專利名稱:一種家庭網關認證方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明屬于通信技術領域���,具體涉及一種家庭網關認證方法和系統(tǒng)。
背景技術:
隨著第三代移動通訊技術發(fā)展和眾多業(yè)務的開展����,運營商和用戶都需要可靠的認 證機制來保證合法的業(yè)務使用以及正確的計費。尤其是在3G業(yè)務中�����,無線網絡帶寬快速提升���,在無線網絡上為用戶提供除語音�、 短信等基礎業(yè)務外的數(shù)據�����、家庭影院等對帶寬具有更高要求的業(yè)務成為可能�����。移動運營商 也積極發(fā)展這些業(yè)務�。基于廣域網管理協(xié)議(tr069)的家庭網關就是作為提供這些業(yè)務功 能的一種關鍵設備����,市場上有很多基于tr069協(xié)議的終端設備�����,如何安全�����、有效的管理這些 設備成為運營商關注的問題��。
發(fā)明內容
本發(fā)明的目的是提供一種家庭網關認證方法和系統(tǒng)���,防止非法用戶對管理平臺的 惡意攻擊和非被管設備的接入,提高了系統(tǒng)的安全性�����。為實現(xiàn)上述目的�,本發(fā)明采用了以下技術方案一種家庭網關認證方法,包括步 驟家庭網關向家庭網關管理平臺請求進行GBA認證�,家庭網關計算出引導服務功能 實體BSF與家庭網關之間的共享認證密鑰Ks ;家庭網關根據共享認證密鑰Ks向家庭網關管理平臺進行HttpDigest認證��;如果認證通過�,則家庭網絡管理平臺允許家庭網關的接入��,否則拒絕家庭網關的 接入����。一種家庭網關認證系統(tǒng)���,包括家庭網關、家庭網關管理平臺和引導服務功能實體 BSF��,家庭網關與家庭網關管理平臺連接�����,家庭網關管理平臺與引導服務功能實體BSF連 接�,所述家庭網關管理平臺用于根據用戶預定業(yè)務以及引導服務功能實體提供的密鑰對家 庭網關進行GBA認證和HttpDigest認證,如果通過GBA認證和HttpDigest認證���,則允許家 庭網關的接入����,否則拒絕家庭網關的接入�。與現(xiàn)有技術相比,本實施例通過將GBA認證和HttpDigest認證應用到網絡家庭網 關中��,使用GBA認證和HttpDigest認證方法對家庭網關進行合法性認證,防止非法用戶對 管理平臺的惡意攻擊和非被管設備的接入�����,提高了系統(tǒng)的安全性��。
圖1為本發(fā)明實施例公開的一種家庭網關認證方法流程圖���;圖2為本發(fā)明實施例公開的一種家庭網關GBA認證方法流程圖����;圖3為本發(fā)明實施例公開的一種家庭網關HttpDigest認證方法流程圖���;圖4為本發(fā)明實施例公開的一種家庭網關認證系統(tǒng)框圖�。
具體實施例方式下面通過具體實施方式
結合附圖對本發(fā)明作進一步詳細說明�。本發(fā)明的主旨是家庭網關接入管理平臺之前先經過GBA (GenericBootstrapping Architecture,通用引導認證)認證�����,再進過HttpDigest認證�,防止非法用戶對管理平臺的 惡意攻擊和非被管設備的接入,提高了系統(tǒng)的安全性�����。請參閱圖1所示,一種家庭網關認證方法�,包括步驟SlOl 家庭網絡管理平臺對家庭網關進行通用認證機制GBA認證,家庭網關計算 出引導服務功能實體(BSF��,Bootstrapping Server Function)與家庭網關之間的共享認證 密鑰Ks��。S102 家庭網關根據共享認證密鑰Ks向家庭網關管理平臺進行HttpDigest認證����。S103 如果認證通過���,則進入步驟S104��,否則���,進入步驟S105。S104 家庭網絡管理平臺允許家庭網關的接入�����。S105 否則拒絕家庭網關的接入���。請參閱圖2所示��,圖2為GBA認證的流程圖����,包括如下步驟S201 家庭網關上電后,根據具體網絡往 WAP(Wireless ApplicationProtocol, 無線應用協(xié)議)網關發(fā)送引導創(chuàng)建請求(Bootstrappingjnitiation. REQ)��,其 中弓I 導倉1J 建請求 Bootstrapping_Initiation. REQ 中帶有 IMEI(International Mobile EquipmentIdentity,國際移動設備身份碼)和 IMSI (International Mobile Subscriberldentity�����,國際移動用戶識別碼)信息��。S202 無線應用協(xié)議 WAP 網關匹配 MSISDN(Mobile Station ISDNNumber�����,移動用 戶國際號碼)后���,把設備標識轉發(fā)給家庭網關管理平臺����。S203 家庭網關管理平臺判斷用戶是否訂購業(yè)務,如果沒有訂購��,則有進入步驟 S104-S105,如果已經訂購��,則進入步驟S106��。S204 返回鑒權失敗信息給WAP網關����。S205 =WAP網關返回鑒權失敗信息給家庭網關,流程結束���。S206 家庭網關管理平臺向WAP網關返回引導創(chuàng)建應答消息(Bootstrapping, Initiation. RES)�����,該消息包括IMPI (IMS Private Identity, IP多媒體子系統(tǒng)私有密鑰) 和 BSF(Bootstrapping Server Function,引導服務功能)實體地址����。S207 =WAP網關返回引導創(chuàng)建應答消息(Bootstrapping_Initiation. RES)給家庭 網關。S208 家庭網關根據引導服務功能實體地址��,向引導服務功能實體發(fā)送引導注冊 請求(Bootstrapping_Register. REQ)����。S209 引導服務功能實體計算出鑒權元組(AV���,Authentication Vector)。S210 引導服務功能實體返回引導注冊應答消息(Bootstrapping—Register. RES)�,該消息包括鑒權元組向量信息隨機數(shù)RAND,可以還包括鑒權標識AUTN�。S211 家庭網關根據隨機數(shù)RAND計算響應RES,具體的根據公式KDF(T_key���, “3gpp-gba-res”���,SRES)計算。S212 家庭網關向引導服務功能實體發(fā)送引導授權請求(Bootstrapping,Authorization. REQ)�����。S213 引導服務功能實體返回引導授權應答消息(Bootstrapping, Authorization. RES),該消息包括 B-TID (BootstrappingTransaction Identifier,弓丨導事 物標識)���、Ks的生命周期��。S214:家庭網關計算引導服務功能實體與家庭網關的共享認證密鑰Ks�����,其中KS根 據公式 KDF(Ks���,“gba-me”����,RAND, IMPI, NAF_Id)計算��。GBA認證流程結束�����。本實施例中���,家庭網關GBA認證流程結束或者家庭網關發(fā)起管理要求時需要進行 HttpDigest 認證����。請參閱圖3所示�,圖3為HttpDigest認證的流程圖�����,包括如下步驟S301 家庭網關向家庭網關管理平臺發(fā)送HttpDigest請求消息�����。S302 家庭網關管理平臺生產隨機數(shù)nounce。S303 家庭網關管理平臺返回Authorization. Info消息�,包括隨機參數(shù)nounce、 算法參數(shù)algorithm和保護的質量參數(shù)qop�����。S304 家庭網關查找與NAF(Network Application Function�,網絡業(yè)務應用功能 實體)之間的共享認證密鑰Ks_ext_NAF,如果查到則進入步驟S210��。如果沒有找到�����,則進 入步驟S205�。S305 家庭網關向家庭網關管理平臺發(fā)送HttpDigest_Retrieve_Authorization_ Request請求,該請求包括B-TID���、IMSI和IMEI信息���。S306 家庭網關管理平臺通過B-TID和NAF-ID (NAF標識)向引導服務功能實體發(fā) 送 Authentication 請求。S307 引導服務功能實體返回Authentication應答消息��,該消息包括共享認證密 鑰Ks_ext_NAF、Ks_int_NAF和Ks有效期或者錯誤信息�����。如果引導服務功能實體返回錯誤 信息����,則家庭網關管理平臺執(zhí)行步驟S308 ;否則執(zhí)行步驟S309�。S308 家庭網關管理平臺向家庭網關返回HttpDigest應答消息,HTTP 401鑒權失 敗����,HttpDigest流程結束。S309 家庭網關管理平臺向家庭網關返回HttpDigest_Retrieve_Authorization 應答消息�����,該消息包括NAF-ID和IMPI�����。S310 家庭網關計算HTTP摘要認證����。S311 家庭網關向家庭網關管理平臺發(fā)送HttpDigest報告請求。S312 家庭網關管理平臺向家庭網關返回HttpDigest應答消息�����。請參閱圖4所示����,本實施例還公開了一種家庭網關認證系統(tǒng),家庭網關認證系統(tǒng) 包括家庭網關401�����、無線應用協(xié)議網關402��、家庭網關管理平臺403和引導服務功能實體 404��,所述家庭網關管理平臺403根據用戶預定業(yè)務以及引導服務功能實體404提供的共享 認證密鑰對家庭網關401進行GBA認證和HttpDigest認證�����,如果通過GBA和HttpDigest 認證��,則允許家庭網關301接入家庭網關管理平臺403�����。GBA認證家庭網關根據具體網絡向無線應用協(xié)議網關發(fā)送Bootstrapping_ Initiation請求,該請求帶有IMEI和IMSI信息��,無線應用協(xié)議網關匹配MSISDN后�����,把相關 信息轉發(fā)給家庭網關管理平臺�;
7
家庭網關管理平臺判斷用戶是否訂購業(yè)務,如果沒有訂購���,則返回鑒權失敗信息 給無線應用協(xié)議網關���,無線應用協(xié)議網關返回鑒權失敗信息給家庭網關,流程結束��;如果有 訂購�����,則向無線應用協(xié)議網關返回Bootstrappingjnitiation應答消息����,該消息包括IMPI 和引導服務功能實體地址,無線應用協(xié)議網關返回Bootstrapping—Initiation應答消息 給家庭網關����;家庭網關根據引導服務功能實體地址,向引導服務功能實體發(fā)送Bootstrapping, Register請求�,引導服務功能實體計算出鑒權元組,引導服務功能實體返回 Bootstrapping_Register應答消息給家庭網關�,該消息包括隨機數(shù)BAND,還可以包括鑒權 標識AUTH���。家庭網關根據隨機數(shù)BAND計算響應RES���,家庭網關向引導服務功能實體發(fā) 送Bootstrapping—Authorization請求,弓丨導月艮務功能實體返回Bootstrapping— Authorization應答消息���,該消息包括B-TID�、Ks的生命周期�����。家庭網關計算引導服務功能實體與家庭網關的共享認證密鑰Ks����,GBA認證流程結
束οHttpDigest認證家庭網關向家庭網關管理平臺發(fā)送HttpDigest請求,家庭網關 管理平臺生產隨機數(shù)nounce��,家庭網關管理平臺返回Authorization. Info信息,包括隨機 數(shù)nounce��、算法參數(shù)algorithm和保護的質量參數(shù)qop�����。家庭網關查找Ks_ext_NAF�,如果查到則家庭網關計算摘要認證;如果沒找到則家 庭網關向家庭網關管理平臺發(fā)送HttpDigest_Retrieve_Authorization_Request請求����,該 請求B-TID、IMSI和IMEI信息��。家庭網關管理平臺通過B-TID和NAF-ID向引導服務功能實體發(fā)送 Authentication請求���,引導服務功能實體返回Authentication應答消息�����,該消息包括共享 認證密鑰Ks_ext_NAF���、Ks_int_NAF和Ks有效期或者錯誤信息,如果引導服務功能實體返 回錯誤信息,則向家庭網關返回HttpDigest應答�����,HTTP 401鑒權失敗�����,HttpDigest流程 結束��;如果引導服務功能實體返回共享認證密鑰KS信息�,則向家庭網關返回HttpDigeSt_ Retrieve_Authorization應答消息���,該消息包括NAF-ID和IMPI��,家庭網關計算HTTP摘要 認證����,家庭網關向家庭網關管理平臺發(fā)送HttpDigest報告請求���,家庭網關管理平臺向家庭 網關返回HttpDigest應答消息��。本實施例中�����,所述家庭網關和家庭網關管理平臺之間的認證消息通過MD5加密���, 增加了系統(tǒng)的安全性��。本實施例通過家庭網關設備在第一次啟動或上電后��,主動發(fā)起認證流程����。家庭網 關管理平臺根據用戶預定業(yè)務以及引導服務功能實體提供的密鑰對家庭網關進行合法性 認證���,防止非法用戶對管理平臺的惡意攻擊和非被管設備的接入���,提高了系統(tǒng)的安全性。以上內容是結合具體的實施方式對本發(fā)明所作的進一步詳細說明����,不能認定本發(fā) 明的具體實施只局限于這些說明。對于本發(fā)明所屬技術領域的普通技術人員來說�����,在不脫 離本發(fā)明構思的前提下,還可以做出若干簡單推演或替換���,都應當視為屬于本發(fā)明的保護 范圍�。
權利要求
一種家庭網關認證方法���,其特征在于�,包括步驟家庭網關向家庭網關管理平臺請求進行GBA認證����,家庭網關計算出引導服務功能實體BSF與家庭網關之間的共享認證密鑰Ks�����;家庭網關根據共享認證密鑰Ks向家庭網關管理平臺進行HttpDigest認證���;如果認證通過����,則家庭網絡管理平臺允許家庭網關的接入�����,否則拒絕家庭網關的接入。
2.如權利要求1所述的方法���,其特征在于����,所述通用認證機制GBA認證具體包括步驟 家庭網關獲取引導服務功能實體的地址���,然后向引導服務功能實體發(fā)送引導注冊請求��,引導服務功能實體計算出鑒權元組�,引導服務功能實體返回引導注冊應答消息給家庭 網關��,所述引導注冊應答消息包括隨機數(shù)RAND �����;家庭網關根據隨機數(shù)RAND計算響應RES��,家庭網關向引導服務功能實體發(fā)送引導授權 請求�,引導服務功能實體返回引導授權應答消息,該消息包括引導事物標識B-TID����、Ks的生 命周期����;家庭網關計算引導服務功能實體與家庭網關的共享認證密鑰Ks���,GBA認證流程結束����。
3.如權利要求2所述的方法�,其特征在于,家庭網關獲取引導服務功能實體的地址具 體包括步驟家庭網關向無線應用協(xié)議網關發(fā)送引導創(chuàng)建請求�,所述引導創(chuàng)建請求帶有國際移動設 備身份碼IMSI和國際移動用戶識別碼IMEI信息,無線應用協(xié)議網關匹配移動用戶國際號 碼MSISDN后��,把設備標識轉發(fā)給家庭網關管理平臺���;家庭網關管理平臺向無線應用協(xié)議網關返回引導創(chuàng)建應答消息,所述引導創(chuàng)建應答消 息包括IP多媒體子系統(tǒng)私有密鑰和引導服務功能實體BSF地址��;無線應用協(xié)議網關將IP多媒體子系統(tǒng)私有密鑰IMPI和引導服務功能實體BSF地址發(fā) 送給家庭網關���。
4.如權利要求3所述的方法���,其特征在于�����,家庭網關管理平臺向無線應用協(xié)議網關返 回引導創(chuàng)建應答消息之前還進一步包括步驟家庭網關管理平臺判斷家庭網關是否訂購業(yè)務�����;如果沒有訂購����,則返回鑒權失敗信息給無線應用協(xié)議網關��,無線應用協(xié)議網關返回鑒 權失敗信息給家庭網關���,流程結束���;如果有訂購,則家庭網關管理平臺向無線應用協(xié)議網關返回引導創(chuàng)建應答消息�����。
5.如權利要求1所述的方法��,其特征在于���,所述HttpDigest認證具體包括步驟 家庭網關判斷自己是否已經有與網絡業(yè)務應用功能實體之間的共享認證密鑰Ks_ext_NAF,如果有將共享密鑰Ks_ext_NAF發(fā)送給家庭網關管理平臺進行HttpDigest認證�����。 如果沒有查到���,則家庭網關將設備標識發(fā)送給家庭網關管理平臺請求鑒權����。
6.如權利要求5所述的方法���,其特征在于��,所述家庭網關將設備標識發(fā)送給家庭網關 管理平臺請求鑒權具體包括步驟家庭網關向家庭網關管理平臺發(fā)送HttpDigest_Retrieve_Authorization_Request 請求�����,該請求包括引導事物標識B-TID��、國際移動設備身份碼IMSI和國際移動用戶識別碼 IMEI信息;家庭網關管理平臺通過B-TID和NAF-ID向BSF發(fā)送Authentication. REQ請求�����,引導 服務功能實體返回Authentication應答消息,該消息包括Ks_ext_NAF����、Ks_int_NAF和Ks有效期或者錯誤信息。
7.如權利要求6所述的方法����,其特征在于,如果引導服務功能實體返回共享認證密 鑰KS���,則向家庭網關返回HttpDigest_Retrieve_Authorization應答消息����,該消息包括 NAF-ID和IMPI����,家庭網關根據NAF-ID和IMPI計算HTTP摘要認證。
8.如權利要求6所述的方法�����,其特征在于�,家庭網關判斷自己是否已經有與網絡業(yè)務 應用功能實體之間的共享密鑰Ks_ext_NAF之前還包括步驟家庭網關向家庭網關管理平臺發(fā)送HttpDigest請求,家庭網關管理平臺生成隨機參 數(shù)nounce�����,家庭網關管理平臺返回Authorization信息,包括隨機參數(shù)nounce����、算法參數(shù) algorithm和保護的質量參數(shù)qop。
9.一種家庭網關認證系統(tǒng)����,其特征在于,包括家庭網關���、家庭網關管理平臺和引導服務 功能實體BSF��,家庭網關與家庭網關管理平臺連接�����,家庭網關管理平臺與引導服務功能實體 BSF連接�����,所述家庭網關管理平臺用于根據用戶預定業(yè)務以及引導服務功能實體提供的密 鑰對家庭網關進行GBA認證和HttpDigest認證�����,如果通過GBA認證和HttpDigest認證��,則 允許家庭網關的接入��,否則拒絕家庭網關的接入���。
10.根據權利要求9所述的系統(tǒng),其特征在于����,所述家庭網關管理平臺進行GBA認證 具體為家庭網關管理平臺將引導服務功能實體的地址發(fā)送給家庭網關,家庭網關根據引 導服務功能實體的地址向引導服務功能實體發(fā)送引導注冊請求����,引導服務功能實體計算出 鑒權元組,引導服務功能實體返回引導注冊應答消息給家庭網關��;家庭網關計算響應RES����, 家庭網關向引導服務功能實體發(fā)送引導授權請求,引導服務功能實體返回引導授權應答消 息���,該消息包括引導事物標識B-TID����、Ks的生命周期;家庭網關計算引導服務功能實體與家 庭網關的共享密鑰Ks��,GBA認證流程結束�。
11.根據權利要求10所述的系統(tǒng),其特征在于���,還包括無線應用協(xié)議網關�,家庭網關 向無線應用協(xié)議網關發(fā)送引導創(chuàng)建請求�,所述引導創(chuàng)建請求帶有國際移動設備身份碼IMSI 和國際移動用戶識別碼IMEI信息,無線應用協(xié)議網關匹配移動用戶國際號碼MSISDN后��,把 相關信息轉發(fā)給家庭網關管理平臺��;家庭網關管理平臺向無線應用協(xié)議網關返回引導創(chuàng)建應答消息����,所述引導創(chuàng)建應答消 息包括IP多媒體子系統(tǒng)私有密鑰和引導服務功能實體BSF地址;無線應用協(xié)議網關將IP多媒體子系統(tǒng)私有密鑰和引導服務功能實體BSF地址發(fā)送給 家庭網關�����。
12.根據權利要求9所述的系統(tǒng),其特征在于���,家庭網關還進一步用于��,進行GBA認證 后,判斷自己是否已經有與網絡業(yè)務應用功能實體之間的共享密鑰Ks_ext_NAF���,如果有將 共享密鑰Ks_ext_NAF發(fā)送給家庭網關管理平臺進行HttpDigest認證��。
13.根據權利要求12所述的系統(tǒng)�����,其特征在于�����,所述家庭網關�,還用于如果沒有查到共 享密鑰Ks_ext_NAF��,則家庭網關將設備標識發(fā)送給家庭網關管理平臺請求鑒權���,家庭網關 管理平臺通過B-TID和NAF-ID向BSF發(fā)送Authentication請求��,引導服務功能實體返回 Authentication應答消息��,該消息包括Ks_ext_NAF��、Ks_int_NAF和Ks有效期或者錯誤信 肩�����、ο
14.根據權利要求14所述的系統(tǒng)�,其特征在于,所述家庭網關還用于����,如果引導服務功 能實體返回KS信息,則向家庭網關返回HttpDigest_Retrieve_Authorization應答消息�����,該消息包括NAF-ID和IMPI��,家庭網關根據NAF-ID和IMPI計算HTTP摘要認證���。
15.根據權利要求11至于13任一項所述的系統(tǒng)����,其特征在于,家庭網關管理平臺還 用于���,接收到家庭網關的HTTPDigest請求后生成隨機參數(shù)noimce��,家庭網關管理平臺返回 Authorization信息���,所述Authorization信息包括隨機數(shù)nounce�、算法參數(shù)algorithm和 保護的質量參數(shù)qop。
全文摘要
本發(fā)明公開了一種家庭網關認證方法和系統(tǒng)�,其中方法包括步驟家庭網絡管理平臺對家庭網關進行通用認證機制GBA認證,家庭網關計算出引導服務功能實體BSF與家庭網關之間的共享認證密鑰Ks��;家庭網關根據共享認證密鑰Ks向家庭網關管理平臺進行HttpDigest認證�;如果認證通過,則家庭網絡管理平臺允許家庭網關的接入���,否則拒絕家庭網關的接入�����。與現(xiàn)有技術相比�,本實施例通過將GBA認證和Httpdigset認證應用到網絡家庭網關中���,使用GBA認證和Httpdigset認證方法對家庭網關進行合法性認證�����,防止非法用戶對管理平臺的惡意攻擊和非被管設備的接入�����,提高了系統(tǒng)的安全性�����。
文檔編號H04L29/06GK101909052SQ20101021124
公開日2010年12月8日 申請日期2010年6月28日 優(yōu)先權日2010年6月28日
發(fā)明者楊永明, 祝文軍, 陸春君 申請人:中興通訊股份有限公司