rèn)證向量響應(yīng)消息后���,會向群組網(wǎng)關(guān)發(fā)送認(rèn)證消息,該認(rèn)證消息包括RAND和認(rèn)證令牌���;
[0120]群組網(wǎng)關(guān)接收到BSF服務(wù)器所發(fā)送的認(rèn)證消息后�,對認(rèn)證令牌的合法性進(jìn)行驗(yàn)證���,在通過認(rèn)證令牌的合法性驗(yàn)證后����,根據(jù)Kp和RAND生成RESP和網(wǎng)關(guān)密鑰參數(shù)向量CKp與ΙΚρ����,并生成Ksp。接著��,群組網(wǎng)關(guān)向BSF服務(wù)器發(fā)送包括有RESP的認(rèn)證響應(yīng)消息��。如果認(rèn)證令牌的合法性驗(yàn)證失敗����,則表明群組網(wǎng)關(guān)對網(wǎng)絡(luò)認(rèn)證失敗���,此時退出處理流程。
[0121]S134����、BSF服務(wù)器驗(yàn)證通過認(rèn)證響應(yīng)消息后,根據(jù)獲取自AUC的網(wǎng)關(guān)認(rèn)證向量生成Ksp���,為群組網(wǎng)關(guān)生成B-TIDp ;并根據(jù)獲取自AUC的節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)各個節(jié)點(diǎn)的Ksi ;為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi��。
[0122]BSF服務(wù)器在收到認(rèn)證響應(yīng)消息后�,首先要將群組網(wǎng)關(guān)發(fā)送的認(rèn)證響應(yīng)消息中認(rèn)證響應(yīng)參數(shù)與認(rèn)證向量中的XRES進(jìn)行匹配驗(yàn)證���,匹配通過后��,根據(jù)已獲取自所述AUC的網(wǎng)關(guān)認(rèn)證向量生成群組網(wǎng)關(guān)的Ksp����,并生成B-TIDp ;并根據(jù)已獲取自AUC的節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)各個節(jié)點(diǎn)的Ksi ;為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi�。接著,BSF服務(wù)器向群組網(wǎng)關(guān)發(fā)送確認(rèn)消息�。如果匹配不通過,則表明網(wǎng)絡(luò)對群組網(wǎng)關(guān)認(rèn)證失敗�,此時退出處理流程���。確認(rèn)消息中包括網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識。
[0123]S14���、群組網(wǎng)關(guān)分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有所述網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)參數(shù)和B-TIDi的參數(shù)傳輸消息,并根據(jù)Kp和RAND生成Ksp ��;
[0124]參考圖3具體的�,步驟S14可以細(xì)化為以下子步驟:
[0125]S141、群組網(wǎng)關(guān)接收BSF服務(wù)器發(fā)送的包括有B-TIDp和群組內(nèi)各個節(jié)點(diǎn)的B-TIDi的確認(rèn)消息����;
[0126]S142、群組網(wǎng)關(guān)將包括RAND和B-TIDi的參數(shù)傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)���。
[0127]S15���、群組內(nèi)各個節(jié)點(diǎn)存儲對應(yīng)的B-TIDi,并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量中的RAND和各自的根密鑰信息在本地生成CK1�、IKi和Ksi ;
[0128]群組內(nèi)各個節(jié)點(diǎn)接收到參數(shù)傳輸消息后���,存儲對應(yīng)的B-TIDi ;并且���,根據(jù)RAND和各自的根密鑰信息在本地生成CK1�、IKi和Ksi���,從而完成通用認(rèn)證機(jī)制認(rèn)證初始化的過程����。
[0129]為了確保群組內(nèi)各個節(jié)點(diǎn)可以存儲對應(yīng)的B-TIDi�����,在本發(fā)明實(shí)施例中��,當(dāng)為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi時���,具體可以是按照設(shè)定的節(jié)點(diǎn)排序生成群組內(nèi)各個節(jié)點(diǎn)的 B-TIDi �;
[0130]這樣����,當(dāng)群組網(wǎng)關(guān)向群組內(nèi)各個節(jié)點(diǎn)發(fā)送參數(shù)傳輸消息時,按照同樣的節(jié)點(diǎn)排序發(fā)送�,從而可以將包括RAND和B-TIDi的傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)。
[0131]此外,為了確保群組內(nèi)各個節(jié)點(diǎn)可以存儲對應(yīng)的B-TIDi��,在本發(fā)明實(shí)施例中���,還可以在確認(rèn)消息中包括有節(jié)點(diǎn)標(biāo)識���;所述節(jié)點(diǎn)標(biāo)識用于標(biāo)識群組內(nèi)各個節(jié)點(diǎn),這樣���,當(dāng)群組網(wǎng)關(guān)向群組內(nèi)各個節(jié)點(diǎn)發(fā)送參數(shù)傳輸消息時�,根據(jù)節(jié)點(diǎn)標(biāo)識即可將包括RAND和B-TIDi的傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)��。
[0132]在本發(fā)明實(shí)施例中����,在包括上述GBA認(rèn)證初始化的全部過程的同時���,還可以包括有業(yè)務(wù)密鑰協(xié)商的過程��。在實(shí)際應(yīng)用中�����,業(yè)務(wù)密鑰協(xié)商可以由群組內(nèi)的節(jié)點(diǎn)發(fā)起�,也可以由群組的網(wǎng)關(guān)發(fā)起。
[0133]參考圖4當(dāng)業(yè)務(wù)密鑰協(xié)商由群組內(nèi)的節(jié)點(diǎn)發(fā)起時���,業(yè)務(wù)密鑰協(xié)商所包括的步驟有:
[0134]S21����、群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息�����;節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi生成節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAFi后向群組網(wǎng)關(guān)發(fā)送����;節(jié)點(diǎn)請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ;
[0135]GBA認(rèn)證初始化完成后�,群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi,并向群組網(wǎng)關(guān)發(fā)送包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi的節(jié)點(diǎn)應(yīng)用請求消息���。
[0136]群組網(wǎng)關(guān)接收到節(jié)點(diǎn)應(yīng)用請求消息后�����,將節(jié)點(diǎn)應(yīng)用請求消息轉(zhuǎn)發(fā)至NAF業(yè)務(wù)服務(wù)器��。
[0137]S22�����、根據(jù)節(jié)點(diǎn)應(yīng)用請求消息�,NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送認(rèn)證請求消息,在獲取BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后���,存儲群組內(nèi)節(jié)點(diǎn)的Ks_NAFi及上下文信息并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息����;認(rèn)證請求消息包括節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識和NAF業(yè)務(wù)服務(wù)器標(biāo)識 NAF-hostname �����;
[0138]參考圖5步驟S22具體可以包括以下子步驟:
[0139]S221����、NAF業(yè)務(wù)服務(wù)器在接收到節(jié)點(diǎn)應(yīng)用請求消息后�,向BSF服務(wù)器發(fā)送包括B-TIDi和NAF業(yè)務(wù)服務(wù)器標(biāo)識NAF-hostname的認(rèn)證請求消息;
[0140]S222����、BSF服務(wù)器根據(jù)B_TIDi,獲取該群組內(nèi)節(jié)點(diǎn)對應(yīng)的Ks_NAFi及上下文信息;并向NAF業(yè)務(wù)服務(wù)器返回包括該群組內(nèi)節(jié)點(diǎn)對應(yīng)的Ks_NAFi及上下文信息的認(rèn)證應(yīng)答消息�����;
[0141]S223�、NAF業(yè)務(wù)服務(wù)器接收認(rèn)證應(yīng)答消息后,存儲其中的Ks_NAFi及上下文信息���,并向群組網(wǎng)關(guān)返回節(jié)點(diǎn)應(yīng)用應(yīng)答消息�;
[0142]S23��、群組網(wǎng)關(guān)向群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����。
[0143]至此��,群組內(nèi)的各個節(jié)點(diǎn)與NAF服務(wù)器間完成密鑰的協(xié)商�,兩者之間的安全通信環(huán)境建立。
[0144]在本發(fā)明實(shí)施例中����,包括通用認(rèn)證機(jī)制認(rèn)證初始化和業(yè)務(wù)密鑰協(xié)商的完整過程,并由群組內(nèi)的節(jié)點(diǎn)發(fā)起業(yè)務(wù)密鑰協(xié)商的完整流程如圖6所示����,包括:
[0145]1�����、在節(jié)點(diǎn)準(zhǔn)備登陸業(yè)務(wù)服務(wù)器發(fā)起業(yè)務(wù)數(shù)據(jù)通信時�,節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送接入請求消息����,觸發(fā)群組網(wǎng)關(guān)發(fā)起組內(nèi)雙向認(rèn)證過程,這里的接入請求消息是由某一個節(jié)點(diǎn)發(fā)起的��。
[0146]2�、組內(nèi)雙向認(rèn)證過程觸發(fā)之后,群組網(wǎng)關(guān)向群組內(nèi)每個節(jié)點(diǎn)發(fā)送認(rèn)證請求消息發(fā)起組內(nèi)雙向認(rèn)證過程����,組內(nèi)雙向認(rèn)證可基于PSK或PKI方式實(shí)現(xiàn)。
[0147]組內(nèi)雙向認(rèn)證過程由群組內(nèi)的節(jié)點(diǎn)觸發(fā)��,那么群組網(wǎng)關(guān)可以首先對發(fā)送接入請求消息的節(jié)點(diǎn)進(jìn)行認(rèn)證���,認(rèn)證通過之后再對群組內(nèi)其他節(jié)點(diǎn)進(jìn)行認(rèn)證,從而能夠防止非法節(jié)點(diǎn)通過發(fā)送接入請求消息而發(fā)起的主動攻擊�����。
[0148]3、群組內(nèi)各個節(jié)點(diǎn)返回認(rèn)證響應(yīng)消息后�,完成組內(nèi)雙向認(rèn)證。[0149]4����、組內(nèi)雙向認(rèn)證過程完成之后,群組網(wǎng)關(guān)啟動基于GBA的組外雙向認(rèn)證過程�。群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器發(fā)送接入請求消息,請求接入NAF業(yè)務(wù)服務(wù)器���。
[0150]5���、在NAF業(yè)務(wù)服務(wù)器需要使用基于GBA方法進(jìn)行認(rèn)證并獲得共享密鑰的情況下,NAF業(yè)務(wù)服務(wù)器向群組網(wǎng)關(guān)發(fā)送弓I導(dǎo)初始化請求消息��。
[0151]6�、群組網(wǎng)關(guān)收到NAF業(yè)務(wù)服務(wù)器發(fā)送的引導(dǎo)初始化請求消息之后,發(fā)起GBA認(rèn)證過程��。群組網(wǎng)關(guān)向BSF發(fā)送初始獲取請求Initial GET request消息,Initial GET request消息中攜帶網(wǎng)關(guān)業(yè)務(wù)層群組標(biāo)識頂Pig����。
[0152]7�����、BSF向AUC發(fā)送認(rèn)證向量請求消息,請求獲取群組節(jié)點(diǎn)的認(rèn)證向量信息,認(rèn)證向量請求消息中攜帶業(yè)務(wù)層群組標(biāo)識MPIg�����。
[0153]8�����、接收到BSF發(fā)送的認(rèn)證向量請求消息之后�,根據(jù)認(rèn)證向量請求消息所攜帶的IMPIg, AUC查找群組網(wǎng)關(guān)簽約信息����,獲取群組網(wǎng)關(guān)的網(wǎng)關(guān)根密鑰Kp,并計算群組網(wǎng)關(guān)完整的四元組或五元組網(wǎng)關(guān)認(rèn)證向量�;同時,根據(jù)網(wǎng)關(guān)業(yè)務(wù)層群組標(biāo)識頂PIg�����,AUC查找出與群組關(guān)聯(lián)的每個節(jié)點(diǎn)的簽約信息及節(jié)點(diǎn)根密鑰Ki�,并生成群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量 CKi 和 IKi0
[0154]接著,AUC向BSF發(fā)送認(rèn)證向量響應(yīng)消息����,其中攜帶IMPIg,群組網(wǎng)關(guān)認(rèn)證向量(RANDl IautnI xres ckp ikp)以及每個群組節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識及節(jié)點(diǎn)密鑰參數(shù)向量(IMPIi1CKi I IKi)。如果群組內(nèi)的節(jié)點(diǎn)數(shù)量較多���,認(rèn)證向量響應(yīng)消息內(nèi)容數(shù)據(jù)量較大�����,可以將整個消息分段多次傳輸���。
[0155]9、BSF 向群組網(wǎng)關(guān)發(fā)送認(rèn)證消息����,即,401Unauthorized Wffff-AuthenticateDigest消息����,其中攜帶RAND和AUTN0
[0156]10、群組網(wǎng)關(guān)收到BSF發(fā)送的消息后��,對AUTN的合法性進(jìn)行驗(yàn)證�����。如果驗(yàn)證通過,則根據(jù)網(wǎng)關(guān)根密鑰Kp及接收到的RAND���,計算認(rèn)證響應(yīng)參數(shù)RESP及密鑰CKp與ΙΚρ��,并且進(jìn)而生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp=CKp I I ΙΚρ����。如果驗(yàn)證失敗���,則表明群組網(wǎng)關(guān)對網(wǎng)絡(luò)認(rèn)證失敗���,退出處理流程。密鑰計算完成后���,群組網(wǎng)關(guān)向BSF發(fā)送認(rèn)證響應(yīng)Request AuthorizationDigest消息��,其中攜帶認(rèn)證響應(yīng)參數(shù)RESP�,用于網(wǎng)絡(luò)對群組網(wǎng)關(guān)的認(rèn)證�。
[0157]11、BSF收到群組網(wǎng)關(guān)返回的認(rèn)證響應(yīng)消息后���,驗(yàn)證群組網(wǎng)關(guān)發(fā)送的RESP是否與認(rèn)證向量中的XRES匹配���。若匹配���,則根據(jù)之前從AUC獲得的認(rèn)證向量為群組網(wǎng)關(guān)計算網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp=CKp I I IKp�,并且為群組網(wǎng)關(guān)生成B-TIDp ;并根據(jù)之前從AUC獲得的每一個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)(IMPIi,CKi I I IKi)按照節(jié)點(diǎn)標(biāo)識IMPIi的先后順序?yàn)槊恳粋€節(jié)點(diǎn)計算節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi=CKi I I IKi�����,并且對于每一個Ksi���,生成與之對應(yīng)的B-TIDi�����。之后�����,BSF向群組網(wǎng)關(guān)發(fā)送2000K消息進(jìn)行確認(rèn)��,2000K消息中攜帶B-TIDp以及每一個節(jié)點(diǎn)的B-TIDi�����。若不匹配���,則表明網(wǎng)絡(luò)對群組網(wǎng)關(guān)認(rèn)證失敗�����,退出處理流程���。
[0158]12、接收到2000K消息后�����,群組網(wǎng)關(guān)按照群組節(jié)點(diǎn)標(biāo)識MPIi的先后順序�����,依次向群組內(nèi)每一個節(jié)點(diǎn)發(fā)送參數(shù)傳輸消息��,用于傳輸RAND及B-TIDi��。
[0159]13�、群組內(nèi)每一個節(jié)點(diǎn)基于接收到的參數(shù)RAND以及節(jié)點(diǎn)根密鑰Ki計算生成CKi,IKi,進(jìn)而計算節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi=CKi I I IKi。同時���,每一個節(jié)點(diǎn)存儲接收到的對應(yīng)的B-TIDi0此外���,節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送參數(shù)確認(rèn)消息,確認(rèn)參數(shù)傳輸成功���。
[0160]至此,通過群組網(wǎng)關(guān)代理認(rèn)證的方式���,每一個群組節(jié)點(diǎn)完成了它與BSF之間的相互認(rèn)證����,并且協(xié)商好了它們之間的共享密鑰��。之后進(jìn)行業(yè)務(wù)密鑰協(xié)商過程�����。[0161]14�、在GBA初始化過程完成后,群組節(jié)點(diǎn)根據(jù)節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi采用相應(yīng)算法生成節(jié)點(diǎn)業(yè)務(wù)密鑰Ks NAFi����,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用請求消息�����,其中攜帶之前認(rèn)證過程中為節(jié)點(diǎn)Ai下發(fā)的B-TIDi以及消息信息msg���。
[0162]15、群組網(wǎng)關(guān)向業(yè)務(wù)服務(wù)器NAF功能轉(zhuǎn)發(fā)接收到的節(jié)點(diǎn)應(yīng)用請求消息��。
[0163]16�����、接收到節(jié)點(diǎn)發(fā)送的節(jié)點(diǎn)應(yīng)用請求消息后��,NAF向BSF發(fā)送認(rèn)證請求消息,其中攜帶B-TIDi和NAF-hostname,用于獲取群組節(jié)點(diǎn)密鑰及上下文信息�。
[0164]17、根據(jù)B-TIDi與群組節(jié)點(diǎn)信息的對應(yīng)關(guān)系����,BSF獲取群組節(jié)點(diǎn)Ai的密鑰及上下文信息,并向NAF返回認(rèn)證應(yīng)答消息�,其中攜帶群組節(jié)點(diǎn)的Ks NAFi和上下文信息。
[0165]18,NAF收到BSF返回的認(rèn)證應(yīng)答消息后����,業(yè)務(wù)服務(wù)器存儲群組節(jié)點(diǎn)的Ks NAFi及上下文信息�����,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息�。
[0166]19����、群組網(wǎng)關(guān)向群組節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息。至此���,群組內(nèi)節(jié)點(diǎn)與網(wǎng)絡(luò)應(yīng)用服務(wù)器NAF間完成密鑰的協(xié)商,兩者之間的安全通信環(huán)境建立����。
[0167]參考圖7當(dāng)業(yè)務(wù)密鑰協(xié)商由群組網(wǎng)關(guān)發(fā)起時,業(yè)務(wù)密鑰協(xié)商所包括的步驟有:
[0168]S31��、群組網(wǎng)關(guān)根據(jù)Ksp生成Ks_NAFp后向NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息�����;網(wǎng)關(guān)應(yīng)用請求消息包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDp ����;
[0169]在GBA初始化過程完成后�����,群組網(wǎng)關(guān)根據(jù)Ksp采用相應(yīng)算法生成Ks NAFp�,并向NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息�,網(wǎng)關(guān)應(yīng)用請求消息中攜帶之前認(rèn)證過程中為群組網(wǎng)關(guān)下發(fā)的B-TIDp以及網(wǎng)關(guān)msg信息。
[0170]S32�、根據(jù)網(wǎng)關(guān)應(yīng)用請求消息,NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送包括B-TIDp和NAF-hostname的認(rèn)證請求消息����,在獲取BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后,NAF業(yè)務(wù)服務(wù)器存儲群組網(wǎng)關(guān)的Ks_NAFp及上下文信息���,以及群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1����、B-TIDi和上下文信息���,并向群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息���;具體包括:
[0171]NAF業(yè)務(wù)服務(wù)器接收到群組網(wǎng)關(guān)發(fā)送的網(wǎng)關(guān)應(yīng)用請求消息后����,NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送認(rèn)證請求消息,認(rèn)證請求消息中攜帶B-TIDp和NAF-hostname ��;
[0172]BSF服務(wù)器根據(jù)網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識與群組內(nèi)各個節(jié)點(diǎn)信息的對應(yīng)關(guān)系����,獲取群組網(wǎng)關(guān)及群組內(nèi)各個節(jié)點(diǎn)的密鑰及上下文信息,并向NAF業(yè)務(wù)服務(wù)器返回認(rèn)證應(yīng)答消息����,認(rèn)證應(yīng)答消息中攜帶群組網(wǎng)關(guān)的Ks_NAFp及上下文信息,以及群組內(nèi)各個節(jié)點(diǎn)的B-TID1��、Ks_NAFp及上下文信息���;
[0173]NAF業(yè)務(wù)服務(wù)器收到BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后,NAF業(yè)務(wù)服務(wù)器存儲群組網(wǎng)關(guān)的Ks_NAFp和上下文信息���,以及群組內(nèi)各個節(jié)點(diǎn)的B-TID1����、Ks_NAFp及上下文信息�����;
[0174]NAF業(yè)務(wù)服務(wù)器向群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息。
[0175]S33����、在群組網(wǎng)關(guān)接收網(wǎng)關(guān)應(yīng)用應(yīng)答消息后,群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息�����;節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi后����,向群組網(wǎng)關(guān)發(fā)送;節(jié)點(diǎn)應(yīng)用請求消息中包括與應(yīng)用相關(guān)的節(jié)點(diǎn)特定消息集msg信息和B-TIDi����,具體包括:
[0176]群組網(wǎng)關(guān)接收網(wǎng)關(guān)應(yīng)用應(yīng)答消息,S卩���,群組網(wǎng)關(guān)與網(wǎng)絡(luò)應(yīng)用服務(wù)器NAF間完成密鑰協(xié)商��,此后�����,群組中的節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi���,向所述群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用請求消息���;節(jié)點(diǎn)應(yīng)用請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ;
[0177]群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用請求消息��;[0178]S34���、NAF業(yè)務(wù)服務(wù)器根據(jù)節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi查找對應(yīng)的Ks_NAFi及上下文信息并向群組網(wǎng)關(guān)返回節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����;
[0179]NAF業(yè)務(wù)服務(wù)器收到節(jié)點(diǎn)應(yīng)用請求消息后����,根據(jù)節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi查找NAF業(yè)務(wù)服務(wù)器自身存儲的與群組節(jié)點(diǎn)對應(yīng)的Ks_NAFi及上下文信息��,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息����。
[0180]S35����、群組網(wǎng)關(guān)向群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息���。
[0181]至此,群組內(nèi)的各個節(jié)點(diǎn)與NAF服務(wù)器間完成密鑰的協(xié)商���,兩者之間的安全通信環(huán)境建立���。
[0182]在本發(fā)明實(shí)施例中,包括通用認(rèn)證機(jī)制認(rèn)證初始化和業(yè)務(wù)密鑰協(xié)商的完整過程�����,并由群組網(wǎng)關(guān)發(fā)起業(yè)務(wù)密鑰協(xié)商的完整流程如圖8所示�,包括:
[0183]1、在節(jié)點(diǎn)準(zhǔn)備登陸業(yè)務(wù)服務(wù)器發(fā)起業(yè)務(wù)數(shù)據(jù)通信時�,節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送接入請求消息,觸發(fā)群組網(wǎng)關(guān)發(fā)起組內(nèi)雙向認(rèn)證過程�����,這里的接入請求消息是由某一個節(jié)點(diǎn)發(fā)起的����。
[0184]2����、組內(nèi)雙向認(rèn)證過程觸發(fā)之后��,群組網(wǎng)關(guān)向群組內(nèi)每個節(jié)點(diǎn)發(fā)送認(rèn)證請求消息發(fā)起組內(nèi)雙向認(rèn)證過程����,組內(nèi)雙向認(rèn)證可基于PSK或PKI方式實(shí)現(xiàn)。
[0185]組內(nèi)雙向認(rèn)證過程由群組內(nèi)的節(jié)點(diǎn)觸發(fā)��,那么群組網(wǎng)關(guān)可以首先對發(fā)送接入請求消息的節(jié)點(diǎn)進(jìn)行認(rèn)證���,認(rèn)證通過之后再對群組內(nèi)其他節(jié)點(diǎn)進(jìn)行認(rèn)證��,從而能夠防止非法節(jié)點(diǎn)通過發(fā)送接入請求消息而發(fā)起的主動攻擊����。
[0186]3�、群組內(nèi)各個節(jié)點(diǎn)返回認(rèn)證響應(yīng)消息后,完成組內(nèi)雙向認(rèn)證���。
[0187]4�、組內(nèi)雙向認(rèn)證過程完成之后,群組網(wǎng)關(guān)啟動基于GBA的組外雙向認(rèn)證過程�����。群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器發(fā)送接入請求消息����,請求接入NAF業(yè)務(wù)服務(wù)器����。
[0188]5、在NAF業(yè)務(wù)服務(wù)器需要使用基于GBA方法進(jìn)行認(rèn)證并獲得共享密鑰的情況下�,NAF業(yè)務(wù)服務(wù)器向群組網(wǎng)關(guān)發(fā)送弓I導(dǎo)初始化請求消息。
[0189]6���、群組網(wǎng)關(guān)收到NAF業(yè)務(wù)服務(wù)器發(fā)送的引導(dǎo)初始化請求消息之后���,發(fā)起GBA認(rèn)證過程。群組網(wǎng)關(guān)向BSF發(fā)送初始獲取請求Initial GET request消息,Initial GET request消息中攜帶網(wǎng)關(guān)業(yè)務(wù)層群組標(biāo)識頂Pig��。
[0190]7���、BSF向AUC發(fā)送認(rèn)證向量請求消息,請求獲取群組節(jié)點(diǎn)的認(rèn)證向量信息,認(rèn)證向量請求消息中攜帶業(yè)務(wù)層群組標(biāo)識MPIg�����。
[0191]8�����、接收到BSF發(fā)送的認(rèn)證向量請求消息之后����,根據(jù)認(rèn)證向量請求消息所攜帶的IMPIg, AUC查找群組網(wǎng)關(guān)簽約信息,獲取群組網(wǎng)關(guān)的網(wǎng)關(guān)根密鑰Kp��,并計算群組網(wǎng)關(guān)完整的四元組或五元組網(wǎng)關(guān)認(rèn)證向量���;同時�����,根據(jù)網(wǎng)關(guān)業(yè)務(wù)層群組標(biāo)識頂PIg�,AUC查找出與群組關(guān)聯(lián)的每個節(jié)點(diǎn)的簽約信息及節(jié)點(diǎn)根密鑰Ki�����,并生成群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量 CKi 和 IKi0
[0192]接著����,AUC向BSF發(fā)送認(rèn)證向量響應(yīng)消息����,其中攜帶IMPIg,群組網(wǎng)關(guān)認(rèn)證向量(RANDl IautnI xres ckp ikp)以及每個群組節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識及節(jié)點(diǎn)密鑰參數(shù)向量(IMPIi1CKi I IKi)�。如果群組內(nèi)的節(jié)點(diǎn)數(shù)量較多�,認(rèn)證向量響應(yīng)消息內(nèi)容數(shù)據(jù)量較大,可以將整個消息分段多次傳輸�。
[0193]9、BSF 向群組網(wǎng)關(guān)發(fā)送認(rèn)證消息���,即����,401Unauthorized Wffff-AuthenticateDigest消息�����,其中攜帶RAND和AUTN0[0194]10���、群組網(wǎng)關(guān)收到BSF發(fā)送的消息后�,對AUTN的合法性進(jìn)行驗(yàn)證���。如果驗(yàn)證通過���,則根據(jù)網(wǎng)關(guān)根密鑰Kp及接收到的RAND�����,計算認(rèn)證響應(yīng)參數(shù)RESP及密鑰CKp與ΙΚρ���,并且進(jìn)而生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp=CKp I I ΙΚρ。如果驗(yàn)證失敗�,則表明群組網(wǎng)關(guān)對網(wǎng)絡(luò)認(rèn)證失敗,退出處理流程���。密鑰計算完成后��,群組網(wǎng)關(guān)向BSF發(fā)送認(rèn)證響應(yīng)Request AuthorizationDigest消息�,其中攜帶認(rèn)證響應(yīng)參數(shù)RESP��,用于網(wǎng)絡(luò)對群組網(wǎng)關(guān)的認(rèn)證�。
[0195]11、BSF收到群組網(wǎng)關(guān)返回的消息后�����,驗(yàn)證群組網(wǎng)關(guān)發(fā)送的RESP是否與認(rèn)證向量中的XRES匹配。若匹配�,則根據(jù)之前從AUC獲得的認(rèn)證向量為群組網(wǎng)關(guān)計算網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp=CKp I I IKp,并且為群組網(wǎng)關(guān)生成B-TIDp ;并根據(jù)之前從AUC獲得的每一個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)(IMPIi,CKi I I IKi)按照節(jié)點(diǎn)標(biāo)識IMPI的先后順序?yàn)槊恳粋€節(jié)點(diǎn)計算密鑰Ksi=CKi I IKi��,并且對于每一個Ksi�����,生成與之對應(yīng)的B-TIDi�����。之后��,BSF向群組網(wǎng)關(guān)發(fā)送200 OK消息進(jìn)行確認(rèn)���,200 OK消息中攜帶B-TIDp以及每一個節(jié)點(diǎn)的B-TIDi。若不匹配�����,則表明網(wǎng)絡(luò)對群組網(wǎng)關(guān)認(rèn)證失敗��,退出處理流程����。
[0196]12��、接收到200 OK消息后��,群組網(wǎng)關(guān)按照群組節(jié)點(diǎn)標(biāo)識MPIi的先后順序���,依次向群組內(nèi)每一個節(jié)點(diǎn)發(fā)送參數(shù)傳輸消息,用于傳輸RAND及B-TIDi���。
[0197]13����、群組內(nèi)每一個節(jié)點(diǎn)基于接收到的參數(shù)RAND以及節(jié)點(diǎn)根密鑰Ki計算生成CKi,IKi�,進(jìn)而計算節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi=CKi I I IKi。同時��,每一個節(jié)點(diǎn)存儲接收到的對應(yīng)的B-TIDi0此外�����,節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送參數(shù)確認(rèn)消息�,確認(rèn)參數(shù)傳輸成功。
[0198]至此�,通過群組網(wǎng)關(guān)代理認(rèn)證的方式�,每一個群組節(jié)點(diǎn)完成了它與BSF之間的相互認(rèn)證�,并且協(xié)商好了它們之間的共享密鑰。之后進(jìn)行業(yè)務(wù)密鑰協(xié)商過程��。
[0199]14����、在GBA初始化過程完成后,群組網(wǎng)關(guān)根據(jù)Ksp采用相應(yīng)算法生成Ks_NAFp����,并向NAF業(yè)務(wù)服務(wù)器NAF發(fā)送網(wǎng)關(guān)應(yīng)用請求消息,其中攜帶之前認(rèn)證過程中為群組網(wǎng)關(guān)下發(fā)的B-TIDp以及消息信息msg
[0200]15����、接收到群組網(wǎng)點(diǎn)發(fā)送的網(wǎng)關(guān)應(yīng)用請求消息后���,NAF向BSF發(fā)送認(rèn)證請求消息���,其中攜帶 B-TIDp 和 NAF-hostname。
[0201]16��、根據(jù)B-TIDp與群組內(nèi)各個節(jié)點(diǎn)信息的對應(yīng)關(guān)系��,BSF獲取群組網(wǎng)關(guān)及群組內(nèi)各個節(jié)點(diǎn)的業(yè)務(wù)密鑰及上下文信息,并向NAF業(yè)務(wù)服務(wù)器返回認(rèn)證應(yīng)答消息���,認(rèn)證應(yīng)答消息中攜帶群組網(wǎng)關(guān)的網(wǎng)關(guān)業(yè)務(wù)密鑰Ks_NAFp和上下文信息�����,以及群組所有節(jié)點(diǎn)的節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAF1�、B-TIDi及上下文信息��。
[0202]17�����、NAF收到BSF返回的認(rèn)證應(yīng)答消息后�,NAF業(yè)務(wù)服務(wù)器存儲群組網(wǎng)關(guān)的網(wǎng)關(guān)業(yè)務(wù)密鑰Ks_NAFp和上下文信息,以及群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAF1��、B-TIDi及上下文信息�,并向群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息。
[0203]18���、群組網(wǎng)關(guān)接收到網(wǎng)關(guān)應(yīng)用應(yīng)答消息��,即�,群組網(wǎng)關(guān)與網(wǎng)絡(luò)應(yīng)用服務(wù)器NAF間完成密鑰協(xié)商后,群組內(nèi)各個節(jié)點(diǎn)根據(jù)各自的Ksi采用相應(yīng)算法生成各自的節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAFi,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用請求消息����,節(jié)點(diǎn)應(yīng)用請求消息中攜帶之前認(rèn)證過程中為節(jié)點(diǎn)下發(fā)的B-TIDi以及節(jié)點(diǎn)消息信息msg。
[0204]19����、群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)接收到的節(jié)點(diǎn)應(yīng)用請求消息。
[0205]20���、NAF收業(yè)務(wù)服務(wù)器到后��,根據(jù)節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi��,查找NAF業(yè)務(wù)服務(wù)器存儲的對應(yīng)的節(jié)點(diǎn)的Ks_NAFi及上下文信息����,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����。
[0206]21���、群組網(wǎng)關(guān)向群組節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����。至此��,所有群組節(jié)點(diǎn)與網(wǎng)絡(luò)應(yīng)用服務(wù)器NAF間完成密鑰的協(xié)商���,兩者之間的安全通信環(huán)境建立。
[0207]由于在實(shí)際應(yīng)用中�����,還存在群組中的網(wǎng)關(guān)和節(jié)點(diǎn)沒有(U) SM卡的情況��,為此�,在本發(fā)明實(shí)施例中,還提供了另一種基于GBA的認(rèn)證方法�,參考圖9,在GBA認(rèn)證初始化時���,包括步驟:
[0208]S41����、群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)進(jìn)行組內(nèi)雙向認(rèn)證,使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)相互認(rèn)可對方身份的有效性�;
[0209]在本發(fā)明實(shí)施例中,群組標(biāo)識可以為群組網(wǎng)關(guān)的用戶名�;節(jié)點(diǎn)標(biāo)識可以為節(jié)點(diǎn)用戶名,節(jié)點(diǎn)中還包括群組標(biāo)識���。在本發(fā)明實(shí)施例中��,組內(nèi)雙向認(rèn)證具體的可以是基于預(yù)共享密鑰PSK認(rèn)證方法����,或基于公共密鑰架構(gòu)PKI認(rèn)證方法���。
[0210]為了避免非法節(jié)點(diǎn)通過發(fā)送接入請求消息而發(fā)起的主動攻擊��,在本發(fā)明實(shí)施例中,組內(nèi)雙向認(rèn)證還可以是��,在群組網(wǎng)關(guān)接收到群組內(nèi)的節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送的接入請求后��,首先與發(fā)送該接入請求的節(jié)點(diǎn)進(jìn)行雙向認(rèn)證��,然后再與群組內(nèi)的其他節(jié)點(diǎn)進(jìn)行雙向認(rèn)證�。
[0211]群組網(wǎng)關(guān)向網(wǎng)絡(luò)應(yīng)用功能NAF業(yè)務(wù)服務(wù)器請求接入后,與NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證�����,組外雙向認(rèn)證包括:
[0212]S42��、群組網(wǎng)關(guān)被NAF業(yè)務(wù)服務(wù)器的網(wǎng)絡(luò)應(yīng)用功能NAF引導(dǎo)����,獲準(zhǔn)進(jìn)行基于GBA認(rèn)證之后,群組網(wǎng)關(guān)向BSF服務(wù)器發(fā)送包括有群組標(biāo)識的初始獲取請求消息�����;
[0213]在組內(nèi)雙向認(rèn)證完成后�����,群組網(wǎng)關(guān)啟動基于GBA的組外雙向認(rèn)證�,具體包括:
[0214]群組網(wǎng)關(guān)向具有NAF功能的NAF業(yè)務(wù)服務(wù)器發(fā)送接入請求消息,以請求接入NAF業(yè)務(wù)服務(wù)器��;在NAF業(yè)務(wù)服務(wù)器需要使用基于GBA方法進(jìn)行認(rèn)證并獲得共享密鑰的情況下�����,NAF業(yè)務(wù)服務(wù)器向群組網(wǎng)關(guān)發(fā)送引導(dǎo)初始化請求消息,以獲準(zhǔn)群組網(wǎng)關(guān)發(fā)起基于GBA的組外雙向認(rèn)證����。
[0215]群組網(wǎng)關(guān)接收引導(dǎo)初始化請求消息后,向BSF服務(wù)器發(fā)送包括有群組標(biāo)識的初始獲取請求消息����。
[0216]S43、BSF服務(wù)器根據(jù)群組標(biāo)識向AUC獲取網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量�����,以網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)���、網(wǎng)關(guān)用戶名和口令為參數(shù)��,生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp;以網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)����、節(jié)點(diǎn)用戶名和口令為參數(shù)生成群組中各個節(jié)點(diǎn)的Ksi �����;并生成 B-TIDp 和 B-TIDi ����;
[0217]S44、群組網(wǎng)關(guān)以網(wǎng)關(guān)用戶名和口令為參數(shù)��,生成認(rèn)證響應(yīng)參數(shù)以及Ksp�,并分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有隨機(jī)數(shù)和B-TIDi的參數(shù)傳輸消息;
[0218]步驟S43和S44具體可以包括:
[0219]BSF服務(wù)器獲取初始獲取請求消息后���,向AUC發(fā)送包括群組標(biāo)識的認(rèn)證向量請求消息��;
[0220]AUC接收認(rèn)證向量請求消息后,根據(jù)群組標(biāo)識獲取網(wǎng)關(guān)認(rèn)證向量SD-AVp和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量SD-AVi
[0221]AUC向BSF服務(wù)器發(fā)送認(rèn)證向量響應(yīng)消息���,認(rèn)證向量響應(yīng)消息中包括群組標(biāo)識,群組網(wǎng)關(guān)標(biāo)識以及對應(yīng)的網(wǎng)關(guān)認(rèn)證向量SD-AVp��,和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識以及與各個節(jié)點(diǎn)標(biāo)識對應(yīng)的節(jié)點(diǎn)認(rèn)證向量SD-AVi ;在實(shí)際應(yīng)用中����,當(dāng)認(rèn)證向量響應(yīng)消息的數(shù)據(jù)量較大時,可以將認(rèn)證向量響應(yīng)消息分段傳輸��。[0222]BSF服務(wù)器獲取認(rèn)證向量響應(yīng)消息中的網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量�,并向群組網(wǎng)關(guān)發(fā)送包括有隨機(jī)數(shù)的認(rèn)證消息;
[0223]群組網(wǎng)關(guān)接收認(rèn)證消息后�,以網(wǎng)關(guān)用戶名和口令為參數(shù)生成認(rèn)證響應(yīng)參數(shù)以及Ksp���,并向BSF服務(wù)器返回包括有認(rèn)證響應(yīng)參數(shù)RESP的認(rèn)證響應(yīng)消息;
[0224]BSF服務(wù)器驗(yàn)證通過認(rèn)證響應(yīng)消息后�,以網(wǎng)關(guān)用戶名和密碼為參數(shù)為群組網(wǎng)關(guān)生成生成Ksp,并生成與其對應(yīng)的B-TIDp ��;以群組節(jié)點(diǎn)用戶名和密碼為參數(shù)為群組中各個節(jié)點(diǎn)生成Ksi�,并生成與及其對應(yīng)的B-TIDi ;并向群組網(wǎng)關(guān)發(fā)送包括有B-TIDp和群組中各個節(jié)點(diǎn)的B-TIDp的確認(rèn)消息。
[0225]S45���、群組內(nèi)各個節(jié)點(diǎn)存儲B-TIDi����,并以隨機(jī)數(shù)和群組內(nèi)各個節(jié)點(diǎn)的用戶名和口令為參數(shù)在本地生成節(jié)Ksi��。
[0226]群組網(wǎng)關(guān)接收到包括有B-TIDp和群組中各個節(jié)點(diǎn)的B-TIDi的確認(rèn)消息后��,向群組內(nèi)各個節(jié)點(diǎn)發(fā)送參數(shù)傳輸消息�,參數(shù)傳輸消息中包括隨機(jī)數(shù)和對應(yīng)的B-TIDi ;
[0227]群組內(nèi)各個節(jié)點(diǎn)存儲B-TIDi����,并以隨機(jī)數(shù)和群組內(nèi)各個節(jié)點(diǎn)的用戶名和口令為參數(shù)在本地生成Ksi,從而完成通用認(rèn)證機(jī)制認(rèn)證初始化的過程。
[0228]在本發(fā)明實(shí)施例中���,在包括上述基于GBA認(rèn)證初始化的全部過程的同時�����,還可以包括有業(yè)務(wù)密鑰協(xié)商的過程。在實(shí)際應(yīng)用中�����,業(yè)務(wù)密鑰協(xié)商可以由群組內(nèi)的節(jié)點(diǎn)發(fā)起�����,也可以由群組的網(wǎng)關(guān)發(fā)起��。
[0229]參考圖10當(dāng)業(yè)務(wù)密鑰協(xié)商由群組內(nèi)的節(jié)點(diǎn)發(fā)起時��,業(yè)務(wù)密鑰協(xié)商所包括的步驟有:
[0230]S51���、群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息����;節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi后向群組網(wǎng)關(guān)發(fā)送����;節(jié)點(diǎn)請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ��;
[0231]在GBA認(rèn)證初始化完成后��,節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi�,接著向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用請求消息���;節(jié)點(diǎn)請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ��;
[0232]群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)該節(jié)點(diǎn)應(yīng)用請求消息���;
[0233]S52、根據(jù)節(jié)點(diǎn)應(yīng)用請求消息�,NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送認(rèn)證請求消息,在獲取BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后��,存儲群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAFi及上下文信息并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����;認(rèn)證請求消息包括B-TIDi和NAF-hostname,具體包括:
[0234]NAF業(yè)務(wù)服務(wù)器接收節(jié)點(diǎn)應(yīng)用請求消息后���,向BSF服務(wù)器發(fā)送認(rèn)證請求消息����,認(rèn)證請求消息包括B-TIDi和NAF-hostname ;
[0235]BSF服務(wù)器根據(jù)B-TIDi與節(jié)點(diǎn)信息的對應(yīng)關(guān)系獲取節(jié)點(diǎn)的Ksi和上下文信息��;向NAF業(yè)務(wù)服務(wù)器返回包括Ksi和上下文信息的認(rèn)證應(yīng)答消息�;
[0236]NAF業(yè)務(wù)服務(wù)器存儲Ksi和上下文信息后,向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息��。
[0237]S53�����、群組網(wǎng)關(guān)向群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息�。
[0238]至此�,群組內(nèi)的各個節(jié)點(diǎn)與NAF服務(wù)器間完成密鑰的協(xié)商,兩者之間的安全通信環(huán)境建立�。
[0239]在本發(fā)明實(shí)施例中,包括通用認(rèn)證機(jī)制認(rèn)證初始化和業(yè)務(wù)密鑰協(xié)商的完整過程�����,并由群組內(nèi)的節(jié)點(diǎn)發(fā)起業(yè)務(wù)密鑰協(xié)商的完整流程如圖11所示�����,包括:[0240]1、在群組節(jié)點(diǎn)準(zhǔn)備登陸業(yè)務(wù)服務(wù)器發(fā)起業(yè)務(wù)數(shù)據(jù)通信時�����,群組節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送接入請求消息�����,觸發(fā)群組網(wǎng)關(guān)發(fā)起群組認(rèn)證過程�����,這里的接入請求消息是由某一個節(jié)點(diǎn)發(fā)起的��。
[0241]2�、群組認(rèn)證過程觸發(fā)之后,群組網(wǎng)關(guān)發(fā)送認(rèn)證請求消息向每個群組節(jié)點(diǎn)發(fā)起組內(nèi)雙向認(rèn)證過程����。該組內(nèi)雙向認(rèn)證過程可基于PSK或PKI方式實(shí)現(xiàn)。
[0242]組內(nèi)雙向認(rèn)證過程由群組內(nèi)的節(jié)點(diǎn)觸發(fā)�����,那么群組網(wǎng)關(guān)首先對接入請求消息的發(fā)送節(jié)點(diǎn)進(jìn)行認(rèn)證,認(rèn)證通過之后再對群組內(nèi)其他節(jié)點(diǎn)進(jìn)行認(rèn)證�����。這樣能夠防止非法節(jié)點(diǎn)通過發(fā)送接入請求消息而發(fā)起的主動攻擊����。
[0243]3、群組內(nèi)各個節(jié)點(diǎn)返回認(rèn)證響應(yīng)消息��,完成組內(nèi)雙向認(rèn)證�����。
[0244]4�����、組內(nèi)雙向認(rèn)證過程完成之后�,群組網(wǎng)關(guān)啟動基于GBA的組外雙向認(rèn)證過程���。群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器發(fā)送接入請求消息����,請求接入NAF業(yè)務(wù)服務(wù)器。
[0245]5�����、在NAF業(yè)務(wù)服務(wù)器需要使用基于GBA方法進(jìn)行認(rèn)證并獲得共享密鑰的情況下�,NAF業(yè)務(wù)服務(wù)器向群組網(wǎng)關(guān)發(fā)送引導(dǎo)初始化請求消息。
[0246]6��、群組網(wǎng)關(guān)收到NAF業(yè)務(wù)服務(wù)器發(fā)送的引導(dǎo)初始化請求消息之后��,發(fā)起GBA認(rèn)證過程��。群組網(wǎng)關(guān)向BSF發(fā)送初始獲取請求Initial GET request消息,其中攜帶群組標(biāo)識�����。
[0247]7�、BSF向AUC發(fā)送認(rèn)證向量請求消息,請求獲取群組節(jié)點(diǎn)的認(rèn)證向量信息,認(rèn)證向量請求消息中攜帶群組標(biāo)識。 [0248]8����、接收到BSF發(fā)送的認(rèn)證向量請求消息之后,根據(jù)所攜帶的群組標(biāo)識��,AUC查找群組網(wǎng)關(guān)信息并計算群組網(wǎng)關(guān)認(rèn)證向量SD-AVp ;同時�����,根據(jù)群組標(biāo)識,AUC查找出與群組標(biāo)識關(guān)聯(lián)的群組內(nèi)每個群組節(jié)點(diǎn)信息����,并計算群組內(nèi)每個群組節(jié)點(diǎn)的認(rèn)證向量SD-AVi。
[0249]接著�����,AUC向BSF發(fā)送認(rèn)證向量響應(yīng)消息�����,其中攜帶群組標(biāo)識和對應(yīng)的網(wǎng)關(guān)認(rèn)證向量aMPIp���,SD-AVp)���,以及����,每個群組節(jié)點(diǎn)標(biāo)識和對應(yīng)的節(jié)點(diǎn)認(rèn)證向量(MPIi,SD-AVi)����。如果群組內(nèi)的節(jié)點(diǎn)數(shù)量較多�,認(rèn)證向量響應(yīng)消息內(nèi)容數(shù)據(jù)量較大���,可以將整個向量響應(yīng)消息分段多次傳輸��。
[0250]9����、BSF 向群組網(wǎng)關(guān)發(fā)送認(rèn)證消息�����,即 401Unauthorized Wffff-AuthenticateDigest消息��,其中攜帶隨機(jī)數(shù)nonce�����。
[0251]10�����、群組網(wǎng)關(guān)收到BSF發(fā)送的消息后,根據(jù)與usernamep, passwordp等參數(shù)相關(guān)的參量計算認(rèn)證響應(yīng)參數(shù)RESP���,并生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp=CKpI I ΙΚρ�����。密鑰計算完成后����,群組網(wǎng)關(guān)向BSF發(fā)送認(rèn)證響應(yīng)RequestAuthorization Digest消息,認(rèn)證響應(yīng)中攜帶認(rèn)證響應(yīng)參數(shù)RESP,用于網(wǎng)絡(luò)對群組網(wǎng)關(guān)的認(rèn)證�。
[0252]11、BSF收到群組網(wǎng)關(guān)返回的認(rèn)證響應(yīng)消息后���,計算XRES并驗(yàn)證群組網(wǎng)關(guān)發(fā)送的RESP是否與XRES匹配��。若匹配,則基于與username和password等參數(shù)相關(guān)的參量計算網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksg和節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi���,并且對于網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp生成對應(yīng)的網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp,對于每一個節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi���,生成與之對應(yīng)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi��。之后����,BSF向群組網(wǎng)關(guān)發(fā)送確認(rèn)200 OK消息進(jìn)行確認(rèn)����,200 OK消息中攜帶B-TIDp以及B-TIDi。若不匹配���,則表明網(wǎng)絡(luò)對群組網(wǎng)關(guān)認(rèn)證失敗�,退出處理流程�。
[0253]12、群組網(wǎng)關(guān)接收到200 OK消息后���,依次向群組內(nèi)每一個節(jié)點(diǎn)發(fā)送包括隨機(jī)數(shù)和B-TIDi的參數(shù)傳輸消息���。
[0254]13、群組內(nèi)的每一個群組節(jié)點(diǎn)基于與usernamei, password!相關(guān)的參量生成節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi����,同時,每一個節(jié)點(diǎn)存儲接收到的對應(yīng)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi�����。此外,節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送參數(shù)確認(rèn)消息��,確認(rèn)參數(shù)傳輸成功�。
[0255]至此,通過群組網(wǎng)關(guān)代理認(rèn)證的方式���,群組內(nèi)每一個節(jié)點(diǎn)完成了與BSF之間的相互認(rèn)證�����,并且協(xié)商好了它們之間的共享密鑰����。之后進(jìn)行業(yè)務(wù)密鑰協(xié)商過程�����。
[0256]14�����、在GBA初始化過程完成后�,節(jié)點(diǎn)根據(jù)節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi采用相應(yīng)算法生成節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAFi,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用請求消息��,其中攜帶之前認(rèn)證過程中為節(jié)點(diǎn)Ai下發(fā)的B-TIDi以及消息信息msg。
[0257]15�����、群組網(wǎng)關(guān)向業(yè)務(wù)服務(wù)器NAF功能轉(zhuǎn)發(fā)接收到的節(jié)點(diǎn)應(yīng)用請求消息���。
[0258]16、接收到節(jié)點(diǎn)發(fā)送的節(jié)點(diǎn)應(yīng)用請求消息后�,NAF向BSF發(fā)送認(rèn)證請求消息,其中攜帶B-TIDi和NAF-hostname,用于獲取群組節(jié)點(diǎn)密鑰及上下文信息。
[0259]17���、根據(jù)B-TIDi與群組節(jié)點(diǎn)信息的對應(yīng)關(guān)系�,BSF獲取群組節(jié)點(diǎn)的密鑰及上下文信息�,并向NAF返回認(rèn)證應(yīng)答消息,其中攜帶群組節(jié)點(diǎn)的Ks_NAFi和上下文信息����。
[0260]18,NAF收到BSF返回的認(rèn)證應(yīng)答消息后,業(yè)務(wù)服務(wù)器存儲群組節(jié)點(diǎn)的Ks_NAFi及上下文信息��,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息���。
[0261]19����、群組網(wǎng)關(guān)向群組節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息。至此��,群組內(nèi)節(jié)點(diǎn)與網(wǎng)絡(luò)應(yīng)用服務(wù)器NAF間完成密鑰的協(xié)商����,兩者之間的安全通信環(huán)境建立。
[0262]此外�����,在本發(fā)明實(shí)施例中��,當(dāng)業(yè)務(wù)密鑰協(xié)商由群組網(wǎng)關(guān)發(fā)起時�����,參考圖12�,業(yè)務(wù)密鑰協(xié)商所包括的步驟有:
[0263]S61、群組網(wǎng)關(guān)根據(jù)Ksp生成Ks_NAFp后向NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息�����;網(wǎng)關(guān)應(yīng)用請求消息中包括B-TIDp以及網(wǎng)關(guān)消息信息msg ���;
[0264]在GBA認(rèn)證初始化完成后��,群組網(wǎng)關(guān)根據(jù)Ksp生成Ks_NAFp后向NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息�����;
[0265]S62�、根據(jù)網(wǎng)關(guān)應(yīng)用請求消息���,NAF業(yè)務(wù)向BSF服務(wù)器發(fā)送包括B-TIDp和NAF-hostname的認(rèn)證請求消息���,在獲取BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后,NAF業(yè)務(wù)服務(wù)器存儲群組網(wǎng)關(guān)的Ks_NAFp及上下文信息����,以及群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1、B-TIDi和上下文信息��,并向群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息�����,具體包括:
[0266]NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送包括B-TIDp和NAF-hostname的認(rèn)證請求消息����;
[0267]BSF服務(wù)器根據(jù)B-TIDp與群組節(jié)點(diǎn)的對應(yīng)關(guān)系���,獲取Ks_NAFp及上下文信息,和��,群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1��、B-TIDi及上下文信息���,并向NAF業(yè)務(wù)服務(wù)器返回認(rèn)證應(yīng)答消息����;認(rèn)證應(yīng)答消息中包括Ks_NAFp及上下文信息����,和,群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1����、B-TIDi及上下文信息;
[0268]NAF業(yè)務(wù)服務(wù)器存儲認(rèn)證應(yīng)答消息中的Ks_NAFp及上下文信息���,和�,群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1、B-TIDi及上下文信息����,并向群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息。
[0269]S63����、在群組網(wǎng)關(guān)與NAF業(yè)務(wù)服務(wù)器完成業(yè)務(wù)密鑰協(xié)商后,群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息���;節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi后����,向群組網(wǎng)關(guān)發(fā)送����;述節(jié)點(diǎn)應(yīng)用請求消息中包括與應(yīng)用相關(guān)的節(jié)點(diǎn)特定消息集msg信息和B-TIDi����,具體的:
[0270]群組網(wǎng)關(guān)接收網(wǎng)關(guān)應(yīng)用應(yīng)答消息,S卩���,群組網(wǎng)關(guān)與NAF業(yè)務(wù)服務(wù)器完成業(yè)務(wù)密鑰協(xié)商�����,此后�,節(jié)點(diǎn)根據(jù)Ksi采用相應(yīng)算法生成Ks_NAFi,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用請求消息�����,節(jié)點(diǎn)應(yīng)用請求消息中攜帶之前認(rèn)證過程中為節(jié)點(diǎn)下發(fā)的B-TIDi以及節(jié)點(diǎn)消息信息msgo
[0271]群組網(wǎng)關(guān)將節(jié)點(diǎn)應(yīng)用請求消息轉(zhuǎn)發(fā)至NAF業(yè)務(wù)服務(wù)器�����。
[0272]S64����、NAF業(yè)務(wù)服務(wù)器根據(jù)節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi查找對應(yīng)的Ks_NAFi及上下文信息并向群組網(wǎng)關(guān)返回節(jié)點(diǎn)應(yīng)用應(yīng)答消息。
[0273]S65�、群組網(wǎng)關(guān)向群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息。
[0274]至此�����,群組內(nèi)的各個節(jié)點(diǎn)與NAF服務(wù)器間完成密鑰的協(xié)商���,兩者之間的安全通信環(huán)境建立��。
[0275]在本發(fā)明實(shí)施例中�����,包括通用認(rèn)證機(jī)制認(rèn)證初始化和業(yè)務(wù)密鑰協(xié)商的完整過程�����,并由群組內(nèi)的節(jié)點(diǎn)發(fā)起業(yè)務(wù)密鑰協(xié)商的完整流程如圖13所示��,包括:
[0276]1���、在群組節(jié)點(diǎn)準(zhǔn)備登陸業(yè)務(wù)服務(wù)器發(fā)起業(yè)務(wù)數(shù)據(jù)通信時�����,群組節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送接入請求消息,觸發(fā)群組網(wǎng)關(guān)發(fā)起群組認(rèn)證過程�,這里的接入請求消息是由某一個節(jié)點(diǎn)發(fā)起的。
[0277]2��、群組認(rèn)證過程觸發(fā)之后����,群組網(wǎng)關(guān)發(fā)送認(rèn)證請求消息向每個群組節(jié)點(diǎn)發(fā)起組內(nèi)雙向認(rèn)證過程�。該組內(nèi)雙向認(rèn)證過程可基于PSK或PKI方式實(shí)現(xiàn)�����。
[0278]組內(nèi)雙向認(rèn)證過程由群組內(nèi)的節(jié)點(diǎn)觸發(fā)�����,那么群組網(wǎng)關(guān)首先對接入請求消息的發(fā)送節(jié)點(diǎn)進(jìn)行認(rèn)證���,認(rèn)證通過之后再對群組內(nèi)其他節(jié)點(diǎn)進(jìn)行認(rèn)證�。這樣能夠防止非法節(jié)點(diǎn)通過發(fā)送接入請求消息而發(fā)起的主動攻擊����。
[0279]3、群組內(nèi)各個節(jié)點(diǎn)返回認(rèn)證響應(yīng)消息����,完成組內(nèi)雙向認(rèn)證。
[0280]4�、組內(nèi)雙向認(rèn)證過程完成之后,群組網(wǎng)關(guān)啟動基于GBA的組外雙向認(rèn)證過程�。群組網(wǎng)關(guān)向NAF業(yè)務(wù)服務(wù)器發(fā)送接入請求消息,請求接入NAF業(yè)務(wù)服務(wù)器。
[0281]5�����、在NAF業(yè)務(wù)服務(wù)器需要使用基于GBA方法進(jìn)行認(rèn)證并獲得共享密鑰的情況下��,NAF業(yè)務(wù)服務(wù)器向群組網(wǎng)關(guān)發(fā)送弓I導(dǎo)初始化請求消息���。
[0282]6�、群組網(wǎng)關(guān)收到NAF業(yè)務(wù)服務(wù)器發(fā)送的引導(dǎo)初始化請求消息之后�,發(fā)起GBA認(rèn)證過程。群組網(wǎng)關(guān)向BSF發(fā)送初始獲取請求Initial GET request消息,其中攜帶群組標(biāo)識��。
[0283]7����、BSF向AUC發(fā)送認(rèn)證向量請求消息,請求獲取群組節(jié)點(diǎn)的認(rèn)證向量信息,認(rèn)證向量請求消息中攜帶群組標(biāo)識。
[0284]8�����、接收到BSF發(fā)送的認(rèn)證向量請求消息之后�����,根據(jù)所攜帶的群組標(biāo)識����,,群組網(wǎng)關(guān)標(biāo)識AUC查找群組網(wǎng)關(guān)信息并計算群組網(wǎng)關(guān)認(rèn)證向量SD-AVp ;同時���,根據(jù)群組標(biāo)識�,AUC查找出與群組標(biāo)識關(guān)聯(lián)的群組內(nèi)每個群組節(jié)點(diǎn)信息��,并計算群組內(nèi)每個群組節(jié)點(diǎn)的認(rèn)證向量SD-AVi����。
[0285]接著,AUC向BSF發(fā)送認(rèn)證向量響應(yīng)消息����,其中攜帶群組標(biāo)識和對應(yīng)的網(wǎng)關(guān)認(rèn)證向量aMPIp,SD-AVp)�����,以及��,每個群組節(jié)點(diǎn)標(biāo)識和對應(yīng)的節(jié)點(diǎn)認(rèn)證向量aMPIi����,SD-AVi)����。如果群組內(nèi)的節(jié)點(diǎn)數(shù)量較多����,認(rèn)證向量響應(yīng)消息內(nèi)容數(shù)據(jù)量較大,可以將整個向量響應(yīng)消息分段多次傳輸�����。
[0286]9��、BSF 向群組網(wǎng)關(guān)發(fā)送認(rèn)證消息�,即 401 Unauthorized Wffff-AuthenticateDigest消息,其中攜帶隨機(jī)數(shù)nonce。
[0287]10���、群組網(wǎng)關(guān)收到BSF發(fā)送的消息后,根據(jù)與usernamep, passwordp等參數(shù)相關(guān)的參量計算認(rèn)證響應(yīng)參數(shù)RESP�,并生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp=CKpI I IKp�����。密鑰計算完成后���,群組網(wǎng)關(guān)向BSF發(fā)送認(rèn)證響應(yīng)RequestAuthorization Digest消息����,認(rèn)證響應(yīng)中攜帶認(rèn)證響應(yīng)參數(shù)RESP�����,用于網(wǎng)絡(luò)對群組網(wǎng)關(guān)的認(rèn)證���。
[0288]11��、BSF收到群組網(wǎng)關(guān)返回的認(rèn)證響應(yīng)消息后����,計算XRES并驗(yàn)證群組網(wǎng)關(guān)發(fā)送的RESP是否與XRES匹配�。若匹配,則基于與usernamep和passwordp等參數(shù)相關(guān)的參量計算網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksg,基于與usernamei和passwordi等參數(shù)相關(guān)的參量計算節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi,并且對于網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp生成對應(yīng)的網(wǎng)關(guān)事務(wù)臨時標(biāo)識B-TIDp�,對于每一個節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi,生成與之對應(yīng)的節(jié)點(diǎn)事務(wù)臨時標(biāo)識B-TIDi�����。之后�,BSF向群組網(wǎng)關(guān)發(fā)送確認(rèn)2000K消息進(jìn)行確認(rèn)�,2000K消息中攜帶B-TIDp以及B-TIDi����。若不匹配,則表明網(wǎng)絡(luò)對群組網(wǎng)關(guān)節(jié)點(diǎn)認(rèn)證失敗��,退出處理流程��。
[0289]12�����、群組網(wǎng)關(guān)接收到2000K消息后����,依次向群組內(nèi)每一個節(jié)點(diǎn)發(fā)送包括隨機(jī)數(shù)和B-TIDi的參數(shù)傳輸消息。
[0290]13�、群組內(nèi)的每一個群組節(jié)點(diǎn)基于與usernamei, passwordi相關(guān)的參量生成節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi,同時�����,每一個節(jié)點(diǎn)存儲接收到的對應(yīng)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi�����。此外,節(jié)點(diǎn)向群組網(wǎng)關(guān)發(fā)送參數(shù)確認(rèn)消息��,確認(rèn)參數(shù)傳輸成功�����。
[0291]至此�,通過群組網(wǎng)關(guān)代理認(rèn)證的方式���,群組內(nèi)每一個節(jié)點(diǎn)完成了與BSF之間的相互認(rèn)證���,并且協(xié)商好了它們之間的共享密鑰。之后進(jìn)行業(yè)務(wù)密鑰協(xié)商過程�����。
[0292]14��、在GBA初始化過程完成后�,群組網(wǎng)關(guān)根據(jù)網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp采用相應(yīng)算法生成網(wǎng)關(guān)業(yè)務(wù)密鑰Ks_NAFp,并向NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息�,網(wǎng)關(guān)應(yīng)用請求消息中攜帶之前認(rèn)證過程中為群組網(wǎng)關(guān)下發(fā)的網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp以及網(wǎng)關(guān)消息信息msg。
[0293]15�、NAF接收到群組網(wǎng)關(guān)發(fā)送的網(wǎng)關(guān)應(yīng)用請求消息后���,向BSF發(fā)送認(rèn)證請求消息,其中攜帶網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp和NAF-hostname���。
[0294]16���、根據(jù)網(wǎng)關(guān)事務(wù)臨時標(biāo)識B-TIDp與群組節(jié)點(diǎn)信息的對應(yīng)關(guān)系,BSF獲取群組網(wǎng)關(guān)及群組節(jié)點(diǎn)的業(yè)務(wù)密鑰及上下文信息����,并向NAF業(yè)務(wù)服務(wù)器返回認(rèn)證應(yīng)答消息,其中攜帶群組網(wǎng)關(guān)的Ks_NAFp和上下文信息���,以及所有群組節(jié)點(diǎn)的Ks_NAFi�,B-TIDi和上下文信
肩�����、O
[0295]17���、NAF收到BSF返回的認(rèn)證應(yīng)答消息后���,NAF業(yè)務(wù)服務(wù)器存儲群組網(wǎng)關(guān)節(jié)點(diǎn)的Ks_NAFp和上下文信息��,以及群組節(jié)點(diǎn)的Ks_NAFi����,B-TIDi和上下文信息���,并向群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息�。
[0296]18��、在群組網(wǎng)關(guān)與NAF業(yè)務(wù)服務(wù)器NAF間完成密鑰協(xié)商后�,群組內(nèi)的節(jié)點(diǎn)根據(jù)Ksi采用相應(yīng)算法生成節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAFi���,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用請求消息����,其中攜帶之前認(rèn)證過程中為節(jié)點(diǎn)下發(fā)的B-TIDi以及節(jié)點(diǎn)消息信息msg���。
[0297]19���、群組網(wǎng)關(guān)向業(yè)務(wù)服務(wù)器NAF功能轉(zhuǎn)發(fā)接收到的節(jié)點(diǎn)應(yīng)用請求消息。
[0298]20���、NAF收到節(jié)點(diǎn)應(yīng)用請求消息后����,根據(jù)節(jié)點(diǎn)應(yīng)用消息中的B-TIDi查找存儲的對應(yīng)的節(jié)點(diǎn)的Ks_NAFi及上下文信息,并向群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息����。
[0299]21、群組網(wǎng)關(guān)向相應(yīng)的節(jié)點(diǎn)轉(zhuǎn)發(fā)節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����。至此����,所有群組節(jié)點(diǎn)與NAF應(yīng)用服務(wù)器間完成密鑰的協(xié)商,兩者之間的安全通信環(huán)境建立���。
[0300]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�����,應(yīng)當(dāng)指出�,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下�����,還可以做出若干改進(jìn)和潤飾��,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍�����。
【權(quán)利要求】
1.一種基于通用認(rèn)證機(jī)制的認(rèn)證方法��,其特征在于�,在基于通用認(rèn)證機(jī)制GBA認(rèn)證初始化時,包括步驟: 群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)進(jìn)行組內(nèi)雙向認(rèn)證��,使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)相互認(rèn)可對方身份的有效性�����; 所述群組網(wǎng)關(guān)向網(wǎng)絡(luò)應(yīng)用功能NAF業(yè)務(wù)服務(wù)器請求接入后����,與所述NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證��; 所述組外雙向認(rèn)證包括: 所述群組網(wǎng)關(guān)被所述NAF業(yè)務(wù)服務(wù)器的NAF引導(dǎo),獲準(zhǔn)進(jìn)行基于GBA認(rèn)證之后����,所述群組網(wǎng)關(guān)向啟動引導(dǎo)功能BSF服務(wù)器發(fā)送包括有群組標(biāo)識的初始獲取請求消息; 所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向認(rèn)證中心AUC請求獲取網(wǎng)關(guān)認(rèn)證向量��、與群組內(nèi)各個節(jié)點(diǎn)對應(yīng)的包括有節(jié)點(diǎn)加密密鑰CKi和節(jié)點(diǎn)完整性保護(hù)密鑰IKi的節(jié)點(diǎn)密鑰參數(shù)向量����,并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp,根據(jù)所述節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)每個節(jié)點(diǎn)的節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi ;為所述群組網(wǎng)關(guān)生成網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp���,為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi ��; 所述群組網(wǎng)關(guān)分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有所述網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)參數(shù)RAND和所述B-TIDi的參數(shù)傳輸消息����,并根據(jù)網(wǎng)關(guān)根密鑰Kp和所述RAND生成Ksp ���;群組內(nèi)各個節(jié)點(diǎn)存儲所述B-TIDi�����,并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量中的RAND和各自的根密鑰信息在本地生成節(jié)點(diǎn)加密密鑰CK1��、節(jié)點(diǎn)完整性保護(hù)密鑰IKi和節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi�����。
2.根據(jù)權(quán)利要求1所述的通用認(rèn)證機(jī)制中的認(rèn)證方法���,其特征在于��,所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向AUC請求獲取網(wǎng)關(guān)認(rèn)證向量��、與群組內(nèi)各個節(jié)點(diǎn)對應(yīng)的包括有CKi和IKi的節(jié)點(diǎn)密鑰參數(shù)向量,并根據(jù)所述網(wǎng)關(guān)認(rèn)證向量生成Ksp,根據(jù)所述節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)每個節(jié)點(diǎn)的Ksi�,為群組`內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi��,包括: 所述BSF服務(wù)器向所述AUC發(fā)送認(rèn)證向量請求消息��,所述AUC根據(jù)所述認(rèn)證向量請求消息中的業(yè)務(wù)層群組標(biāo)識獲取所述群組網(wǎng)關(guān)的簽約信息和網(wǎng)關(guān)根密鑰Kp ;并生成所述群組網(wǎng)關(guān)的四元組或五元組網(wǎng)關(guān)認(rèn)證向量�;同時,所述AUC根據(jù)所述群組標(biāo)識獲取群組內(nèi)各個節(jié)點(diǎn)的簽約信息及節(jié)點(diǎn)根密鑰Ki�,并生成群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量CKi與IKi ���; 所述AUC向所述BSF服務(wù)器返回包括有所述群組標(biāo)識��、網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)密鑰參數(shù)向量的認(rèn)證向量響應(yīng)消息�����; 所述群組網(wǎng)關(guān)獲取由所述BSF服務(wù)器發(fā)送的����、包括有網(wǎng)關(guān)認(rèn)證向量中RAND和認(rèn)證令牌的認(rèn)證消息,并通過所述認(rèn)證令牌的驗(yàn)證后���,根據(jù)Kp和所述RAND生成認(rèn)證響應(yīng)參數(shù)RESP和網(wǎng)關(guān)密鑰參數(shù)向量CKp與ΙΚρ�����,并生成Ksp ;所述群組網(wǎng)關(guān)向所述BSF服務(wù)器發(fā)送包括有RESP的認(rèn)證響應(yīng)消息���; 所述BSF服務(wù)器驗(yàn)證通過所述認(rèn)證響應(yīng)消息后,根據(jù)獲取自所述AUC的網(wǎng)關(guān)認(rèn)證向量生成Ksp���,并根據(jù)獲取自所述AUC的節(jié)點(diǎn)密鑰參數(shù)向量生成群組內(nèi)各個節(jié)點(diǎn)的Ksi ;為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi���。
3.根據(jù)權(quán)利要求2所述的通用認(rèn)證機(jī)制中的認(rèn)證方法,其特征在于����,所述群組網(wǎng)關(guān)分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有網(wǎng)關(guān)認(rèn)證向量中的隨RAND和B-TIDi的參數(shù)傳輸消息�,包括:所述群組網(wǎng)關(guān)接收所述BSF服務(wù)器發(fā)送的包括有網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp和群組內(nèi)各個節(jié)點(diǎn)的B-TIDi的確認(rèn)消息��; 所述群組網(wǎng)關(guān)將包括所述RAND和B-TIDi的參數(shù)傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)���。
4.根據(jù)權(quán)利要求3中所述的通用認(rèn)證機(jī)制中的認(rèn)證方法��,其特征在于�, 根據(jù)所述Ksi為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi�,包括: 根據(jù)Ksi按照設(shè)定的節(jié)點(diǎn)排序生成群組內(nèi)各個節(jié)點(diǎn)的B-TIDi ; 所述群組網(wǎng)關(guān)將包括所述RAND和B-TIDi的參數(shù)傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)���,包括: 按照設(shè)定的節(jié)點(diǎn)排序?qū)ㄋ鯮AND和B-TIDi的參數(shù)傳輸消息發(fā)送至群組內(nèi)各個節(jié)點(diǎn)����。
5.根據(jù)權(quán)利要求3中所述的通用認(rèn)證機(jī)制中的認(rèn)證方法�����,其特征在于��, 根據(jù)所述Ksi為群組內(nèi)各個節(jié)點(diǎn)生成對應(yīng)的B-TIDi�,包括: 根據(jù)所述確認(rèn)消息中還包括����,與所述B-TIDi對應(yīng)的節(jié)點(diǎn)標(biāo)識����;所述節(jié)點(diǎn)標(biāo)識用于標(biāo)識群組內(nèi)各個節(jié)點(diǎn)�。 所述群組網(wǎng)關(guān)將包括所述RAND和B-TIDi的參數(shù)傳輸消息發(fā)送至對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)為: 將所述B-TIDi的參數(shù)傳輸消息發(fā)送至與所述節(jié)點(diǎn)標(biāo)識對應(yīng)的群組內(nèi)各個節(jié)點(diǎn)。
6.根據(jù)權(quán)利要求5所述的通用認(rèn)證機(jī)制中的認(rèn)證方法���,其特征在于����,分段傳輸所述認(rèn)證向量響應(yīng)消息��。
7.根據(jù)權(quán)利要求1所述的通用認(rèn)證機(jī)制中的認(rèn)證方法�,其特征在于,所述組內(nèi)雙向認(rèn)證包括: 基于預(yù)共享密鑰PSK認(rèn)證方法��。
8.根據(jù)權(quán)利要求1所述的通用認(rèn)證機(jī)制中的認(rèn)證方法��,其特征在于�,所述組內(nèi)雙向認(rèn)證包括: 基于公共密鑰架構(gòu)PKI認(rèn)證方法。
9.根據(jù)權(quán)利要求1所述的通用認(rèn)證機(jī)制中的認(rèn)證方法�,其特征在于, 所述群組標(biāo)識記錄于所述群組網(wǎng)關(guān)(U) SIM卡����、群組內(nèi)各個節(jié)點(diǎn)(U) SIM卡和所述AUC中的簽約信息中����。
10.根據(jù)權(quán)利要求1所述的通用認(rèn)證機(jī)制中的認(rèn)證方法�����,其特征在于��,所述群組標(biāo)識包括: 群組網(wǎng)關(guān)的網(wǎng)關(guān)業(yè)務(wù)層標(biāo)識MPIp����。
11.根據(jù)權(quán)利要求1所述的通用認(rèn)證機(jī)制中的認(rèn)證方法,其特征在于�����,所述所群組內(nèi)的各個節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識包括: 所述群組標(biāo)識和節(jié)點(diǎn)業(yè)務(wù)層標(biāo)識頂Pli��。
12.根據(jù)權(quán)利要求1所述通用認(rèn)證機(jī)制中的認(rèn)證方法��,其特征在于����,當(dāng)所述組內(nèi)雙向認(rèn)證由群組內(nèi)的節(jié)點(diǎn)發(fā)起時���,群組網(wǎng)關(guān)對所述發(fā)起組內(nèi)雙向認(rèn)證的節(jié)點(diǎn)進(jìn)行雙向認(rèn)證后�,再對群組內(nèi)其他節(jié)點(diǎn)進(jìn)行雙向認(rèn)證。
13.根據(jù)權(quán)利要求1所述通用認(rèn)證機(jī)制中的認(rèn)證方法�,其特征在于,還包括業(yè)務(wù)密鑰協(xié)商: 所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息���;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成節(jié)點(diǎn)業(yè)務(wù)密Ks_NAFi后向所述群組網(wǎng)關(guān)發(fā)送��;所述節(jié)點(diǎn)請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ��; 根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi�����,所述NAF業(yè)務(wù)服務(wù)器獲取相應(yīng)節(jié)點(diǎn)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息�; 所述群組網(wǎng)關(guān)向所述群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息��。
14.根據(jù)權(quán)利要求1所述通用認(rèn)證機(jī)制中的認(rèn)證方法����,其特征在于,還包括業(yè)務(wù)密鑰協(xié)商,步驟如下: 所述群組網(wǎng)關(guān)根據(jù)Ksp生成網(wǎng)關(guān)業(yè)務(wù)密鑰Ks_NAFp后向所述NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息��; 根據(jù)所述網(wǎng)關(guān)應(yīng)用請求消息�,所述NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送包括B-TIDp和NAF業(yè)務(wù)服務(wù)器標(biāo)識NAF-hostname的認(rèn)證請求消息,在獲取所述BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后�����,所述NAF業(yè)務(wù)服務(wù)器存儲所述群組網(wǎng)關(guān)的Ks_NAFp及上下文信息�����,以及群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1����、B-TIDi和上下文信息,并向所述群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息����; 在所述群組網(wǎng)關(guān)與所述NAF業(yè)務(wù)服務(wù)器完成業(yè)務(wù)密鑰協(xié)商后,所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息�����;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi后��,向所述群組網(wǎng)關(guān)發(fā)送;所述節(jié)點(diǎn)應(yīng)用請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ���;` 所述NAF業(yè)務(wù)服務(wù)器根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi查找對應(yīng)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)返回節(jié)點(diǎn)應(yīng)用應(yīng)答消息����; 所述群組網(wǎng)關(guān)向所述群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����。
15.一種基于通用認(rèn)證機(jī)制的認(rèn)證方法����,其特征在于��,在通用認(rèn)證機(jī)制GBA認(rèn)證初始化時���,包括步驟: 群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)進(jìn)行組內(nèi)雙向認(rèn)證�����,使群組網(wǎng)關(guān)與群組內(nèi)各個節(jié)點(diǎn)相互認(rèn)可對方身份的有效性��; 所述群組網(wǎng)關(guān)向網(wǎng)絡(luò)應(yīng)用功能NAF業(yè)務(wù)服務(wù)器請求接入后�����,與所述NAF業(yè)務(wù)服務(wù)器進(jìn)行組外雙向認(rèn)證�����; 所述組外雙向認(rèn)證包括: 所述群組網(wǎng)關(guān)被所述NAF業(yè)務(wù)服務(wù)器的NAF引導(dǎo)��,獲準(zhǔn)進(jìn)行基于GBA認(rèn)證之后����,所述群組網(wǎng)關(guān)向BSF服務(wù)器發(fā)送包括有群組標(biāo)識的初始獲取請求消息; 所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向認(rèn)證中心AUC獲取網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量����,以網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)、網(wǎng)關(guān)的用戶名和口令為參數(shù)生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp�,以所述隨機(jī)數(shù)、群組中各個節(jié)點(diǎn)各自的用戶名和口令為參數(shù)生成對應(yīng)的節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi ;生成網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi �����; 所述群組網(wǎng)關(guān)以所述隨機(jī)數(shù)�����、網(wǎng)關(guān)用戶名和口令為參數(shù)生成認(rèn)證響應(yīng)參數(shù)以及Ksp,并分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有所述隨機(jī)數(shù)和所述B-TIDi的參數(shù)傳輸消息�;群組內(nèi)各個節(jié)點(diǎn)存儲所述B-TIDi,并以所述隨機(jī)數(shù)和群組內(nèi)各個節(jié)點(diǎn)的用戶名和口令為參數(shù)在本地生成節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi�����。
16.根據(jù)權(quán)利要求15所述通用認(rèn)證機(jī)制中的認(rèn)證方法���,其特征在于�����,所述BSF服務(wù)器根據(jù)所述群組標(biāo)識向認(rèn)證中心AUC獲取網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量,以網(wǎng)關(guān)認(rèn)證向量中的隨機(jī)數(shù)����、網(wǎng)關(guān)的用戶名和口令為參數(shù)生成網(wǎng)關(guān)業(yè)務(wù)根密鑰Ksp,以所述隨機(jī)數(shù)�、群組中各個節(jié)點(diǎn)各自的用戶名和口令為參數(shù)生成對應(yīng)的節(jié)點(diǎn)業(yè)務(wù)根密鑰Ksi ;生成網(wǎng)關(guān)引導(dǎo)事務(wù)標(biāo)識B-TIDp和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)引導(dǎo)事務(wù)標(biāo)識B-TIDi ;和, 所述群組網(wǎng)關(guān)以所述隨機(jī)數(shù)����、網(wǎng)關(guān)用戶名和口令為參數(shù)生成認(rèn)證響應(yīng)參數(shù)以及Ksp,并分別向群組內(nèi)各個節(jié)點(diǎn)下發(fā)對應(yīng)的包括有所述隨機(jī)數(shù)和所述B-TIDi的參數(shù)傳輸消息�����,具體包括步驟: 所述BSF服務(wù)器向所述AUC發(fā)送認(rèn)證向量請求消息,所述認(rèn)證向量請求消息請求包括有所述業(yè)務(wù)層群組標(biāo)識���; 所述AUC根據(jù)所述業(yè)務(wù)層群組標(biāo)識獲取群組網(wǎng)關(guān)信息并生成網(wǎng)關(guān)認(rèn)證向量SD-AVp ;根據(jù)所述業(yè)務(wù)層群組標(biāo)識獲取群組中各個節(jié)點(diǎn)的節(jié)點(diǎn)信息����,并生成節(jié)點(diǎn)認(rèn)證向量SD-AVi后���,向所述BSF服務(wù)器發(fā)送認(rèn)證向量響應(yīng)消息����; 所述BSF服務(wù)器獲取所述認(rèn)證向量響應(yīng)消息中的所述網(wǎng)關(guān)認(rèn)證向量和群組內(nèi)各個節(jié)點(diǎn)的節(jié)點(diǎn)認(rèn)證向量����,并向所述群組網(wǎng)關(guān)發(fā)送包括有隨機(jī)數(shù)的認(rèn)證消息; 所述群組網(wǎng)關(guān)接收所述認(rèn)證消息后��,以隨機(jī)數(shù)�、網(wǎng)關(guān)用戶名和口令為參數(shù)生成認(rèn)證響應(yīng)參數(shù)以及Ksp, 并向所述BSF服務(wù)器返回包括有認(rèn)證響應(yīng)參數(shù)RESP的認(rèn)證響應(yīng)消息����; 所述BSF服務(wù)器驗(yàn)證通過所述認(rèn)證響應(yīng)消息后�,以隨機(jī)數(shù)����、網(wǎng)關(guān)用戶名和口令為參數(shù)生成Ksp,并生成B-TIDp�����、并以隨機(jī)數(shù)�����、節(jié)點(diǎn)用戶名和口令為參數(shù)生成群組中各個節(jié)點(diǎn)的Ksi���,并生成其對應(yīng)的B-TIDi ;并向所述群組網(wǎng)關(guān)發(fā)送包括有B-TIDp和群組中各個節(jié)點(diǎn)的B-TIDi0
17.根據(jù)權(quán)利要求15所述通用認(rèn)證機(jī)制中的認(rèn)證方法,其特征在于����,所述群組標(biāo)識包括: 群組網(wǎng)關(guān)的網(wǎng)關(guān)用戶名。
18.根據(jù)權(quán)利要求15所述的通用認(rèn)證機(jī)制中的認(rèn)證方法����,其特征在于,所述所群組內(nèi)的各個節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識包括: 所述群組標(biāo)識和節(jié)點(diǎn)用戶名���。
19.根據(jù)權(quán)利要求15所述通用認(rèn)證機(jī)制中的認(rèn)證方法�,其特征在于,還包括業(yè)務(wù)密鑰協(xié)商: 所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息����;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成節(jié)點(diǎn)業(yè)務(wù)密鑰Ks_NAFi后向所述群組網(wǎng)關(guān)發(fā)送;所述節(jié)點(diǎn)請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ��; 根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息���,所述NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送認(rèn)證請求消息��,在獲取所述BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后�����,存儲所述群組內(nèi)節(jié)點(diǎn)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)發(fā)送節(jié)點(diǎn)應(yīng)用應(yīng)答消息����;所述認(rèn)證請求消息包括B-TIDi和NAF業(yè)務(wù)服務(wù)器標(biāo)識 NAF-hostname ����; 所述群組網(wǎng)關(guān)向所述群組內(nèi)節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息。
20.根據(jù)權(quán)利要求15所述通用認(rèn)證機(jī)制中的認(rèn)證方法�,其特征在于�,還包括業(yè)務(wù)密鑰協(xié)商: 所述群組網(wǎng)關(guān)根據(jù)Ksp生成Ks_NAFp后向所述NAF業(yè)務(wù)服務(wù)器發(fā)送網(wǎng)關(guān)應(yīng)用請求消息�;所述網(wǎng)關(guān)應(yīng)用請求消息包括B-TIDp以及網(wǎng)關(guān)消息信息msg ; 根據(jù)所述網(wǎng)關(guān)應(yīng)用請求消息��,所述NAF業(yè)務(wù)服務(wù)器向BSF服務(wù)器發(fā)送包括B-TIDp和NAF-hostname的認(rèn)證請求消息,在獲取所述BSF服務(wù)器返回的認(rèn)證應(yīng)答消息后,所述NAF業(yè)務(wù)服務(wù)器存儲所述群組網(wǎng)關(guān)的Ks_NAFp及上下文信息���,以及群組內(nèi)各個節(jié)點(diǎn)的Ks_NAF1�、B-TIDi和上下文信息�����,并向所述群組網(wǎng)關(guān)發(fā)送網(wǎng)關(guān)應(yīng)用應(yīng)答消息�����; 在所述群組網(wǎng)關(guān)與所述NAF業(yè)務(wù)服務(wù)器完成業(yè)務(wù)密鑰協(xié)商后�����,所述群組網(wǎng)關(guān)向所述NAF業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)群組內(nèi)節(jié)點(diǎn)的節(jié)點(diǎn)應(yīng)用請求消息��;所述節(jié)點(diǎn)應(yīng)用請求消息由群組內(nèi)節(jié)點(diǎn)根據(jù)Ksi生成Ks_NAFi后�����,向所述群組網(wǎng)關(guān)發(fā)送����;所述節(jié)點(diǎn)應(yīng)用請求消息中包括與應(yīng)用相關(guān)的特定消息集msg信息和B-TIDi ; 所述NAF業(yè)務(wù)服務(wù)器根據(jù)所述節(jié)點(diǎn)應(yīng)用請求消息中的B-TIDi查找對應(yīng)的Ks_NAFi及上下文信息并向所述群組網(wǎng)關(guān)返回節(jié)點(diǎn)應(yīng)用應(yīng)答消息�����; 所述群組網(wǎng)關(guān)向所述群組內(nèi) 節(jié)點(diǎn)轉(zhuǎn)發(fā)所述節(jié)點(diǎn)應(yīng)用應(yīng)答消息��。
【文檔編號】H04L29/06GK103781026SQ201210401696
【公開日】2014年5月7日 申請日期:2012年10月19日 優(yōu)先權(quán)日:2012年10月19日
【發(fā)明者】劉斐, 田野, 朱紅儒, 閻軍智 申請人:中國移動通信集團(tuán)公司