专利名称:一种更新密钥的方法、装置和系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种更新密钥的方法、装置和系统。
背景技术:
随着通信技术的发展,通信系统对网络安全的要求也越来越高,使用共享密钥是 确保网络安全的一种重要手段。3GPP(3rd Generation PartnershipProject,第三代合作 伙伴计划)中定义的GBA(Generic BootstrappingArchitecture,通用引导架构)提供了一 种在UE (User Equipment,用户设备)和服务器之间建立共享密钥的通用机制,该机制基于 AKA (Authentication andKey Agreement,认证和密钥协商)鉴权机制实现。AKA鉴权机制 是2G (2ndGeneration,第二代移动通信技术)/3G (3rd Generation,第三代移动通信技术) 网络中使用的一种相互鉴权和密钥协商的机制,可以在GBA中完成业务的安全引导过程。GBA中还引入了一个新的网元BSF(Bootstrapping Server Function,引导服务功 能),UE和HSS (Home Subscriber Server,归属签约用户服务器)之间通过BSF使用AKA 进行密钥协商。AKA完成后,BSF和UE协商出一个会话密钥,NAF(Network Application Function,网络应用功能)从BSF中取得会话密钥和用户相关信息,与UE建立共享密钥,并 利用该共享密钥为应用服务提供安全保护,特别是在应用服务会话开始时为UE和NAF提供 相互鉴权;此外,还可以利用该共享密钥完成机密性保护或完整性验证。UE和BSF之间、NAF 和BSF之间以及BSF和HSS之间的通信是与具体的应用无关的。由于在网络中从HSS处获 取认证向量的网元的数量应该越少越好,因此,BSF的引入降低了从HSS获取认证向量的网 元的数量。如图1所示,为GBA的网络模型示意图,其中,BSF通过查询SLF(Subscription Locator Function,签约定位功能)获得存储相关用户数据的HSS名称,在单一 HSS环境中 并不需要SLF。另外,当BSF配置成使用预先指定的HSS时,也不要求使用SLF。在2G的网 络中HSS即为HLR(Home LocationRegister,归属位置寄存器)。3GPP中定义的3G GBA过程,同样也适用于2G的基于SIM(SubscriberIdentity Module,用户身份识别模块)卡的 GBA 过程。基于 USIM(UniversalSubscriber Identity Module,全球用户识别)卡的3G GBA过程包括GBA初始化流程和业务访问流程,如图2所 示,为现有技术中的GBA初始化流程图,包括以下步骤步骤201,UE发送GBA初始化请求给BSF。步骤202,BSF通过参考点 Si 从HSS取回 AV (Authentication Vector,认证向量)。其中,AV = RAND (随机数)| |AUTN(认证令牌)| XRES (期望响应值)| CK (加密 密钥)IIIK(完整性密钥)。步骤203,HSS向BSF返回认证向量AV。步骤204,BSF 保存 CK、IK 和 XRES,以 401 unauthorized 消息发送 RAND 和 AUTN 给UE,要求UE对BSF进行认证。步骤205,UE 将 RAND 和 AUTN 发送给 USIM(Universal SubscriberIdentityModule,全球用户识别)卡验证AUTN,确认接收到的401 unauthorized消息来自授权的网 络,同时,UE计算CK、IK和RES,并将计算结果返回给UE。步骤206,UE发送挑战应答RES给BSF。步骤207,BSF验证RES是否等于XRES,并计算根密钥Ks = CK IK,并生成 B-TID(Bootstrapping Transaction Identifier,引导业务标识)的值。B-TID 的格式为 base64encode (RAND) iBSF_servers_domain_name。步骤208,BSF发送包含B-TID的2000K消息给UE表示认证成功,同时在2000K消 息中,BSF提供Ks的生命期。步骤209,UE计算并保存Ks = CK | | IK和Ks的生命期。在完成GBA初始化后,可以进入业务访问阶段,如图3所示,为现有技术中的业务 访问流程图,包括以下步骤步骤301,当UE需要访问业务平台NAF时,UE发送B-TID给NAF。步骤302,NAF根据B-TID在本地查询是否存在业务密钥Ks_NAF,如果本地不存在 Ks_NAF,则执行步骤303 ;如果本地存在Ks_NAF,则执行步骤308。步骤303,NAF 根据 B-TID 向 BSF 查询 Ks_NAF。步骤304,BSF根据B-TID查询Ks是否超过有效期,如果Ks超过有效期,则执行步 骤305 ;如果Ks没有超过有效期,则执行步骤307。步骤305,BSF向NAF返回错误消息。步骤306,NAF向UE返回错误消息,要求UE发起GBA初始化过程。步骤307,BSF 计算 Ks_NAF,返回 Ks_NAF 和 Ks_NAF 有效期给 NAF。具体地,Ks_NAF= KDF (Ks, “ gba-me “,RAND, IMPI,NAF_Id),其中,KDF 为密钥导 出函数,IMPI (IP Multimedia Private Identity,互联网协议多媒体私有标识)% IMS (IP Multimedia Subsystem,互联网协议多媒体子系统)使用的身份,NAF_Id为业务平台的标 识。步骤308,NAF接收并保存Ks_NAF和有效期。步骤309,NAF检查Ks_NAF是否在有效期内,如果Ks_NAF不在有效期内,则执行步 骤310 ;如果Ks_NAF在有效期内,则执行步骤311。步骤310,NAF返回错误消息给UE,要求UE执行GBA初始化过程。步骤311,NAF向UE发送认证挑战。步骤312,UE 计算 Ks_NAF,并使用 Ks_NAF 与 NAF 执行 HTTP Digest (Hypertext Transfer Protocol Digest,超文本传输协议分类)双向鉴权流程。其中,Ks_NAF = KDF (Ks, “ gba-me “,RAND, IMPI,NAF_Id),后续的业务消息都通 过HTTP Digest安全通道保护。 在上述流程中,UE和BSF间协商并存储GBA根密钥Ks,该Ks用于分别推导各业务 平台NAF的Ks_NAF,UE存储多个Ks_NAF和有效期。一般来说,Ks密钥的有效期相比Ks_ NAF 要长。由于 Ks_NAF = KDF (Ks,“ gba-me “,RAND, IMPI,NAF_Id),因此当 Ks_NAF 不在 有效期内需要更新时,会导致Ks也必须更新。一个UE可能上会运行多个使用GBA的应用 程序,多个应用程序都需要使用Ks推导各自的Ks_NAF,并会分配相应的Ks_NAF密钥有效 期。
如图4所示,为现有技术中的更新密钥示意图,其中,GBA初始化时协商的Ks和 B-TID有效期为0至7,即Ks_NAF有效期的2倍,NAFl、NAF2和NAF3分配的Ks_NAFl、Ks_ NAF2和Ks_NAF3的有效期分别为1至4、2至5、4. 5至6。当Ks_NAFl失效时,会在时间点4触发GBA初始化过程更新Ks和B-TID为Ksl和 B-TID1,由于B-TID的变化,会导致UE与NAF2的Ks_NAF2在时间点4也需要更新,即根据 Ksl推导新的Ks_NAF2_l。而当Ks_NAF3失效时,会在时间点6触发GBA初始化过程再次更 新为Ks_2和B-TID2,从而UE推导新的Ks_NAF3_l。而当Ks_NAF3_l失效时,会在时间点8 触发GBA初始化过程。发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷根密钥Ks受限于业务密钥Ks_NAF的有效期而不断更新,从而导致UE频繁访问 BSF,也导致Ks_NAF业务密钥的频繁更新,增加了 BSF的负荷和业务服务器的负荷。
发明内容
本发明实施例提供了一种更新密钥的方法、装置和系统,用于降低BSF的负荷和 业务服务器的负荷。本发明实施例提供了一种更新密钥的方法,包括以下步骤接收来自网络应用功能NAF的引导业务标识,根据所述引导业务标识查询根密钥 是否在有效期内;如果所述根密钥不在有效期内,则通过所述NAF向用户设备返回错误信息,并与 所述用户设备进行通用引导架构GBA初始化;如果所述根密钥在有效期内,则生成随机数, 根据所述随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述随机数 发送给所述NAF,使所述NAF根据所述业务密钥和所述随机数与所述用户设备进行双向鉴 权。优选地,所述接收来自NAF的引导业务标识之前,还包括所述NAF接收来自所述用户设备的所述引导业务标识,根据所述引导业务标识查 询到本地不存在业务密钥或者业务密钥不在有效期内。优选地,所述NAF根据业务密钥和随机数与用户设备进行双向鉴权,具体包括所述NAF接收并存储所述业务密钥、所述业务密钥的有效期和所述随机数,并向 所述用户设备发送认证请求和所述随机数;所述用户设备根据接收到的所述随机数计算业务密钥,根据所述计算得到的业务 密钥与所述NAF进行双向鉴权。优选地,所述与用户设备进行GBA初始化,具体包括接收来自所述用户设备的GBA初始化请求,从归属签约用户服务器HSS获取认证 向量,根据所述认证向量要求所述用户设备进行认证;接收来自所述用户设备的挑战应答,验证所述挑战应答,并获取根密钥和引导业 务标识,将所述引导业务标识和所述根密钥的有效期发送给所述用户设备,使所述用户设 备获取根密钥和所述根密钥的有效期。本发明实施例还提供了一种更新密钥的装置,包括查询模块,用于接收来自NAF的引导业务标识,根据所述引导业务标识查询根密钥是否在有效期内;初始化模块,用于在所述查询模块查询到所述根密钥不在有效期内时,通过所述 NAF向用户设备返回错误信息,并与所述用户设备进行GBA初始化;获取模块,用于在所述查询模块查询到所述根密钥在有效期内时,生成随机数,根 据所述随机数获取业务密钥,发送模块,用于将所述获取模块获取的业务密钥、所述业务密钥的有效期和所述 随机数发送给所述NAF,使所述NAF根据所述业务密钥和所述随机数与所述用户设备进行 双向鉴权。优选地,所述初始化模块,具体用于接收来自所述用户设备的GBA初始化请求,从 HSS获取认证向量,根据所述认证向量要求所述用户设备进行认证;接收来自所述用户设 备的挑战应答,验证所述挑战应答,并获取根密钥和引导业务标识,将所述引导业务标识和 所述根密钥的有效期发送给所述用户设备,使所述用户设备获取根密钥和所述根密钥的有 效期。本发明实施例还提供了一种更新密钥的系统,包括NAF实体和引导服务功能BSF 实体,其中,所述NAF实体,用于根据弓I导业务标识向所述BSF实体查询业务密钥,接收来自所 述BSF实体的业务密钥、所述业务密钥的有效期和随机数,根据所述业务密钥和所述随机 数与所述用户设备进行双向鉴权;所述BSF实体,接收来自所述NAF实体的所述引导业务标识,根据所述引导业务标 识查询根密钥是否在有效期内;如果所述根密钥不在有效期内,则通过所述NAF实体向用 户设备返回错误信息,并与所述用户设备进行GBA初始化;如果所述根密钥在有效期内,则 生成随机数,根据所述随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和 所述随机数发送给所述NAF实体。优选地,所述NAF实体,还用于接收来自所述用户设备的所述引导业务标识,根据 所述弓I导业务标识查询本地是否存在业务密钥且业务密钥在有效期内。优选地,所述NAF实体,具体用于根据引导业务标识向所述BSF实体查询业务密 钥,接收并存储所述业务密钥、所述业务密钥的有效期和所述随机数,并向所述用户设备发 送认证请求和所述随机数;使所述用户设备根据接收到的所述随机数计算业务密钥并根据 所述计算得到的业务密钥进行双向鉴权。优选地,所述BSF实体,具体用于接收来自所述NAF实体的所述引导业务标识,根 据所述引导业务标识查询根密钥是否在有效期内,如果所述根密钥不在有效期内,则接收 来自所述用户设备的GBA初始化请求,从HSS获取认证向量,根据所述认证向量要求所述用 户设备进行认证,接收来自所述用户设备的挑战应答,验证所述挑战应答,并获取根密钥和 引导业务标识,将所述引导业务标识和所述根密钥的有效期发送给所述用户设备,使所述 用户设备获取根密钥和所述根密钥的有效期;如果所述根密钥在有效期内,则生成随机数, 根据所述随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述随机数 发送给所述NAF实体。与现有技术相比,本发明实施例具有以下优点本发明实施例在根密钥Ks在有效 期内且业务密钥Ks_NAF失效的情况下,为NAF重新分配业务密钥Ks_NAF,避免了 Ks在未过期时被频繁更新,也避免了对Ks_NAF的频繁更新,降低了 BSF和NAF的密钥更新负荷。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅 仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提 下,还可以根据这些附图获得其他的附图。图1为GBA的网络模型示意图;图2为现有技术中的GBA初始化流程图;图3为现有技术中的业务访问流程图;图4为现有技术中的更新密钥示意图;图5为本发明实施例中的一种更新密钥的方法流程图;图6为本发明实施例应用场景中的更新密钥流程图;图7为本发明实施例应用场景中的更新密钥示意图;图8为本发明实施例中的一种更新密钥的装置结构示意图;图9为本发明实施例中的一种更新密钥的系统结构示意图。
具体实施例方式本发明实施例提供的技术方案中,其核心思想为NAF接收来自用户设备的引导业 务标识,根据该引导业务标识查询到本地不存在业务密钥或者业务密钥不在有效期内时, 向BSF查询根密钥。BSF接收来自NAF的弓|导业务标识,根据该引导业务标识查询根密钥是 否在有效期内;如果所述根密钥不在有效期内,则向用户设备返回错误信息,并与所述用户 设备进行通用引导架构GBA初始化;如果所述根密钥在有效期内,则生成随机数,根据所述 随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述随机数发送给所 述NAF,使所述NAF根据所述业务密钥和所述随机数与所述用户设备进行双向鉴权。下面将结合本发明实施例中的附图,对本发明实施例的技术方案进行清楚、完整 地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发 明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。如图5所示,为本发明实施例中的一种更新密钥的方法流程图,包括以下步骤步骤501,接收来自NAF的引导业务标识,根据该引导业务标识查询根密钥是否在 有效期内。如果根密钥不在有效期内,则执行步骤502 ;如果根密钥在有效期内,则执行步 骤 503。步骤502,通过NAF向用户设备返回错误信息,并与该用户设备进行GBA初始化。步骤503,生成随机数,根据该随机数获取业务密钥,并将该业务密钥、业务密钥的 有效期和随机数发送给NAF,使该NAF根据业务密钥和随机数与用户设备进行双向鉴权。本发明实施例在根密钥Ks在有效期内且业务密钥Ks_NAF失效的情况下,为NAF 重新分配业务密钥Ks_NAF,避免了 Ks在未过期时被频繁更新,也避免了对Ks_NAF的频繁更 新,降低了 BSF和NAF的密钥更新负荷。
以下具体应用场景对本发明实施例中的更新密钥方法进行详细的描述。如图6所示,为本发明实施例应用场景中的更新密钥流程图,具体包括以下步骤
步骤 601,UE 访问 NAF 时,向 NAF 发送 B-TID。步骤602,NAF根据B-TID查询本地是否存在Ks_NAF,如果本地不存在Ks_NAF,则 执行步骤603 ;如果本地存在Ks_NAF,则执行步骤608。步骤603,NAF 根据 B-TID 向 BSF 查询 Ks_NAF。步骤604,BSF根据B-TID查询Ks是否在有效期内,如果Ks不在有效期内,则执行 步骤605 ;如果Ks在有效期内,则执行步骤607。步骤605,BSF向NAF返回错误消息。步骤606,NAF向UE返回错误消息,要求UE发起GBA初始化过程。步骤607,BSF随机生成随机数R,并根据R计算Ks_NAF。其中,Ks_NAF= KDF(Ks,“ gba_me〃,RAND,IMPI,NAF_Id,R)。步骤608,BSF向NAF返回Ks_NAF、R和Ks_NAF的有效期,使NAF接收并保存Ks_ NAF、R禾口 Ks_NAF的有效期。步骤609,NAF检查Ks_NAF是否在有效期内,如果Ks_NAF不在有效期内,则执行步 骤610 ;如果Ks_NAF在有效期内,则执行步骤615。步骤610,NAF 根据 B-TID 向 BSF 查询 Ks_NAF。步骤611,BSF根据B-TID查询Ks是否在有效期内,如果Ks在有效期内,则执行步 骤612 ;如果Ks不在有效期内,则执行步骤614。步骤612,BSF向NAF返回错误消息。步骤613,NAF向UE返回错误,要求UE发起GBA初始化过程。步骤614,BSF随机生成随机数R,根据R计算Ks_NAF。其中,Ks_NAF= KDF(Ks, “ gba_me〃,RAND, IMPI, NAF_Id, R),更新后的 Ks_NAF 可参照图7所示。步骤615,BSF向NAF返回Ks_NAF、R和Ks_NAF的有效期,使NAF接收并保存Ks_ NAF、R禾口 Ks_NAF的有效期。步骤616,NAF向UE发送认证挑战和R。步骤617,UE接收到认证挑战和R后,计算Ks_NAF,使用Ks_NAF与NAF执行HTTP Digest双向鉴权流程。其中,Ks_NAF= KDF(Ks,“ gki-me",RAND,IMPI,NAF_Id,R),后续的业务消息 都通过HTTP Digest安全通道保护。本发明实施例在根密钥Ks在有效期内且业务密钥Ks_NAF失效的情况下,为NAF 重新分配业务密钥Ks_NAF,避免了 Ks在未过期时被频繁更新,也避免了对Ks_NAF的频繁更 新,降低了 BSF和NAF的密钥更新负荷。本发明实施例在上述实施方式中提供了更新密钥方法和应用场景,相应地,本发 明实施例还提供了应用上述更新密钥方法的装置和系统。如图8所示,为本发明实施例中的一种更新密钥的装置结构示意图,包括查询模块810,用于接收来自NAF的引导业务标识,根据所述引导业务标识查询根 密钥是否在有效期内;
初始化模块820,用于在所述查询模块810查询到所述根密钥不在有效期内时,通 过所述NAF向用户设备返回错误信息,并与所述用户设备进行GBA初始化;获取模块830,用于在所述查询模块810查询到所述根密钥在有效期内时,生成随 机数,根据所述随机数获取业务密钥,发送模块840,用于将所述获取模块830获取的业务密钥、所述业务密钥的有效期 和所述随机数发送给所述NAF,使所述NAF根据所述业务密钥和所述随机数与所述用户设 备进行双向鉴权。上述初始化模块820,具体用于接收来自所述用户设备的GBA初始化请求,从HSS 获取认证向量,根据所述认证向量要求所述用户设备进行认证;接收来自所述用户设备的 挑战应答,验证所述挑战应答,并获取根密钥和引导业务标识,将所述引导业务标识和所述 根密钥的有效期发送给所述用户设备,使所述用户设备获取根密钥和所述根密钥的有效期。本发明实施例在根密钥Ks在有效期内且业务密钥Ks_NAF失效的情况下,为NAF 重新分配业务密钥Ks_NAF,避免了 Ks在未过期时被频繁更新,也避免了对Ks_NAF的频繁更 新,降低了 BSF和NAF的密钥更新负荷。如图9所示,为本发明实施例中的一种更新密钥的系统结构示意图,包括NAF实体 910和引导服务功能BSF实体920,其中,所述NAF实体910,用于根据引导业务标识向所述BSF实体920查询业务密钥,接 收来自所述BSF实体的业务密钥、所述业务密钥的有效期和随机数,根据所述业务密钥和 所述随机数与所述用户设备进行双向鉴权;所述BSF实体920,接收来自所述NAF实体910的所述引导业务标识,根据所述引 导业务标识查询根密钥是否在有效期内;如果所述根密钥不在有效期内,则通过所述NAF 实体920向用户设备返回错误信息,并与所述用户设备进行GBA初始化;如果所述根密钥在 有效期内,则生成随机数,根据所述随机数获取业务密钥,并将所述业务密钥、所述业务密 钥的有效期和所述随机数发送给所述NAF实体910。上述NAF实体910,还用于接收来自所述用户设备的所述引导业务标识,根据所述 弓I导业务标识查询本地是否存在业务密钥且业务密钥在有效期内。上述NAF实体910,具体用于根据引导业务标识向所述BSF实体920查询业务密 钥,接收并存储所述业务密钥、所述业务密钥的有效期和所述随机数,并向所述用户设备发 送认证请求和所述随机数;使所述用户设备根据接收到的所述随机数计算业务密钥并根据 所述计算得到的业务密钥进行双向鉴权。上述BSF实体920,具体用于接收来自所述NAF实体910的所述引导业务标识,根 据所述引导业务标识查询根密钥是否在有效期内,如果所述根密钥不在有效期内,则接收 来自所述用户设备的GBA初始化请求,从HSS获取认证向量,根据所述认证向量要求所述用 户设备进行认证,接收来自所述用户设备的挑战应答,验证所述挑战应答,并获取根密钥和 引导业务标识,将所述引导业务标识和所述根密钥的有效期发送给所述用户设备,使所述 用户设备获取根密钥和所述根密钥的有效期;如果所述根密钥在有效期内,则生成随机数, 根据所述随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述随机数 发送给所述NAF实体。
本发明实施例在根密钥Ks在有效期内且业务密钥Ks_NAF失效的情况下,为NAF 重新分配业务密钥Ks_NAF,避免了 Ks在未过期时被频繁更新,也避免了对Ks_NAF的频繁更 新,降低了 BSF和NAF的密钥更新负荷。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更 佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出 贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中, 包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备 等)执行本发明各个实施例所述的方法。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润 饰也应视本发明的保护范围。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆 分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种更新密钥的方法,其特征在于,包括以下步骤接收来自网络应用功能NAF的引导业务标识,根据所述引导业务标识查询根密钥是否 在有效期内;如果所述根密钥不在有效期内,则通过所述NAF向用户设备返回错误信息,并与所述 用户设备进行通用引导架构GBA初始化;如果所述根密钥在有效期内,则生成随机数,根据 所述随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述随机数发送 给所述NAF,使所述NAF根据所述业务密钥和所述随机数与所述用户设备进行双向鉴权。
2.如权利要求1所述的方法,其特征在于,所述接收来自NAF的引导业务标识之前,还 包括所述NAF接收来自所述用户设备的所述引导业务标识,根据所述引导业务标识查询到 本地不存在业务密钥或者业务密钥不在有效期内。
3.如权利要求1所述的方法,其特征在于,所述NAF根据业务密钥和随机数与用户设备 进行双向鉴权,具体包括所述NAF接收并存储所述业务密钥、所述业务密钥的有效期和所述随机数,并向所述 用户设备发送认证请求和所述随机数;所述用户设备根据接收到的所述随机数计算业务密钥,根据所述计算得到的业务密钥 与所述NAF进行双向鉴权。
4.如权利要求1所述的方法,其特征在于,所述与用户设备进行GBA初始化,具体包括接收来自所述用户设备的GBA初始化请求,从归属签约用户服务器HSS获取认证向量, 根据所述认证向量要求所述用户设备进行认证;接收来自所述用户设备的挑战应答,验证所述挑战应答,并获取根密钥和引导业务标 识,将所述引导业务标识和所述根密钥的有效期发送给所述用户设备,使所述用户设备获 取根密钥和所述根密钥的有效期。
5.一种更新密钥的装置,其特征在于,包括查询模块,用于接收来自NAF的引导业务标识,根据所述引导业务标识查询根密钥是 否在有效期内;初始化模块,用于在所述查询模块查询到所述根密钥不在有效期内时,通过所述NAF 向用户设备返回错误信息,并与所述用户设备进行GBA初始化;获取模块,用于在所述查询模块查询到所述根密钥在有效期内时,生成随机数,根据所 述随机数获取业务密钥,发送模块,用于将所述获取模块获取的业务密钥、所述业务密钥的有效期和所述随机 数发送给所述NAF,使所述NAF根据所述业务密钥和所述随机数与所述用户设备进行双向 鉴权。
6.如权利要求5所述的装置,其特征在于,所述初始化模块,具体用于接收来自所述用户设备的GBA初始化请求,从HSS获取认证 向量,根据所述认证向量要求所述用户设备进行认证;接收来自所述用户设备的挑战应答, 验证所述挑战应答,并获取根密钥和引导业务标识,将所述引导业务标识和所述根密钥的 有效期发送给所述用户设备,使所述用户设备获取根密钥和所述根密钥的有效期。
7.一种更新密钥的系统,其特征在于,包括NAF实体和引导服务功能BSF实体,其中,所述NAF实体,用于根据引导业务标识向所述BSF实体查询业务密钥,接收来自所述BSF实体的业务密钥、所述业务密钥的有效期和随机数,根据所述业务密钥和所述随机数与 所述用户设备进行双向鉴权;所述BSF实体,接收来自所述NAF实体的所述引导业务标识,根据所述引导业务标识查 询根密钥是否在有效期内;如果所述根密钥不在有效期内,则通过所述NAF实体向用户设 备返回错误信息,并与所述用户设备进行GBA初始化;如果所述根密钥在有效期内,则生成 随机数,根据所述随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述 随机数发送给所述NAF实体。
8.如权利要求7所述的系统,其特征在于,所述NAF实体,还用于接收来自所述用户设备的所述引导业务标识,根据所述引导业 务标识查询本地是否存在业务密钥且业务密钥在有效期内。
9.如权利要求7所述的系统,其特征在于,所述NAF实体,具体用于根据引导业务标识向所述BSF实体查询业务密钥,接收并存储 所述业务密钥、所述业务密钥的有效期和所述随机数,并向所述用户设备发送认证请求和 所述随机数;使所述用户设备根据接收到的所述随机数计算业务密钥并根据所述计算得到 的业务密钥进行双向鉴权。
10.如权利要求7所述的系统,其特征在于,所述BSF实体,具体用于接收来自所述NAF实体的所述引导业务标识,根据所述引导 业务标识查询根密钥是否在有效期内,如果所述根密钥不在有效期内,则接收来自所述用 户设备的GBA初始化请求,从HSS获取认证向量,根据所述认证向量要求所述用户设备进行 认证,接收来自所述用户设备的挑战应答,验证所述挑战应答,并获取根密钥和引导业务标 识,将所述引导业务标识和所述根密钥的有效期发送给所述用户设备,使所述用户设备获 取根密钥和所述根密钥的有效期;如果所述根密钥在有效期内,则生成随机数,根据所述随 机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述随机数发送给所述 NAF实体。
全文摘要
本发明实施例公开了一种更新密钥的方法,包括以下步骤接收来自网络应用功能NAF的引导业务标识,根据所述引导业务标识查询根密钥是否在有效期内;如果所述根密钥不在有效期内,则通过所述NAF向用户设备返回错误信息,并与所述用户设备进行通用引导架构GBA初始化;如果所述根密钥在有效期内,则生成随机数,根据所述随机数获取业务密钥,并将所述业务密钥、所述业务密钥的有效期和所述随机数发送给所述NAF,使所述NAF根据所述业务密钥和所述随机数与所述用户设备进行双向鉴权。本发明实施例降低了BSF的负荷和业务服务器的负荷。本发明实施例同样公开了一种应用上述方法的装置和系统。
文档编号H04W12/04GK102065421SQ200910237820
公开日2011年5月18日 申请日期2009年11月11日 优先权日2009年11月11日
发明者彭华熹 申请人:中国移动通信集团公司