【通用引导架构】基于GBA的AKA认证机制

基于GBA（Generic Bootstrapping Architecture）的AKA认证机制

本课题提出的物联网安全框架中，众多的业务采用的是集中认证的方式。所以需要采用相同的鉴权机制。同一种机制也可以解决不同机制造成的兼容问题。所以定义了通用认证架构（GAA）。GAA分为基于共享密钥的GBA和基于公钥证书的SSC。而SSC基于非对称加密，需要更多的计算量处理PKI的公钥私钥问题，当物联网中需要认证的机制少量增长的时候，是非常庞大的资源消耗。所以，在物联网中，需要使用基于GBA的认证机制。

AKA是一个基于GBA的认证机制。使用AKA机制核心思想是将安全服务的功能独立于应用服务之外。在用户设备（UE）与安全服务器的通用引导功能接口之间通过AKA认证机制生成密钥，然后应用服务器从安全服务器获取密钥和用户信息，然后应用端和用户端都有了密钥。

1        GBA架构

图示 1 GBA的简单网络模型
Ÿ   引导服务功能（BSF）

BSF在GBA框架中扮演的角色即本课题安全方案中提到的安全服务访问接口和安全环境访问接口，是各种设备之间的统一交互接。。

Ÿ   应用服务功能（NAF）

连接应用服务器，提供应用业务服务的接口。

Ÿ   归属签约用户服务器（HSS）

向GSF提供签约用户信息的服务器。

Ÿ   用户实体（UE）

用户的接入终端，即需要接入物联网的终端设备。

2        认证过程

2.1  初始化
GBA开始前，终端设备与应用服务端协商是否使用GBA机制。如果使用GBA，则应用服务向终端设备返回引导服务初始化信息。

2.2  密钥生成过程
用户归属服务分HSS和HLR两种，其中HSS用于4G，HLR用于3G。核心思想是用户终端通过安全服务接口向安全服务端提出申请，并通过认证生成密钥。终端和引导服务功能接口之间的鉴权细节如下图。



图示2 引导过程
2.3  安全关联的过程
关联的核心思想是用户的终端设备向应用服务器的访问接口提出访问请求，应用服务器将通过GSF从安全服务器获取的密钥与UE的密钥进行比对，一致则返回同意建立应用连接的消息。

至此，GBA认证过程结束。

2.4  基于UICC的增强型GBA
随着电子科技能力的提高，传统SIM卡的能力升级为USIM卡（USIM卡即UICC）后，UICC本身的能力会有显著增强。

UICC能力增强后，GBA过程增加了设备与UICC之间的信息交互，在BSF与UE之间交互生成密钥的时候，会结合ME与USIM的信息再生成密钥。相比传统SIM卡只识别SIM信息的方式，安全性得到了极大的提高。

Generic Bootstrapping Architecture