CN101990203A - 基于通用自引导架构的密钥协商方法、装置及系统 - Google Patents
基于通用自引导架构的密钥协商方法、装置及系统 Download PDFInfo
- Publication number
- CN101990203A CN101990203A CN2009101640377A CN200910164037A CN101990203A CN 101990203 A CN101990203 A CN 101990203A CN 2009101640377 A CN2009101640377 A CN 2009101640377A CN 200910164037 A CN200910164037 A CN 200910164037A CN 101990203 A CN101990203 A CN 101990203A
- Authority
- CN
- China
- Prior art keywords
- bootstrap
- key
- application server
- user profile
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于通用自引导架构的密钥协商方法、装置及系统,该方法包括:将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;应用服务器获取并保存用户信息;应用服务器利用用户信息与终端进行密钥协商。本发明达到了提高密钥协商效率,改善用户体验的技术效果。
Description
技术领域
本发明涉及通信领域,具体而言,尤其涉及一种基于通用自引导架构(Generic Bootstrapping Architecture,GBA)的密钥协商方法、装置及系统。
背景技术
在3G移动网络中,终端通常需要与网络中的业务点建立安全连接。3GPP提出基于GBA的GBA方法,该方法是一种3G终端和应用服务器之间协商与共享密钥的方法。GBA方法的简要描述如下:(1)终端向应用服务器(Network Access Facility,NAF)发送访问请求,应用服务器要求用户首先和3G网络中的用户和自引导服务器(Bootstrapping Facility,BSF)之间协商共享密钥;(2)终端向自引导服务器发起请求,通过AKA的双向认证机制协商出密钥Ks;(3)终端根据一些参数计算得到密钥Ks_NAF,然后向应用服务器再次发起访问请求;(4)NAF向BSF发起请求,BSF将相应的密钥Ks_NAF发送给NAF,终端和NAF均拥有共享密钥Ks_NAF。终端和应用服务器拥有共享密钥Ks_NAF后,可以基于该共享密钥建立安全联盟。
在有些情况下,NAF需要主动与UE建立会话,这时可以通过GBA PUSH的方式实现。GBA PUSH方法的简要描述如下:(1)NAF向BSF发送访问请求;(2)BSF运行AKA产生认证向量、产生Ks,并根据一些参数推导出终端与NAF的共享密钥Ks_NAF;(3)BSF将认证向量、Ks_NAF等信息发送到NAF;(4)NAF得到Ks_NAF,并发送认证向量等信息到终端;(5)终端根据从NAF得到的信息运行AKA,验证收到的认证向量,并产生Ks,然后计算得到密钥Ks_NAF;(6)NAF向BSF发起请求,BSF将相应的密钥Ks_NAF发给NAF,使得终端和NAF均拥有共享密钥Ks_NAF。
相关技术中的基于通用自引导架构的密钥协商方法在应用服务器向终端发起密钥协商,即,GBA PUSH时,为在第(4)步骤中将认证向量等信息发送到终端,应用服务器需要到其他网元中查询终端的用户信息,然后再根据查询到的用户信息与终端进行密钥协商,导致密钥协商过程花费时间较长,影响用户体验。
发明内容
本发明的目的在于提供一种基于通用自引导架构的密钥协商方法、装置及系统,能够解决相关技术中在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题。
根据本发明的一个方面,提供了一种基于通用自引导架构的密钥协商方法,包括:将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;应用服务器接收并保存用户信息;应用服务器利用用户信息与终端进行密钥协商。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第二密钥加密的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,自引导服务器利用第二密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥;自引导服务器向应用服务器发送认证请求的响应,其中携带第二密钥;应用服务器利用第二密钥对加密的用户信息进行解密以得到解密的用户信息。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端根据第二密钥计算得到第三密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第三密钥加密的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,再根据第二密钥得到第三密钥,自引导服务器利用第三密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。
优选地,应用服务器根据用户信息与终端进行密钥协商具体包括:应用服务器向自引导服务器发送访问请求,其中携带应用服务器信息;自引导服务器根据应用服务器信息得到认证向量和第四密钥,并根据第四密钥计算得到第五密钥,自引导服务器将认证向量和第五密钥发送到应用服务器;应用服务器根据用户信息将第五密钥发送到终端。
优选地,用户信息包括:自引导临时身份标识、用户标识、通用自引导架构信息和用户传输地址。
根据本发明的另一个方面,提供了一种基于通用自引导架构的密钥协商装置,包括:发送模块,用于将终端的用户信息携带在访问请求中发送给接收模块;接收模块,位于通用自引导架构的应用服务器上,用于接收并保存用户信息;协商模块,位于应用服务器上,用于利用用户信息与终端进行密钥协商。
根据本发明的又一个方面,提供了一种基于通用自引导架构的密钥协商系统,包括:发送模块,用于将终端的用户信息携带在访问请求中发送给第一应用服务器;第一应用服务器,用于从终端接收加密的用户信息、将加密的用户信息发送给第一自引导服务器、并从第一自引导服务器接收解密的用户信息;第一自引导服务器,用于对加密的用户信息进行解密,并将解密后的用户信息发送给第一应用服务器。
根据本发明的又一个方面,提供了一种基于通用自引导架构的密钥协商系统,包括:发送模块,用于将终端的用户信息携带在访问请求中发送给第二应用服务器;第二应用服务器,用于从终端接收加密的用户信息,并从第二自引导服务器接收用于解密用户信息的密钥;第二自引导服务器,用于产生用于解密用户信息的密钥,并将密钥发送给第二应用服务器。
借助于本发明的上述至少一个技术方案,通过将终端的用户信息携带在终端对应用服务器的访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,然后在应用服务器需要时,利用保存的该用户信息与终端进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据本发明第一实施例的基于通用自引导架构的密钥协商方法的流程图;
图2是根据本发明第二实施例的基于通用自引导架构的密钥协商方法的流程图;
图3是根据本发明第三实施例的基于通用自引导架构的密钥协商方法的流程图;
图4是根据本发明第四实施例的基于通用自引导架构的密钥协商方法的流程图;
图5是根据本发明第五实施例的基于通用自引导架构的密钥协商装置的方框图;
图6是根据本发明第六实施例的基于通用自引导架构的密钥协商系统的方框图;
图7是根据本发明第七实施例的基于通用自引导架构的密钥协商系统的方框图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
在以下的描述中,为了解释的目的,描述了多个特定的细节,以提供对本发明的透彻理解。然而,很显然,在没有这些特定细节的情况下,也可以实现本发明,此外,在不冲突的情况下,即在不背离所附权利要求阐明的精神和范围的情况下,下述实施例以及实施例中的各个细节可以进行各种组合。
第一实施例
图1是根据本发明第一实施例的基于通用自引导架构的密钥协商方法的流程图。如图1所示,根据本发明第一实施例的基于通用自引导架构的密钥协商方法包括:
步骤S102,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;
步骤S104,应用服务器接收并保存用户信息;
步骤S106,应用服务器利用用户信息与终端进行密钥协商。
根据本发明第一实施例的基于GBA的密钥协商方法通过将终端的用户信息携带在终端对应用服务器的访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,然后在应用服务器需要时,利用保存的该用户信息与终端进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第二密钥加密的用户信息。
终端向应用服务器NAF发送访问请求时,应用服务器要求用户首先自引导服务器(BSF)之间协商共享密钥;终端根据该指示向自引导服务器发起请求,自引导服务器通过AKA过程的双向认证机制协商出密钥Ks发送给终端,终端再根据该Ks计算得到密钥Ks_NAF;然后终端向应用服务器再次发起访问请求,请求中携带用Ks或Ks推导出的密钥Ks_NAF加密的用户信息,使得应用服务器得到加密后的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,自引导服务器利用第二密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。
应用服务器向自引导服务器发起请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器用Ks或根据Ks推导出的密钥对加密的用户信息进行解密以获得用户信息,自引导服务器将解密后的用户信息发送到应用服务器,以注册或更新用户信息。可选地,自引导服务器也可以将解密后的用户信息发送给用户签约数据库(HSS)以使得HSS可以对用户信息进行更新。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥;自引导服务器向应用服务器发送认证请求的响应,其中携带第二密钥;应用服务器利用第二密钥对加密的用户信息进行解密以得到解密的用户信息。
如果不是用Ks加密的用户信息,应用服务器可以保存用Ks推导出的密钥加密的用户信息,并向自引导服务器发起请求;自引导服务器用根据Ks推导出密钥,并将该密钥发送给应用服务器;应用服务器使用从自引导服务器接收到的密钥对加密的用户信息进行解密以获得用户信息,并更新应用服务器中的用户信息。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端根据第二密钥计算得到第三密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第三密钥加密的用户信息。以将用户信息发送给应用服务器。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,再根据第二密钥得到第三密钥,自引导服务器利用第三密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。以使得应用服务器获取解密后的用户信息。
优选地,应用服务器根据用户信息与终端进行密钥协商具体包括:应用服务器向自引导服务器发送访问请求,其中携带应用服务器信息;自引导服务器根据应用服务器信息得到认证向量和第四密钥,并根据第四密钥计算得到第五密钥,自引导服务器将认证向量和第五密钥发送到应用服务器;应用服务器根据用户信息将第五密钥发送到终端。以使得终端和应用服务器均拥有第五密钥,使得密钥协商成功。
优选地,用户信息包括:自引导临时身份标识、用户标识、通用自引导架构信息和用户传输地址。
用户信息可以用XML表示,其XML代码可以如下所示:
<xs:complexType name=″GBA_user_info″>
<xs:sequence>
<xs:element name=″btid″type=″xs:string″/>
<xs:element name=″user_id″type=″xs:string″/>
<xs:element name=″gba_push_type″type=″xs:string″/>
<xs:element name=″gbl_type″type=″xs:string″/>
<xs:element name=″transport_addr″type=″gba:string″/>
</xs:sequence>
</xs:complexType>
当然,用户信息也可以用诸如C、C++的其他的计算语言形式表示。
根据本发明第一实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第二实施例
图2是根据本发明第二实施例的基于通用自引导架构的密钥协商方法的流程图。如图2所示,根据本发明第二实施例的基于通用自引导架构的密钥协商方法包括:
步骤202:终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证流程;
步骤204:终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生成应用服务器密钥(Ks_NAF);
步骤206:终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标识和用应用服务器密钥加密的用户信息;
步骤208:应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份标识、应用服务器信息、加密的用户信息;
步骤210:自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密钥,并推导出应用服务器密钥(Ks_NAF),并用该应用服务器密钥解密用户信息;
步骤212:自引导服务器发送用户信息到用户签约数据库,更新用户信息;
步骤214:自引导服务器发送认证响应到应用服务器,该响应中包含用户安全策略、应用服务器密钥(Ks_NAF)、用户信息等;
步骤216:应用服务器根据收到的用户信息,更新/注册用户信息;
步骤218:应用服务器利用该用户信息与终端进行密钥协商。
根据本发明第二实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第三实施例
图3是根据本发明第三实施例的基于通用自引导架构的密钥协商方法的流程图。如图3所示,根据本发明第三实施例的基于通用自引导架构的密钥协商方法包括:
步骤302:终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证流程;
步骤304:终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生成应用服务器密钥(Ks_NAF);
步骤306:终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标识和用应用服务器密钥加密的用户信息;
步骤308:应用服务器将加密的用户信息保存在本地;
步骤310:应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份标识、应用服务器信息、加密的用户信息;
步骤312:自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密钥,并推导出应用服务器密钥(Ks_NAF);
步骤314:自引导服务器发送认证响应到应用服务器,该响应中包含应用服务器密钥(Ks_NAF)等信息;
步骤316:应用服务器根据收到的应用服务器密钥(Ks_NAF),解密用户信息,注册/更新用户信息;
步骤318:应用服务器利用该用户信息与终端进行密钥协商。
根据本发明第三实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第四实施例
图4是根据本发明第四实施例的基于通用自引导架构的密钥协商方法的流程图。如图4所示,根据本发明第四实施例的基于通用自引导架构的密钥协商方法包括:
步骤402:终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证流程;
步骤404:终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生成应用服务器密钥(Ks_NAF),保护用户信息的密钥Ks_U,Ks_U可由应用服务器密钥Ks_NAF生成,也可由共享密钥Ks生成;
步骤406:终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标识和用密钥Ks_U加密的用户信息;
步骤408:应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份标识、应用服务器信息、加密的用户信息;
步骤410:自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密钥,并推导出应用服务器密钥(Ks_NAF),保护用户信息的密钥Ks_U,Ks_U可由应用服务器密钥Ks_NAF生成,也可由共享密钥Ks生成。用Ks_U解密用户信息;
步骤412:自引导服务器发送用户信息到用户签约数据库,更新用户信息;
步骤414:自引导服务器发送认证响应到应用服务器,该响应中包含用户安全策略、应用服务器密钥(Ks_NAF)、用户信息等;
步骤416:应用服务器根据收到的用户信息,更新/注册用户信息;
步骤418:应用服务器利用该用户信息与终端进行密钥协商。
根据本发明第四实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第五实施例
图5是根据本发明第五实施例的基于通用自引导架构的密钥协商装置的方框图。
如图5所示,根据本发明第五实施例的基于通用自引导架构的密钥协商装置包括:发送模块502,用于将终端的用户信息携带在访问请求中发送给接收模块;接收模块504,位于通用自引导架构的应用服务器上,用于接收并保存用户信息;协商模块506,位于应用服务器上,用于利用用户信息与终端进行密钥协商。
根据本发明第五实施例的基于GBA的密钥协商装置通过利用发送模块将终端的用户信息携带在访问请求中发送给接收模块,并利用位于应用服务器上的接收模块接收并保存该用户信息,使得应用服务器能够在GBA PUSH时,直接从本地查询到终端的用户信息,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第六实施例
图6是根据本发明第六实施例的基于通用自引导架构的密钥协商系统的方框图。
如图6所示,根据本发明第六实施例的基于通用自引导架构的密钥协商系统包括:发送模块502,用于将终端的用户信息携带在访问请求中发送给第一应用服务器;第一应用服务器602,用于从终端接收加密的用户信息、将加密的用户信息发送给第一自引导服务器、并从第一自引导服务器接收解密的用户信息;第一自引导服务器604,用于对加密的用户信息进行解密,并将解密后的用户信息发送给第一应用服务器。
根据本发明第六实施例的基于GBA的密钥协商系统通过利用发送模块将终端的用户信息携带在访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,使得应用服务器能够在GBAPUSH时,直接从本地查询到终端的用户信息以进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第七实施例
图7是根据本发明第七实施例的基于通用自引导架构的密钥协商系统的方框图。
如图7所示,根据本发明第七实施例的基于通用自引导架构的密钥协商系统包括:发送模块502,用于将终端的用户信息携带在访问请求中发送给第二应用服务器;第二应用服务器702,用于从终端接收加密的用户信息,并从第二自引导服务器接收用于解密用户信息的密钥;第二自引导服务器704,用于产生用于解密用户信息的密钥,并将密钥发送给第二应用服务器。
根据本发明第七实施例的基于GBA的密钥协商系统通过利用发送模块将终端的用户信息携带在访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,使得应用服务器能够在GBAPUSH时,直接从本地查询到终端的用户信息以进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
总之,根据本发明实施例的基于GBA的密钥协商方法、装置及系统避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种基于通用自引导架构的密钥协商方法,其特征在于,包括:
将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;
所述应用服务器接收并保存所述用户信息;
所述应用服务器利用所述用户信息与所述终端进行密钥协商。
2.根据权利要求1所述的方法,其特征在于,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:
终端向所述自引导服务器发起请求并协商得到第一密钥;
所述终端根据所述第一密钥和自引导临时身份标识计算得到第二密钥;
所述终端向所述应用服务器发送访问请求,其中携带所述自引导临时身份标识和利用所述第二密钥加密的所述用户信息。
3.根据权利要求2所述的方法,其特征在于,所述应用服务器接收并保存所述用户信息具体包括:
所述应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的所述用户信息;
所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第一密钥,并根据所述第一密钥计算得到所述第二密钥,所述自引导服务器利用所述第二密钥对加密的所述用户信息进行解密;
所述自引导服务器向所述应用服务器发送所述认证请求的响应,其中携带解密的所述用户信息。
4.根据权利要求2所述的方法,其特征在于,所述应用服务器接收并保存所述用户信息具体包括:
所述应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的所述用户信息;
所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第一密钥,并根据所述第一密钥计算得到所述第二密钥;
所述自引导服务器向所述应用服务器发送所述认证请求的响应,其中携带所述第二密钥;
所述应用服务器利用所述第二密钥对加密的所述用户信息进行解密以得到解密的所述用户信息。
5.根据权利要求1所述的方法,其特征在于,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:
终端向所述自引导服务器发起请求并协商得到第一密钥;
所述终端根据所述第一密钥和自引导临时身份标识计算得到第二密钥;
所述终端根据所述第二密钥计算得到第三密钥;
所述终端向所述应用服务器发送访问请求,其中携带所述自引导临时身份标识和利用所述第三密钥加密的所述用户信息。
6.根据权利要求5所述的方法,其特征在于,所述应用服务器接收并保存所述用户信息具体包括:
所述应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的所述用户信息;
所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第一密钥,并根据所述第一密钥计算得到所述第二密钥,再根据所述第二密钥得到所述第三密钥,所述自引导服务器利用所述第三密钥对加密的所述用户信息进行解密;
所述自引导服务器向所述应用服务器发送所述认证请求的响应,其中携带解密的所述用户信息。
7.根据权利要求1所述的方法,其特征在于,所述应用服务器根据所述用户信息与所述终端进行密钥协商具体包括:
所述应用服务器向自引导服务器发送访问请求,其中携带所述应用服务器信息;
所述自引导服务器根据所述应用服务器信息得到认证向量和第四密钥,并根据所述第四密钥计算得到第五密钥,所述自引导服务器将所述认证向量和所述第五密钥发送到所述应用服务器;
所述应用服务器根据所述用户信息将所述第五密钥发送到所述终端。
8.根据权利要求1所述的方法,其特征在于,所述用户信息包括:自引导临时身份标识、用户标识、通用自引导架构信息和用户传输地址。
9.一种基于通用自引导架构的密钥协商装置,其特征在于,包括:
发送模块,用于将终端的用户信息携带在访问请求中发送给接收模块;
所述接收模块,位于通用自引导架构的应用服务器上,用于接收并保存所述用户信息;
协商模块,位于所述应用服务器上,用于利用所述用户信息与所述终端进行密钥协商。
10.一种基于通用自引导架构的密钥协商系统,其特征在于,包括:
发送模块,用于将终端的用户信息携带在访问请求中发送给第一应用服务器;
所述第一应用服务器,用于从终端接收加密的用户信息、将加密的所述用户信息发送给第一自引导服务器、并从所述第一自引导服务器接收解密的所述用户信息;
所述第一自引导服务器,用于对加密的所述用户信息进行解密,并将解密后的所述用户信息发送给所述第一应用服务器。
11.一种基于通用自引导架构的密钥协商系统,其特征在于,包括:
发送模块,用于将终端的用户信息携带在访问请求中发送给第二应用服务器;
所述第二应用服务器,用于从终端接收加密的用户信息,并从第二自引导服务器接收用于解密所述用户信息的密钥;
所述第二自引导服务器,用于产生用于解密所述用户信息的密钥,并将所述密钥发送给所述第二应用服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910164037.7A CN101990203B (zh) | 2009-08-05 | 2009-08-05 | 基于通用自引导架构的密钥协商方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910164037.7A CN101990203B (zh) | 2009-08-05 | 2009-08-05 | 基于通用自引导架构的密钥协商方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101990203A true CN101990203A (zh) | 2011-03-23 |
| CN101990203B CN101990203B (zh) | 2013-06-12 |
Family
ID=43746473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910164037.7A Active CN101990203B (zh) | 2009-08-05 | 2009-08-05 | 基于通用自引导架构的密钥协商方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101990203B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487501A (zh) * | 2015-08-27 | 2017-03-08 | 华为技术有限公司 | 密钥分发和接收方法、密钥管理中心、第一和第二网元 |
| WO2019128982A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种设备引导的方法、终端以及服务器 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100407868C (zh) * | 2005-06-17 | 2008-07-30 | 中兴通讯股份有限公司 | 一种在移动用户和应用服务器之间建立安全信道的方法 |
| CN101090513B (zh) * | 2006-06-13 | 2012-05-23 | 华为技术有限公司 | 一种获取业务密钥的方法 |
-
2009
- 2009-08-05 CN CN200910164037.7A patent/CN101990203B/zh active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487501A (zh) * | 2015-08-27 | 2017-03-08 | 华为技术有限公司 | 密钥分发和接收方法、密钥管理中心、第一和第二网元 |
| US10826688B2 (en) | 2015-08-27 | 2020-11-03 | Huawei Technologies Co., Ltd. | Key distribution and receiving method, key management center, first network element, and second network element |
| WO2019128982A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 一种设备引导的方法、终端以及服务器 |
| US11218451B2 (en) | 2017-12-29 | 2022-01-04 | Huawei Technologies Co., Ltd. | Device bootstrap method, terminal, and server |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101990203B (zh) | 2013-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11122428B2 (en) | Transmission data protection system, method, and apparatus | |
| US20190068591A1 (en) | Key Distribution And Authentication Method And System, And Apparatus | |
| CN107800539B (zh) | 认证方法、认证装置和认证系统 | |
| US8295488B2 (en) | Exchange of key material | |
| CN102594555B (zh) | 数据的安全保护方法、网络侧实体和通信终端 | |
| CN102379114B (zh) | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 | |
| US8726023B2 (en) | Authentication using GAA functionality for unidirectional network connections | |
| WO2015029945A1 (ja) | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 | |
| EP1933498B1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
| KR20110078627A (ko) | 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템 | |
| KR20140041226A (ko) | 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 | |
| CN102948185A (zh) | 用于在网络中的设备和智能卡之间建立安全和授权连接的方法 | |
| EP2979418B1 (en) | Method to establish a secure voice communication using generic bootstrapping architecture | |
| CN103428221A (zh) | 对移动应用的安全登录方法、系统和装置 | |
| CN105577365A (zh) | 一种用户接入wlan的密钥协商方法及装置 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN102264068B (zh) | 共享密钥协商方法与系统、网络平台及终端 | |
| Agarwal et al. | Operator-based over-the-air M2M wireless sensor network security | |
| EP3637815B1 (en) | Data transmission method, and device and system related thereto | |
| CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
| CN105554008A (zh) | 用户终端、认证服务器、中间服务器、系统和传送方法 | |
| CN102413463B (zh) | 填充序列长度可变的无线媒体接入层鉴权和密钥协商方法 | |
| US20180198605A1 (en) | Key Distribution and Receiving Method, Key Management Center, First Network Element, and Second Network Element | |
| CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
| CN101990203B (zh) | 基于通用自引导架构的密钥协商方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: NANTONG GENTONG INTELLIGENT EQUIPMENT CO., LTD. Free format text: FORMER OWNER: ZTE CORPORATION Effective date: 20141029 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518057 SHENZHEN, GUANGDONG PROVINCE TO: 226000 NANTONG, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20141029 Address after: 226000 Jiangsu city of Nantong province Tongzhou District Nantong high tech Zone Xingyuan Road No. 299 Patentee after: Nantong gentong Intelligent Equipment Co., Ltd. Address before: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Patentee before: ZTE Corporation |