簡介
隨著數據業務的開展,業務平台需要有可靠的認證機制來保證用戶對業務的合法使用,也是實現正確計費的必要前提,同時保障用戶和運營商的利益。
功能
在很多數據業務中(如飛信、M2M、手機電視),為了驗證合法用戶對業務的使用,終端與業務平台之間都需要進行登錄鑒權(如手機終端登錄location伺服器等);若業務數據流需要進行加擾或加密(如加密媒體流數據等),則終端與業務平台間需要進行保密通信。
無論是進行鑒權操作,還是保密通信,都需要密鑰的支持,即終端與業務平台間需要共享密鑰用於安全通信(如傳統的用戶名/口令就是一種最簡單的共享密鑰)。一般來說,已有的數據業務中,終端與業務平台間共享密鑰主要採用預置密鑰和簡訊下發密鑰兩種方式,而這兩種方式都存在一定的問題:
1)預置密鑰方式
由於密鑰是預置在終端上,因此若該密鑰泄漏,唯一的辦法只能將終端反饋給廠商重置;另外,為了開發方便,大部分廠商一般會將所有終端的預置密鑰設定成一樣,一旦該密鑰泄漏或破解,無數的克隆客戶端將會出現,影響業務的開展。從業務管理上來看,業務平台需要有相應的密鑰管理系統管理密鑰,當運營商開展的業務較多時,需要維護一大堆的密鑰管理系統,勢必造成維護困難,重複建設的問題。
2)簡訊下發密鑰
簡訊下發密鑰其實是一種非常好的方式,一般用於下發動態口令碼進行系統登錄。但是,在GSM網中,簡訊是不安全的,滿大街都可以購買到用於截獲空中簡訊的設備用於監聽和解密簡訊。構想如果登錄系統包含很重要的信息,用戶還會放心的接受簡訊口令登錄么?
各業務系統之所以採用這么多安全機制,最終的一個目的就是為了在終端與業務平台之間共享一個秘密的密鑰,用於安全通信。
為了解決套用層的密鑰共享、業務鑒權等一系列問題,提供統一的認證服務,3GPP定義了一種通用的認證機制GBA(GeneralBootstrappingArchitecture)。GBA可以為已有和將有的業務提供安全服務,不僅可以解決上述預置密鑰或簡訊下發密鑰帶來的安全問題,也可以避免為每一種業務都提供獨有的鑒權機制,以一種一致的方式解決業務的安全認證問題。