注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

移动Labs

http://labs.chinamobile.com/

 
 
 

日志

 
 
关于我

移动Labs(labs.chinamobile.com):中国移动研究院主办的通信行业汇聚门户,专注于移动通信和互联网领域,核心会员是中移动广大员工及ICT行业用户。提供资讯、博客、讨论组、专业报告、视频、电子日报等信息及知识服务,以及研究院主办的每周线下活动“无限论坛”。

网易考拉推荐

彭华熹:移动通信领域的通用认证机制GBA之GBA技术原理  

2010-07-27 13:14:55|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

独家供稿:移动Labs

  GBA技术原理

  1)GBA的体系架构

  GBA定义了一种在终端和服务器之间的通用的密钥协商机制,下图描述了GBA体系架构的网络模型,以及这些网元实体间的参考点描述。

  

  GBA简单网络模型

  主要网元如下:

  1) UE

  UE是终端设备(如手机)和(U)SIM卡的总称,这里的终端可以是插卡的移动终端(如手机等),也可以是插卡的固定终端(如机顶盒等);

  2) NAF

  即应用服务器,实现应用的业务逻辑功能,在完成对终端的认证后为终端提供业务服务;

  3) BSF

  BSF是GBA的核心网元,BSF和UE通过AKA协议实现认证,并且协商出随后用于UE和NAF间通信的会话密钥,BSF能够根据本地策略设定密钥的生命期;

  4) HSS

  存储了终端(U)SIM卡中的鉴权数据,如SIM卡中的Ki等;

  5) SLF

  BSF通过查询SLF获得存储相关用户数据的HSS名称。在单一HSS环境和中并不需要SLF。另外,当BSF配置成使用预先指定的HSS时,也不要求使用SLF。

  2)GBA的原理

  GBA机制主要分为初始化和业务密钥协商2个过程。在GBA初始化过程中,主要完成UE和BSF之间的认证和根密钥协商;业务密钥协商过程主要基于根密钥完成UE和业务平台NAF之间的共享密钥,用于后续认证和安全交互。

  1) GBA初始化

  GBA初始化过程主要完成UE和BSF之间的认证和根密钥协商,协商出来的共享密钥用于推导后续UE和业务平台NAF的共享密钥,下面以USIM卡为例描述GBA初始化过程:

  

  图 GBA初始化过程

  1) UE发送初始化请求给BSF;

  2) BSF通过参考点Zh从HSS取回用户的安全配置信息GUSS和一个认证向量AV(AV= RAND|| AUTN|| XRES||CK||IK)。注:在多HSS环境下,BSF通过询问SLF来得到存储用户信息的HSS地址;

  3) BSF通过401消息发送RAND和AUTN给UE ,保存(CK、IK、XRES) ,要求UE对BSF进行认证;

  4) UE通过3G的鉴权算法验证AUTN,确认此消息来自授权的网络,同时UE计算CK ,IK, RES。这使得在BSF和UE中都有会话密钥IK和CK;

  5) UE使用RES计算得到response,并发送给BSF;

  6) BSF通过保存的(CK、IK、XRES)验证response的正确性;若正确则计算根密钥Ks=CK||IK,同时产生B-TID的值,其格式为 base64encode(RAND)@BSF_servers_domain_name;

  7) BSF发送包含B-TID 的200 OK 消息给UE表示认证成功,同时在200 OK 消息中,BSF提供了Ks的生命期;

  8) UE接收到200 OK消息后,同样也计算得到Ks=CK||IK,Ks即GBA根密钥,用于推导于应用平台NAF的业务密钥。

  2) 业务密钥协商

  GBA初始化过程完成后,UE与NAF进行业务密钥协商:

  

  图 业务密钥协商

  1) UE和BSF使用Ks来推导业务密钥Ks_NAF=KDF(Ks ,”gba-me”, RAND, IMPI, NAP_ID)。其中,KDF是密钥产生算法,IMPI是终端的IMS标识、NAF_ID是业务平台NAF的ID;

  2) UE发送B-TID给NAF,要求与NAF协商密钥;

  3) NAF发送B-TID、NAF_ID给BSF请求获得用户的业务密钥;

  4) BSF使用与UE相同的方法从Ks推导得到Ks_NAF,通过安全通道将Ks_NAF发送给NAF ,同时包括它的Ks_NAF的密钥生命期等信息;

  5) NAF保存Ks_NAF和有效期信息后,返回200 OK应答给UE,这样UE和NAF之间共享了密钥Ks_NAF,可以用于认证、消息加密等操作。

  这里仅简单介绍了GBA机制的原理,更为具体的技术流程可以参考3GPP TS 33.220,与GBA有关的规范3GPP也在不断完善中,GBA技术也广泛应用于3GPP、OMA的各类业务中。

 

彭华熹发表在移动Labs官网上的文章:http://labs.chinamobile.com/mblog/165_60507

彭华熹随机博文推荐:

移动通信领域的通用认证机制GBA之三:GBA的应用
移动通信领域的通用认证机制GBA之一
  评论这张
 
阅读(1247)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017