CN104917605A - 一种终端设备切换时密钥协商的方法和设备 - Google Patents
一种终端设备切换时密钥协商的方法和设备 Download PDFInfo
- Publication number
- CN104917605A CN104917605A CN201410095398.1A CN201410095398A CN104917605A CN 104917605 A CN104917605 A CN 104917605A CN 201410095398 A CN201410095398 A CN 201410095398A CN 104917605 A CN104917605 A CN 104917605A
- Authority
- CN
- China
- Prior art keywords
- identifier
- router
- terminal equipment
- request message
- location server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明实施例提供一种终端设备切换时密钥协商的方法和设备,涉及通信领域,能够提高用户身份协议网络架构中设备之间进行通信的安全性。其方法为:接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符,向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应,进而向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥。本发明实施例用于终端设备切换时进行密钥协商。
Description
技术领域
本发明涉及通信领域,尤其涉及一种终端设备切换时密钥协商的方法和设备。
背景技术
长期以来,网际协议(Internet Protocol,IP)地址既是标识符,即主机身份标识,又是定位符,即网络位置标识,使得传输层与网络层的分离不够彻底,同一主机的多个网卡同时接入网络,切换网卡会导致IP变化、业务中断,而在移动网中,终端移动时可能引起IP地址重分配,导致连接中断并重建,对于未来将出现的一个用户多台设备的场景,要求业务流量在多台设备间无缝切换时,传统的传输控制协议/因特网互联协议(Transmission Control Protocol/InternetProtocol,TCP/IP)网络就无法支持,因此需要将IP地址的主机身份标识功能剥离出来,引入新的标识符承担主机身份标识的功能,而用户身份协议(User Identity Protocol,UIP)中引入的用户标识符(UserID)可以承担主机身份标识的功能。
其中,UIP网络由一个或多个UIP域组成,一个UIP域由一个位置服务器(Subscriber Location Server,SLS)、一个或多个路由器(Domain Router,DR)以及一个或多个网关(Gateway,GW)组成,对于一个用户多台设备的情况,UserID由运营商分配而保持不变,一个UserID可以关联多个设备标识符(DeviceID),但是在这种网络架构中,攻击者在攻破了同一用户的某一设备的密钥之后,可以使用该设备的密钥再去攻击用户的其它设备;若用户与DR间的当前会话密钥遭到攻破,使得切换后的终端设备可能会遭到攻击,使得UIP域的安全性降低。
发明内容
本发明的实施例提供一种终端设备切换时密钥协商的方法和设备,能够提高用户身份协议网络架构中设备之间进行通信的安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种终端设备切换时密钥协商的方法,包括:
位置服务器接收路由器发送的接入请求消息,所述接入请求消息包括用户标识符和终端设备标识符;
所述位置服务器在接收到所述接入请求消息后生成随机值,并向所述路由器发送第一认证请求消息,以使得在所述路由器接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包含所述位置服务器生成的随机值;
所述位置服务器根据所述随机值、共享密钥以及所述终端设备标识符生成设备密钥,所述共享密钥与所述用户标识符对应;
所述位置服务器向所述路由器发送接入响应消息,其中,所述接入响应消息包括所述设备密钥,以使所述路由器根据所述设备密钥生成会话密钥。
结合第一方面,在第一方面的第一种可能实现的方式中,所述位置服务器根据所述随机值、所述共享密钥以及所述终端设备的标识符生成设备密钥包括:
所述位置服务器根据所述随机值、所述共享密钥、所述终端设备的标识符、所述位置服务器所在域的标识符以及所述路由器的标识符生成设备密钥。
第二方面,提供一种终端设备切换时密钥协商的方法,包括:
路由器向位置服务器发送接入请求消息所述接入请求消息包括用户标识符和终端设备标识符;
所述路由器接收所述位置服务器发送的第一认证请求消息,在接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包括所述位置服务器在接收到所述接入请求消息后生成的随机值;
所述路由器接收所述位置服务器发送的接入响应消息,所述接入响应消息包括所述设备密钥;
所述路由器根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述终端设备交互。
结合第二方面,在第二方面的第一种可能实现的方式中,所述路由器根据所述设备密钥生成会话密钥包括:
所述路由器根据所述设备密钥生成临时设备密钥;
所述路由器根据所述临时设备密钥生成会话密钥。
结合第二方面的第一种可能实现的方式,在第二方面的第二种可能实现的方式中,所述路由器根据所述设备密钥生成临时设备密钥包括:
所述路由器根据所述设备密钥和第一参数生成临时设备密钥,所述第一参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
结合第二方面的第一种可能实现的方式或第二种可能实现的方式,在第二方面的第三种可能实现的方式中,所述路由器根据所述临时设备密钥生成会话密钥包括:
所述路由器根据所述临时设备密钥和第二参数生成会话密钥,所述第二参数包括第二计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
第三方面,提供一种终端设备切换时密钥协商的方法,包括:
终端设备接收路由器发送的第一认证请求消息,所述第一认证请求消息包括位置服务器生成的随机值;
所述终端设备根据共享密钥、终端设备标识符、所述随机值生成设备密钥,所述共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
所述终端设备根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述路由器交互。
结合第三方面,在第三方面的第一种可能实现的方式中,所述终端设备根据所述设备密钥生成会话密钥包括:
所述终端设备根据所述设备密钥生成临时设备密钥;
所述终端设备根据所述临时设备密钥生成会话密钥。
结合第三方面的第一种可能实现的方式,在第三方面的第二种可能实现的方式中,所述终端设备根据所述设备密钥生成临时设备密钥包括:
所述终端设备根据所述设备密钥和第三参数生成临时设备密钥,所述第三参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
结合第三方面的第一种可能实现的方式或第二种可能实现的方式,在第三方面的第三种可能实现的方式中,所述终端设备据所述临时设备密钥生成会话密钥包括:
所述终端设备根据所述临时设备密钥和第四参数生成会话密钥,所述第四参数包括计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
第四方面,提供一种位置服务器,包括:
接收单元,用于接收路由器发送的接入请求消息,所述接入请求消息包括用户标识符和终端设备的标识符;
发送单元,用于在所述接收单元接收所述接入请求消息完成时生成随机值,并向所述路由器发送第一认证请求消息,以使得在所述路由器接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包含位置服务器生成的随机值;
生成单元,用于根据所述随机值、共享密钥、以及所述终端设备标识符生成设备密钥,所述共享密钥与所述用户标识符对应;
发送单元,还用于向路由器发送接入响应消息,其中,所述接入响应消息包括所述设备密钥,以使所述路由器根据所述设备密钥生成会话密钥。
结合第四方面,在第四方面的第一种可能实现的方式中,所述生成单元具体为:
根据所述随机值、所述共享密钥、所述终端设备的标识符、所述位置服务器所在域的标识符以及所述路由器的标识符生成设备密钥。
第五方面,提供一种路由器,包括:
发送单元,用于向位置服务器发送接入请求消息,所述接入请求消息包括用户标识符和终端设备标识符;
接收单元,用于接收所述位置服务器发送的第一认证请求消息,在接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包括所述位置服务器在接收到所述接入请求消息后生成的随机值;
所述接收单元,还用于接收所述位置服务器发送的接入响应消息,其中,所述接入响应消息包括所述设备密钥;
生成单元,用于根据所述设备密钥生成会话会话密钥,以便于通过所述会话密钥和所述终端设备交互。
结合第五方面,在第五方面的第一种可能实现的方式中,所述生成单元具体为:
根据所述设备密钥生成临时设备密钥;
根据所述临时设备密钥生成会话密钥。
结合第五方面的第一种可能实现的方式,在第五方面的第二种可能实现的方式中,所述生成单元具体为:
根据所述设备密钥和第一参数生成临时设备密钥,所述第一参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
结合第五方面的第一种可能实现的方式或第二种可能实现的方式,在第五方面的第三种可能实现的方式中,所述生成单元具体为:
根据所述临时设备密钥和第二参数生成会话密钥,所述第二参数包括第二计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
第六方面,提供一种终端设备,包括:
接收单元,用于接收路由器发送的第一认证请求消息,所述第一认证请求消息包括位置服务器生成的随机值;
生成单元,用于根据共享密钥、终端设备标识符、所述随机值生成设备密钥,所述共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
生成单元,用于根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述路由器交互。
结合第六方面,在第六方面的第一种可能实现的方式中,所述生成单元具体用于:
根据所述设备密钥生成临时设备密钥;
根据所述临时设备密钥生成会话密钥。
结合第六方面的第一种可能实现的方式,在第六方面的第二种可能实现的方式中,所述生成单元具体用于:
根据所述设备密钥和第三参数生成临时设备密钥,所述第三参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
结合第六方面的第一种可能实现的方式,在第六方面的第二种可能实现的方式中,所述生成单元具体用于:
根据所述临时设备密钥和第四参数生成会话密钥,所述第四参数包括计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
第七方面,提供一种通信系统,所述通信系统包括:
如第四方面提供的位置服务器,如第五方面提供的路由器以及如第六方面提供的终端设备。
本发明实施例提供一种终端设备切换时密钥协商的方法和设备,位置服务器通过接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符,向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应,进而向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥,其中,在生成会话密钥时还包括位置服务器所在域的标识符以及路由器的标识符,这样,在将密钥协商所生成的会话密钥和终端设备标识符、域标识符以及路由器的标识符进行绑定后,当用户发生设备切换时能够提高用户身份协议网络架构中设备之间进行通信的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种UIP(User Identity Protocol,户身份协议)网络架构示意图;
图2为本发明实施例提供的一种UIP的ID模型示意图;
图3为本发明实施例提供的一种密钥协商方法流程示意图;
图4为本发明实施例提供的一种密钥协商方法流程示意图;
图5为本发明实施例提供的一种密钥协商方法流程示意图;
图6为本发明实施例提供的一种密钥协商方法流程示意图;
图7为本发明实施例提供的一种UIP网络架构中各个设备间的通信交互图;
图8为本发明实施例提供的一种位置服务器结构示意图;
图9为本发明实施例提供的一种路由器结构示意图;
图10为本发明实施例提供的一种用户设备结构示意图;
图11为本发明实施例提供的一种位置服务器结构示意图;
图12为本发明实施例提供的一种路由器结构示意图;
图13为本发明实施例提供的一种用户设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,UIP(User Identity Protocol,户身份协议)网络架构,是由一个或多个UIP域组成,一个UIP域由一个位置服务器SLS、一个或多个路由器DR以及一个或多个网关GW组成。其中,DR保存了用户的用户标识符User ID以及该用户的定位符Locator之间的映射关系、用户数据转发及报文地址变换,路由器在UIP域内、域间相互连结,SLS保存User ID与用户当前所属的DR的映射关系。用户可以通过无线接入网接入UIP域。图1中的实线表示用户面(UserPlane,UP),传输的是业务数据,虚线表示控制面(Control Plane,CP),传输的是信令(Signaling)即控制命令。
当一个用户有多台用户设备时,其UIP的ID模型可以如图2所示,其中,User ID由运营商分配,永久不变,多台用户设备的设备标识符(Devicel ID)由设备制造商或运营商分配,一个User ID可以关联多个Devicel ID,一个用户设备可以关联多个定位符Locator,这里的Locator通常为IP地址,由运营商分配或用户指定,即一个Device ID可以关联多个Locator。举例来说,User ID可以为用户的手机号码,有两部手机为同一个手机号码,也就是说一个手机号码关联两个手机设备。
基于上述网络架构,当同一个用户要求在业务不中断的情况下,业务流量在关联的设备间进行切换时,设备切换时的用户设备与路由器之间的密钥协商可以如下实施例所示。
本发明实施例提供一种终端设备切换时密钥协商的方法,如图3所示,包括:
101、位置服务器接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符。
示例性的,当用户发生设备切换情况时,该用户所属的路由器DR在确定切换后的终端设备后,可以向位置服务器SLS发送接入请求(Access Request)消息,该请求消息中包括了用户的用户标识符User ID和终端设备标识符Device ID,这里的终端设备为将要发生设备切换情况所切换后的用户设备。
在DR向SLS发送接入请求消息之前,DR确定切换后的终端设备的过程可以为:在用户与至少两个终端设备关联的情况下,若用户当前与第一终端设备Device1关联,即当前业务流量在第一终端设备上,如果与该用户关联的第二终端设备Device2的状态发生变化,譬如第二终端设备的通信优先级高于了第一终端设备,比如第二终端设备与UIP网络之间的通讯成本低于第一终端设备,这里的第二终端设备就可以理解为终端设备,该终端设备为用户发生设备切换情况所切换后的终端设备,终端设备就可以向SLS发送注册消息,该注册消息就包括了终端设备的Device ID和状态信息,而后SLS可以向该用户所属的DR发送通知消息,通知DR可以进行设备切换,使得DR在收到与该用户进行业务通信的其它用户的终端设备发送的报文时,触发进入设备切换,这时,DR需要确定接收报文的终端设备,确定的方法可以是向SLS查询,查询新注册到SLS的终端设备的标识信息,也可以向该用户的所有关联的终端设备逐个进行查询,例如可以按照信号质量查询得到通信优先级最高的终端设备的Device ID。
102、位置服务器在接收到所述接入请求消息后生成随机值,并向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包含位置服务器生成的随机值。
具体的,SLS在接收到DR发送的接入请求消息后,生成一个随机值nonce,该随机值用于SLS对终端设备进行认证以及后续生成设备密钥Kdev。而后,SLS向DR发送第一认证请求(AuthenticationRequest)消息,该认证请求消息包括SLS生成的随机值,DR再向终端设备发送第二认证请求消息,其中携带随机值,还可以携带SLS所在域的标识符Domain ID,DR的域标识符DR ID,其中Domain ID和DR ID可以通过SLS发送的第一认证请求消息发送至DR,DR再通过第二认证请求消息将Domain ID和DR ID发送至终端设备Device2,这里的Domain ID和DR ID也可以通过预先配置在DR中实现,这里不做限定。
103、位置服务器根据随机值、共享密钥以及终端设备的标识符生成设备密钥,共享密钥与用户标识符对应。
具体的,终端设备在接收到DR发送的第二认证请求消息之后,向DR发送认证响应消息,以使DR获知第二认证消息发送成功,而后,DR向SLS发送认证响应消息,以使SLS判断终端设备是否通过认证。这里的认证过程为本领域技术人员所公知的常识,这里不再赘述。
当SLS确定终端设备通过认证时,根据终端设备的User ID查询得到SLS与该用户的共享密钥K,也就是根密钥。这是由于在SLS中,保存有用户与共享密钥的对应信息,即User ID与K的对应关系,每个User有唯一的K,SLS与用户共享。而后,SLS根据共享密钥K、用户的终端设备的Device ID以及随机值nonce推导出设备密钥Kdev,这里在推导设备密钥时,还可以包括位置服务器所在域的标识符Domain ID和路由器的标识符DR ID。这里的推导过程可以基于单向性密钥生成算法,例如利用Hash函数算法得到,这里不对设备密钥的推导过程进行限定,也可以为其它推导方法。
104、位置服务器向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使得路由器根据设备密钥生成会话密钥。
具体的,在SLS获得了设备密钥Kdev后,可以向DR发送接入响应(Access Response)消息,该接入响应消息就包括了SLS生成的设备密钥Kdev。而后,DR根据从SLS接收到的Kdev生成临时设备密钥Kdev’,进而,DR就可以根据临时设备密钥Kdev’生成会话密钥Ksession。其中,位置服务器所在域的标识符Domain ID和路由器的标识符DR ID可以应用在步骤201中,也可以应用在步骤204在生成临时设备密钥Kdev’或者生成会话密钥Ksession中。另外,在生成临时设备密钥Kdev’或者生成会话密钥Ksession时,还可以包括终端设备Device2与路由器保持同步的计数器counter,其中,计数器counter是UIP协议内置的计数器,是DR与用户间由UIP协议维护的一个计数器,DR与用户总能保持该计数器同步。该会话密钥为DR与Device2终端设备进行业务交互所使用的会话密钥。
具体对上述情况分别说明,可以是路由器根据临时设备密钥Kdev’、域的标识符Domain ID以及DR ID推导会话密钥Ksession,其中临时设备密钥Kdev’是路由器根据设备密钥Kdev以及计数器counret推导出来的;
可替换的,SLS和终端设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev和counter之外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,SLS和终端设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID和DR ID,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,不包括counter,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev之外,还可以包括Domain ID以及DR ID,但不包括counter,这样,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter,但不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,这样,在DR和Device2推导会话密钥Kession的参数除了Kdev’、Domain ID以及DR ID之外,还可以包括counter。
对于用户待切换至的终端设备Device2,在向DR返回了认证响应消息之后,就可以根据共享密钥K、Device ID以及随机值推导出设备密钥Kdev,进而根据Kdev与计数器counter的计数信息推导出临时设备密钥Kdev’,再根据Kdev’、Domain ID以及DR ID推导出会话密钥Ksession。这样,DR与用户切换后的设备的会话密钥就会与Device ID绑定,可以保证多设备场景下同一用户的某一终端设备的会话密钥被攻破,不会影响该用户的其它终端设备的安全,从而增强了安全性;对于一个UIP域来说,会话密钥也与Domain ID绑定,当一个domain使用的会话密钥被攻破,不会影响到其它domain的安全,从而增强了安全性;对于一个DR来说,会话密钥也与DR ID绑定,可以保证一个DR使用的会话密钥被攻破时,不会影响到其它DR的安全,为用户与DR间的通讯提供机密性、完整性的保护,防止数据窃听或窜改,从而增强了安全性。此外,同一个用户每发生设备切换时就会重新推导会话密钥,以保证新的终端设备与DR之间的安全性。
本发明实施例提供一种终端切换时密钥协商的方法,位置服务器通过接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符,向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应,进而向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥,其中,在生成会话密钥时还包括位置服务器所在域的标识符以及路由器的标识符,这样,在将密钥协商所生成的会话密钥和终端设备标识符、域标识符以及路由器的标识符进行绑定后,当用户发生设备切换时能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种终端设备切换时密钥协商的方法,如图4所示,包括:
201、路由器向位置服务器发送接入请求消息,该接入请求消息包括用户标识符和终端设备的标识符。
具体的,在同一用户有多个设备的情况下,假设用户当前使用的设备为Device1,当另一终端设备Device2将新的状态注册到了当前用户所属的SLS,SLS就可以通知该用户所属的DR进行设备切换,于是当该DR在接收到与当前用户通信连接的另一用户的终端设备发送的报文时,先确定接收报文的终端设备,具体可以向SLS进行查询得到新注册到SLS的终端设备,也可以向用户的各个终端设备查询得到新注册的终端设备,以获取新注册的设备也就是终端设备的Device ID。这里的终端设备即为Device ID为Device2的终端设备。
而后,DR便可以向SLS发送接入请求Access Request消息,以使得所述位置服务器在接收到所述接入请求消息后生成随机值,消息中携带用户的用户标识符User ID和终端设备的标识符Device ID,例如为上述Device2。
202、路由器接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,并向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器在接收到所述接入请求消息后生成的随机值。
具体的,SLS在接收到DR发送的接入请求消息后,可以生成一个随机值nonce,用于后续认证该用户以及生成密钥。而后,SLS向DR发送第一认证请求消息,该第一认证请求消息中就包括SLS生成的随机值,DR在接收到第一认证请求消息后,将随机值携带在第二认证请求消息中发送至Device2,其中,第二认证请求消息还可以包括SLS所在域的标识符Domain ID和DR的DR ID,这里的Domain ID和DR的DR ID可以是通过SLS发送第一认证请求消息给DR时携带在第一认证请求消息中的,也可以是通过预先配置在DR中的。
203、路由器接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥。
具体的,Device2在接收到DR发送的第二认证请求消息后,便向DR发送认证响应Authentication Response消息,DR再向SLS发送Authentication Response消息,SLS便根据Device2的用户标识符User ID在SLS中查询得到SLS与该User ID对应的共享密钥K,这是由于在SLS中,保存有User ID与K的对应关系。于是,SLS便可以根据共享密钥K、用户的Device ID(Device2)以及随机值nonce推导得出设备密钥Kdev。这里推导设备密钥Kdev的过程还可以包括SLS所在域的标识符Domain ID和DR的DR ID,也可以为空。这里的推导过程可以为基于单向性密钥生成算法,例如利用Hash函数算法得到,这里不对设备密钥的推导过程进行限定,也可以为其它推导方法。
SLS在得到设备密钥K时,可以认为该用户认证通过,其认证过程为本领域公知常识。而后,SLS向DR发送接入响应AccessResponse消息,该消息中携带SLS推导出的设备密钥Kdev。
204、路由器根据设备密钥生成会话密钥,以便于通过会话密钥与终端设备交互。
具体的,DR首先要根据设备密钥Kdev生成临时设备密钥Kdev’,而后根据临时设备密钥Kdev’生成会话密钥。
示例性的,DR在根据设备密钥Kdev生成临时设备密钥Kdev’的具体实现方式可以为:DR根据设备密钥Kdev和第一参数生成临时设备密钥Kdev’,第一参数包括第一计数值、位置服务器所在域的标识符Domain ID和路由器的标识符DR ID中至少一个参数,该第一计数值从DR的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
对于根据临时设备密钥Kdev’和第一生成会话密钥Ksession的具体实现方式可以为:DR根据临时设备密钥Kdev’和第二参数生成会话密钥Ksession,第二参数包括第二计数值、位置服务器所在域的标识符Domain ID和路由器的标识符DR ID中至少一个参数,第二计数值从DR的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
其中counter是UIP协议内置的计数器,是DR与用户间由UIP协议维护的一个计数器,DR与用户总能保持该计数器同步;所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器自身获取。
具体可以对上述情况分别说明,可以是路由器根据临时设备密钥Kdev’、域的标识符Domain ID以及DR ID推导会话密钥Ksession,其中临时设备密钥Kdev’是路由器根据设备密钥Kdev以及计数器counter推导出来的;
可替换的,SLS和终端设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev和counter之外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,SLS和终端设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID和DR ID,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,不包括counter,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev之外,还可以包括Domain ID以及DR ID,但不包括counter,这样,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter,但不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,这样,在DR和Device2推导会话密钥Kession的参数除了Kdev’、Domain ID以及DR ID之外,还可以包括counter。
当Device2也通过类似的算法得出会话密钥时,当Device1上的业务状态传递给了Device2后,使得Device1上承载的业务切换到了Device2上,Device2就可以通过会话密钥Ksession与DR进行会话了。
这样,当用户发生设备切换时,新切换的终端设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
本发明实施例提供一种终端设备切换时密钥协商的方法,通过向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备的标识符,接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,而后接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥,进而根据设备密钥生成会话密钥,以便于通过绘画密钥与终端设备交互,其中在生成会话密钥过程中,还可以包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,这样当用户发生设备切换时,新切换的终端设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种终端设备切换时密钥协商的方法,如图5所示,包括:
301、终端设备接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值。
示例性的,当用户与两台用户设备关联,当前用户与Device1关联,如果用户将要发生设备切换,例如将要切换至Device2,首先,Device2要先将新的状态注册到SLS,SLS再去通知用户所属DR可以进行设备切换,当DR接收到另一与该用户进行通信的用户发送的新的报文时,就可以先向SLS或者逐个向各个Device查询接收新报文的Device,例如查询得到为这里的Device2。
而后,DR就可以向SLS发送接入请求消息,消息中携带发生设备切换的用户的User ID和新的终端设备的Device ID(Device2),SLS生成一个随机值nonce,用于认证终端设备Device2以及生成密钥。SLS再向DR发送认证请求消息并携带随机值,DR再将该随机值携带在发送给Device2的第一认证请求消息中。
其中,DR发送给Device2的第一认证请求消息中还可以携带SLS所在域的标识符Domain ID和DR ID。这里的Domain ID和DR ID可以是SLS通过发送给DR的,也可以是预先配置在DR中的。
302、终端设备根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取。
具体的,Device2在接收到DR发送的认证请求消息后,可以向DR返回认证响应Authentication Response消息,而后,Device2根据共享密钥K、Device ID(Device2)、随机值推导出设备密钥Kdev。其中,在推导设备密钥Kdev的过程中还也可以包括Domain ID和DRID。
其中,共享密钥K是用户与UIP网络共享的,这里就可以为User与SLS共享的,每个User有唯一的共享密钥K。
303、终端设备根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互。
具体的,终端设备Device2根据设备密钥Kdev生成会话密钥Ksession的具体实现方式可以为:Device2根据设备密钥Kdev生成临时设备密钥Kdev’,再根据临时设备密钥Kdev’生成会话密钥Ksession。
示例性的,终端设备Device2根据设备密钥Kdev生成临时设备密钥Kdev’的具体实现方式为:Device2根据设备密钥Kdev和第三参数生成临时设备密钥Kdev’,第三参数包括第一计数值、位置服务器所在域的标识符Domain ID以及DR的标识符DR ID中至少一个参数,第一计数值从Device2的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。其中,终端设备Device2生成的临时设备密钥所使用的参数与路由器生成临时设备密钥所使用的参数保持一致;终端设备Device2生成会话密钥所使用的参数与路由器生成会话密钥所使用的参数保持一致,以使得终端设备Device2可以与路由器通过会话密钥进行交互。
对于终端设备Device2根据临时设备密钥Kdev’生成会话密钥Ksession的具体实现方式可以为:Device2根据临时设备密钥Kdev’和第四参数生成会话密钥Ksession,第四参数包括计数值、位置服务器所在域的标识符Domain ID以及DR的标识符DR ID中至少一个参数,第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
其中,计数器counter是UIP协议内置的计数器,DR与UE总是能保持该计数器同步,这里就是Device2的计数器与DR的计数器保持同步。
具体从步骤302和步骤303的说明可以知道,位置服务器所在域的标识符Domain ID和DR的标识符DR ID可以在步骤302中推导设备密钥Kdev的过程中,也可以在步骤303中Device2根据设备密钥Kdev生成临时设备密钥Kdev’的过程中,也可以在步骤303中Device2根据临时设备密钥Kdev’生成会话密钥Ksession的过程中。计数器counter的计数值可以是应用在Device2根据设备密钥Kdev生成临时设备密钥Kdev’的过程中,也可以应用在evice2根据临时设备密钥Kdev’生成会话密钥Ksession的过程中。
进而,Device1上的业务状态就可以传递给新的设备Device2,使得Device1上承载的业务切换至Device2上,这样在发生用户设备切换后,DR就可以将从另一用户接收到的新的报文转发给Device2,以使Device2与DR进行通信。
这样一来,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
本发明实施例提供一种终端设备切换时密钥协商的方法,通过接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值,根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,再根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互,其中,在生成会话密钥的过程中可以还可以包括位置服务器所在域的标识符和路由器的标识符,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,这样能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种终端切换时密钥协商的方法,如图6所示,包括:
401、终端设备向位置服务器发送注册消息。
示例性的,在UIP网络中,当用户与至少两个终端设备关联,也就是一个用户多台设备,可以发生在业务流量在多台设备间无缝切换的场景,也即用户的业务不中断,业务从一台用户设备无缝切换至另一台用户设备,这两台设备为同一个用户。当其中关联的一个终端设备的状态发生变化,例如与UIP网络间的通信优先级变高了,这里可以理解为与UIP网络间的通讯成本变的更低,也可以为其它状态的变化,这里不做限定,终端设备就可以将新的状态注册到用户所属的位置服务器SLS,发送给SLS的注册消息可以包括新的终端设备的设备标识符Device ID。假设用户当前关联的终端设备的用户标识符为Device1,待切换后的终端设备的标识符为Device2,这里的终端设备的标识符就可以理解为这里的Device2。
402、位置服务器向路由器发送通知消息,以使路由器进行设备切换。
具体的,当SLS接收到Device2的注册消息后,可以向用户所属的路由器DR发送通知消息,以使DR获知可以进行设备切换。该通知消息中可以包括将发生设备切换的用户的标识符User ID。
403、当路由器接收到源终端设备发送的报文时,确定接收报文的终端设备。
其中,这里的源终端设备是指与Device2的第二用户进行通信的第一用户的终端设备。当第一用户的终端设备向第二用户发送新的报文时,报文会首先转发至第二用户的DR,这时,DR就需要确定接收报文的第一用户的终端设备。
具体的,DR可以向第二用户所属的SLS进行查询,查询新注册到SLS的终端设备的Device ID,或者可以逐个向与第二用户关联的终端设备进行查询,查询通信优先级最高的终端设备的Device ID,这里的通信优先级可以按照通信信号质量来衡量,通信质量最好的用户设备就为将接收报文的用户设备。这里,查询得到的终端设备就为终端设备的标识符为Device2的终端设备。
404、路由器向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备标识符。
具体的,在确定了将要接收报文的用户设备为Device2后,DR就可以向SLS发送接入请求Access Request消息,消息中可以携带将要发生设备切换的用户的标识符User ID以及接收报文的终端设备的标识符Device ID,这里的Device ID就为Device2。
405、位置服务器生成随机值,随机值用于认证终端设备和生成密钥,而后向路由器发送第一认证请求消息,第一认证请求消息包括随机值。
具体的,SLS在接收到接入请求消息后,可以生成一个随机值nonce,用于后续认证用户以及生成密钥等。而后,SLS向DR发送第一认证请求Authentication Request消息,该第一认证请求消息就包括SLS生成的随机值nonce。
406、路由器向终端设备发送第二认证请求消息,第二认证请求消息包括随机值、位置服务器所在域的标识符以及路由器的标识符。
具体的,DR可以将从SLS接收到的随机值通过第二认证请求消息发送至Device2,该第二认证请求消息还可以包括SLS所在域的标识符Domain ID以及DR的标识符DR ID,其中Domain ID以及DR ID可以是SLS在向DR发送第一认证请求消息后携带在第一认证请求消息中的,而后DR再将Domain ID以及DR ID携带在第二认证请求消息中发送给Device2,也可以是预先配置在DR中的,也可以通过其它方式发送给Device2,这里不做限定。
407、终端设备向路由器发送认证响应消息,而后进入步骤408和步骤411,其中步骤408~410与步骤411~413是并列关系。
具体的,当Device2在向DR返回认证响应消息后,DR与Device2就开始推导发生设备切换后,Device2与DR进行通信的会话密钥。其中下述步骤408~410为DR推导会话密钥的过程,步骤411~413为Device2推导会话密钥的过程,在进入步骤408时同时进入步骤411。
408、路由器向位置服务器发送认证响应消息,以使位置服务器根据用户标识符获取与用户标识符对应的共享密钥。
具体的,DR接收到Device2的认证响应消息后,便向SLS返回认证响应消息,SLS就可以根据Device2的用户标识符User ID在SLS中查询得到与该用户的共享密钥K。其中,每一个用户都有唯一的共享密钥K,由UIP网络与用户共享,这里就是用户与SLS共享。在SLS中,保存有User ID与K的对应关系。
409、位置服务器根据共享密钥、终端设备标识符以及随机值获取设备密钥,并将设备密钥携带在接入响应消息中发送给路由器。
具体的,SLS在获取了与用户的共享密钥K后,可以根据共享密钥K、Device ID(Device2)以及随机值nonce推导得出设备密钥Kdev,即设备密钥Kdev由共享密钥K进行推导。而后,SLS向DR发送接入响应Access Response消息,该接入响应消息包括设备密钥Kdev。
其中SLS推导设备密钥可以基于单向性密钥生成算法,例如利用Hash函数算法得到,这里不对设备密钥的推导过程进行限定,也可以为其它推导方法。
410、路由器根据设备密钥和计数器的计数信息获取临时设备密钥,进而根据临时设备密钥、域的标识符以及路由器的标识符获取会话密钥。
具体的,DR在从SLS接收到设备密钥后,可以根据设备密钥和计数器counter推导出临时设备密钥Kdev’,也就是说,临时设备密钥Kdev’由设备密钥Kdev推导得出,其中,计数器是UIP协议内置的计数器,DR与用户总是能保持该计数器同步。而后,DR可以根据临时设备密钥推导得出会话密钥Ksession,会话密钥用于发生设备切换后Device2与DR进行通信时的密钥协商,具体可以根据临时设备密钥Kdev’、Domain ID以及DR ID推导出会话密钥Ksession。
411、终端设备根据共享密钥、终端设备标识符以及随机值获取设备密钥。
具体的,Device2在向DR返回认证响应消息后,可以根据共享密钥K、Device ID(Device2)以及SLS生成的随机值获取设备密钥Kdev,其中,共享密钥由User与SLS共享,是保存在User的每个终端设备中的。
412、终端设备根据设备密钥和计数器的计数信息获取临时设备密钥。
具体的,Device2可以根据设备密钥Kdev’和计数器counter推导得出临时设备密钥Kdev’,这里的计数器便是与DR所保持同步的计数器,也就是说临时设备密钥是由设备密钥推导得出的。
413、终端设备根据临时设备密钥、域的标识符以及路由器的标识符获取会话密钥。
具体的,Device2在获取了临时设备密钥后,进一步可以根据临时设备密钥推导与DR进行通信所使用的会话密钥Ksession,具体可以根据临时设备密钥Kdev’、Domain ID以及DR ID进行推导。
这样,在步骤410和步骤413完成后,Device2和DR都获取了进行通信时的会话密钥。而后,Device1上的业务状态就可以传递给Device2,使Device1上承载的业务切换到Device2上,设备切换就完成了,DR就可以将从另一用户接收到的报文转发给Device2,以便于Device2与DR进行继续通信,也就是在保证业务不中断的情况下完成设备切换。
上述过程中各个设备间的通信交互图可以如图7所示。
因此可以知道,用户在发生设备切换时都需要重新推导会话密钥,而且会话密钥的总体架构可以分为四级:K是根密钥,每个User有唯一的K,由UIP网络(例如SLS)与UE共享,Kdev是设备相关密钥,由K推导得到,Kdev’是临时设备密钥,由Kdev推导得到,Ksession是会话密钥,由Kdev’推导得到,这样,可以为DR与UE间的数据传输提供机密性、完整性的保护。
而在上述密钥的总体架构中,会话密钥的推导涉及到了DeviceID、Domain ID以及DR ID,当会话密钥的推导与Device ID绑定时,可以保证一个用户多台设备的场景下,同一用户的某一终端设备的密钥被攻破,不会影响到该用户的其它终端设备的安全;当会话密钥的推导与Domain ID绑定时,一个domain使用的密钥被攻破,不会影响到其它domain的安全;当会话密钥的推导与DR ID绑定时,可以保证一个DR使用的会话密钥被攻破,不会影响到其它DR的安全,可以为UE与DR间的通信提供机密性、完整性的保护,防止数据被窃听或者窜改,从而增强了用户身份协议网络架构中设备之间进行通信的安全性。
其中,在上述密钥架构中,可替换的,SLS和终端设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev和counter之外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,SLS和终端设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID和DR ID,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,不包括counter,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev之外,还可以包括Domain ID以及DR ID,但不包括counter,这样,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter,但不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,这样,在DR和Device2推导会话密钥Kession的参数除了Kdev’、Domain ID以及DR ID之外,还可以包括counter。
也就是说,Domain ID与DR ID的在密钥架构中的推导顺序可以不同。
本发明实施例提供一种终端切换时密钥协商的方法,当用户的用户设备要发生设备切换时,路由器和用户设备可以根据共享密钥、用户设备的标识符以及随机值获取设备密钥,进而根据设备密钥和计数器的计数信息获取临时设备密钥,再根据临时设备密钥和域的标识符以及路由器的标识符获取会话密钥,当设备切换完成后,路由器将根据新生成的会话密钥与切换后的用户设备进行通信,这样,用户在发生设备切换时需要重新推导会话密钥,同时使得会话密钥与域的标识符、路由器的标识符以及用户设备的标识符绑定,能够保证域、路由器以及用户设备的安全,提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种位置服务器01,如图8所示,包括:
接收单元011,用于接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备的标识符。
发送单元012,用于在接收到所述接入请求消息后生成随机值,并向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包含位置服务器生成的随机值。
具体而言,位置服务器SLS在接收到路由器DR发送的接入请求消息后,生成一个随机值nonce,该随机值用于SLS对终端设备进行认证以及后续生成设备密钥Kdev。而后,SLS向DR发送第一认证请求(Authentication Request)消息,该认证请求消息包括SLS生成的随机值,DR再向终端设备发送第二认证请求消息,其中携带随机值,还可以携带SLS所在域的标识符Domain ID,DR的域标识符DRID,其中Domain ID和DR ID可以通过SLS发送的第一认证请求消息发送至DR,DR再通过第二认证请求消息将Domain ID和DR ID发送至终端设备Device2,这里的Domain ID和DR ID也可以通过预先配置在DR中实现,这里不做限定。
生成单元013,用于根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应。
发送单元012,还用于向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥。
其中,在路由器DR向位置服务器SLS发送接入请求消息之前,DR确定切换后的用户设备的过程可以为:在用户与至少两个用户设备关联的情况下,若用户当前与第一用户设备Device1关联,即当前业务流量在第一用户设备上,如果与该用户关联的第二用户设备Device2的状态发生变化,譬如第二用户设备的通信优先级高于了第一用户设备,比如第二用户设备与UIP网络之间的通讯成本低于第一用户设备,这里的第二用户设备就可以理解为终端设备,该终端设备为用户发生设备切换情况所切换后的用户设备,终端设备就可以向SLS发送注册消息,该注册消息就包括了终端设备的Device ID和状态信息,而后SLS可以向该用户所属的DR发送通知消息,通知DR可以进行设备切换,使得DR在收到与该用户进行业务通信的其它用户的用户设备发送的报文时,触发进入设备切换,这时,DR需要确定接收报文的用户设备,确定的方法可以是向SLS查询,查询新注册到SLS的用户设备的标识信息,也可以向该用户的所有关联的用户设备逐个进行查询,例如可以按照信号质量查询得到通信优先级最高的用户设备的Device ID。
可选的,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器的;
可选的,域的标识符和路由器的标识符是预先配置在路由器中的。
可选的,生成单元013可以具体为:
根据随机值、共享密钥、终端设备的标识符、位置服务器所在域的标识符以及路由器的标识符生成设备密钥。
可替换的,SLS和用户设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev和counter之外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,SLS和终端设备Device2推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID和DR ID,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,不包括counter,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev之外,还可以包括Domain ID以及DR ID,但不包括counter,这样,DR和Device2推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter,但不包括Domain ID以及DR ID;
可替换的,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,这样,在DR和Device2推导会话密钥Kession的参数除了Kdev’、Domain ID以及DR ID之外,还可以包括counter。
本发明实施例提供一种位置服务器,位置服务器通过接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符,向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应,进而向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥,其中,在生成会话密钥时还包括位置服务器所在域的标识符以及路由器的标识符,这样,在将密钥协商所生成的会话密钥和终端设备标识符、域标识符以及路由器的标识符进行绑定后,当用户发生设备切换时能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种路由器02,如图9所示,包括:
发送单元021,用于向位置服务器发送接入请求消息该接入请求消息包括用户标识符和终端设备标识符。
具体而言,在同一用户有多个设备的情况下,假设用户当前使用的设备为Device1,当另一用户设备Device2将新的状态注册到了当前用户所属的SLS,SLS就可以通知该用户所属的DR进行设备切换,于是当该DR在接收到与当前用户通信连接的另一用户的用户设备发送的报文时,先确定接收报文的用户设备,具体可以向SLS进行查询得到新注册到SLS的用户设备,也可以向用户的各个用户设备查询得到新注册的用户设备,以获取新注册的设备也就是终端设备的Device ID。这里的终端设备即为Device ID为Device2的用户设备。
而后,DR便可以向SLS发送接入请求Access Request消息,以使得所述位置服务器在接收所述接入请求消息完成时生成随机值,消息中携带用户的用户标识符User ID和终端设备的标识符Device ID,例如为上述Device2。
接收单元022,用于接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器在接收到所述接入请求消息后生成的随机值。
接收单元022,还可以用于接收位置服务器发送的接入响应消息,其中,接入响应消息包括设备密钥;
生成单元023,用于根据设备密钥生成会话会话密钥,以便于通过会话密钥和终端设备交互。
可选的,生成单元023可以具体用于:
根据设备密钥生成临时设备密钥;
根据临时设备密钥生成会话密钥。
可选的,生成单元023可以具体用于:
根据设备密钥和第一参数生成临时设备密钥,第一参数包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
可选的,生成单元023可以具体用于:
根据临时设备密钥和第二参数生成会话密钥,第二参数包括第二计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第二计数值从路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
具体而言,SLS在接收到DR发送的接入请求消息后,可以生成一个随机值nonce,用于后续认证该用户以及生成密钥。而后,SLS向DR发送第一认证请求消息,该第一认证请求消息中就包括SLS生成的随机值,DR在接收到第一认证请求消息后,将随机值携带在第二认证请求消息中发送至Device2,其中,第二认证请求消息还可以包括SLS所在域的标识符Domain ID和DR的DR ID,这里的Domain ID和DR的DR ID可以是通过SLS发送第一认证请求消息给DR时携带在第一认证请求消息中的,也可以是通过预先配置在DR中的。
示例性的,SLS在得到设备密钥K时,可以认为该用户认证通过,其认证过程为本领域公知常识。SLS向DR发送接入响应AccessResponse消息,该消息中携带SLS推导出的设备密钥Kdev。DR便可以根据Kdev和计数器counter的计数信息推导出临时设备密钥Kdev’。其中counter是UIP协议内置的计数器,是DR与用户间由UIP协议维护的一个计数器,DR与用户总能保持该计数器同步。而后,DR可以根据得到的Kdev’、Domain ID以及DR ID推导出会话密钥Ksession,该会话密钥为DR与Device2用户设备进行业务交互所使用的会话密钥。当Device2也通过类似的算法得出会话密钥时,当Device1上的业务状态传递给了Device2后,使得Device1上承载的业务切换到了Device2上,Device2就可以通过会话密钥Ksession与DR进行会话了。
这样,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
可选的,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器的;
可选的,域的标识符和路由器的标识符是预先配置在路由器中的。
本发明实施例提供一种路由器,通过向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备的标识符,接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,而后接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥,进而根据设备密钥生成会话密钥,以便于通过绘画密钥与终端设备交互,其中在生成会话密钥过程中,还可以包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,这样当用户发生设备切换时,新切换的终端设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种终端设备03,如图10所示,包括:
接收单元031,用于接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值。
举例来说,当用户与两台用户设备关联,当前用户与Device1关联,如果用户将要发生设备切换,例如将要切换至Device2,首先,Device2要先将新的状态注册到SLS,SLS再去通知用户所属DR可以进行设备切换,当DR接收到另一与该用户进行通信的用户发送的新的报文时,就可以先向SLS或者逐个向各个Device查询接收新报文的Device,例如查询得到为这里的Device2。
而后,DR就可以向SLS发送接入请求消息,消息中携带发生设备切换的用户的User ID和新的用户设备的Device ID(Device2),SLS生成一个随机值nonce,用于认证用户设备Device2以及生成密钥。SLS再向DR发送认证请求消息并携带随机值,DR再将该随机值携带在发送给Device2的认证请求消息中。
其中,DR发送给Device2的认证请求消息中还可以携带SLS所在域的标识符Domain ID和DR ID。这里的Domain ID和DR ID可以是SLS通过发送给DR的,也可以是预先配置在DR中的。
生成单元032,用于根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
生成单元032,还用于根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互。
可选的,生成单元032可以具体用于:
根据设备密钥生成临时设备密钥;
根据临时设备密钥生成会话密钥。
可选的,生成单元032可以具体用于:
根据设备密钥和第三参数生成临时设备密钥,第三参数包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
可选的,生成单元032可以具体用于:
根据临时设备密钥和第四参数生成会话密钥,第四参数包括计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第二计数值从终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
示例性的,Device2在得到设备密钥Kdev后,可以根据Kdev与计数器counter的计数信息推导得出临时设备密钥Kdev’,而后,Device2可以根据临时设备密钥Kdev’、Domain ID以及DR ID推导得出会话密钥Ksession。
进而,Device1上的业务状态就可以传递给新的设备Device2,使得Device1上承载的业务切换至Device2上,这样在发生用户设备切换后,DR就可以将从另一用户接收到的新的报文转发给Device2,以使Device2与DR进行通信。
这样一来,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
可选的,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器,路由器通过第二认证请求消息发送至用户设备的;
可选的,域的标识符和路由器的标识符是预先配置在路由器中的。
本发明实施例提供一种终端设备,通过接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值,根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,再根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互,其中,在生成会话密钥的过程中可以还可以包括位置服务器所在域的标识符和路由器的标识符,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DRID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,这样能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种位置服务器04,如图11所示为位置服务器的结构示意图,可以包括:总线041、处理器042、发射器043、接收器044以及存储器045,其中,该存储器045用于存储指令,接收器044执行该指令用于路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符;发射器043执行该指令用于在接收所述接入请求消息完成时生成随机值,并向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包含位置服务器生成的随机值;处理器042执行该指令还用于根据随机值、共享密钥以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应;发射器043执行该指令用于向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥。
可选的,在本发明实施例中,处理器042用于根据随机值、共享密钥以及终端设备的标识符生成设备密钥时包括:
根据随机值、共享密钥、终端设备的标识符、位置服务器所在域的标识符以及路由器的标识符生成设备密钥。
可选的,在本发明实施例中,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器的;
可选的,在本发明实施例中,域的标识符和路由器的标识符是预先配置在路由器中的。
可替换的,位置服务器SLS和终端设备推导设备密钥Kdev的参数除了共享密钥K、终端设备标识符Device ID以及随机值外,还可以包括域的标识符Domain ID以及路由器的标识符DR ID,这样,路由器DR和终端设备推导会话密钥Kession的参数就可以只有临时设备密钥Kdev’,不包括Domain ID以及DR ID;
可替换的,DR和终端设备推导临时设备密钥Kdev’的参数除了设备密钥Kdev和计数器counter之外,还可以包括域的标识符DomainID以及路由器的标识符DR ID,这样,DR和终端设备推导会话密钥Kession的参数就可以只有Kdev’,不包括Domain ID以及DR ID;
可替换的,SLS和终端设备推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID和DR ID,DR和终端设备推导临时设备密钥Kdev’的参数只有设备密钥Kdev,不包括counter,DR和终端设备推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter;
可替换的,DR和终端设备推导临时设备密钥Kdev’的参数除了设备密钥Kdev之外,还可以包括Domain ID以及DR ID,但不包括counter,这样,DR和终端设备推导会话密钥Kession的参数除了Kdev’之外,还可以包括counter,但不包括Domain ID以及DR ID;
可替换的,DR和终端设备推导临时设备密钥Kdev’的参数只有设备密钥Kdev,这样,在DR和终端设备推导会话密钥Kession的参数除了Kdev’、Domain ID以及DR ID之外,还可以包括counter。
本发明实施例提供一种位置服务器,位置服务器通过接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符,向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应,进而向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥,其中,在生成会话密钥时还包括位置服务器所在域的标识符以及路由器的标识符,这样,在将密钥协商所生成的会话密钥和终端设备标识符、域标识符以及路由器的标识符进行绑定后,当用户发生设备切换时能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种路由器05,如图12所示,为路由器05的结构示意图,可以包括:总线051、处理器052、发射器053、接收器054以及存储器055,其中,该存储器055用于存储指令,发射器053执行该指令用于向位置服务器发送接入请求消息,以使得所述位置服务器在接收所述接入请求消息完成时生成随机值,接入请求消息包括用户标识符和终端设备标识符;接收器054执行该指令用于位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值;接收器054执行该指令还用于接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥,处理器052执行该指令用于根据设备密钥生成会话密钥,以便于通过会话密钥与终端设备交互。
可选的,在本发明实施例中,处理器052执行该指令根据设备密钥生成会话密钥包括:
根据设备密钥生成临时设备密钥;
根据临时设备密钥生成会话密钥。
可选的,在本发明实施例中,处理器052执行该指令根据设备密钥生成临时设备密钥包括:
根据设备密钥和第一参数生成临时设备密钥,第一参数包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
可选的,在本发明实施例中,处理器052执行该指令根据临时设备密钥生成会话密钥包括:
根据临时设备密钥和第二参数生成会话密钥,第二参数包括第二计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第二计数值从路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
可选的,在本发明实施例中,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器的;
可选的,在本发明实施例中,域的标识符和路由器的标识符是预先配置在路由器中的。
本发明实施例提供一种路由器,通过向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备的标识符,接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器在接收到所述接入请求消息后生成的随机值,而后接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥,进而根据设备密钥生成会话密钥,以便于通过绘画密钥与终端设备交互,其中在生成会话密钥过程中,还可以包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,这样当用户发生设备切换时,新切换的终端设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DRID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种终端设备06,如图13所示,为路由器06的结构示意图,可以包括:总线061、处理器062、发射器063、接收器064以及存储器065,其中,该存储器065用于存储指令,接收器064执行该指令用于接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值;处理器062执行该指令用于根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应;处理器062执行该指令还用于根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互。
可选的,在本发明实施例中,处理器062执行该指令根据设备密钥生成会话密钥包括:
根据设备密钥生成临时设备密钥;
根据临时设备密钥生成会话密钥。
可选的,在本发明实施例中,处理器062执行该指令根据设备密钥生成临时设备密钥包括:
根据设备密钥和第三参数生成临时设备密钥,第三参数包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
可选的,在本发明实施例中,处理器062执行该指令根据临时设备密钥生成会话密钥包括:
根据临时设备密钥和第四参数生成会话密钥,第四参数包括第二计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第二计数值从终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
可选的,在本发明实施例中,位置服务器所在域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器,路由器通过第二认证请求消息发送至用户设备的;
可选的,在本发明实施例中,位置服务器所在域的标识符和路由器的标识符是预先配置在路由器中的。
本发明实施例提供一种终端设备,通过接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值,根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,再根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互,其中,在生成会话密钥的过程中可以还可以包括位置服务器所在域的标识符和路由器的标识符,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DRID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,这样能够提高用户身份协议网络架构中设备之间进行通信的安全性。
本发明实施例提供一种通信系统,该通信系统的结构图可以为如图1所述的网络架构,包括前述实施例提供的位置服务器、路由器以及用户的终端设备,各设备之间通信的具体实现方式与前述实施例类似,这里不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的设备和系统中,各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。且上述的各单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动硬盘、只读存储器(Read Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (21)
1.一种终端设备切换时密钥协商的方法,其特征在于,包括:
位置服务器接收路由器发送的接入请求消息,所述接入请求消息包括用户标识符和终端设备标识符;
所述位置服务器在接收到所述接入请求消息后生成随机值,并向所述路由器发送第一认证请求消息,以使得在所述路由器接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包含所述位置服务器生成的随机值;
所述位置服务器根据所述随机值、共享密钥以及所述终端设备标识符生成设备密钥,所述共享密钥与所述用户标识符对应;
所述位置服务器向所述路由器发送接入响应消息,其中,所述接入响应消息包括所述设备密钥,以使所述路由器根据所述设备密钥生成会话密钥。
2.根据权利要求1所述的方法,其特征在于,所述位置服务器根据所述随机值、所述共享密钥以及所述终端设备标识符生成设备密钥包括:
所述位置服务器根据所述随机值、所述共享密钥、所述终端设备标识符、所述位置服务器所在域的标识符以及所述路由器的标识符生成设备密钥。
3.一种终端设备切换时密钥协商的方法,其特征在于,包括:
路由器向位置服务器发送接入请求消息,所述接入请求消息包括用户标识符和终端设备标识符;
所述路由器接收所述位置服务器发送的第一认证请求消息,在接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包括所述位置服务器在接收到所述接入请求消息后生成的随机值;
所述路由器接收所述位置服务器发送的接入响应消息,所述接入响应消息包括所述设备密钥;
所述路由器根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述终端设备交互。
4.根据权利要求3所述的方法,其特征在于,所述路由器根据所述设备密钥生成会话密钥包括:
所述路由器根据所述设备密钥生成临时设备密钥;
所述路由器根据所述临时设备密钥生成会话密钥。
5.根据权利要求4所述的方法,其特征在于,所述路由器根据所述设备密钥生成临时设备密钥包括:
所述路由器根据所述设备密钥和第一参数生成临时设备密钥,所述第一参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
6.根据权利要求4或5所述的方法,其特征在于,所述路由器根据所述临时设备密钥生成会话密钥包括:
所述路由器根据所述临时设备密钥和第二参数生成会话密钥,所述第二参数包括第二计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
7.一种终端设备切换时密钥协商的方法,其特征在于,包括:
终端设备接收路由器发送的第一认证请求消息,所述第一认证请求消息包括位置服务器生成的随机值;
所述终端设备根据共享密钥、终端设备标识符、所述随机值生成设备密钥,所述共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
所述终端设备根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述路由器交互。
8.根据权利要求7所述的方法,其特征在于,所述终端设备根据所述设备密钥生成会话密钥包括:
所述终端设备根据所述设备密钥生成临时设备密钥;
所述终端设备根据所述临时设备密钥生成会话密钥。
9.根据权利要求8所述的方法,其特征在于,所述终端设备根据所述设备密钥生成临时设备密钥包括:
所述终端设备根据所述设备密钥和第三参数生成临时设备密钥,所述第三参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
10.根据权利要求8或9所述的方法,其特征在于,所述终端设备根据所述临时设备密钥生成会话密钥包括:
所述终端设备根据所述临时设备密钥和第四参数生成会话密钥,所述第四参数包括第二计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
11.一种位置服务器,其特征在于,包括:
接收单元,用于接收路由器发送的接入请求消息,所述接入请求消息包括用户标识符和终端设备的标识符;
发送单元,用于在所述接收单元接收所述接入请求消息完成时生成随机值,并向所述路由器发送第一认证请求消息,以使得在所述路由器接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包含位置服务器生成的随机值;
生成单元,用于根据所述随机值、共享密钥、以及所述终端设备标识符生成设备密钥,所述共享密钥与所述用户标识符对应;
发送单元,还用于向路由器发送接入响应消息,其中,所述接入响应消息包括所述设备密钥,以使所述路由器根据所述设备密钥生成会话密钥。
12.根据权利要求11所述的位置服务器,其特征在于,所述生成单元具体为:
根据所述随机值、所述共享密钥、所述终端设备的标识符、所述位置服务器所在域的标识符以及所述路由器的标识符生成设备密钥。
13.一种路由器,其特征在于,包括:
发送单元,用于向位置服务器发送接入请求消息,所述接入请求消息包括用户标识符和终端设备标识符;
接收单元,用于接收所述位置服务器发送的第一认证请求消息,在接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包括所述位置服务器在接收到所述接入请求消息后生成的随机值;
所述接收单元,还用于接收所述位置服务器发送的接入响应消息,其中,所述接入响应消息包括所述设备密钥;
生成单元,用于根据所述设备密钥生成会话会话密钥,以便于通过所述会话密钥和所述终端设备交互。
14.根据权利要求13所述的路由器,其特征在于,所述生成单元具体为:
根据所述设备密钥生成临时设备密钥;
根据所述临时设备密钥生成会话密钥。
15.根据权利要求14所述的路由器,其特征在于,所述生成单元具体为:
根据所述设备密钥和第一参数生成临时设备密钥,所述第一参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
16.根据权利要求14或15所述的路由器,其特征在于,所述生成单元具体为:
根据所述临时设备密钥和第二参数生成会话密钥,所述第二参数包括第二计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
17.一种终端设备,其特征在于,包括:
接收单元,用于接收路由器发送的第一认证请求消息,所述第一认证请求消息包括位置服务器生成的随机值;
生成单元,用于根据共享密钥、终端设备标识符、所述随机值生成设备密钥,所述共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
生成单元,还用于根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述路由器交互。
18.根据权利要求17所述的终端设备,其特征在于,所述生成单元具体用于:
根据所述设备密钥生成临时设备密钥;
根据所述临时设备密钥生成会话密钥。
19.根据权利要求18所述的终端设备,其特征在于,所述生成单元具体用于:
根据所述设备密钥和第三参数生成临时设备密钥,所述第三参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
20.根据权利要求18或19所述的终端设备,其特征在于,所述生成单元具体用于:
根据所述临时设备密钥和第四参数生成会话密钥,所述第四参数包括计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
21.一种通信系统,其特征在于,所述通信系统包括:
如权利要求11~12任意一项所述的位置服务器,如权利要求13~16任意一项所述的路由器以及如权利要求17~20任意一项所述的终端设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410095398.1A CN104917605B (zh) | 2014-03-14 | 2014-03-14 | 一种终端设备切换时密钥协商的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410095398.1A CN104917605B (zh) | 2014-03-14 | 2014-03-14 | 一种终端设备切换时密钥协商的方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104917605A true CN104917605A (zh) | 2015-09-16 |
CN104917605B CN104917605B (zh) | 2018-06-19 |
Family
ID=54086338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410095398.1A Active CN104917605B (zh) | 2014-03-14 | 2014-03-14 | 一种终端设备切换时密钥协商的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104917605B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954125A (zh) * | 2014-03-25 | 2015-09-30 | 华为技术有限公司 | 密钥协商方法、用户设备、路由器及位置服务器 |
CN107196840A (zh) * | 2016-03-14 | 2017-09-22 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及设备 |
CN107360567A (zh) * | 2017-08-17 | 2017-11-17 | 西南交通大学 | 基于身份无对的无线网跨域切换认证的密钥协商方法 |
WO2018201398A1 (zh) * | 2017-05-04 | 2018-11-08 | 华为技术有限公司 | 获取密钥的方法、设备和通信系统 |
CN109962901A (zh) * | 2017-12-26 | 2019-07-02 | 广东电网有限责任公司电力调度控制中心 | 一种电力无线公网数据安全传输方法 |
CN110968573A (zh) * | 2018-09-29 | 2020-04-07 | 北京小米移动软件有限公司 | 用户画像数据清洗方法及装置 |
WO2020078048A1 (zh) * | 2018-10-17 | 2020-04-23 | 中兴通讯股份有限公司 | 一种密钥保护的方法及装置 |
CN111404669A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
CN112491533A (zh) * | 2019-09-12 | 2021-03-12 | 华为技术有限公司 | 一种密钥生成方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929371A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户和外围设备协商共享密钥的方法 |
CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
US20110035592A1 (en) * | 2008-12-31 | 2011-02-10 | Interdigital Patent Holdings, Inc. | Authentication method selection using a home enhanced node b profile |
CN104852891A (zh) * | 2014-02-19 | 2015-08-19 | 华为技术有限公司 | 一种密钥生成的方法、设备及系统 |
-
2014
- 2014-03-14 CN CN201410095398.1A patent/CN104917605B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929371A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 用户和外围设备协商共享密钥的方法 |
CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
US20110035592A1 (en) * | 2008-12-31 | 2011-02-10 | Interdigital Patent Holdings, Inc. | Authentication method selection using a home enhanced node b profile |
CN104852891A (zh) * | 2014-02-19 | 2015-08-19 | 华为技术有限公司 | 一种密钥生成的方法、设备及系统 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954125A (zh) * | 2014-03-25 | 2015-09-30 | 华为技术有限公司 | 密钥协商方法、用户设备、路由器及位置服务器 |
CN107196840A (zh) * | 2016-03-14 | 2017-09-22 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及设备 |
CN107196840B (zh) * | 2016-03-14 | 2020-10-02 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及设备 |
US11582602B2 (en) | 2017-05-04 | 2023-02-14 | Huawei Technologies Co., Ltd. | Key obtaining method and device, and communications system |
WO2018201398A1 (zh) * | 2017-05-04 | 2018-11-08 | 华为技术有限公司 | 获取密钥的方法、设备和通信系统 |
US10904750B2 (en) | 2017-05-04 | 2021-01-26 | Huawei Technologies Co., Ltd. | Key obtaining method and device, and communications system |
CN107360567A (zh) * | 2017-08-17 | 2017-11-17 | 西南交通大学 | 基于身份无对的无线网跨域切换认证的密钥协商方法 |
CN107360567B (zh) * | 2017-08-17 | 2020-01-31 | 西南交通大学 | 基于身份无对的无线网跨域切换认证的密钥协商方法 |
CN109962901A (zh) * | 2017-12-26 | 2019-07-02 | 广东电网有限责任公司电力调度控制中心 | 一种电力无线公网数据安全传输方法 |
CN110968573A (zh) * | 2018-09-29 | 2020-04-07 | 北京小米移动软件有限公司 | 用户画像数据清洗方法及装置 |
CN110968573B (zh) * | 2018-09-29 | 2023-03-21 | 北京小米移动软件有限公司 | 用户画像数据清洗方法及装置 |
WO2020078048A1 (zh) * | 2018-10-17 | 2020-04-23 | 中兴通讯股份有限公司 | 一种密钥保护的方法及装置 |
CN111404669A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
CN111404669B (zh) * | 2019-01-02 | 2023-05-09 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
CN112491533B (zh) * | 2019-09-12 | 2022-09-02 | 华为技术有限公司 | 一种密钥生成方法及装置 |
WO2021047276A1 (zh) * | 2019-09-12 | 2021-03-18 | 华为技术有限公司 | 一种密钥生成方法及装置 |
CN112491533A (zh) * | 2019-09-12 | 2021-03-12 | 华为技术有限公司 | 一种密钥生成方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104917605B (zh) | 2018-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104917605A (zh) | 一种终端设备切换时密钥协商的方法和设备 | |
CN102368764B (zh) | 一种通过多点登录进行通信的方法、系统及客户端 | |
EP3720100A1 (en) | Service request processing method and device | |
CN102724175B (zh) | 泛在绿色社区控制网络的远程通信安全管理架构与方法 | |
CN104967595A (zh) | 将设备在物联网平台进行注册的方法和装置 | |
CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
CN107204873B (zh) | 一种切换目标域名解析服务器的方法及相关设备 | |
CN104349208A (zh) | 消息处理方法、装置、网关、机顶盒及网络电视系统 | |
CN101141253A (zh) | 实现认证的方法和认证系统 | |
CN108390937B (zh) | 远程监控方法、装置及存储介质 | |
CN103179100A (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
JP2012516654A (ja) | アドレス生成、通信および、または正当性検査に関連する方法および装置 | |
CN104852891A (zh) | 一种密钥生成的方法、设备及系统 | |
CN104883339A (zh) | 一种用户隐私保护的方法、设备和系统 | |
US20230164234A1 (en) | Service continuity event notification method, and apparatus | |
EP4096294A1 (en) | Route advertising method, network elements, system, and device | |
CN109391597B (zh) | 认证方法、认证系统以及通信系统 | |
CN108377499A (zh) | 一种网络接入方法、路由设备和终端 | |
CN106533894A (zh) | 一种全新的安全的即时通信体系 | |
CN114499990A (zh) | 车辆控制方法、装置、设备及存储介质 | |
CN103442450B (zh) | 无线通信方法和无线通信设备 | |
CN107547618B (zh) | 一种会话拆除方法和装置 | |
US20170201506A1 (en) | Communication Method, Apparatus, and System | |
CN103227822B (zh) | 一种p2p通信连接建立方法和设备 | |
CN104954125A (zh) | 密钥协商方法、用户设备、路由器及位置服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |