发明内容
本发明的目的在于提供一种基于通用自引导架构的密钥协商方法、装置及系统,能够解决相关技术中在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题。
根据本发明的一个方面,提供了一种基于通用自引导架构的密钥协商方法,包括:将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;应用服务器接收并保存用户信息;应用服务器利用用户信息与终端进行密钥协商。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第二密钥加密的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,自引导服务器利用第二密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥;自引导服务器向应用服务器发送认证请求的响应,其中携带第二密钥;应用服务器利用第二密钥对加密的用户信息进行解密以得到解密的用户信息。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端根据第二密钥计算得到第三密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第三密钥加密的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,再根据第二密钥得到第三密钥,自引导服务器利用第三密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。
优选地,应用服务器根据用户信息与终端进行密钥协商具体包括:应用服务器向自引导服务器发送访问请求,其中携带应用服务器信息;自引导服务器根据应用服务器信息得到认证向量和第四密钥,并根据第四密钥计算得到第五密钥,自引导服务器将认证向量和第五密钥发送到应用服务器;应用服务器根据用户信息将第五密钥发送到终端。
优选地,用户信息包括:自引导临时身份标识、用户标识、通用自引导架构信息和用户传输地址。
根据本发明的另一个方面,提供了一种基于通用自引导架构的密钥协商装置,包括:发送模块,用于将终端的用户信息携带在访问请求中发送给接收模块;接收模块,位于通用自引导架构的应用服务器上,用于接收并保存用户信息;协商模块,位于应用服务器上,用于利用用户信息与终端进行密钥协商。
根据本发明的又一个方面,提供了一种基于通用自引导架构的密钥协商系统,包括:发送模块,用于将终端的用户信息携带在访问请求中发送给第一应用服务器;第一应用服务器,用于从终端接收加密的用户信息、将加密的用户信息发送给第一自引导服务器、并从第一自引导服务器接收解密的用户信息;第一自引导服务器,用于对加密的用户信息进行解密,并将解密后的用户信息发送给第一应用服务器。
根据本发明的又一个方面,提供了一种基于通用自引导架构的密钥协商系统,包括:发送模块,用于将终端的用户信息携带在访问请求中发送给第二应用服务器;第二应用服务器,用于从终端接收加密的用户信息,并从第二自引导服务器接收用于解密用户信息的密钥;第二自引导服务器,用于产生用于解密用户信息的密钥,并将密钥发送给第二应用服务器。
借助于本发明的上述至少一个技术方案,通过将终端的用户信息携带在终端对应用服务器的访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,然后在应用服务器需要时,利用保存的该用户信息与终端进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
在以下的描述中,为了解释的目的,描述了多个特定的细节,以提供对本发明的透彻理解。然而,很显然,在没有这些特定细节的情况下,也可以实现本发明,此外,在不冲突的情况下,即在不背离所附权利要求阐明的精神和范围的情况下,下述实施例以及实施例中的各个细节可以进行各种组合。
第一实施例
图1是根据本发明第一实施例的基于通用自引导架构的密钥协商方法的流程图。如图1所示,根据本发明第一实施例的基于通用自引导架构的密钥协商方法包括:
步骤S102,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;
步骤S104,应用服务器接收并保存用户信息;
步骤S106,应用服务器利用用户信息与终端进行密钥协商。
根据本发明第一实施例的基于GBA的密钥协商方法通过将终端的用户信息携带在终端对应用服务器的访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,然后在应用服务器需要时,利用保存的该用户信息与终端进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第二密钥加密的用户信息。
终端向应用服务器NAF发送访问请求时,应用服务器要求用户首先自引导服务器(BSF)之间协商共享密钥;终端根据该指示向自引导服务器发起请求,自引导服务器通过AKA过程的双向认证机制协商出密钥Ks发送给终端,终端再根据该Ks计算得到密钥Ks_NAF;然后终端向应用服务器再次发起访问请求,请求中携带用Ks或Ks推导出的密钥Ks_NAF加密的用户信息,使得应用服务器得到加密后的用户信息。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,自引导服务器利用第二密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。
应用服务器向自引导服务器发起请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器用Ks或根据Ks推导出的密钥对加密的用户信息进行解密以获得用户信息,自引导服务器将解密后的用户信息发送到应用服务器,以注册或更新用户信息。可选地,自引导服务器也可以将解密后的用户信息发送给用户签约数据库(HSS)以使得HSS可以对用户信息进行更新。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥;自引导服务器向应用服务器发送认证请求的响应,其中携带第二密钥;应用服务器利用第二密钥对加密的用户信息进行解密以得到解密的用户信息。
如果不是用Ks加密的用户信息,应用服务器可以保存用Ks推导出的密钥加密的用户信息,并向自引导服务器发起请求;自引导服务器用根据Ks推导出密钥,并将该密钥发送给应用服务器;应用服务器使用从自引导服务器接收到的密钥对加密的用户信息进行解密以获得用户信息,并更新应用服务器中的用户信息。
优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括:终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和自引导临时身份标识计算得到第二密钥;终端根据第二密钥计算得到第三密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第三密钥加密的用户信息。以将用户信息发送给应用服务器。
优选地,应用服务器接收并保存用户信息具体包括:应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计算得到第二密钥,再根据第二密钥得到第三密钥,自引导服务器利用第三密钥对加密的用户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息。以使得应用服务器获取解密后的用户信息。
优选地,应用服务器根据用户信息与终端进行密钥协商具体包括:应用服务器向自引导服务器发送访问请求,其中携带应用服务器信息;自引导服务器根据应用服务器信息得到认证向量和第四密钥,并根据第四密钥计算得到第五密钥,自引导服务器将认证向量和第五密钥发送到应用服务器;应用服务器根据用户信息将第五密钥发送到终端。以使得终端和应用服务器均拥有第五密钥,使得密钥协商成功。
优选地,用户信息包括:自引导临时身份标识、用户标识、通用自引导架构信息和用户传输地址。
用户信息可以用XML表示,其XML代码可以如下所示:
<xs:complexType name=″GBA_user_info″>
<xs:sequence>
<xs:element name=″btid″type=″xs:string″/>
<xs:element name=″user_id″type=″xs:string″/>
<xs:element name=″gba_push_type″type=″xs:string″/>
<xs:element name=″gbl_type″type=″xs:string″/>
<xs:element name=″transport_addr″type=″gba:string″/>
</xs:sequence>
</xs:complexType>
当然,用户信息也可以用诸如C、C++的其他的计算语言形式表示。
根据本发明第一实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第二实施例
图2是根据本发明第二实施例的基于通用自引导架构的密钥协商方法的流程图。如图2所示,根据本发明第二实施例的基于通用自引导架构的密钥协商方法包括:
步骤202:终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证流程;
步骤204:终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生成应用服务器密钥(Ks_NAF);
步骤206:终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标识和用应用服务器密钥加密的用户信息;
步骤208:应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份标识、应用服务器信息、加密的用户信息;
步骤210:自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密钥,并推导出应用服务器密钥(Ks_NAF),并用该应用服务器密钥解密用户信息;
步骤212:自引导服务器发送用户信息到用户签约数据库,更新用户信息;
步骤214:自引导服务器发送认证响应到应用服务器,该响应中包含用户安全策略、应用服务器密钥(Ks_NAF)、用户信息等;
步骤216:应用服务器根据收到的用户信息,更新/注册用户信息;
步骤218:应用服务器利用该用户信息与终端进行密钥协商。
根据本发明第二实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第三实施例
图3是根据本发明第三实施例的基于通用自引导架构的密钥协商方法的流程图。如图3所示,根据本发明第三实施例的基于通用自引导架构的密钥协商方法包括:
步骤302:终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证流程;
步骤304:终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生成应用服务器密钥(Ks_NAF);
步骤306:终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标识和用应用服务器密钥加密的用户信息;
步骤308:应用服务器将加密的用户信息保存在本地;
步骤310:应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份标识、应用服务器信息、加密的用户信息;
步骤312:自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密钥,并推导出应用服务器密钥(Ks_NAF);
步骤314:自引导服务器发送认证响应到应用服务器,该响应中包含应用服务器密钥(Ks_NAF)等信息;
步骤316:应用服务器根据收到的应用服务器密钥(Ks_NAF),解密用户信息,注册/更新用户信息;
步骤318:应用服务器利用该用户信息与终端进行密钥协商。
根据本发明第三实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第四实施例
图4是根据本发明第四实施例的基于通用自引导架构的密钥协商方法的流程图。如图4所示,根据本发明第四实施例的基于通用自引导架构的密钥协商方法包括:
步骤402:终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证流程;
步骤404:终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生成应用服务器密钥(Ks_NAF),保护用户信息的密钥Ks_U,Ks_U可由应用服务器密钥Ks_NAF生成,也可由共享密钥Ks生成;
步骤406:终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标识和用密钥Ks_U加密的用户信息;
步骤408:应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份标识、应用服务器信息、加密的用户信息;
步骤410:自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密钥,并推导出应用服务器密钥(Ks_NAF),保护用户信息的密钥Ks_U,Ks_U可由应用服务器密钥Ks_NAF生成,也可由共享密钥Ks生成。用Ks_U解密用户信息;
步骤412:自引导服务器发送用户信息到用户签约数据库,更新用户信息;
步骤414:自引导服务器发送认证响应到应用服务器,该响应中包含用户安全策略、应用服务器密钥(Ks_NAF)、用户信息等;
步骤416:应用服务器根据收到的用户信息,更新/注册用户信息;
步骤418:应用服务器利用该用户信息与终端进行密钥协商。
根据本发明第四实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第五实施例
图5是根据本发明第五实施例的基于通用自引导架构的密钥协商装置的方框图。
如图5所示,根据本发明第五实施例的基于通用自引导架构的密钥协商装置包括:发送模块502,用于将终端的用户信息携带在访问请求中发送给接收模块;接收模块504,位于通用自引导架构的应用服务器上,用于接收并保存用户信息;协商模块506,位于应用服务器上,用于利用用户信息与终端进行密钥协商。
根据本发明第五实施例的基于GBA的密钥协商装置通过利用发送模块将终端的用户信息携带在访问请求中发送给接收模块,并利用位于应用服务器上的接收模块接收并保存该用户信息,使得应用服务器能够在GBA PUSH时,直接从本地查询到终端的用户信息,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第六实施例
图6是根据本发明第六实施例的基于通用自引导架构的密钥协商系统的方框图。
如图6所示,根据本发明第六实施例的基于通用自引导架构的密钥协商系统包括:发送模块502,用于将终端的用户信息携带在访问请求中发送给第一应用服务器;第一应用服务器602,用于从终端接收加密的用户信息、将加密的用户信息发送给第一自引导服务器、并从第一自引导服务器接收解密的用户信息;第一自引导服务器604,用于对加密的用户信息进行解密,并将解密后的用户信息发送给第一应用服务器。
根据本发明第六实施例的基于GBA的密钥协商系统通过利用发送模块将终端的用户信息携带在访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,使得应用服务器能够在GBAPUSH时,直接从本地查询到终端的用户信息以进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
第七实施例
图7是根据本发明第七实施例的基于通用自引导架构的密钥协商系统的方框图。
如图7所示,根据本发明第七实施例的基于通用自引导架构的密钥协商系统包括:发送模块502,用于将终端的用户信息携带在访问请求中发送给第二应用服务器;第二应用服务器702,用于从终端接收加密的用户信息,并从第二自引导服务器接收用于解密用户信息的密钥;第二自引导服务器704,用于产生用于解密用户信息的密钥,并将密钥发送给第二应用服务器。
根据本发明第七实施例的基于GBA的密钥协商系统通过利用发送模块将终端的用户信息携带在访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,使得应用服务器能够在GBAPUSH时,直接从本地查询到终端的用户信息以进行密钥协商,从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
总之,根据本发明实施例的基于GBA的密钥协商方法、装置及系统避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。