CN107623670B - 一种网络认证方法、相关设备及系统 - Google Patents
一种网络认证方法、相关设备及系统 Download PDFInfo
- Publication number
- CN107623670B CN107623670B CN201610819335.5A CN201610819335A CN107623670B CN 107623670 B CN107623670 B CN 107623670B CN 201610819335 A CN201610819335 A CN 201610819335A CN 107623670 B CN107623670 B CN 107623670B
- Authority
- CN
- China
- Prior art keywords
- shared key
- service
- network
- key
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种网络认证方法、相关设备及系统,该系统包括用户设备、网络认证设备和业务认证设备,业务认证设备用于获取参考信息并结合参考信息和第一共享密钥生成第二共享密钥,第一共享密钥为用户设备与业务认证设备之间预先配置的共享密钥;用户设备用于获取参考信息并结合参考信息和第一共享密钥生成第二共享密钥;业务认证设备用于将第二共享密钥发送给网络认证设备;网络认证设备用于接收第二共享密钥,第二共享密钥用于用户设备和网络认证设备生成目标共享密钥,目标共享密钥或者基于目标共享密钥衍生的共享密钥为网络认证设备与用户设备协商的保护数据安全传输的共享密钥。采用本发明,能够提高目标共享密钥的安全级别。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络认证方法、相关设备及系统。
背景技术
物联网(英文:Internet of Things,简称:IoT)是第五代移动通信技术(英文:5th-Generation,简称:5G)的重要应用场景,IoT中的用户设备接入到5G网络需要进行网络认证,从而生成用于保护网络数据安全传输的共享密钥。用户设备通过网络访问的某项业务时也需要进行业务认证,从而生成用于保护业务数据安全传输的共享密钥。基于共享密钥来保证数据安全传输的原理如下:
用户1(User1)和用户2(User2)提前共享对称密钥K,也称作共享密钥。
方式一:User1使用共享密钥K对消息m进行加密,例如,可表示为ciphtext=En_K_(m);然后User1并将加密后的消息发送给USER2。USER2接收该User1发送的消息并利用K和ciphertext恢复出消息m,例如,可表示为m=decrypt(K,ciphtext),该过程保证了消息m传输的安全性。基于该共享密钥K的加密技术可以为高级加密标准(英文:AdvancedEncryption Standard,缩写:AES),三重数据加密算法(英文:Triple Data EncryptionAlgorithm,简称:3DES),Blowfish,Serpent,Snow 3G,ZUC,HC-256,Grain等算法。
方式二:User1利用共享密钥K计算消息m的消息认证码(英文:messageAuthentication code,简称:MAC),例如,可表示为MAC1=MAC_K_(m),即利用共享密钥K计算出消息m对应的消息认证码MAC1。然后User1将消息m和消息认证码MAC1发送给该USER2。该USER2接收该消息m和该消息认证码MAC1,并利用K和m验证MAC1的正确性,若验证正确则表明消息m未被篡改,该过程保证了消息m传输的安全性。基于该共享密钥K生成消息认证码的技术可以为哈希消息认证码(英文:Hash-based Message Authentication Code,简称:HMAC),OMAC,CBC-MAC,PMAC,UMAC和VMAC等算法。
如何在海量IoT的场景下提高网络认证的效率以及提高网络认证的安全性,是本领域的技术人员正在探讨的问题。
发明内容
本发明实施例公开了一种网络认证方法、相关设备及系统,能够提高网络认证的效率以及提高网络认证的安全性。
第一方面,本发明实施例提供了一种网络认证系统,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥;
所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备;
所述网络认证设备用于接收所述第二共享密钥,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在上述系统中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第一方面,在第一方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中:
所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述网络认证设备和所述用户设备均用于根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第一方面,在第一方面的第三种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中:
所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备;
所述业务认证设备用于接收所述目标共享密钥;
所述业务认证设备和所述用户设备用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第一方面,在第一方面的第五种可能的实现方式中:
所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第一方面,在第一方面的第六种可能的实现方式中:
所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第一方面,在第一方面的第七种可能的实现方式中:所述参考信息包括所述网络认证设备所在蜂窝网的网络参数;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
根据所述参考信息和所述第一共享密钥进行业务认证生成第二共享密钥;
所述业务认证设备还用于将所述第二共享密钥作为所述目标共享密钥。
结合第一方面,在第一方面的第八种可能的实现方式中:
所述业务认证设备用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
结合第一方面,在第一方面的第九种可能的实现方式中:
所述网络认证设备用于向所述业务认证设备获取所述第一共享密钥;
所述网络认证设备用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备用于将所述网络侧信息发送给所述业务认证设备;
所述业务认证设备用于接收并向所述用户设备转发所述网络侧信息;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息;
所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
结合第一方面,或者第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,或者第一方面的第四种可能的实现方式,或者第一方面的第五种可能的实现方式,或者第一方面的第六种可能的实现方式,或者第一方面的第七种可能的实现方式,或者第一方面的第八种可能的实现方式,或者第一方面的第九种可能的实现方式,在第一方面的第十种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第一方面的第十种可能的实现方式,在第一方面的第十一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二方面,本发明实施例提供一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于将预存的目标业务的业务参数发送给所述网络认证设备和所述用户设备;
所述网络认证设备和所述用户设备用于接收所述业务参数;
所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在上述系统中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二方面,在第二方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享秘生成目标共享密钥,具体为:
所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二方面,或者第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第三方面,本发明实施例提供一种网络认证系统,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于获取所述用户设备的身份标识;
所述业务认证设备用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备;
所述网络认证设备用于接收所述身份密钥和所述业务公钥,并结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
所述网络认证设备用于将所述认证根密钥写入所述用户设备;
所述网络认证设备和所述用户设备用于根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在上述系统中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第三方面,在第三方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第四方面,本发明实施例提供一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备和所述用户设备用于进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备用于预先配置参考共享密钥;
所述业务认证设备用于将所述参考共享密钥发送给所述网络认证设备;
所述网络认证设备用于接收所述参考共享密钥;
所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在上述网络认证系统中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第四方面,在第四方面的第一种可能的实现方式中,所述网络认证设备用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥,具体为:
所述网络认证设备和所述用户设备均用于根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述网络认证设备和所述用户设备用于根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
结合第四方面,或者第四方面的第一种可能的实现方式,或者第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中:
所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备;
所述业务认证设备用于接收所述目标共享密钥;
所述业务认证设备和所述用户设备用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第五方面,本发明实施例提供一种业务认证设备,该业务认证设备包括:
第一获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
发送单元,用于将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第五方面,在第五方面的第一种可能的实现方式中,所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第五方面,或者第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,还包括:
第一接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
生成单元,用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第五方面,或者第五方面的第一种可能的实现方式,在第五方面的第三种可能的实现方式中,还包括:
生成单元,用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第五方面,在第五方面的第四种可能的实现方式中,还包括:
第二获取单元,用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
结合第五方面,在第五方面的第五种可能的实现方式中,还包括:
第二接收单元,用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第五方面,或者第五方面的第一种可能的实现方式,或者第五方面的第二种可能的实现方式,或者第五方面的第三种可能的实现方式,或者第五方面的第四种可能的实现方式,或者第五方面的第五种可能的实现方式,在第五方面的第六种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第五方面的第六种可能的实现方式,在第五方面的第七种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第六方面,本发明实施例提供一种用户设备,该用户设备包括:
获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第六方面,在第六方面的第一种可能的实现方式中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
结合第六方面,在第六方面的第二种可能的实现方式中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
结合第六方面的第二种可能的实现方式,在第六方面的第三种可能的实现方式中,该用户设备还包括:
认证单元,用于和所述网络认证设备进行网络认证生成第三共享密钥;
所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第六方面,在第六方面的第四种可能的实现方式中,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备进行网络认证生成第三共享密钥;
根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第六方面,在第六方面的第五种可能的实现方式中,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第六方面,在第六方面的第六种可能的实现方式中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
结合第六方面,或者第六方面的第一种可能的实现方式,或者第六方面的第二种可能的实现方式,或者第六方面的第三种可能的实现方式,或者第六方面的第四种可能的实现方式,或者第六方面的第五种可能的实现方式,在第六方面的第七种可能的实现方式中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第六方面,或者第六方面的第一种可能的实现方式,或者第六方面的第二种可能的实现方式,或者第六方面的第三种可能的实现方式,或者第六方面的第四种可能的实现方式,或者第六方面的第五种可能的实现方式,在第六方面的第八种可能的实现方式中,还包括:
第一接收单元,用于接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第六方面,或者第六方面的第一种可能的实现方式,或者第六方面的第二种可能的实现方式,或者第六方面的第三种可能的实现方式,或者第六方面的第四种可能的实现方式,或者第六方面的第五种可能的实现方式,或者第六方面的第六种可能的实现方式,或者第六方面的第七种可能的实现方式,或者第六方面的第八种可能的实现方式,在第六方面的第九种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第六方面的第九种可能的实现方式,在第六方面的第十种可能的实现方式中,当所述参考信息包含所述业务参数时,还包括:
第二接收单元,用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
结合第六方面的第九种可能的实现方式,或者第六方面的第十种可能的实现方式,在第六方面的第十一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第七方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
第一生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第七方面,在第七方面的第一种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
结合第七方面的第一种可能的实现方式,在第七方面的第二种可能的实现方式中,还包括:
认证单元,用于和所述用户设备进行网络认证生成第三共享密钥;
所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第七方面,在第七方面的第三种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
结合第七方面,在第七方面的第四种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备进行网络认证生成第三共享密钥;
和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第七方面,在第七方面的第五种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第七方面,或者第七方面的第一种可能的实现方式,或者第七方面的第二种可能的实现方式,或者第七方面的第三种可能的实现方式,或者第七方面的第四种可能的实现方式,或者第七方面的第五种可能的实现方式,在第七方面的第六种可能的实现方式中,还包括:
获取单元,用于向所述业务认证设备获取所述第一共享密钥;
第二生成单元,用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
结合第七方面,或者第七方面的第一种可能的实现方式,或者第七方面的第二种可能的实现方式,或者第七方面的第三种可能的实现方式,或者第七方面的第四种可能的实现方式,或者第七方面的第五种可能的实现方式,在第七方面的第七种可能的实现方式中,还包括:
发送单元,用于将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第七方面,或者第七方面的第一种可能的实现方式,或者第七方面的第二种可能的实现方式,或者第七方面的第三种可能的实现方式,或者第七方面的第四种可能的实现方式,或者第七方面的第五种可能的实现方式,或者第七方面的第六种可能的实现方式,或者第七方面的第七种可能的实现方式,在第七方面的第八种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第七方面的第八种可能的实现方式,在第七方面的第九种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第八方面,本发明实施例提供一种业务认证设备,该业务认证设备包括:
发送单元,用于将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第八方面,在第八方面的第一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第九方面,本发明实施例提供一种用户设备,该用户设备包括:
接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
生成单元,用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第九方面,在第九方面的第一种可能的实现方式中,所述生成单元和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第九方面,或者第九方面的第一种可能的实现方式,在第九方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第十方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
生成单元,用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十方面,在第十方面的第一种可能的实现方式中,所述生成单元和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第十方面,或者第十方面的第一种可能的实现方式,在第十方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第十一方面,本发明实施例提供一种业务认证设备,该业务认证设备包括
获取单元,用于获取用户设备的身份标识;
生成单元,用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
第十二方面,本发明实施例提供一种用户设备,该用户设备包括:
生成单元,用于和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十二方面,在第十二方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十三方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
生成单元,用于结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
写入单元,用于将所述认证根密钥写入所述用户设备;
认证单元,用于和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十三方面,在第十三方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十四方面,本发明实施例提供一种业务认证设备,该业务认证设备包括:
认证单元,用于和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
发送单元,用于将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十四方面,在第十四方面的第一种可能的实现方式中,还包括:
接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
确定单元,用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第十五方面,本发明实施例提供一种用户设备,该用户设备包括:
配置单元,用于和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
生成单元,用于和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十五方面,在第十五方面的第一种可能的实现方式中,还包括:
接收单元,用于接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述生成单元和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第十五方面的第一种可能的实现方式,在第十五方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十六方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
生成单元,用于和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十六方面,在第十六方面的第一种可能的实现方式中,该网络认证设备还包括:
第一发送单元,用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述生成单元和所述用户设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第十六方面的第一种可能的实现方式,在第十六方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
结合第十六方面,或者第十六方面的第一种可能的实现方式中,或者第十六方面的第二种可能的实现方面,在第十六方面的第三种可能的实现方式中,该网络认证设备还包括:
第二发送单元,用于将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第十七方面,本发明实施例提供一种网络认证方法,该方法包括:
业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述业务认证设备将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第十七方面,在第十七方面的第一种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第十七方面,或者第十七方面的第一种可能的实现方式,在第十七方面的第二种可能的实现方式中,所述业务认证设备将所述第二共享密钥发送给所述网络认证设备之后,所述方法还包括:
所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥;
所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第十七方面,或者第十七方面的第一种可能的实现方式,在第十七方面的第三种可能的实现方式中,所述业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后,所述方法还包括:
所述业务认证设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第十七方面,在第十七方面的第四种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述业务认证设备获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
结合第十七方面,在第十七方面的第五种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述业务认证设备接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第十七方面,或者第十七方面的第一种可能的实现方式,或者第十七方面的第一种可能的实现方式,或者第十七方面的第二种可能的实现方式,或者第十七方面的第三种可能的实现方式,或者第十七方面的第四种可能的实现方式,或者第十七方面的第五种可能的实现方式,在第十七方面的第六种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第十七方面的第六种可能的实现方式,在第十七方面的第七种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十八方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
所述用户设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第十八方面,在第十八方面的第一种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
结合第十八方面,在第十八方面的第二种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
结合第十八方面的第二种可能的实现方式,在第十八方面的第三种可能的实现方式中,所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前,所述方法还包括:
所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;
所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述用户设备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第十八方面,在第十八方面的第四种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;
所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第十八方面,在第十八方面的第五种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第十八方面,在第十八方面的第六种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
结合第十八方面,或者第十八方面的第一种可能的实现方式,或者第十八方面的第二种可能的实现方式,或者第十八方面的第三种可能的实现方式,或者第十八方面的第四种可能的实现方式,或者第十八方面的第五种可能的实现方式,或者第十八方面的第六种可能的实现方式,在第十八方面的第七种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
用户设备和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第十八方面,或者第十八方面的第一种可能的实现方式,或者第十八方面的第二种可能的实现方式,或者第十八方面的第三种可能的实现方式,或者第十八方面的第四种可能的实现方式,或者第十八方面的第五种可能的实现方式,或者第十八方面的第六种可能的实现方式,在第十八方面的第八种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述用户设备接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第十八方面,或者第十八方面的第一种可能的实现方式,或者第十八方面的第二种可能的实现方式,或者第十八方面的第三种可能的实现方式,或者第十八方面的第四种可能的实现方式,或者第十八方面的第五种可能的实现方式,或者第十八方面的第六种可能的实现方式,或者第十八方面的第七种可能的实现方式,或者第十八方面的第八种可能的实现方式,在第十八方面的第九种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第十八方面的第九种可能的实现方式,在第十八方面的第十种可能的实现方式中,当所述参考信息包含所述业务参数时,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述用户设备接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
结合第十八方面的第九种可能的实现方式,或者结合第十八方面的第十种可能的实现方式,在第十八方面的第十一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十九方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述网络认证设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第十九方面,在第十九方面的第一种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
结合第十九方面的第一种可能的实现方式,在第十九方面的第二种可能的实现方式中,所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前,所述方法还包括:
所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述网络认证设备和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第十九方面,在第十九方面的第三种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
结合第十九方面,在第十九方面的第四种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第十九方面,在第十九方面的第五种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第十九方面,或者第十九方面的第一种可能的实现方式,或者第十九方面的第二种可能的实现方式,或者第十九方面的第三种可能的实现方式,或者第十九方面的第四种可能的实现方式,或者第十九方面的第五种可能的实现方式,在第十九方面的第六种可能的实现方式中,所述方法还包括:
所述网络认证设备向所述业务认证设备获取所述第一共享密钥;
所述网络认证设备根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
结合第十九方面,或者第十九方面的第一种可能的实现方式,或者第十九方面的第二种可能的实现方式,或者第十九方面的第三种可能的实现方式,或者第十九方面的第四种可能的实现方式,或者第十九方面的第五种可能的实现方式,在第十九方面的第七种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥之前,所述方法还包括:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第十九方面,或者第十九方面的第一种可能的实现方式,或者第十九方面的第二种可能的实现方式,或者第十九方面的第三种可能的实现方式,或者第十九方面的第四种可能的实现方式,或者第十九方面的第五种可能的实现方式,或者第十九方面的第六种可能的实现方式,或者第十九方面的第七种可能的实现方式,在第十九方面的第八种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第十九方面的第八种可能的实现方式,在第十九方面的第九种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十方面,本发明实施例提供一种网络认证方法,该方法包括:
业务认证设备将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述步骤,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十方面,在第二十方面的第一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第二十一方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述步骤,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十一方面,在第二十一方面的第一种可能的实现方式中,所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十一方面,或者第二十一方面的第一种可能的实现方式,在第二十一方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第二十二方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述步骤,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十二方面,在第二十二方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十二方面,或者第二十二方面的第一种可能的实现方式,在第二十二方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第二十三方面,本发明实施例提供一种网络认证方法,该方法包括:
业务认证设备获取用户设备的身份标识;
所述业务认证设备结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
第二十四方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十四方面,在第二十四方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十五方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
所述网络认证设备结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
所述网络认证设备将所述认证根密钥写入所述用户设备;
所述网络认证设备和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十五方面,在第二十五方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十六方面,本发明实施例提供一种网络认证方法,包括:
业务认证设备和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
所述业务认证设备将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十六方面,在第二十六方面的第一种可能的实现方式中,所述方法还包括:
所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥;
所述业务认证设备将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第二十七方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十七方面,在第二十七方面的第一种可能的实现方式中,所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述用户设备接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述用户设备和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十七方面的第一种可能的实现方式,在第二十七方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十八方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十八方面,在第二十八方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述网络认证设备将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述网络认证设备和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十八方面的第一种可能的实现方式,在第二十八方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
结合第二十八方面,或者第二十八方面的第一种可能的实现方式,或者第二十八方面的第二种可能的实现方式,在第二十八方面的第三种可能的实现方式中,所述方法还包括:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第二十九方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第十七方面或者第十七方面的任意实现方式中的全部或部分步骤的功能单元。
第三十方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第十八方面或者第十八方面的任意实现方式中的全部或部分步骤的功能单元。
第三十一方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第十九方面或者第十九方面的任意实现方式中的全部或部分步骤的功能单元。
第三十二方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十方面或者第二十方面的任意实现方式中的全部或部分步骤的功能单元。
第三十三方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十一方面或者第二十一方面的任意实现方式中的全部或部分步骤的功能单元。
第三十四方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十二方面或者第二十二方面的任意实现方式中的全部或部分步骤的功能单元。
第三十五方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十三方面或者第二十三方面的任意实现方式中的全部或部分步骤的功能单元。
第三十六方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十四方面或者第二十四方面的任意实现方式中的全部或部分步骤的功能单元。
第三十七方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十五方面或者第二十五方面的任意实现方式中的全部或部分步骤的功能单元。
第三十八方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十六方面或者第二十六方面的任意实现方式中的全部或部分步骤的功能单元。
第三十九方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十七方面或者第二十七方面的任意实现方式中的全部或部分步骤的功能单元。
第四十方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十八方面或者第二十八方面的任意实现方式中的全部或部分步骤的功能单元。
在上面的一些可能的实现方式中,所述网络认证设备包括认证功能单元CP-AU,所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
UE向CP-AU发送请求接入网络的消息,所述请求接入网络的消息包含所述UE的身份标识UEID和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;
所述CP-AU接收所述请求接入网络的消息并根据所述UEID和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;
所述CP-AU接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
所述CP-AU将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到网络侧参考消息认证码,并将所述网络侧参考消息认证码发送给所述UE;
所述UE接收所述网络侧参考消息认证码;
所述UE通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的UEID和所述业务标识生成,或者所述UE预先存储了所述第二共享密钥;
所述UE判断所述用户侧参考消息认证码与所述网络侧参考消息认证码是否相同;
若相同,则所述UE通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;
所述UE将所述参考响应发送给所述CP-AU;
所述CP-AU接收所述参考响应;
所述CP-AU通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;
所述CP-AU判断所述参考期待响应与所述参考响应是否相同;
若相同,则所述CP-AU和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。可选的,所述基础密钥为基于所述预置密钥和网络参数生成的密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;用户设备UE执行所述和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥的操作中,和所述网络认证设备根据所述第二共享密钥进行网络认证生成目标共享密钥,具体为:
向CP-AU发送请求接入网络的消息,所述请求接入网络的消息包含所述UE的身份标识UEID和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述请求接入网络的消息并根据所述UEID和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到网络侧参考消息认证码,并将所述网络侧参考消息认证码发送给所述UE;
接收所述网络侧参考消息认证码;
通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的UEID和所述业务标识生成,或者所述UE预先存储了所述第二共享密钥;
判断所述用户侧参考消息认证码与所述网络侧参考消息认证码是否相同;
若相同,则通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;
将所述参考响应发送给所述CP-AU,所述CP-AU用于接收所述参考响应并通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;所述CP-AU还用于判断所述参考期待响应与所述参考响应是否相同;
在所述CP-AU的判断结果为是时,与所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;所述和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
接收所述UE发送的请求接入网络的消息并根据所述UEID和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述请求接入网络的消息包含所述UE的身份标识UEID和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;
接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到网络侧参考消息认证码,并将所述网络侧参考消息认证码发送给所述UE;所述UE用于接收所述网络侧参考消息认证码并通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的UEID和所述业务标识生成,或者所述UE预先存储了所述第二共享密钥;所述UE还用于判断所述用户侧参考消息认证码与所述网络侧参考消息认证码是否相同;所述UE在用于在判断出相同时,通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;所述UE还用于将所述参考响应发送给所述CP-AU;
接收所述参考响应;
通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;
判断所述参考期待响应与所述参考响应是否相同;
若相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。可选的,所述基础密钥为基于所述预置密钥和网络参数生成的密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括认证功能单元CP-AU,所述网络认证设备和所述用户设备UE用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
UE向CP-AU发送接入网络的消息,所述接入网络的消息包含所述UE的身份标识UEID和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;
所述CP-AU接收所述接入网络的消息并根据所述UEID和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;
所述CP-AU接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
所述CP-AU将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并将所述网络侧附加消息认证码和所述网络侧初始消息认证码发送给所述UE;
所述UE接收所述网络侧参考消息认证码和所述网络侧附加消息认证码;
所述UE通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的UEID和所述业务标识生成,或者所述UE预先存储了所述第二共享密钥;
所述UE判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;
若均相同,则所述UE通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;
所述UE将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;
所述CP-AU接收所述参考响应和所述用户侧响应消息认证码;
所述CP-AU通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;
所述CP-AU判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;
若均相同,则所述CP-AU和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;用户设备UE执行所述和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥的操作中,和所述网络认证设备根据所述第二共享密钥进行网络认证生成目标共享密钥,具体为:
向CP-AU发送接入网络的消息,所述接入网络的消息包含所述UE的身份标识UEID和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述接入网络的消息并根据所述UEID和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并将所述网络侧附加消息认证码和所述网络侧初始消息认证码发送给所述UE;
接收所述网络侧参考消息认证码和所述网络侧附加消息认证码;
通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的UEID和所述业务标识生成,或者所述UE预先存储了所述第二共享密钥;
判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;
若均相同,则通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;
将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;所述CP-AU用于接收所述参考响应和所述用户侧响应消息认证码;所述CP-AU还用于通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;所述CP-AU还用于判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;
在所述CP-AU的判断结果为均相同时,和所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;所述和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,和所述用户设备UE根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
接收UE发送的接入网络的消息并根据所述UEID和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述接入网络的消息包含所述UE的身份标识UEID和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;
接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并将所述网络侧附加消息认证码和所述网络侧初始消息认证码发送给所述UE;所述UE用于接收所述网络侧参考消息认证码和所述网络侧附加消息认证码;所述UE用于通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的UEID和所述业务标识生成,或者所述UE预先存储了所述第二共享密钥;所述UE用于判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;若均相同,则所述UE用于通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;所述UE还用于将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;
接收所述参考响应和所述用户侧响应消息认证码;
通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;
判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;
若均相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。通过实施本发明实施例,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络认证系统的结构示意图;
图2是本发明实施例提供的又一种网络认证系统的结构示意图;
图3A是本发明实施例提供的一种网络认证方法的流程示意图;
图3B是本发明实施例提供的又一种网络认证方法的流程示意图;
图3C是本发明实施例提供的又一种网络认证方法的流程示意图;
图3D是本发明实施例提供的又一种网络认证方法的流程示意图;
图3E是本发明实施例提供的又一种网络认证方法的流程示意图;
图3F是本发明实施例提供的又一种网络认证方法的流程示意图;
图3G是本发明实施例提供的又一种网络认证方法的流程示意图;
图3H是本发明实施例提供的又一种网络认证方法的流程示意图;
图3I是本发明实施例提供的又一种网络认证方法的流程示意图;
图3J是本发明实施例提供的又一种网络认证方法的流程示意图;
图3K是本发明实施例提供的又一种网络认证方法的流程示意图;
图3L是本发明实施例提供的又一种网络认证方法的流程示意图;
图4A是本发明实施例提供的又一种网络认证方法的流程示意图;
图5A是本发明实施例提供的又一种网络认证方法的流程示意图;
图5B是本发明实施例提供的又一种网络认证方法的流程示意图;
图6A是本发明实施例提供的又一种网络认证方法的流程示意图;
图6B是本发明实施例提供的又一种网络认证方法的流程示意图;
图6C是本发明实施例提供的又一种网络认证方法的流程示意图;
图6D是本发明实施例提供的又一种网络认证方法的流程示意图;
图6E是本发明实施例提供的又一种网络认证方法的流程示意图;
图6F是本发明实施例提供的又一种网络认证方法的流程示意图;
图6G是本发明实施例提供的又一种网络认证方法的流程示意图;
图6H是本发明实施例提供的又一种网络认证方法的流程示意图;
图6I是本发明实施例提供的又一种网络认证方法的流程示意图;
图7是本发明实施例提供的一种业务认证设备的结构示意图;
图8是本发明实施例提供的一种用户设备的结构示意图;
图9是本发明实施例提供的一种网络认证设备的结构示意图;
图10是本发明实施例提供的又一种业务认证设备的结构示意图;
图11是本发明实施例提供的又一种用户设备的结构示意图;
图12是本发明实施例提供的又一种网络认证设备的结构示意图;
图13是本发明实施例提供的又一种业务认证设备的结构示意图;
图14是本发明实施例提供的又一种用户设备的结构示意图;
图15是本发明实施例提供的又一种网络认证设备的结构示意图;
图16是本发明实施例提供的又一种业务认证设备的结构示意图;
图17是本发明实施例提供的又一种用户设备的结构示意图;
图18是本发明实施例提供的又一种网络认证设备的结构示意图;
图19是本发明实施例提供的又一种业务认证设备的结构示意图;
图20是本发明实施例提供的又一种用户设备的结构示意图;
图21是本发明实施例提供的又一种网络认证设备的结构示意图;
图22是本发明实施例提供的又一种业务认证设备的结构示意图;
图23是本发明实施例提供的又一种用户设备的结构示意图;
图24是本发明实施例提供的又一种网络认证设备的结构示意图;
图25是本发明实施例提供的又一种业务认证设备的结构示意图;
图26是本发明实施例提供的又一种用户设备的结构示意图;
图27是本发明实施例提供的又一种网络认证设备的结构示意图;
图28是本发明实施例提供的又一种业务认证设备的结构示意图;
图29是本发明实施例提供的又一种用户设备的结构示意图;
图30是本发明实施例提供的又一种网络认证设备的结构示意图;
图31是本发明实施例提供的一种网络认证系统的结构示意图。
具体实施方式
下面将结合附图对本发明实施例中的技术方案进行清楚、完整地描述
请参见图1,图1是本发明实施例提供的一种网络认证系统10的架构示意图;该网络认证系统10包括用户设备101、业务认证设备103和运营商提供网络接入的网络认证设备102。可选的,该业务认证设备103均为运营商可控的设备,即该运营商的网络认证设备102可以直接调用该业务认证设备103中的数据;可选的,该业务认证设备103为该运营商不可控的设备,即该运营商的网络认证设备102不可以直接调用该业务认证设备103中的数据。
该网络认证设备102可以为用户设备101需要接入蜂窝网时涉及到的至少一个网络侧设备,用户设备101在接入该蜂窝网时需要先与该网络认证设备102进行网络认证目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。可选的,该用户设备101可以是手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(英文:mobile internet device,简称:MID)、可穿戴设备(例如智能手表(如iWatch等)、智能手环、计步器等)或其可接入运营商网络的终端设备。
可选的,该网络认证设备102包括接入网(英文:Access Network,简称:AN)、移动性管理(英文:Mobility Management,简称:MM)设备、会话管理(英文:SessionManagement,简称:SM)设备、切片选择设备SSF(英文:Slice Selection Function)、认证功能单元(英文:Control Plane-Authentication Unit,简称:CP-AU)、新配置与网络认证相关的功能设备(为了方便描述后续可称为网络认证服务器)等中的至少一项,以下以该网络认证设备包括网络认证服务器、CP-AU和AN为例来进行描述以方便理解。当该网络认证设备102只包括一个设备时,后续描述到的网络认证设备102所执行的操作均由该一个设备完成;当该网络认证设备102包括多个设备时,后续描述到的网络认证设备102所执行的操作由该多个设备协作完成,即该多个设备中不同设备各执行一些操作,执行操作所产生的数据、参数均可以根据需要在该多个设备之间传输。图2为该网络认证系统的一种可选的细化结构示意图。
该业务认证设备103至少存在如下两种情况:
一、该业务认证设备103是用来管理业务认证的设备,该业务认证设备103包括至少一个与业务相关的设备,用户设备101要使用某业务时需要与管理该某业务的业务认证设备103进行业务认证生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。
可选的,业务认证设备103可以为用户生成证书或者基于身份的私钥,最终发送给用户设备101。生成证书时可使用户设备101与网络认证设备102相互认证时使用基于证书的方法;生成基于身份的私钥时,可以使得用户设备101、网络相互认证时或者用户设备101、业务认证设备103相互认证时可以使用基于身份的密码机制的方法。
在一种可选的方案中,用来提供业务的具体数据的设备(为了方便描述后续可称为业务服务器)和用来管理该业务的业务认证的设备(为了方便描述后续可称为业务认证服务器)为同一个设备,即该业务认证设备103;在又一种可选的方案中,该业务认证设备103包括业务认证服务器,但是不包括业务管理服务器;在又一种可选的方案中,该业务认证设备103包括业务认证服务器和业务服务器,当该业务认证设备103包括业务服务器和业务认证服务器时,后续描述到的业务认证设备103所执行的操作可能由该业务认证服务器和业务服务器协作完成,该业务认证服务器和该业务服务器在操作过程中产生的数据、参数均可以根据需要进行相互传输。可选的,以上业务可以包括即时通讯业务、新闻资讯业务、水表业务、电表业务、物流业务、工厂自动化等业务。
二、该业务认证设备103不是用来提供业务的具体数据的设备,也不是用来管理业务的业务认证的设备,而是一个单纯的提供认证的设备,可以为该网络认证设备102和该业务认证设备103分担认证流程的设备。在IoT场景中,会有海量的用户设备101需要与该网络认证设备102进行网络认证,导致该网络认证设备102的负载较高,因此本发明实施例提供该业务认证设备103来分担该网络认证设备102的部分或全部流程。
请参见图3A,图3A是本发明实施例提供的一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S301:该业务认证设备获取参考信息并结合该参考信息和第一共享密钥生成第二共享密钥。
具体地,该参考信息包括该用户设备、该网络认证设备和该业务认证设备中至少一项预先关联的信息。
该用户设备预先关联的信息可以为该用户设备的身份标识(UEID),例如,移动设备国际识别码(英文:International Mobile Equipment Identity,简称:IMEI)、移动设备签约标识(英文:International Mobile Subscriber Identity,简称:IMSI)媒体访问控制(英文:Media Access Control,简称:MAC)地址、互联网协议(英文:Internet Protocol,简称:IP)地址等能够在一定范围内用来与其他终端设备进行区分的信息。
该网络认证设备预先关联的信息可以为该网络认证设备所处蜂窝网的网络参数,例如公共陆地移动网络标识(PLMN ID),运营商标识(Operator ID),接入网络标识(AccessNetwork ID),服务网络标识(Serving Network ID),网络类型标识(Network Type ID),局域网网络标识,切片标识,承载(bearer)ID,服务质量(英文:Quality of Service,简称:QoS)和流(flow)ID等。所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
该业务认证设备预先关联的信息可以为该业务认证设备的身份标识、该业务特征相关的等信息,当该业务认证设备为管理目标业务的设备时,该业务认证设备预先关联的信息还可以包括目标业务的业务参数,例如,业务序列号SN、密钥管理中心的标识、会话标识(session ID)、链路标识、应用标识(app ID)、切片标识、服务标识(service ID)、业务标识、业务等级、业务数据速率、时延和所在服务器的服务器标识等,该目标业务具体为什么业务此处暂不做限制,可选的,该目标业务为该用户设备当前需要访问的业务。该目标业务的业务参数可能预先存储在了该业务认证设备中,例如,该业务认证设备是用于管理该目标业务的业务认证流程的设备,那么可以预先将该目标业务的业务参数存储到该业务认证设备。该目标业务的业务参数也可能为其他设备在获得相应的触发操作后即时发送给该业务认证设备的,例如,该业务认证设备用来对用户设备进行业务认证,那么该网络认证设备会触发业务服务器将该目标业务的业务参数发送给该业务认证设备。
可以理解的是,该用户设备、网络认证设备和业务认证设备之间可以预先建立直接或者间接的连接关系,因此相互之间可获取所需要的参考信息。该参考信息也可能是预先配置在该用户设备、网络认证设备和业务认证设备中。
该第一共享密钥为该用户设备与该业务认证设备之间预先配置的共享密钥,包括该用户设备与该业务认证设备基于证书(certificate)、用户名与密码、身份密码机制等方式得到的共享密钥。该业务认证设备结合参考信息和第一共享密钥生成第二共享密钥旨在表明,计算该第二共享密钥用到的参数包含该参考信息和该第一共享密钥,不排除还要用到其他信息。
步骤S302:该用户设备获取该参考信息并结合该参考信息和该第一共享密钥生成该第二共享密钥。
具体地,该第二共享密钥用于该用户设备和该网络认证设备生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,该方法还可以包括:该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥;该网络认证设备和该用户设备根据该第二共享密钥或者根据基于该第二共享密钥衍生的共享密钥进行网络认证生成该目标共享密钥。为了方便理解,以下通过图3B和3C结合不同的几个场景进行具体描述。
请参见图3B,图3B是本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器;该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S401~S410,各个步骤的详细描述如下:
步骤S401:用户设备向网络认证服务器发送第一请求消息。
步骤S402:该网络认证服务器接收该第一请求消息,并根据该第一请求消息查找相应的业务认证服务器后,向该业务认证服务器发送第二认证请求。
具体地,该第一请求消息可以包含一些标识信息来表明该用户设备想要请求什么业务;该网络认证服务器根据该第一请求消息获知该用户设备想要请求哪种业务后,向该业务认证服务器发送第二请求消息,该第二请求消息可以包含该用户设备的身份标识(UEID)。
步骤S403:该业务认证服务器接收该第二请求消息,并根据该第二认证消息获取业务参数,该业务参数即属于上述参考信息;可选的,该业务参数存储在该业务认证服务器的存储空间中,该业务认证服务器通过读取该存储空间来获取该业务参数。可选的,该业务参数存储在该业务服务器上,该业务认证服务器可以向该业务服务器请求该业务参数。
步骤S404:该业务认证服务器将该业务参数发送给该网络认证服务器;
步骤S405:该网络认证服务器用于接收并向该用户设备转发该业务参数;
步骤S406:该业务认证服务器根据第一共享密钥、该用户设备的UEID、网络参数、业务参数等信息来生成第二共享密钥。
步骤S407:该用户设备根据第一共享密钥、该用户设备的UEID和该业务参数来生成第二共享密钥。
步骤S408:该业务认证服务器将该第二共享密钥发送给该网络认证服务器。
步骤S409:该网络认证服务器接收并向该CP-AU转发该第二共享密钥。可选的,该业务认证服务器还可能直接将该第二共享密钥发送给该CP-AU,相应地,该CP-AU接收该业务认证服务器发送的该第二共享密钥。
步骤S410:该CP-AU接收该第二共享密钥并基于该第二共享密钥与该用户设备进行网络认证生成目标共享密钥,该网络认证可以通过认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)等认证技术来实现。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找业务认证服务器、给该业务认证服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该网络认证服务器向该用户设备发送网络参数,该用户设备相应地接收该网络参数;该网络认证服务器和该用户设备均基于该第二共享密钥和该网络参数生成新的共享密钥,该网络认证服务器还将该新的共享密钥发送给该CP-AU;该CP-AU与该用户设备基于该新的共享密钥进行网络认证生成目标共享密钥。
可选的,该用户设备每次发送该第一请求消息便执行一次生成目标共享密钥的流程,保证了安全性和随机性。
可选的,网络认证设备与业务认证设备提前协商以获得业务参数,当用户设备发送该第一请求消息时,网络认证设备才发送业务参数给该用户设备以使用户设备和该业务认证设备可以基于该业务参数生成。
可选的,该用户设备提前获取相关参数(如果业务参数提前获取或写入),根据该业务参数对应推衍出第二共享密钥,网络认证服务器获取该第二共享密钥后,UE和网络认证服务器可以进一步基于网络参数和第二共享密钥生成该目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络认证设备共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
在图3B所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图3C,图3C是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备认证、授权和计费(英文:Authentication Authorization Accounting,简称:AAA)功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S501~S507,各个步骤的详细描述如下:
步骤S501:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有目标业务的业务标识,AAA服务器标识(如AAA ID)等。
步骤S502:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器,并向查找到的AAA服务器发送第二请求消息,该第二请求消息携带该用户设备的身份标识UEID,可能还有运营商标识、业务标识、业务参数、AAA服务器标识等信息。
步骤S503:该AAA服务器接收该第二请求消息,基于UEID和第一共享密钥来生成第二共享密钥,生成该第二共享密钥还可能考虑了其他信息,例如,该其他信息可以包括网络参数、业务参数和UEID中至少一项,该其他信息属于该参考信息。
步骤S504:AAA服务器将该第二共享密钥发送给网络认证服务器。
步骤S505:该网络认证服务器接收并向CP-AU发送该第二共享密钥;可选的,该AAA服务器还可能直接将该第二共享密钥发送给该CP-AU,相应地,该CP-AU接收该AAA服务器发送的该第二共享密钥。
步骤S506:该用户设备基于该UEID和该第一共享密钥生成该第二共享密钥;当生成该第二共享密钥还需要其他信息时,该用户设备还可以向其他设备获取该其他信息。
步骤S507:该用户设备与CP-AU基于该第二共享密钥进行网络认证生成目标共享密钥。
可选的,该网络认证服务器在接收到该第二共享密钥后,结合该第二共享密钥和相关信息(例如,网络参数)生成新的共享密钥,并将该新的共享密钥发送给该CP-AU;该用户设备相应地从该网络认证设备获取该相关信息,并结合该第二共享密钥和该相关信息生成新的共享密钥。相应地,步骤S507就调整为通该过新的共享密钥进行网络认证。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器、给AAA服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该网络认证设备中可以预存AAA服务器标识、业务参数等信息与该AAA服务器的对应关系,因此可以基于AAA服务器标识、业务参数等信息查找对应的AAA服务器。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
在图3C所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在又一种可选的方案中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。该方法还可以包括:所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备;所述网络认证设备用于接收所述第二共享密钥;所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。为了方便理解,以下根据图3D结合具体场景进行描述。
请参见图3D,图3D是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备AAA功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S601~S607,各个步骤的详细描述如下:
步骤S601:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识,AAA服务器标识(如AAA ID)等。
步骤S602:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器的信息,例如,IP地址信息、MAC地址信息等,然后将该AAA服务器的信息发送给该用户设备。
步骤S603:该用户设备接收该AAA服务器的信息。
步骤S604:该用户设备根据该AAA服务器的信息与该AAA服务器进行业务认证生成第二共享密钥,业务认证的过程使用到了该第一共享密钥和参考信息,该参考信息可以包括该用户设备的身份标识UEID、该网络认证设备发送给该用户设备的网络参数、业务认证设备获取的业务参数等。
步骤S605:该AAA服务器将该第二共享密钥发送给该网络认证服务器。
步骤S606:该网络认证服务器接收并向CP-AU转发该第二共享密钥。
步骤S607:该CP-AU接收该第二共享密钥并将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥;也即是说,该用户设备与该CP-AU之间可以不再进行网络认证来生成保护数据安全传输的共享密钥;可选的,该SM、MM、SSF、AN等网元也可以被共享该第二共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向用户设备发送该AAA服务器的信息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该网络认证服务器接收到该第二共享密钥后,结合该用户设备的UEID、该网络参数等信息生成新的共享密钥;该用户设备相应的接收该网络认证设备发送的网络参数,然后基于该第二共享密钥、UEID、网络参数等信息生成该新的共享密钥;该网络认证服务器将该新的共享密钥发送给该CP-AU,该CP-AU和该用户设备可以将该新的共享密钥作为该目标共享密钥。可选的,该网络认证设备与该用户设备可以基于该第二共享密钥(或该新的共享密钥)进行网络认证生成该目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
可选的,该网络认证设备和该用户设备均有了第二共享密钥时,该网络认证设备可以将网络参数发送给该用户设备,然后基于该第二共享密钥和该网络参数生成该目标共享密钥。
在图3D所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行相互认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备和该用户设备将该第二共享密钥作为该目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
进一步地,该方法还可以包括:该网络认证设备和该用户设备进行网络认证生成第三共享密钥;该网络认证设备和该用户设备根据该第二共享密钥或者根据基于该第二共享密钥衍生的共享密钥进行网络认证生成该目标共享密钥,具体为:该网络认证设备和该用户设备结合该第二共享密钥进行网络认证生成第四共享密钥,根据该第三共享密钥和该第四共享密钥生成该目标共享密钥。为了方便理解,以下通过图3E和3F结合具体场景进行描述。
请参见图3E,图3E是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备AAA功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S701~S709,各个步骤的详细描述如下:
步骤S701:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S702:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识,AAA服务器信息等。
步骤S703:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器,并向查找到的AAA服务器发送第二请求消息,该第二请求消息携带该用户设备的身份标识UEID,可能还有业务参数、网络参数等信息。
步骤S704:该AAA服务器接收该第二请求消息,基于第一共享密钥来生成第二共享密钥,生成该第二共享密钥还可能考虑了其他信息,例如,UEID、网络参数和业务参数中至少一项,该其他信息均属于该参考信息。
步骤S705:该AAA服务器将该第二共享密钥发送给网络认证服务器。
步骤S706:该网络认证服务器接收并向该CP-AU转发该第二共享密钥。
步骤S707:该用户设备基于该UEID和该第一共享密钥生成该第二共享密钥;当生成该第二共享密钥还需要其他信息时,该用户设备还可以向其他设备获取该其他信息。
步骤S708:该用户设备与该CP-AU基于该第二共享密钥或者基于该第二共享密钥衍生的共享密钥进行网络认证生成第四共享密钥。
步骤S709:该用户设备与该CP-AU均根据该第三共享密钥和该第四共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向该AAA服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该用户设备与该CP-AU还可以不基于该第二共享密钥进行认证,而是各自根据该第二共享密钥和该第三共享密钥生成该目标共享密钥。该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。
可选的,该用户设备与该CP-AU还可以基于该第三共享密钥和该第二共享密钥进行相互认证,或者基于该第三共享密钥和该第二共享密钥衍生的共享密钥进行相互认证。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,该用户设备和该CP-AU之间的网络认证可以基于该共享根密钥完成以生成第三共享密钥。
进一步地,该方法还可以包括:该网络认证设备还用于将该目标共享密钥发送给该业务认证设备;该业务认证设备用于接收该目标共享密钥;该业务认证设备和该用户设备用于将该目标共享密钥或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。
在图3E所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,该网络认证设备与该用户设备进行网络认证生成第四共享密钥;该用户设备和该网络认证设备均根据第一次认证生成的该第三共享密钥和第二次认证生成的第四共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图3F,图3F是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以包括业务认证服务器和业务服务器,例如,该业务认证服务器可以为具备AAA功能的AAA服务器,下面实施例以业务认证服务器为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S711~S719,各个步骤的详细描述如下:
步骤S711:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S712:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识等。
步骤S713:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器,并向查找到的AAA服务器发送第二请求消息,该第二请求消息携带该用户设备的身份标识UEID,可能还有业务参数、网络参数等信息。
步骤S714:该AAA服务器接收该第二请求消息,向业务服务器申请获取业务参数,业务服务器返回业务参数,该AAA服务器基于第一共享密钥来生成第二共享密钥,生成该第二共享密钥还可能考虑了其他信息,例如,UEID,网络参数和业务参数中至少一项,该其他信息属于该参考信息。
步骤S715:该AAA服务器将该第二共享密钥发送给网络认证服务器。
步骤S716:该网络认证服务器接收并向该CP-AU转发该第二共享密钥。
步骤S717:该用户设备基于该第一共享密钥生成该第二共享密钥;生成该第二共享密钥还可能考虑了该其他信息,当生成该第二共享密钥还需要其他信息时,该用户设备还可以向其他设备获取该其他信息。
步骤S718:该用户设备与该CP-AU基于该第二共享密钥进行网络认证生成第四共享密钥。
步骤S719:该用户设备与该CP-AU均根据该第三共享密钥和该第四共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,该用户设备与该CP-AU还可以不基于该第二共享密钥进行认证,而是各自根据该第二共享密钥和该第三共享密钥生成该目标共享密钥。
可选的,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说,将该第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥,将该第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种共享密钥。
可选的,该用户设备与该CP-AU还可以基于该第三共享密钥和该第二共享密钥进行相互认证生成目标共享密钥,或者基于该第三共享密钥和该第二共享密钥衍生的共享密钥进行相互认证生成目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,该用户设备与网络认证设备基于该根密钥相互认证获取第三共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、查找AAA服务器、给AAA服务器发送第二请求消息和与用户设备相互认证的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU、网络认证服务器等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
进一步地,该方法还可以包括:该网络认证设备还用于将该目标共享密钥发送给该业务认证设备;该业务认证设备用于接收该目标共享密钥;该业务认证设备和该用户设备用于将该目标共享密钥或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。
在图3F所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,该网络认证设备与该用户设备进行网络认证生成第四共享密钥;该用户设备和该网络认证设备均根据第一次认证生成的该第三共享密钥和第二次认证生成的第四共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在又一种可选的方案中,该方法还可以包括:该网络认证设备与该用户设备进行网络认证生成第三共享密钥;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥;该网络认证设备和该用户设备均根据该第二共享密钥和该第三共享密钥生成该目标共享密钥;或者将该第二共享密钥和该第三共享密钥分别作为保护不同类型数据的该目标共享密钥,例如,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。为了方便理解,以下根据图3G和3H结合具体场景进行描述。
请参见图3G,图3G是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备AAA功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S801~S808,各个步骤的详细描述如下:
步骤S801:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S802:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识等。
步骤S803:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器的信息,例如,IP地址信息、MAC地址信息等,然后将该AAA服务器的信息发送给该用户设备。
步骤S804:该用户设备根据该AAA服务器的信息与该AAA服务器进行业务认证生成第二共享密钥,业务认证的过程使用到了该第一共享密钥和参考信息,该参考信息可以包括该用户设备的身份标识UEID、该CP-AU发送给该用户设备的网络参数、业务参数等。
步骤S805:该AAA服务器将该第二共享密钥发送给该网络认证服务器。
步骤S806:该网络认证服务器用于接收并向该CP-AU转发该第二共享密钥。
步骤S807:该CP-AU接收该第二共享密钥。
步骤S808:该用户设备和该CP-AU均根据该第二共享密钥和该第三共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,该用户设备和该网络认证服务器还有预先配置的共享根密钥时,该用户设备和该CP-AU之间的网络认证可以基于该共享根密钥完成以生成第三共享密钥。
可选的,该用户设备含有该AAA服务器的信息时,该AN无须再将AAA服务器信息返回给该用户设备。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向用户设备发送该AAA服务器的信息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。可选的,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说,将第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥,将第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种类型的目标共享密钥。
在图3G所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行网络认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备;该用户设备和该网络认证设备均根据该第三共享密钥和第二共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图3H,图3H是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以包括业务认证服务器和业务服务器,例如,该业务认证服务器可以为具备AAA功能的AAA服务器,下面实施例以业务认证服务器为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S811~S818,各个步骤的详细描述如下:
步骤S811:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S812:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识等。
步骤S813:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器的信息,例如,IP地址信息、MAC地址信息等,然后将该AAA服务器的信息发送给该用户设备。
步骤S814:该用户设备根据该AAA服务器的信息与该AAA服务器进行业务认证生成第二共享密钥,业务认证的过程使用到了该第一共享密钥和参考信息,该参考信息可以包括该用户设备的身份标识UEID、该CP-AU发送给该用户设备的网络参数、业务参数等。
步骤S815:该AAA服务器将该第二共享密钥发送给该网络认证服务器。
步骤S816:该网络认证服务器用于接收并向该CP-AU转发该第二共享密钥。
步骤S817:该CP-AU接收该第二共享密钥。
步骤S818:该用户设备和该CP-AU均根据该第二共享密钥和该第三共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说,将第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥,将第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种类型的目标共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向用户设备发送该AAA服务器的信息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。可选的,该UE还含有与网络认证设备共享的根密钥,该用户设备与网络认证设备基于该根密钥相互认证获取第三共享密钥。
在图3H所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行网络认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备;该用户设备和该网络认证设备均根据该第三共享密钥和第二共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在又一种可选的方案中,该方法还可以包括:该参考信息为该网络认证设备所在蜂窝网的网络参数;该结合该参考信息和第一共享密钥生成第二共享密钥,具体为:该业务认证设备与该用户设备根据该参考信息和该第一共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解,以下根据图3I结合具体场景进行描述。
请参照图3I,图3I为本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器,该业务服务器用于提供业务的访问,业务认证过程中如果需要使用业务参数,那么该业务参数可能存储在该业务认证服务器中,也可能存在该业务服务器中。该用户设备与该业务认证设备预先共享了第一共享密钥,该方法可以包括步骤SA901~S907,各个步骤的详细描述如下。
步骤S901:用户设备向网络认证服务器发送第一请求消息,该第一请求消息可以包含该用户设备的身份标识UEID,还可能包含与目标业务相关的信息。
步骤S902:该网络认证服务器接收该第一请求消息,并根据该第一请求消息向该业务认证服务器发送第二请求消息。
具体地,该第一请求消息可以包含一些标识信息来表明该用户设备想要请求什么业务;该网络认证设备根据该第一请求消息获知该用户设备想要请求哪种业务后,向该业务认证设备发送第二请求消息,该第二请求消息可以包含该用户设备的身份标识(UEID),该第二请求消息还可能包含该网络认证服务器所在蜂窝网的网络参数。
步骤S903:该业务认证服务器接收该第二请求消息;该业务认证服务器还可以获取目标业务的业务参数,该业务参数可能存储在该业务认证服务器中,也可能存储在该业务服务器中,当存储在该业务服务器中时该业务认证服务器向该业务服务器发送请求该业务参数的请求消息,该业务服务器相应地返回该业务参数给该业务认证服务器。
步骤S904:该业务认证服务器与该用户设备基于该第一共享密钥进行业务认证生成第二共享密钥,该业务认证过程中还可能用到了业务参数、网络参数、UEID等信息,用到的除该第一共享密钥的信息均可属于该参考信息,用户设备用到的业务参数和网络参数可以由该网络认证服务器发送。
步骤S905:该业务认证服务器将该第二共享密钥发送给该网络认证服务器。
步骤S906:该网络认证服务器接收并转发该第二共享密钥给该CP-AU。
步骤S907:该CP-AU接收该第二共享密钥,此时该用户设备与该CP-AU均具有该第二共享密钥,因此可以将该第二共享密钥直接确定为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证的过程。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、向业务认证服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该业务认证服务器和该用户设备均可以根据该第一共享密钥,再结合一些其他信息(例如,网络参数,业务参数、UEID等)来生成新的共享密钥。这样一来,在步骤S904中,该业务认证服务器与该用户设备具体结合该新的共享密钥进行网络认证生成第二共享密钥。
可选的,用户设备与该业务服务器在进行业务认证的过程时,交互的信息可以由该网络认证设备转发,也可以不经过该网络认证设备转发,例如,通过有线网络直接发送。
在图3I所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络的目标共享密钥,同时该第二共享密钥还可以作为该业务自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
请参照图3J,图3J为本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务和业务服务器,该业务服务器用于提供业务的访问,业务认证过程中如果需要使用业务参数,那么该业务参数可能存储在该业务认证服务器中,也可能存在该业务服务器中。该用户设备与该业务认证设备预先共享了第一共享密钥,该方法可以包括步骤S1001~S1007,各个步骤的详细描述如下。
步骤S1001:该用户设备向该业务服务器发送第一请求消息。
步骤S1002:该业务服务器接收该第一请求消息,并根据该第一请求消息向该CP-AU发送第二请求消息,该第二请求消息用于请求该CP-AU反馈该CP-AU所在网络的网络参数给该业务认证服务器。
步骤S1003:该CP-AU向该业务认证服务器发送该网络参数。
步骤S1004:该业务认证服务器接收该网络参数,并将该网络参数和目标业务的业务参数发送给该用户设备。
步骤S1005:该用户设备接收该网络参数和该业务参数。
步骤S1006:该业务认证服务器与该用户设备根据该第一共享密钥、该网络参数和该业务参数进行业务认证生成第二共享密钥,生成该第二共享密钥用到的信息中,除该第一共享密钥外均可以属于该参考信息。
步骤S1007:该业务认证服务器将该第二共享密钥发送给该CP-AU,该CP-AU可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该CP-AU和该用户设备均具有该第二共享密钥,因此该将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证。
可选的,接收和发送该第一请求消息、第二请求消息的设备可以为该业务服务器,也可以为该业务认证服务器,或者该业务认证设备包括的其他设备;
可选的,网络认证设备中用于接收该第二请求消息的设备可以为该CP-AU,也可以为该网络认证设备中的其他设备,如,网络认证服务器、CP-AU、MM、SM、AN等。
可选的,该用户设备用到的业务参数除了由该业务认证服务器发送外,还可以是预置在该用户设备中的。
可选的,该CP-AU和该用户设备还可以基于该第二共享密钥进一步生成新的共享密钥,然后基于该新的共享密钥、网络参数、业务参数来生成该目标共享密钥。
可选的,该CP-AU与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。
可选的,该业务认证设备不发送第二共享密钥给网络认证设备,该网络认证设备只需要知道该用户设备认证成功即可。
在图3J所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
在又一种可选的方案中,该方法还可以包括:该业务认证设备获取该用户设备与该网络认证设备之间预先配置的第五共享密钥;该结合该参考信息和第一共享密钥生成第二共享密钥,具体为:结合该参考信息、第一共享密钥和该第五共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解,以下根据图3K结合具体场景进行描述。
请参见图3K,图3K是本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该业务认证设备预先共享了第一共享密钥,该用户设备与该网络认证设备预先共享了第五共享密钥;该方法可以包括步骤S1101~S1106,各个步骤的详细描述如下。
步骤S1101:该用户设备向该业务认证服务器发送第一请求消息。
步骤S1102:该业务认证服务器接收该第一请求消息,并根据该第一请求消息向该CP-AU发送第二请求消息,该第二请求消息用于请求该CP-AU向该业务认证服务器发送该第五共享密钥。
步骤S1103:该CP-AU接收该第二请求消息,并向该业务认证服务器发送该第五共享密钥(或者由该第五共享密钥衍生的密钥)。
步骤S1104:该业务认证服务器接收该第五共享密钥,还可能接收了该CP-AU发送的网络参数。
步骤S1105:该业务认证服务器与该用户设备根据该第一共享密钥和该第五共享密钥进行业务认证生成第二共享密钥,或者根据该第一共享密钥和基于该第五共享密钥衍生的密钥进行业务认证生成第二共享密钥;该第二共享密钥或者基于该第二共享密钥衍生的共享密钥为该业务认证服务器与该用户设备协商的保护数据安全传输的共享密钥。
步骤S1106:该业务认证服务器将该第二共享密钥发送给该CP-AU,该CP-AU可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该CP-AU和该用户设备均具有该第二共享密钥,因此该网络认证设备和该用户设备将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证的流程。
可选的,网络认证设备中用于接收该第二请求消息的设备可以为该CP-AU,也可以为其他设备,如,网络认证服务器、MM、SM、AN等。
可选的,该用户设备用到的业务参数除了由该业务认证服务器发送外,还可以是预置在该用户设备中的。
可选的,该CP-AU和该用户设备还可以基于该第二共享密钥进一步生成新的共享密钥,然后基于该新的共享密钥、网络参数、业务参数来生成该目标共享密钥。
可选的,该CP-AU与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。
可选的,该业务认证设备不发送第二共享密钥给网络认证设备,该网络认证设备只需要知道该用户设备认证成功即可。
在又一种可选的方案中,该方法还包括:所述业务认证设备将所述第二共享密钥发送给所述网络认证设备;所述网络认证设备接收所述第二共享密钥;所述网络认证设备和所述用户设备均根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第五共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在图3K所示的方法中,用户设备与业务认证设备根据第一共享密钥和第五共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
在又一种可选的方案中,该方法还可以包括:该网络认证设备根据自身所在的蜂窝网的网络参数生成网络侧信息;该网络认证设备将该网络侧信息发送给该业务认证设备;该业务认证设备接收并向该用户设备转发该网络侧信息;该结合该参考信息和第一共享密钥生成第二共享密钥,具体为:结合该网络参数和第一共享密钥进行业务认证生成第二共享密钥,该网络参数包括该网络侧信息。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备用于接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解,以下根据图3L结合具体场景进行描述。
请参见图3L,图3L是本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该业务认证设备预先共享了第一共享密钥,用户设备与该网络认证设备预先共享了第五共享密钥;该方法可以包括步骤S1201~S1207,各个步骤的详细描述如下。
步骤S1201:该用户设备向该业务认证服务器发送第一请求消息。
步骤S1202:该业务认证服务器接收该第一请求消息,并根据该第一请求消息向该CP-AU发送第二请求消息,该第二请求消息包含该第一共享密钥和目标业务的业务参数。
步骤S1203:该CP-AU接收该第二请求消息,并向该业务认证服务器发送该网络参数,以及基于网络参数、业务参数、该第一共享密钥、该第五共享密钥生成的网络侧信息。
步骤S1204:该业务认证服务器接收该网络侧信息和网络参数,并向该用户设备发送该网络参数和该业务参数。
步骤S1205:该用户设备接收该网络参数和该业务参数,并基于该第一共享密钥、第五共享密钥、该网络参数和该业务参数生成该网络侧信息(如,Kcombination),该网络侧信息属于该参考信息。
步骤S1206:该业务认证服务器与该用户设备根据该网络侧信息进行业务认证生成第二共享密钥。
步骤S1207:该业务认证服务器将该第二共享密钥发送给该CP-AU,该CP-AU可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该CP-AU和该用户设备均具有该第二共享密钥,因此该CP-AU和该用户设备将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证。
可选的,网络认证设备中用于接收该第二请求消息的设备可以为该CP-AU,也可以为其他设备,如,网络认证服务器、MM、SM、AN等。
可选的,该用户设备用到的业务参数除了由该业务认证服务器发送外,还可以是预置在该用户设备中的。
可选的,该CP-AU和该用户设备还可以基于该第二共享密钥进一步生成新的共享密钥,然后基于该新的共享密钥、网络参数、业务参数来生成该目标共享密钥。
可选的,该CP-AU与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。
可选的,该业务认证设备不发送第二共享密钥给网络认证设备,该网络认证设备只需要知道该用户设备认证成功即可。
在图3L所示的方法中,用户设备与业务认证设备根据获取的网络侧信息和预先共享的第一共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
请参见图4A,图4A是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S1401:该业务认证设备将预存的目标业务的业务参数发送给该网络认证设备和该用户设备。
具体地,该业务认证设备中预存了该目标业务的业务参数,该目标业务及其业务参数的具体情况可以参照图3A所示的方法实施例的描述,此处不赘述。
在一种可选的方案中,该用户设备未通过除蜂窝网以外的网络与该业务认证设备连接;该业务认证设备可以在接收到该用户设备发送的并经过该网络认证设备转发的第一请求消息后再发送该业务参数,由于该第一请求消息由该用户设备经该该网络认证设备转发给该业务认证设备,因此可通过相反路径将该业务参数发送给该网络认证设备,进而由该网络认证设备转发给该用户设备。可选的,该第一请求消息中携带了该用户设备的身份标识,并在发送到该网络认证设备时进过该网络认证设备添加了该网络认证设备所在蜂窝网的相关信息(如,网络标识),因此该业务认证设备可以基于该用户设备的身份标识以及该蜂窝网的相关信息将该业务参数依次发送给该网络认证设备和该用户设备。
在又一种可选的方案中,该用户设备未通过除蜂窝网以外的网络与该业务认证设备连接,该业务认证设备可以在接收到该网络认证设备发送第二请求消息后再发送该业务参数,该业务认证设备接收到该网络认证设备发送的第二请求消息即向该网络认证设备反馈该业务参数,该网络认证设备接收到该业务参数后在将该业务参数发送给该用户设备。
在又一种可选的方案中,该用户设备通过除蜂窝网以外的网络与该业务认证设备建立了通信连接,该业务认证设备可以在接收到该网络认证设备发送的第二请求消息后再发送该业务参数,该第二请求消息中可以携带该网络认证设备的相关信息(如,网络标识),这样一来,该业务认证设备就可以根据该相关信息向该网络认证设备发送该业务参数,并根据接收该第一请求消息的路径向该用户设备返回该业务参数。
步骤S1402:该网络认证设备和该用户设备接收该业务参数。
步骤S1403:该网络认证设备和该用户设备结合该业务参数和原始共享密钥进行网络认证生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。需要说明的是,此处的原始目标共享密钥相当于上面描述的第五共享密钥,即该原始共享密钥为该网络认证设备与该用户设备预先共享的共享密钥。
在一种可选的方案中,该方法还包括:该网络认证设备和该用户设备结合该业务参数和原始共享密钥进行网络认证生成目标共享密钥,具体为:网络认证设备和该用户设备结合该业务参数和原始共享密钥生成认证共享密钥。该网络认证设备和该用户设备根据该认证共享密钥进行网络认证生成目标共享密钥。
在图4A所示的方法中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图5A,图5A是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S1701:该业务认证设备获取该用户设备的身份标识。
步骤S1702:该业务认证设备结合自身的业务公钥、业务私钥和该身份标识生成身份密钥,并将该身份密钥、该业务公钥发送给该网络认证设备。
步骤S1703:该网络认证设备接收该身份密钥,并结合该身份密钥、该业务公钥和网络参数生成认证根密钥,该网络参数为与该网络认证设备所处蜂窝网相关的参数,以上有对该网络参数的描述,此处不赘述。结合该身份密钥、该业务公钥和网络参数生成认证根密钥,具体指:生成该认证根密钥需要用到的信息包括但不限于该身份密钥、该业务公钥和网络参数。
步骤S1704:该网络认证设备将该认证跟密钥写入该用户设备;例如,该网络认证设备可以将该认证根密钥写入到全球用户识别卡(英文:Universal Subscriber IdentityModule,简称:USIM),而该USIM卡是用来配置到用户设备的,因此可以看做该网络认证设备将该认证根密钥写入到该用户设备。另外,该网络认证设备将该认证根密钥写入到该用户设备包括该网络认证设备直接写入该用户设备,也包括该网络认证设备通过其他设备写入该用户设备,还包括其他设备通过调用该网络认证设备中的认证根密钥并写入该用户设备。
步骤S1705:该网络认证设备与该用户设备用于通过该认证根密钥进行网络认证生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。为了便于理解,以下根据图5B结合具体场景进行描述。
请参见图5B,图5B是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该网络认证设备预先共享了第一共享密钥;该方法可以包括步骤S1801~S1806,各个步骤的详细描述如下。
步骤S1801:用户设备向业务认证服务器发送第一请求消息,该第一请求消息包含该用户设备的身份标识,上面实施例有对该用户设备的身份标识的描述,此处不再赘述。业务公钥可理解为基于IBS的全局公钥;业务私钥可理解为基于IBS的全局私钥。
步骤S1802:该业务认证服务器接收该第一请求消息,并根据自身的业务私钥(英文:Secret Key,简称:SK)、业务公钥(英文:public key,简称:PK)和该用户设备的身份标识生成身份密钥。
步骤S1803:该业务认证服务器将身份密钥、该业务公钥和该用户设备的身份标识发送给该CP-AU。
步骤S1804:该CP-AU接收该身份密钥、该业务公钥和该用户设备的身份标识,并结合该身份密钥、该业务公钥和该用户设备的身份标识生成认证根密钥。
步骤S1805:该CP-AU将该认证根密钥写入到该用户设备中。可选的,可以将身份密钥和业务公钥写入该用户设备,如果是写入的是身份密钥和业务公钥,则后续跟用户设备与网络认证设备可以基于IBS根据该身份密钥和业务公钥相互认证。
步骤S1806:该CP-AU和该用户设备基于该认证根密钥进行网络认证生成目标共享密钥。
可选的,该CP-AU将生成的目标共享密钥发送给该业务认证服务器,以便该业务认证服务器和该用户设备将该目标共享密钥,或者基于该目标共享密钥衍生的共享密钥作为该业务认证服务器与该用户设备协商的保护数据安全传输的共享密钥。
可选的,CP-AU可以向网络认证服务器获取认证向量来与该用户设备进行网络认证。
在图5B所示的方法中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图6A,图6A是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S1901:该业务认证设备与该用户设备进行业务认证生成参考共享密钥。可选的,该用户设备通过蜂窝网以外的网络与该业务认证设备建立了通信连接,该用户设备与该业务认证设备可以基于证书、用户名密码、基于身份密码机制以及预置共享密钥来进行业务认证。该认证共享密钥可以具体基于该用户设备的身份标识UEID、该业务认证设备管理的目标业务的业务参数等信息来生成。以UEID为例,该用户设备可以向该业务认证设备发送请求消息来,该请求消息中携带了该UEID。
步骤S1902:该业务认证设备将该参考共享密钥发送给该网络认证设备;该业务认证设备发送的信息还可以包括该用户设备的相关信息,例如,UEID、IP地址、MAC地址等,这样一来该业务认证设备就可以知道后续需要与哪个用户设备基于该参考共享密钥生成目标共享密钥。
步骤S1903:该网络认证设备接收该参考共享密钥。
步骤S1904:该网络认证设备和该用户设备结合该参考共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。该用户设备与该网络认证设备生成目标共享密钥需要参考的信息至少包括该参考共享密钥。
在一种可选的方案中,该方法还可以包括:该网络认证设备将该网络认证设备所在蜂窝网的网络参数发送给该用户设备;该网络认证设备和该用户设备结合该参考共享密钥生成目标共享密钥,具体为:该网络认证设备和该用户设备均根据该网络参数和该参考共享密钥生成认证共享密钥;该网络认证设备和该用户设备根据该认证共享密钥进行网络认证生成目标共享密钥。为了方便理解,以下根据图6B结合具体场景进行描述。
请参见图6B,图6B是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2001~S2009,各个步骤的详细描述如下。
步骤S2001:该用户设备与该业务认证服务器进行业务认证生成参考共享密钥,或者该业务认证设备和该用户设备直接预先配置参考共享密钥,该参考共享密钥即为该用户设备与该业务认证设备之间的预先共享的根密钥。
步骤S2002:该业务认证服务器将该参考共享密钥发送给该网络认证服务器。
步骤S2003:该网络认证服务器接收该参考共享密钥并向该业务认证服务器发送网络参数。
步骤S2004:该业务认证服务器接收该网络参数并将该网络参数转发给该用户设备;可选的,该网络认证服务器还可以直接将该网络参数发送给该用户设备。
步骤S2005:该网络认证服务器根据该参考共享密钥和该网络参数生成认证共享密钥。
步骤S2006:该网络认证服务器将该认证共享密钥发送给该CP-AU。
步骤S2007:该CP-AU接收该认证共享密钥。
步骤S2008:该用户设备根据该参考共享密钥和该网络参数生成该认证共享密钥。
步骤S2009:该CP-AU和该用户设备用于根据该认证共享密钥进行网络认证生成目标共享密钥。
可选的,该网络认证设备和该用户设备之间还可以预先共享第五共享密钥,这样一来,该网络认证设备和该用户设备就可以基于该第五共享密钥和该参考共享密钥相互认证生成该目标根密钥。
在又一种可选的方案中,该方法还可以包括:该网络认证设备将该目标共享密钥发送给该业务认证设备;该业务认证设备接收该目标共享密钥;该业务认证设备和该用户设备将该目标共享密钥,或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与用户设备协商的保护数据安全传输的共享密钥。也即是说,该网络认证设备与该用户设备进行网络认证之后,该网络认证设备将该网络认证的结果发送给该业务认证设备,该业务认证设备可以直接使用该网络认证的结果,而不需要再与该用户设备进行业务认证来生成加密传输数据的共享密钥。
在图6B所示的方法中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图6C,图6C是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S2101:网络认证设备生成经过初始共享秘钥加密的访问令牌,所述初始共享秘钥为所述网络认证设备与业务认证设备预先共享的秘钥;
步骤S2102:所述网络认证设备将所述访问令牌发送给所述用户设备;
步骤S2103:所述用户设备接收所述访问令牌并将所述访问令牌发送给所述业务认证设备;
步骤S2104:所述业务认证设备接收所述访问令牌并通过所述初始共享秘钥验证所述访问令牌的正确性;
步骤S2105:所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,以通知与所述用户设备之间成功完成业务认证。
在一种可选的方案中,所述访问令牌中包含目标共享秘钥,所述用户设备和所述业务认证设备用于在所述用户设备与所述业务认证设备之间成功完成业务认证时,将所述访问令牌中的所述目标共享秘钥或者基于所述目标共享密钥衍生的共享密钥,作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。可选的,该目标共享秘钥为该网络认证设备与该用户设备进行网络认证得到的共享秘钥。
在又一种可选的方案中,所述访问令牌包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项。可选的,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
进一步地,该访问令牌还可以包括通过初始共享秘钥生成的针对网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项的消息认证码。当包含该消息认证码时,在步骤S2104中还需要基于该初始共享秘钥验证该消息认证码的正确性,步骤S2105中所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,具体为:所述业务认证设备在验证出所述访问令牌正确以及验证出所述消息认证码正确时时向所述用户设备发送验证成功消息。
为了方便理解,以下分别结合图6D和图6E的具体场景进行描述。
请参见图6D,图6D是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2201~S2207,各个步骤的详细描述如下。
步骤S2201:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享秘钥为网络共享密钥K1;该UE可以在网络认证之前或者之后或者网络认证的过程中向该网络认证设备发送业务认证设备的相关信息,以表明该UE需要与该业务认证设备认证。
步骤S2202:网络认证设备根据该业务认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的,token=Enc_K0_(K2,基础信息,MAC),也即是说,该访问令牌token为采用初始共享秘钥K0对K2、基础信息和MAC进行的加密;其中,K2为该网络认证设备确定的,可能用作用户设备与业务认证设备之间保护数据传输的共享秘钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,MAC=MAC_K0_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC的生成采用初始共享秘钥K0。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则网络认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至业务认证设备,后续该业务认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享秘钥K2可以为配置的随机的参数,也可以为网络共享秘钥K1,还可以为基于网络共享秘钥K1推衍出来的共享秘钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该网络共享秘钥K1和基础信息进行计算来得到该共享秘钥K2。
进一步地,业务认证设备的相关信息为能够在一定范围内区分该业务认证设备与其他设备的信息,例如,可以为该业务认证设备的IP地址,或者业务ID。步骤S2203:该网络认证设备向UE发送K2和token,还可能发送网络认证设备的相关信息,该网络认证设备的相关信息可以包括网络参数。
步骤S2204:UE接收K2和token并向业务认证设备发送该token和该网络认证设备的相关信息。UE可以自己生成该网络认证设备的相关信息,也可以在与该网络认证设备进行网络认证之时,或者之前,或者之后接收该网络认证设备发送的该网络认证设备的相关信息,优选的,UE在步骤S2203中接收该网络认证设备发送的网络认证设备的相关信息。
步骤S2205:业务认证设备接收该token和该网络认证设备的相关信息,根据该网络认证设备的相关信息来确定预先与该网络认证设备共享的初始共享秘钥K0,并使用K0解密token得到该共享秘钥K2、该基础信息和消息认证码MAC;然后根据K0验证MAC的正确性,验证MAC成功后则表明该业务认证设备验证token成功。因此,该业务认证设备将该K2作为与该UE之间用于保护数据传输的共享秘钥。
步骤S2206:该业务认证设备向该UE发送消息以通知验证token成功,相应地,该UE接收消息。
步骤S2207:该业务认证设备和该UE将该共享秘钥K2作为该UE与该业务认证设备之间用户保护数据安全传输的共享秘钥。
可选的,UE与业务认证设备根据K2进一步推衍出共享秘钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该业务认证设备之间保护数据的安全传输。
可选的,当该共享秘钥K2为网络共享秘钥K1时,该UE和该业务认证设备均可以基于该K1衍生出的共享秘钥K3。
可选的,加密token的共享秘钥为K1而不是K0,业务认证设备接收到token后根据网络认证设备的相关信息向该网络认证设备转发该token和该UE的相关信息;该网络认证设备根据该UE的相关信息确定与该UE认证生成的共享秘钥K1,再根据K1来解密token,并验证该token中MAC的正确性,验证成功即表明该UE与该业务认证设备认证成功,因此将K2发送给该业务认证设备,以便该UE和该业务认证设备将该K2作为保护数据安全传输的共享秘钥。可选的,该UE的相关信息可以由该UE发送给业务认证设备,再由该业务认证设备发送给该网络认证设备,该UE的相关信息可以为该UE的身份标识。
请参见图6E,图6E是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2301~S2305,各个步骤的详细描述如下。
步骤S2301:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享秘钥为网络共享密钥K1;该UE可以在网络认证之前或者之后或者网络认证的过程中向该网络认证设备发送业务认证设备的相关信息,以表明该UE需要与该业务认证设备认证。
步骤S2302:网络认证设备根据该业务认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,并通过该初始共享秘钥K0加密该访问令牌token。可选的,token可以为消息认证码,消息认证码MAC=MAC_K_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项;该消息认证码MAC还经过了该初始共享秘钥K0加密。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则网络认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至业务认证设备,后续该业务认证设备可以通过该新鲜参数验证token的新鲜性。
步骤S2303:该网络认证设备向UE发送token,还可能发送该网络认证设备的相关信息,所述网络认证设备的相关信息可以包括该网络参数。
步骤S2304:UE接收token并向业务认证设备发送该token和该网络认证设备的相关信息。
步骤S2305:业务认证设备接收该token和该网络认证设备的相关信息,根据该网络认证设备的相关信息来确定预先与该网络认证设备共享的初始共享秘钥K0,然后根据K0验证MAC的正确性,验证MAC成功后则表明该业务认证设备验证token成功。至此,该UE与该业务认证设备之间成功完成了认证。
可选的,生成token的共享秘钥为K1而不是K0,业务认证设备接收到token后根据网络认证设备的相关信息向该网络认证设备转发该token和该UE的相关信息;该网络认证设备根据该UE的相关信息确定与该UE认证生成的共享秘钥K1,然后验证该token中MAC的正确性,验证成功即表明该UE与该业务认证设备认证成功,因此想该UE和该业务认证设备发送通知消息以通知该UE与该业务认证设备之间认证成功。
请参见图6F,图6F是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2401~S2408,各个步骤的详细描述如下。
步骤S2401:用户设备UE与网络认证设备进行网络认证。
步骤S2402:网络认证设备在网络认证通过后生成认证令牌token和该token的过期信息,该过期信息用于表征该token什么时候过期;还可以生成范围信息,该范围信息用于表征该token可以被哪些业务认证设备使用;或者该范围信息用于表征该token可以被哪些用户设备使用。
步骤S2403:网络认证设备向该UE发送该token;还可以发送该网络认证设备相关的信息,该网络认证设备相关的信息用于表明该token来自于该网络认证设备。
步骤S2404:该用户设备向该业务认证设备发送该token和该网络认证设备的相关信息;
步骤S2405:该业务认证设备接收该token和该网络认证设备的相关信息,并根据该网络认证设备的相关信息向该网络认证设备发送该token;发送的消息可能还包括UE ID和业务认证设备的相关信息中的至少一项。
步骤S2406:该网络认证设备接收该token,判断该token是否为自身生成的token,如果该token为自身生成的token则进一步他根据该过期信息判断该token是否过期,若没过期则表明验证token成功。可选的,当该网络认证设备生成了范围信息时,该网络认证设备还需要根据该范围信息判断发送该token的业务认证设备是否为该范围信息中允许的业务认证设备,若为允许的业务认证设备且该token未过期则表明验证token成功。可选的,该范围信息用于表征该token可以被哪个用户设备使用时,该网络认证设备还需要根据该范围信息判断该用户设备是否为该范围信息中允许的用户设备,若该用户设备为允许的用户设备且该业务认证设备为允许的业务认证设备,并且该token未过期则表明验证token成功。
可选的,步骤S2405中不包含业务认证设备的相关信息,该网络认证设备也可以根据接收的token的来源确定业务认证设备的相关信息。
可选的,判断该用户设备是否为该范围信息中允许的用户设备时用到的该用户设备的相关信息,可以为该用户设备将该用户设备自身的相关信息发送至业务认证设备,再由业务认证设备在步骤S2405中一同发送至该网络认证设备。
步骤S2407:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;
步骤S2408:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。
请参见图6G,图6G是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2501~S2508,各个步骤的详细描述如下。
步骤S2501:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享秘钥为网络共享密钥K1。
步骤S2502:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,并通过该网络共享秘钥K1加密该访问令牌token。可选的,token=Enc_K1_(K2,基础信息,MAC),也即是说,该访问令牌token为采用K1对K2、基础信息和MAC加密生成;其中,K2为该UE确定的后续可能用作用户设备与业务认证设备之间保护数据传输的共享秘钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,可选的,该用户设备可以预先向该网络认证设备和该业务认证设备获取需要用到的信息;MAC=MAC_K1_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享秘钥K1生成。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数转发给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享秘钥K2可以为配置的随机的参数,也可以为网络共享秘钥K1,还可以为基于网络共享秘钥K1推衍出来的共享秘钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该网络共享秘钥K1和基础信息进行计算来得到该共享秘钥K2。
步骤S2503:UE向业务认证设备发送该token。
步骤S2504:业务认证设备接收该UE发送的该token并将该token转发该该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息(包括但不限于UEID),该相关信息可能由该UE发送至该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备。
步骤S2505:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享秘钥K1,并使用K1解密token得到该共享秘钥K2、该基础信息和消息认证码MAC;然后根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。
步骤S2506:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功,该通知消息中还包括从token中获得的共享秘钥K2;
步骤S2507:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。
步骤S2508:该UE和该业务认证设备将该K2作为该UE与该业务认证设备之间用于保护数据安全传输的共享秘钥。
可选的,UE与业务认证设备根据K2进一步推衍出共享秘钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该业务认证设备之间保护数据的安全传输。
请参见图6H,图6H是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2601~S2607,各个步骤的详细描述如下。
步骤S2601:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享秘钥为网络共享密钥K1。
步骤S2602:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,可选的,该token为消息认证码MAC,MAC=MAC_K1_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享秘钥K1生成。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数发送给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
步骤S2603:UE向业务认证设备发送该token。
步骤S2604:业务认证设备接收该UE发送的该token并将该token转发该该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息,该相关信息可能由该UE发送该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备,例如,该用户设备的相关信息可以为该用户设备的身份标识(UEID)。
步骤S2605:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享秘钥K1,并根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。
步骤S2606:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;
步骤S2607:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。
需要说明的是,还可以基于上述方案显而易见地推导出以下方案,即UE首先与业务认证设备建立双向认证,由UE或者业务认证设备生成token;之后UE发送token至网络认证设备,网络认证设备可以自己验证token的正确性,也可能将token发送至业务认证设备,由业务认证设备验证token的正确性,并将验证结果发送至网络认证设备。相当于将6C-6H中涉及到的业务认证设备与网络认证设备进行了调换。另外,token包含但不限于如下两种情况:情况一token=Enc_K0_(K2,基础信息,MAC_K0_(基础信息和/或nonce)),情况二:token=MAC_K0_(基础信息和/或nonce)。这两种情况的理解可以参照以上描述,此处不再赘述。
为了便于理解,以下以token由业务认证设备生成为例来进行描述,token由UE生成的情况可以参照图6D~6I的描述。
请参见图6I,图6I是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2708~S2707,各个步骤的详细描述如下。
步骤S2701:用户设备UE与业务认证设备进行业务认证,生成的共享秘钥为业务共享密钥K1;该UE可以在业务认证之前或者之后或者业务认证的过程中向该业务认证设备发送网络认证设备的相关信息,以表明该UE需要与该网络认证设备认证。
步骤S2702:业务认证设备根据该网络认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的,token=Enc_K0_(K2,基础信息,MAC),也即是说,该访问令牌token为采用初始共享秘钥K0对K2、基础信息和MAC进行的加密;其中,K2为该业务认证设备确定的,可能用作用户设备与网络认证设备之间保护数据传输的共享秘钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,MAC=MAC_K0_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC的生成采用初始共享秘钥K0。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则业务认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享秘钥K2可以为配置的随机的参数,也可以为业务共享秘钥K1,还可以为基于业务共享秘钥K1推衍出来的共享秘钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该业务共享秘钥K1和基础信息进行计算来得到该共享秘钥K2。
进一步地,网络认证设备的相关信息为能够在一定范围内区分该网络认证设备与其他设备的信息,例如,可以为该网络认证设备的IP地址。
步骤S2703:该业务认证设备向UE发送K2和token,还可能发送业务认证设备的相关信息,所述业务认证设备的相关信息可以包括业务参数。
步骤S2704:UE接收K2和token并向网络认证设备发送该token和该业务认证设备的相关信息。UE可以自己生成该业务认证设备的相关信息,也可以在与该业务认证设备进行业务认证之时,或者之前,或者之后接收该业务认证设备发送的该业务认证设备的相关信息,优选的,在E在步骤S2703中接收该业务认证设备发送的业务认证设备的相关信息
步骤S2705:网络认证设备接收该token和该业务认证设备的相关信息,根据该业务认证设备的相关信息来确定预先与该业务认证设备共享的初始共享秘钥K0,并使用K0解密token得到该共享秘钥K2、该基础信息和消息认证码MAC;然后根据K0验证MAC的正确性,验证MAC成功后则表明该网络认证设备验证token成功。因此,该网络认证设备将该K2作为与该UE之间用于保护数据传输的共享秘钥。
步骤S2706:该网络认证设备向该UE发送消息以通知验证token成功,相应地,该UE接收消息。
步骤S2707:该网络认证设备和该UE将该共享秘钥K2作为该UE与该网络认证设备之间用户保护数据安全传输的共享秘钥。
可选的,UE与网络认证设备根据K2进一步推衍出共享秘钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该网络认证设备之间保护数据的安全传输。
可选的,加密token的共享秘钥为K1而不是K0,网络认证设备接收到token后根据业务认证设备的相关信息向该业务认证设备转发该token和该UE的相关信息;该业务认证设备根据该UE的相关信息确定与该UE认证生成的共享秘钥K1,再根据K1来解密token,并验证该token中MAC的正确性,验证成功即表明该UE与该网络认证设备认证成功,因此将K2发送给该网络认证设备,以便该UE和该网络认证设备将该K2作为保护数据安全传输的共享秘钥。可选的,该UE的相关信息可以由该UE发送给业务认证设备,该UE的相关信息可以为该UE的身份标识。
需要说明的是,还可以对图6C~6I所示实施例进行相应拓展,拓展的思路如下:
K1为UE与网络认证设备之间的共享密钥,包括但不限于Kasme,加密秘钥(英文:cihper key,简称:CK)和完整性保护密钥(英文:integrity key,简称:IK)中的的至少一项。
另外,也可能采用非对称密码的形式计算token,例如token=Enc_PK_业务_(K2,(nonce1,基本信息),signature=MAC_SK_网络_(nonce2,基本信息))。PK_业务表示该业务认证设备提供的业务的公钥参数,SK_网络表示该网络认证设备所在的运营商网络的私钥参数。此时业务认证设备可以根据自己的私钥SK_业务解密打开token;并且利用网络认证设备所在运营商网络的公钥PK_网络,验证token中签名的正确性。此时token的验证更加灵活,不需要与网络认证设备进行网络认证交互即可完成验证。另外,此处加密和签名的算法可以为基于公钥基础设施(英文:Public key infrastructure,简称:PKI)等非对称密码技术,也可以为基于身份的密码技术。
需要说明的是,以上各个实施例中列出的步骤的先后顺序此处不做限制,有些步骤先执行还是后执行对实施例的实施不会产生实质的影响,因此在以上列出的步骤的先后顺序的基础上,对步骤执行的先后顺序进行调整所形成的方案依然落入本发明的保护范围。
上述详细阐述了本发明实施例的方法,为了便于更好地实施本发明实施例的上述方案,相应地,下面提供了本发明实施例的装置。
请参见图7,图7是本发明实施例提供的一种业务认证设备70的结构示意图,该业务认证设备70可以包括第一获取单元701和发送单元702,其中,各个单元的详细描述如下。
第一获取单元701用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
发送单元702用于将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,还包括:
第一接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
生成单元,用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,还包括:
生成单元,用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,还包括:
第二获取单元,用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
在又一种可选的方案中,还包括:
第二接收单元,用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图7所示的业务认证设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图8,图8是本发明实施例提供的一种用户设备80的结构示意图,用户设备80可以包括获取单元801和生成单元802,其中,各个单元的详细描述如下。
获取单元801用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
生成单元802用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
在又一种可选的方案中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,还包括:
认证单元,用于和所述网络认证设备进行网络认证生成第三共享密钥;
所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述生成单元802根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备进行网络认证生成第三共享密钥;
根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述生成单元802根据所述第二共享密钥生成目标共享密钥,具体为:
根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
在又一种可选的方案中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,还包括:
第一接收单元,用于接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,当所述参考信息包含所述业务参数时,还包括:
第二接收单元,用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照方法实施例的相应描述。
在图8所示的用户设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图9,图9是本发明实施例提供的一种网络认证设备90的结构示意图,网络认证设备90可以包括接收单元901和第一生成单元902,其中,各个单元的详细描述如下。
接收单元901用于接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
第一生成单元902用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
在又一种可选的实现方案中,还包括:
认证单元,用于和所述用户设备进行网络认证生成第三共享密钥;
所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
在又一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备进行网络认证生成第三共享密钥;
和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,还包括:
获取单元,用于向所述业务认证设备获取所述第一共享密钥;
第二生成单元,用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
在又一种可选的方案中,还包括:
发送单元,用于将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图9所示的网络认证设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图10,图10是本发明实施例提供的一种业务认证设备100的结构示意图,业务认证设备100可以包括发送单元1001。
发送单元1001用于将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图10所示的业务认证设备100中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图11,图11是本发明实施例提供的一种用户设备110的结构示意图,用户设备110可以包括接收单元1101和生成单元1102,其中,各个单元的详细描述如下。
接收单元1101用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
生成单元1102用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述生成单元1102和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图11所示的用户设备110中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图12,图12是本发明实施例提供的一种网络认证设备120的结构示意图,网络认证设备120可以包括接收单元1201和生成单元1202,其中,各个单元的详细描述如下。
接收单元1201用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
生成单元1202用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述生成单元1202和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图12所示的网络认证设备中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图13,图13是本发明实施例提供的一种业务认证设备130的结构示意图,业务认证设备130可以包括获取单元1301和生成单元1302,其中,各个单元的详细描述如下。
获取单元1301用于获取用户设备的身份标识;
生成单元1302用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图13所示的业务认证设备中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图14,图14是本发明实施例提供的一种用户设备140的结构示意图,用户设备140可以包括生成单元1401。
生成单元1401用于和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图14所示的用户设备中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图15,图15是本发明实施例提供的一种网络认证设备150的结构示意图,网络认证设备150可以包括接收单元1501、生成单元1502、写入单元1503和认证单元1504,其中,各个单元的详细描述如下。
接收单元1501用于接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
生成单元1502用于结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
写入单元1503用于将所述认证根密钥写入所述用户设备;
认证单元1504用于和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图15所示的网络认证设备中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图16,图16是本发明实施例提供的一种业务认证设备160的结构示意图,业务认证设备160可以包括认证单元1601和发送单元1602,其中,各个单元的详细描述如下。
认证单元1601用于和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
发送单元1602用于将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,还包括:
接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
确定单元,用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图16所示的业务认证设备中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图17,图17是本发明实施例提供的一种用户设备170的结构示意图,用户设备170可以包括配置单元1701和生成单元1702,其中,各个单元的详细描述如下。
配置单元1701用于和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
生成单元1702用于和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,还包括:
接收单元,用于接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述生成单元和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图17所示的用户设备中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图18,图18是本发明实施例提供的一种网络认证设备180的结构示意图,网络认证设备180可以包括接收单元1801和生成单元1802,其中,各个单元的详细描述如下。
接收单元1801用于接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
生成单元1802用于和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,还包括:
第一发送单元,用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述生成单元和所述用户设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在又一种可选的方案中,还包括:
第二发送单元,用于将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图18所示的网络认证设备中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图19,图19是本发明实施例提供的一种业务认证设备190,该业务认证设备190包括处理器1901和存储器1902,所述处理器1901和存储器1902通过总线相互连接。
存储器1902包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器1902用于相关指令及数据。
处理器1901可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器1901是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述业务认证设备190中的处理器1901读取所述存储器1902中存储的程序代码,用于执行以下操作:
获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述操作,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,所述处理器1901将所述第二共享密钥发送给所述网络认证设备之后,还用于:
接收所述网络认证设备发送的所述目标共享密钥;
将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述处理器1901获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后,还用于:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥之前,还包括:
所获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
在又一种可选的方案中,所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥之前,还包括:
接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,业务认证设备的具体实现还可以对应参照上述方法实施例的相应描述,此处不再赘述。
在图19所示的业务认证设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图20,图20是本发明实施例提供的一种用户设备200,该用户设备200包括处理器2001和存储器2002,所述处理器2001和存储器2002通过总线相互连接。
存储器2002包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2002用于相关指令及数据。
处理器2001可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2001是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述用户设备200中的处理器2001读取所述存储器2002中存储的程序代码,用于执行以下操作:
获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述操作,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
在又一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述处理器2001和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前,还用于:
和所述网络认证设备进行网络认证生成第三共享密钥;
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,包括:
和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备进行网络认证生成第三共享密钥;
根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
在又一种可选的方案中,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥之前,还用于:
接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,当所述参考信息包含所述业务参数时,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥之前,还用于:
接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,用户设备的具体实现可以对应参照上述方法实施例的相应描述。
在图20所示的用户设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图21,图21是本发明实施例提供的一种网络认证设备210,该网络认证设备210包括处理器2101和存储器2102,所述处理器2101和存储器2102通过总线相互连接。
存储器2102包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2102用于相关指令及数据。
处理器2101可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2101是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述网络认证设备210中的处理器2101读取所述存储器2102中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述操作,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
在又一种可选的方案中,所述处理器2101和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前,还用于:
和所述用户设备进行网络认证生成第三共享密钥;
备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,包括:
和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备进行网络认证生成第三共享密钥;
和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,所述处理器2101还用于:
向所述业务认证设备获取所述第一共享密钥;
根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥之前,还用于:
将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,网络认证设备210的具体实现还可以参照上述方法实施例的相应描述。
在图21所述的网络认证设备210中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图22,图22是本发明实施例提供的一种业务认证设备220,该业务认证设备220包括处理器2201和存储器2202,所述处理器2201和存储器2202通过总线相互连接。
存储器2202包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2202用于相关指令及数据。
处理器2201可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2201是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述业务认证设备220中的处理器2201读取所述存储器2202中存储的程序代码,用于执行以下操作:
将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述操作,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,业务认证设备220的具体实现还可以对应参照上述方法实施例的相应描述。
在图22所示的业务认证设备220中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图23,图23是本发明实施例提供的一种用户设备230,该用户设备230包括处理器2301和存储器2302,所述处理器2301和存储器2302通过总线相互连接。
存储器2302包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2302用于相关指令及数据。
处理器2301可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2301是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述用户设备230中的处理器2301读取所述存储器2302中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述操作,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2301和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,用户设备230的具体实现还可以参照上述方法实施例的相应描述。
在图23所示的用户设备230中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图24,图24是本发明实施例提供的一种网络认证设备240,该网络认证设备240包括处理器2401和存储器2402,所述处理器2401和存储器2402通过总线相互连接。
存储器2402包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2402用于相关指令及数据。
处理器2401可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2401是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
网络认证设备240中的处理器2401读取所述存储器2402中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述操作,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2401和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,网络认证设备240的具体实现还可以参照上述方法实施例的相应描述。
在图24所示的网络认证设备240中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图25,图25是本发明实施例提供的一种业务认证设备250,该业务认证设备250包括处理器2501和存储器2502,所述处理器2501和存储器2502通过总线相互连接。
存储器2502包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2502用于相关指令及数据。
处理器2501可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2501是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
业务认证设备250中的处理器2501读取所述存储器2502中存储的程序代码,用于执行以下操作:
获取用户设备的身份标识;
结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,业务认证设备250的具体实现还可以参照上述方法实施例的相应描述。
在图25所示的业务认证设备250中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图26,图26是本发明实施例提供的一种用户设备260,该用户设备260包括处理器2601和存储器2602,所述处理器2601和存储器2602通过总线相互连接。
存储器2602包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2602用于相关指令及数据。
处理器2601可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2601是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
用户设备260中的处理器2601读取所述存储器2602中存储的程序代码,用于执行以下操作:
和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,用户设备260的具体实现还可以参照上述方法实施例的相应描述。
在图26所示的用户设备260中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图27,图27是本发明实施例提供的一种网络认证设备270,该网络认证设备270包括处理器2701和存储器2702,所述处理器2701和存储器2702通过总线相互连接。
存储器2702包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2702用于相关指令及数据。
处理器2701可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2701是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
网络认证设备270中的处理器2701读取所述存储器2702中存储的程序代码,用于执行以下操作:
接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
备结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
将所述认证根密钥写入所述用户设备;
和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,网络认证设备270的具体实现还可以参照上述方法实施例的相应描述。
在图27所示的网络认证设备270中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图28,图28是本发明实施例提供的一种业务认证设备280,该业务认证设备280包括处理器2801和存储器2802,所述处理器2801和存储器2802通过总线相互连接。
存储器2802包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2802用于相关指令及数据。
处理器2801可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2801是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
业务认证设备280中的处理器2801读取所述存储器2802中存储的程序代码,用于执行以下操作:
和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述处理器2801还用于:
接收所述网络认证设备发送的所述目标共享密钥;
将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,业务认证设备280的具体实现还可以参照上述方法实施例的相应描述。
在图28所示的业务认证设备280中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图29,图29是本发明实施例提供的一种用户设备290,该用户设备290包括处理器2901和存储器2902,所述处理器2901和存储器2902通过总线相互连接。
存储器2902包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2902用于相关指令及数据。
处理器2901可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2901是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
用户设备290中的处理器2901读取所述存储器2902中存储的程序代码,用于执行以下操作:
和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述处理器2901和所述网络认证设备结合所述参考共享密钥生成目标共享密钥之前,还用于:
接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,包括:
和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,用户设备290的具体实现还可以参照上述方法实施例的相应描述。
在图29所示的用户设备290中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图30,图30是本发明实施例提供的一种网络认证设备300,该网络认证设备300包括处理器3001和存储器3002,所述处理器3001和存储器3002通过总线相互连接。
存储器3002包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器3002用于相关指令及数据。
处理器3001可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器3001是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
网络认证设备300中的处理器3001读取所述存储器3002中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述处理器3001和所述用户设备结合所述参考共享密钥生成目标共享密钥之前,还用于:
将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
和所述用户设备结合所述参考共享密钥生成目标共享密钥,包括:
和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在又一种可选的方案中,所述处理器3001还用于:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,网络认证设备300的具体实现还可以参照上述方法实施例的相应描述。
在图30所示的网络认证设备300中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
上述详细阐述了本发明实施例的方法和装置,为了便于更好地实施本发明实施例的上述方案,相应地,下面提供了本发明实施例的相关系统。
请参见图31,图31是本发明实施例提供的一种业务认证系统310的结构示意图,该系统包括业务认证设备3101、用户设备3102和网络认证设备3103。
在一种可选的方案中,该业务认证设备3101为图7所示的业务认证设备70或者图19所示的业务认证设备190;该用户设备3102为图8所示的用户设备80或者图20所示的用户设备200;该网络认证设备3103为图9所示的网络认证设备90或者图21所示的网络认证设备210。
在又一种可选的方案中,该业务认证设备3101为图10所示的业务认证设备100或者图22所示的业务认证设备220;该用户设备3102为图11所示的用户设备110或者图23所示的用户设备230;该网络认证设备3103为图12所示的网络认证设备120或者图24所示的网络认证设备240。
在又一种可选的方案中,该业务认证设备3101为图13所示的业务认证设备130或者图25所示的业务认证设备250;该用户设备3102为图14所示的用户设备140或者图26所示的用户设备260;该网络认证设备3103为图15所示的网络认证设备150或者图27所示的网络认证设备270。
在又一种可选的方案中,该业务认证设备3101为图16所示的业务认证设备160或者图28所示的业务认证设备280;该用户设备3102为图17所示的用户设备170或者图29所示的用户设备290;该网络认证设备3103为图18所示的网络认证设备180或者图30所示的网络认证设备300。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S 3101:网络认证设备生成经过初始共享秘钥加密的访问令牌,所述初始共享秘钥为所述网络认证设备与业务认证设备预先共享的秘钥;该网络认证设备包括生成单元,该网络认证设备具体通过该生成单元来执行步骤S3101,该生成单元可以基于该网络认证设备的处理器来实现步骤S3101。
步骤S3102:所述网络认证设备将所述访问令牌发送给所述用户设备;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3102,该发送单元可以基于该网络认证设备的收发器来实现步骤S3102。
步骤S3103:所述用户设备接收所述访问令牌并将所述访问令牌发送给所述业务认证设备;该用户设备包括收发单元,该用户设备具体通过该收发单元来执行步骤S3103,该收发单元可以基于该用户设备的收发器来实现步骤S3103。
步骤S3104:所述业务认证设备接收所述访问令牌并通过所述初始共享秘钥验证所述访问令牌的正确性;该业务认证设备包括接收单元,该业务认证设备具体通过该接收单元来执行步骤S3104,该接收单元可以基于该业务认证设备的收发器来实现步骤S3104。
步骤S3105:所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,以通知与所述用户设备之间成功完成业务认证。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3105,该发送单元可以基于该业务认证设备的收发器来实现步骤S3105。
在一种可选的方案中,所述访问令牌中包含目标共享秘钥,所述用户设备和所述业务认证设备用于在所述用户设备与所述业务认证设备之间成功完成业务认证时,将所述访问令牌中的所述目标共享秘钥或者基于所述目标共享密钥衍生的共享密钥,作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。可选的,该目标共享秘钥为该网络认证设备与该用户设备进行网络认证得到的共享秘钥。
在又一种可选的方案中,所述访问令牌包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项。可选的,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
进一步地,该访问令牌还可以包括通过初始共享秘钥生成的针对网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项的消息认证码。当包含该消息认证码时,在步骤S3104中还需要基于该初始共享秘钥验证该消息认证码的正确性,步骤S3105中所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,具体为:所述业务认证设备在验证出所述访问令牌正确以及验证出所述消息认证码正确时时向所述用户设备发送验证成功消息。此处描述的网络认证系统还可以参照图6D和图6E所对应实施例的相应描述。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3201:用户设备UE与网络认证设备进行网络认证。该用户设备和该网络认证设备均包括认证单元,该用户设备和该网络认证设备具体通过该认证单元来执行步骤S3201,该认证单元可以基于该用户设备和该网络认证设备的处理器来实现步骤S3201。
步骤S3202:网络认证设备在网络认证通过后生成认证令牌token和该token的过期信息,该过期信息用于表征该token什么时候过期;还可以生成范围信息,该范围信息用于表征该token可以被哪些业务认证设备使用;或者该范围信息用于表征该token可以被哪些用户设备使用。该网络认证设备包括生成单元,该网络认证设备具体通过该生成单元来执行步骤S3202,该生成单元可以基于该网络认证设备的处理器来实现步骤S3202。
步骤S3203:网络认证设备向该UE发送该token;还可以发送该网络认证设备相关的信息,该网络认证设备相关的信息用于表明该token来自于该网络认证设备。该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3203,该发送单元可以基于该网络认证设备的收发器来实现步骤S3203。
步骤S3204:该用户设备向该业务认证设备发送该token和该网络认证设备的相关信息;该用户设备设备包括发送单元,该用户设备具体通过该发送单元来执行步骤S3204,该发送单元可以基于该用户设备的收发器来实现步骤S3204。
步骤S3205:该业务认证设备接收该token和该网络认证设备的相关信息,并根据该网络认证设备的相关信息向该网络认证设备发送该token;发送的消息可能还包括UE ID和业务认证设备的相关信息中的至少一项。该业务认证设备包括接收单元,该业务认证设备具体通过该接收单元来执行步骤S3205,该接收单元可以基于该业务认证设备的收发器来实现步骤S3205。
步骤S3206:该网络认证设备接收该token,判断该token是否为自身生成的token,如果该token为自身生成的token则进一步他根据该过期信息判断该token是否过期,若没过期则表明验证token成功。可选的,当该网络认证设备生成了范围信息时,该网络认证设备还需要根据该范围信息判断发送该token的业务认证设备是否为该范围信息中允许的业务认证设备,若为允许的业务认证设备且该token未过期则表明验证token成功。可选的,该范围信息用于表征该token可以被哪个用户设备使用时,该网络认证设备还需要根据该范围信息判断该用户设备是否为该范围信息中允许的用户设备,若该用户设备为允许的用户设备且该业务认证设备为允许的业务认证设备,并且该token未过期则表明验证token成功。该网络认证设备包括判断单元,该网络认证设备具体通过该判断单元来执行步骤S3206,该判断单元可以基于该网络认证设备的处理器来实现步骤S3206。
可选的,步骤S3205中不包含业务认证设备的相关信息,该网络认证设备也可以根据接收的token的来源确定业务认证设备的相关信息。
可选的,判断该用户设备是否为该范围信息中允许的用户设备时用到的该用户设备的相关信息,可以为该用户设备将该用户设备自身的相关信息发送至业务认证设备,再由业务认证设备在步骤S3205中一同发送至该网络认证设备。
步骤S3207:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3207,该发送单元可以基于该网络认证设备的收发器来实现步骤S3207。
步骤S3208:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3208,该发送单元可以基于该业务认证设备的收发器来实现步骤S3208。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3301:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享秘钥为网络共享密钥K1。该用户设备和该网络认证设备均包括认证单元,该用户设备和该网络认证设备具体通过该认证单元来执行步骤S3301,该认证单元可以基于该网络认证设备和该用户设备的处理器来实现步骤S3301。
步骤S3302:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,并通过该网络共享秘钥K1加密该访问令牌token。可选的,token=Enc_K1_(K2,基础信息,MAC),也即是说,该访问令牌token为采用K1对K2、基础信息和MAC加密生成;其中,K2为该UE确定的后续可能用作用户设备与业务认证设备之间保护数据传输的共享秘钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,可选的,该用户设备可以预先向该网络认证设备和该业务认证设备获取需要用到的信息;MAC=MAC_K1_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享秘钥K1生成。该用户设备包括生成单元,该用户设备具体通过该生成单元来执行步骤S3302,该生成单元可以基于该用户设备的处理器来实现步骤S3302。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数转发给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享秘钥K2可以为配置的随机的参数,也可以为网络共享秘钥K1,还可以为基于网络共享秘钥K1推衍出来的共享秘钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该网络共享秘钥K1和基础信息进行计算来得到该共享秘钥K2。
步骤S3303:UE向业务认证设备发送该token。该用户设备包括发送单元,该用户设备具体通过该发送单元来执行步骤S3303,该发送单元可以基于该用户设备的收发器来实现步骤S3303。
步骤S3304:业务认证设备接收该UE发送的该token并将该token转发该该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息(包括但不限于UEID),该相关信息可能由该UE发送至该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备。该业务认证设备包括接收单元,该业务认证设备具体通过该接收单元来执行步骤S3304,该接收单元可以基于该该业务认证设备的收发器来实现步骤S3304。
步骤S3305:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享秘钥K1,并使用K1解密token得到该共享秘钥K2、该基础信息和消息认证码MAC;然后根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。该网络认证设备包括接收单元,该网络认证设备具体通过该接收单元来执行步骤S3305,该接收单元可以基于该网络认证设备的收发器来实现步骤S3305。
步骤S3306:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功,该通知消息中还包括从token中获得的共享秘钥K2;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3306,该发送单元可以基于该网络认证设备的收发器来实现步骤S3306。
步骤S3307:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3307,该发送单元可以基于该业务认证设备的收发器来实现步骤S3307。
步骤S3308:该UE和该业务认证设备将该K2作为该UE与该业务认证设备之间用于保护数据安全传输的共享秘钥。该用户设备和该业务认证设备均包括共享单元,该用户设备和该业务认证设备具体通过该共享单元来执行步骤S3308,该共享单元可以基于该用户设备的处理器和该业务认证设备的处理器来实现步骤S3308。
可选的,UE与业务认证设备根据K2进一步推衍出共享秘钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该业务认证设备之间保护数据的安全传输。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3401:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享秘钥为网络共享密钥K1。该网络认证设备和该用户设备均包括认证单元,该网络认证设备和该用户设备具体通过该认证单元来执行步骤S3401,该认证单元可以基于该网络认证设备的处理器和该用户设备的处理器来实现步骤S3401。
步骤S3402:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,可选的,该token为消息认证码MAC,MAC=MAC_K1_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享秘钥K1生成。该用户设备包括生成单元,该用户设备具体通过该生成单元来执行步骤S3402,该生成单元可以基于该用户设备的处理器来实现步骤S3402。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数发送给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
步骤S3403:UE向业务认证设备发送该token。该用户设备包括发送单元,该用户设备具体通过该发送单元来执行步骤S3403,该发送单元可以基于该用户设备的收发器来实现步骤S3403。
步骤S3404:业务认证设备接收该UE发送的该token并将该token转发该该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息,该相关信息可能由该UE发送该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备,例如,该用户设备的相关信息可以为该用户设备的身份标识(UEID)。该业务认证设备包括收发单元,该业务认证设备具体通过该收发单元来执行步骤S3404,该收发单元可以基于该业务认证设备的收发器来实现步骤S3404。
步骤S3405:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享秘钥K1,并根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。该网络认证设备包括接收单元,该网络认证设备具体通过该接收单元来执行步骤S3405,该接收单元可以基于该网络认证设备的收发器来实现步骤S3405。
步骤S3406:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3406,该发送单元可以基于该网络认证设备的收发器来实现步骤S3405。
步骤S3407:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。该业务认证设备包括收发单元,该业务认证设备具体通过该收发单元来执行步骤S3407,该收发单元可以基于该业务认证设备的收发器来实现步骤S3407。
需要说明的是,还可以基于上述方案显而易见地推导出以下方案,即UE首先与业务认证设备建立双向认证,由UE或者业务认证设备生成token;之后UE发送token至网络认证设备,网络认证设备可以自己验证token的正确性,也可能将token发送至业务认证设备,由业务认证设备验证token的正确性,并将验证结果发送至网络认证设备。相当于将6C-6H中涉及到的业务认证设备与网络认证设备进行了调换。另外,token包含但不限于如下两种情况:情况一token=Enc_K0_(K2,基础信息,MAC_K0_(基础信息和/或nonce)),情况二:token=MAC_K0_(基础信息和/或nonce)。这两种情况的理解可以参照以上描述,此处不再赘述。
为了便于理解,以下以token由业务认证设备生成为例来进行描述,token由UE生成的情况可以类比。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3501:用户设备UE与业务认证设备进行业务认证,生成的共享秘钥为业务共享密钥K1;该UE可以在业务认证之前或者之后或者业务认证的过程中向该业务认证设备发送网络认证设备的相关信息,以表明该UE需要与该网络认证设备认证。该用户设备和该业务认证设备均包括认证单元,该用户设备和该业务认证设备具体通过该认证单元来执行步骤S3501,该认证单元可以基于该用户设备的处理器和该业务认证设备的处理器来实现步骤S3501。
步骤S3502:业务认证设备根据该网络认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的,token=Enc_K0_(K2,基础信息,MAC),也即是说,该访问令牌token为采用初始共享秘钥K0对K2、基础信息和MAC进行的加密;其中,K2为该业务认证设备确定的,可能用作用户设备与网络认证设备之间保护数据传输的共享秘钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,MAC=MAC_K0_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC的生成采用初始共享秘钥K0。该业务认证设备包括确定单元,该业务认证设备具体通过该确定单元来执行步骤S3502,该确定单元可以基于该业务认证设备的处理器来实现步骤S3502。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则业务认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享秘钥K2可以为配置的随机的参数,也可以为业务共享秘钥K1,还可以为基于业务共享秘钥K1推衍出来的共享秘钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该业务共享秘钥K1和基础信息进行计算来得到该共享秘钥K2。
进一步地,网络认证设备的相关信息为能够在一定范围内区分该网络认证设备与其他设备的信息,例如,可以为该网络认证设备的IP地址。
步骤S3503:该业务认证设备向UE发送K2和token,还可能发送业务认证设备的相关信息,所述业务认证设备的相关信息可以包括业务参数。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3503,该发送单元可以基于该业务认证设备的收发器来实现步骤S3503。
步骤S3504:UE接收K2和token并向网络认证设备发送该token和该业务认证设备的相关信息。UE可以自己生成该业务认证设备的相关信息,也可以在与该业务认证设备进行业务认证之时,或者之前,或者之后接收该业务认证设备发送的该业务认证设备的相关信息,优选的,在E在步骤S3503中接收该业务认证设备发送的业务认证设备的相关信息。该用户设备包括收发单元,该用户设备具体通过该收发单元来执行步骤S3504,该收发器单元可以基于该用户设备的收发器来实现步骤S3504。
步骤S3505:网络认证设备接收该token和该业务认证设备的相关信息,根据该业务认证设备的相关信息来确定预先与该业务认证设备共享的初始共享秘钥K0,并使用K0解密token得到该共享秘钥K2、该基础信息和消息认证码MAC;然后根据K0验证MAC的正确性,验证MAC成功后则表明该网络认证设备验证token成功。因此,该网络认证设备将该K2作为与该UE之间用于保护数据传输的共享秘钥。该网络认证设备包括接收单元,该网络认证设备具体通过该接收单元来执行步骤S3505,该接收单元可以基于该网络认证设备的收发器来实现步骤S3505。
步骤S3506:该网络认证设备向该UE发送消息以通知验证token成功,相应地,该UE接收消息。该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3506,该发送单元可以基于该网络认证设备的收发器来实现步骤S3506。
步骤S3507:该网络认证设备和该UE将该共享秘钥K2作为该UE与该网络认证设备之间用户保护数据安全传输的共享秘钥。该网络认证设备和该用户设备均包括共享单元,该网络认证设备和该用户设备具体通过该共享单元来执行步骤S3507,该共享单元可以基于该网络认证设备的处理器和该用户设备的的处理器来实现步骤S3507。
可选的,UE与网络认证设备根据K2进一步推衍出共享秘钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该网络认证设备之间保护数据的安全传输。
可选的,加密token的共享秘钥为K1而不是K0,网络认证设备接收到token后根据业务认证设备的相关信息向该业务认证设备转发该token和该UE的相关信息;该业务认证设备根据该UE的相关信息确定与该UE认证生成的共享秘钥K1,再根据K1来解密token,并验证该token中MAC的正确性,验证成功即表明该UE与该网络认证设备认证成功,因此将K2发送给该网络认证设备,以便该UE和该网络认证设备将该K2作为保护数据安全传输的共享秘钥。可选的,该UE的相关信息可以由该UE发送给业务认证设备,该UE的相关信息可以为该UE的身份标识。
需要说明的是,还可以对以上网络认证系统进行相应拓展得到新的网络认证系统,拓展的思路如下:
K1为UE与网络认证设备之间的共享密钥,包括但不限于Kasme,加密秘钥(英文:cihper key,简称:CK)和完整性保护密钥(英文:integrity key,简称:IK)中的的至少一项。
另外,也可能采用非对称密码的形式计算token,例如token=Enc_PK_业务_(K2,(nonce1,基本信息),signature=MAC_SK_网络_(nonce2,基本信息))。PK_业务表示该业务认证设备提供的业务的公钥参数,SK_网络表示该网络认证设备所在的运营商网络的私钥参数。此时业务认证设备可以根据自己的私钥SK_业务解密打开token;并且利用网络认证设备所在运营商网络的公钥PK_网络,验证token中签名的正确性。此时token的验证更加灵活,不需要与网络认证设备进行网络认证交互即可完成验证。另外,此处加密和签名的算法可以为基于公钥基础设施(英文:Public key infrastructure,简称:PKI)等非对称密码技术,也可以为基于身份的密码技术。
在本发明实施例中,所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥的方式有多种。
在一种可选的方案中,该网络认证设备可以包括的CP-AU,所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
步骤S4201:UE向CP-AU发送请求接入网络的消息,该请求接入网络的消息包含该UE的身份标识UEID和该UE与目标业务相关的业务标识,该目标业务为该UE当前执行的业务。
步骤S4202:该CP-AU接收该请求接入网络的消息并通过预设的规则或者算法对该UEID和该业务标识进行处理或者与其他网元进行协商交互得到第二共享密钥Kser,以及向签约服务器(Subscriber Repository)发送请求签约数据的消息,该签约服务器中存储了该UE的签约信息,例如,存储了该UE的SIM卡号码。
步骤S4203:该签约服务器接收该请求签约数据的消息并根据该UEID确定与该UE预先共享的预置密钥K(可选的,该K为该SIM卡号码),然后根据该预置密钥K计算认证向量AV,该认证向量包括随机数RAND、网络侧认证令牌(英文:Authentication Token,简称:AUTN),期待响应(英文:Expected Response,简称:XRES)和基础密钥K_NG(例如,该K_NG接入安全管理密钥(英文:KeyAcess Security Management Entity,简称:KASME))等信息,该K_NG是基于预置密钥K和相关的网络参数来生成的;为了便于区分可以称该AV中的期待响应为初始期待响应,该网络侧认证令牌中包含消息认证码,可以称该消息认证码为网络侧初始消息认证码MAC。
步骤S4204:该签约服务器将该认证向量发送给该CP-AU。
步骤S4205:该CP-AU接收该签约服务器发送的该认证向量,并通过预设的消息认证码算法对该第二共享密钥Kser和该网络侧初始消息认证码MAC进行计算得到网络侧参考消息认证码MAC’,例如,该网络侧参考消息认证码MAC’=MAC(Kser,MAC,(nonce1,RAND,SQN,NAS COUNT,UE ID的至少一项)),即生成该MAC’需要考虑Kser和MAC这两个因素,除此之外还可以考虑新鲜参数nonce1、RAND、序列号(英文:Sequence Number,简称:SQN)、NASCOUNT、UEID等参数,若MAC’的生成包括CP-AU选择的新鲜参数nonce1,则nonce1可以由CP-AU发送给UE。该消息认证码算法可为HMACsha-256等。
步骤S4206:该CP-AU向该UE发送用户认证请求,该用户认证请求包括该随机数RAND、K_NG的密钥索引KSING、新的网络侧认证令牌AUTN’,此处的AUTN’=SQN xor(异或)AK||AMF||MAC’,而上面AUTN=SQN xor(异或)AK||AMF||MAC,也即是说,该CP-AU将签约服务器发送的AUTN中的MAC替换为了MAC’,然后就替换后形成的新的网络侧认证令牌AUTN’发送给了UE。
步骤S4207:该UE接收该用户认证请求,然后通过认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)的密钥推演算法对该用户认证请求中的信息进行计算,得到用户侧认证令牌AUTNUE和响应(英文:Response,简称:RES)等信息,该用户侧认证令牌中的消息认证码可以称为用户侧初始消息认证码,该用户侧的响应可以称为初始响应。
步骤S4208:该UE通过上述预设的消息认证码算法对该第二共享密钥Kser和该用户侧初始消息认证码MAC进行计算得到用户侧参考消息认证码MAC”,然后判断网络侧参考消息认证码MAC’与该用户侧参考消息认证MAC”是否相同,若相同,则该UE已对该CP-AU的认证通过,由于认证的过程中使用到的信息与业务相关且与网络相关,因此可以看作该UE对该网络和该目标业务的认证通过。需要说明的是,该UE预先基于自身已有的UEID和业务标识计算出了该第二共享密钥Kser,或者该UE预先存储了该第二共享密钥Kser。
步骤S4209:若该UE对该CP-AU的认证通过,则该UE通过预设的响应算法对该RES和该Kser进行计算得到参考响应RES’,例如,RES’=MAC(Kser,RES,(nonce1,nonce2,RAND,SQN,NAS COUNT,UE ID的至少一项)),即计算该RES’需要考虑Kser和RES,除此之外还可能考虑nonce1、nonce2、RAND、SQN、NAS COUNT、UE ID等信息;然后,该UE将该RES’发送给该CP-AU。若RES’的生成包括UE选择的新鲜参数nonce2,则nonce2可以由该UE发送给该CP-AU。
步骤S4210:该CP-AU接收该RES’,然后同样通过该预设的响应算法对该XRES和Kser进行计算得到参考期待响应XRES’。
步骤S4211:该CP-AU判断自身计算出参考期待响应XRES’与该UE发送的参考响应RES’是否相同,若相同,则该CP-AU对该UE的认证通过,即网络对UE的认证通过。
步骤S4212:当该UE对该CP-AU的认证通过,以及该CP-AU对该UE的认证通过后,该UE和该CP-AU通过相同的密钥生成算法对该K_NG和Kser进行计算生成密钥,生成的密钥即为该UE与该CP-AU之间双向认证生成的目标共享密钥。该UE和CP-AU使用的哪种密钥生成算法此处暂不作限定。可以理解的是,该UE可以通过K_NG的索引KSI_NG获取到该K_NG。另外,UE可以在通过了对CP-AU的认证后就生成该目标共享密钥,而CP-AU可以在通过该UE的认证后再生成该目标共享密钥。
在又一种可选的方案中,该网络认证设备可以包括的CP-AU,所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
步骤S4301:UE向CP-AU发送请求接入网络的消息,该请求接入网络的消息包含该UE的身份标识UEID和目标业务的业务标识,该目标业务为该UE当前执行的业务。
步骤S4302:该CP-AU接收请求接入网络的消息并根据对该UEID和该业务标识获取第二共享密钥Kser,以及向签约服务器(Subscriber Repository)发送请求签约数据的消息,该签约服务器中存储了该UE的签约信息,例如,存储了该UE的SIM卡号码。
步骤S4303:该签约服务器接收该请求签约数据的消息并根据该UEID确定与该UE预先共享的预置密钥K(可选的,该K为该SIM卡号码),然后根据该预置密钥K计算认证向量AV,该认证向量包括随机数RAND、网络侧认证令牌(英文:Authentication Token,简称:AUTN),期待响应(英文:Expected Response,简称:XRES)和基础密钥K_NG(例如,接入安全管理密钥(英文:Key AcessSecurity Management Entity,简称:KASME))等信息,该K_NG是基于预置密钥K和相关的网络参数来生成的;为了便于区分可以称该AV中的期待响应为初始期待响应,该网络侧认证令牌中包含消息认证码,可以称该消息认证码为网络侧初始消息认证码MAC。
步骤S4304:该签约服务器将该认证向量发送给该CP-AU。
步骤S4305:该CP-AU接收该签约服务器发送的该认证向量,并通过预设的第一消息认证码算法对RAND、该第二共享密钥Kser等信息进行计算得到网络侧附加消息认证码MAC1,例如,该网络侧附加消息认证码MAC1=MAC(Kser,RAND,(nonce1,该MACSQN,NASCOUNT,UE ID的至少一项)),即生成该MAC1需要考虑Kser和RAND,除此之外还可以考虑该网络侧初始消息认证码新鲜参数nonce1、MAC、序列号(英文:Sequence Number,简称:SQN)、NAS COUNT、UEID等参数,若MAC1的生成包括CP-AU选择的新鲜参数nonce1,则nonce1可以由CP-AU发送给UE。该消息认证码算法可为HMACsha-256等。
步骤S4306:该CP-AU向该UE发送用户认证请求,该用户认证请求包括该随机数RAND、K_NG的密钥索引KSI_NG、网络侧初始消息认证码MAC、网络侧附加消息认证码MAC1等信息,该MAC和该MAC1可以存在于网络侧认证令牌AUTN中,该MAC和该MAC1存在于网络侧认证令牌AUTN中时,AUTN=SQN xor(异或)AK||AMF||MAC||MAC1。该MAC1也可能不存储在该AUTN中。
步骤S4307:该UE接收该用户认证请求,然后通过认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)的密钥推演算法对该用户认证请求中的信息进行计算,得到用户侧认证令牌AUTNUE和响应(英文:Response,简称:RES)等信息,该用户侧认证令牌中的消息认证码可以称为用户侧初始消息认证码,该用户侧认证令牌中的响应可以称为初始响应。
步骤S4308:该UE同样通过上述预设的第一消息认证码算法对该RAND、该第二共享密钥Kser和MAC进行计算得到用户侧附加消息认证码MAC1’,然后判断网络侧附加消息认证码MAC1是否与该用户侧附加消息认证MAC1’相同,以及用户侧初始消息认证码与网络侧初始消息认证码是否相同;若均相同则该UE对该CP-AU的认证通过。需要说明的是,该UE预先基于自身已有的UEID和业务标识计算出了该第二共享密钥Kser。由于认证的过程中使用到的信息与业务相关且与网络相关,因此可以看作该UE对该网络和该目标业务的认证通过。可以理解的是,当生成该网络侧附加消息认证时用到了该网络侧初始消息认证码时,该UE需要先判断该网络侧初始消息认证码与该用户侧初始消息认证码是否相同,若相同再判断该网络侧附加消息认证码与该用户侧附加消息认证码是否相同。
步骤S4309:若该UE对该CP-AU的认证通过,则该UE通过预设的第二消息认证码算法对该Kser和RAND进行计算得到用户侧响应消息认证码MAC2,例如,MAC2=MAC(Kser,(RES,(nonce1,nonce2,SQN,NAS COUNT,UE ID的至少一项)),即计算该MAC2需要考虑Kser和RAND,除此之外还可能考虑RES、nonce1、nonce2、SQN、NAS COUNT、UE ID等参数;然后,该UE将该初始响应RES和该用户侧响应消息认证码MAC2发送给该CP-AU。若MAC2的生成包括UE选择的新鲜参数nonce2,则nonce2可以由该UE发送给该CP-AU。
步骤S4310:该CP-AU接收该RES和该MAC2,然后同样通过该预设的第二消息认证码算法对该Kser进行计算得到网络侧响应消息认证码MAC2’。
步骤S4311:该CP-AU判断初始期待响应XRES是否与该UE发送的初始响应RES相同,且该网络侧响应消息认证码MAC2’是否与该用户侧响应消息认证码MAC2相同;若均相同则该CP-AU对该UE的认证通过,即该网络对该UE的认证通过。可以理解的是,当计算该用户侧响应消息认证码用到了初始响应RES时,该CP-AU需要先判断该初始响应RES与该初始期待响应是否相同,若相同再判断该网络侧响应消息认证码与该用户侧响应消息认证码是否相同。
步骤S4312:当该UE对该CP-AU的认证通过,以及该CP-AU对该UE的认证通过后,该UE和该CP-AU通过相同的密钥生成算法对该KASME和Kser进行计算生成密钥,生成的密钥即为该UE与该CP-AU之间双向认证生成的目标共享密钥。该UE和CP-AU使用的哪种密钥生成算法此处暂不作限定。可以理解的是,该UE可以通过K_NG的索引KSI_NG获取到该K_NG。另外,UE可以在通过了对CP-AU的认证后就生成该目标共享密钥,而CP-AU可以在通过该UE的认证后再生成该目标共享密钥。
需要说明的是,以上各个实施例中列出的步骤的先后顺序此处不做限制,有些步骤先执行还是后执行对实施例的实施不会产生实质的影响,因此在以上列出的步骤的先后顺序的基础上,对步骤执行的先后顺序进行调整所形成的方案依然落入本发明的保护范围。
综上所述,通过实施本发明实施例,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上实施例仅揭露了本发明中较佳实施例,不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (125)
1.一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制;其中:
所述业务认证设备用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥;
所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备;
所述网络认证设备用于接收所述第二共享密钥,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
2.根据权利要求1所述的系统,其特征在于:
所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
3.根据权利要求2所述的系统,其特征在于:
所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述网络认证设备和所述用户设备均用于根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
4.根据权利要求1所述的系统,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
5.根据权利要求2~4任一项所述的系统,其特征在于:
所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备;
所述业务认证设备用于接收所述目标共享密钥;
所述业务认证设备和所述用户设备用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
6.根据权利要求1所述的系统,其特征在于:
所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
7.根据权利要求1所述系统,其特征在于:
所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
8.根据权利要求1所述的系统,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
根据所述参考信息和所述第一共享密钥进行业务认证生成第二共享密钥;
所述业务认证设备还用于将所述第二共享密钥作为所述目标共享密钥。
9.根据权利要求1所述的系统,其特征在于,所述业务认证设备用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
10.根据权利要求1所述的系统,其特征在于:
所述网络认证设备用于向所述业务认证设备获取所述第一共享密钥;
所述网络认证设备用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备用于将所述网络侧信息发送给所述业务认证设备;
所述业务认证设备用于接收并向所述用户设备转发所述网络侧信息;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息;
所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
11.根据权利要求1~10任一项所述的系统,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
12.根据权利要求11所述的系统,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
13.一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于将预存的目标业务的业务参数发送给所述网络认证设备和所述用户设备;
所述网络认证设备和所述用户设备用于接收所述业务参数;
所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
14.根据权利要求13所述的系统,其特征在于,所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享秘生成目标共享密钥,具体为:
所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
15.根据权利要求13或14所述的系统,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
16.一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于获取所述用户设备的身份标识;
所述业务认证设备用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备;
所述网络认证设备用于接收所述身份密钥和所述业务公钥,并结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
所述网络认证设备用于将所述认证根密钥写入所述用户设备;
所述网络认证设备和所述用户设备用于根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
17.根据权利要求16所述的系统,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
18.一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备和所述用户设备用于进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备用于预先配置参考共享密钥;
所述业务认证设备用于将所述参考共享密钥发送给所述网络认证设备;
所述网络认证设备用于接收所述参考共享密钥;
所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
19.根据权利要求18所述的系统,其特征在于,所述网络认证设备用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥,具体为:
所述网络认证设备和所述用户设备均用于根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述网络认证设备和所述用户设备用于根据所述认证共享密钥进行网络认证生成目标共享密钥。
20.根据权利要求19所述系统,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
21.根据权利要求18~20任一项所述的系统,其特征在于:
所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备;
所述业务认证设备用于接收所述目标共享密钥;
所述业务认证设备和所述用户设备用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
22.一种业务认证设备,其特征在于,包括:
第一获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
发送单元,用于将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
其中,所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
23.根据权利要求22所述的业务认证设备,其特征在于,所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
24.根据权利要求22或23所述的业务认证设备,其特征在于,还包括:
第一接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
生成单元,用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
25.根据权利要求22或23所述的业务认证设备,其特征在于,还包括:
生成单元,用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
26.根据权利要求22所述的业务认证设备,其特征在于,还包括:
第二获取单元,用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
27.根据权利要求22所述的业务认证设备,其特征在于,还包括:
第二接收单元,用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
28.根据权利要求22~27任一项所述的业务认证设备,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
29.根据权利要求28所述的业务认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
30.一种用户设备,其特征在于,包括:
获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
其中,所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
31.根据权利要求30所述用户设备,其特征在于,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
32.根据权利要求30所述的用户设备,其特征在于,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
33.根据权利要求32所述的用户设备,其特征在于,还包括:
认证单元,用于和所述网络认证设备进行网络认证生成第三共享密钥;
所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
34.根据权利要求30所述的用户设备,其特征在于,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备进行网络认证生成第三共享密钥;
根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
35.根据权利要求30所述的用户设备,其特征在于,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
36.根据权利要求30所述的用户设备,其特征在于,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
37.根据权利要求30~36任一项所述的用户设备,其特征在于,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
38.根据权利要求30~36任一项所述的用户设备,其特征在于,还包括:
第一接收单元,用于接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
39.根据权利要求30~38任一项所述的用户设备,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
40.根据权利要求39所述的用户设备,其特征在于,当所述参考信息包含所述业务参数时,还包括:
第二接收单元,用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
41.根据权利要求39或40所述的用户设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
42.一种网络认证设备,其特征在于,包括:
接收单元,用于接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
第一生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
其中,所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
43.根据权利要求42所述的网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
44.根据权利要求43所述的网络认证设备,其特征在于,还包括:
认证单元,用于和所述用户设备进行网络认证生成第三共享密钥;
所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
45.根据权利要求42所述的网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
46.根据权利要求42所述的网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备进行网络认证生成第三共享密钥;
和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
47.根据权利要求42所述网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
48.根据权利要求42~47任一项所述的网络认证设备,其特征在于,还包括:
获取单元,用于向所述业务认证设备获取所述第一共享密钥;
第二生成单元,用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
49.根据权利要求42~47任一项所述的网络认证设备,其特征在于,还包括:
发送单元,用于将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
50.根据权利要求42~49任一项所述的网络认证设备,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
51.根据权利要求50所述的网络认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
52.一种业务认证设备,其特征在于,包括:
发送单元,用于将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
53.根据权利要求52所述的业务认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
54.一种用户设备,其特征在于,包括:
接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
生成单元,用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
55.根据权利要求 54所述的用户设备,其特征在于,所述生成单元和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
56.根据权利要求54或55所述的用户设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
57.一种网络认证设备,其特征在于,包括:
接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
生成单元,用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
58.根据权利要求57所述的网络认证设备,其特征在于,所述生成单元和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
59.根据权利要求57或58所述的网络认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
60.一种业务认证设备,其特征在于,包括:
获取单元,用于获取用户设备的身份标识;
生成单元,用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
61.一种用户设备,其特征在于,包括:
生成单元,用于和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
62.根据权利要求61所述的用户设备,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
63.一种网络认证设备,其特征在于,包括:
接收单元,用于接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
生成单元,用于结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
写入单元,用于将所述认证根密钥写入所述用户设备;
认证单元,用于和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
64.根据权利要求63所述的网络认证设备,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
65.一种业务认证设备,其特征在于,包括:
认证单元,用于和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
发送单元,用于将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
66.根据权利要求65所述的业务认证设备,其特征在于,还包括:
接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
确定单元,用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
67.一种用户设备,其特征在于,包括:
配置单元,用于和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
生成单元,用于和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
68.根据权利要求67所述的用户设备,其特征在于,还包括:
接收单元,用于接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述生成单元和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
69.根据权利要求68所述用户设备,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
70.一种网络认证设备,其特征在于,包括:
接收单元,用于接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
生成单元,用于和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
71.根据权利要求70所述的网络认证设备,其特征在于,还包括:
第一发送单元,用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述生成单元和所述用户设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
72.根据权利要求71所述网络认证设备,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
73.根据权利要求70~72任一项所述的网络认证设备,其特征在于,还包括:
第二发送单元,用于将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
74.一种网络认证方法,其特征在于,包括:
业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述业务认证设备将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
其中,所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
75.根据权利要求74所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
76.根据权利要求74或75所述的方法,其特征在于,所述业务认证设备将所述第二共享密钥发送给所述网络认证设备之后,所述方法还包括:
所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥;
所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
77.根据权利要求74或75所述的方法,其特征在于,所述业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后,所述方法还包括:
所述业务认证设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
78.根据权利要求74所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述业务认证设备获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
79.根据权利要求74所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述业务认证设备接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
80.根据权利要求74~79任一项所述的方法,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
81.根据权利要求80所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
82.一种网络认证方法,其特征在于,包括:
用户设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
所述用户设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
其中,所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
83.根据权利要求82所述方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
84.根据权利要求82所述的方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
85.根据权利要求84所述的方法,其特征在于,所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前,所述方法还包括:
所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;
所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述用户设备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
86.根据权利要求82所述的方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;
所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
87.根据权利要求82所述的方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
88.根据权利要求82所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
89.根据权利要求82~88任一项所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
用户设备和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
90.根据权利要求82~88任一项所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述用户设备接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
91.根据权利要求82~90任一项所述的方法,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
92.根据权利要求91所述的方法,其特征在于,当所述参考信息包含所述业务参数时,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述用户设备接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
93.根据权利要求91或92所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
94.一种网络认证方法,其特征在于,包括:
网络认证设备接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述网络认证设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
其中,所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
95.根据权利要求94所述的方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
96.根据权利要求95所述的方法,其特征在于,所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前,所述方法还包括:
所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述网络认证设备和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
97.根据权利要求94所述的方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
98.根据权利要求94所述的方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
99.根据权利要求94所述方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
100.根据权利要求94~99任一项所述的方法,其特征在于,所述方法还包括:
所述网络认证设备向所述业务认证设备获取所述第一共享密钥;
所述网络认证设备根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
101.根据权利要求94~99任一项所述的方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥之前,所述方法还包括:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
102.根据权利要求94~101任一项所述的方法,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
103.根据权利要求102所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
104.一种网络认证方法,其特征在于,包括:
业务认证设备将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
105.根据权利要求104所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
106.一种网络认证方法,其特征在于,包括:
用户设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
107.根据权利要求106所述的方法,其特征在于,所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
108.根据权利要求106或107所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
109.一种网络认证方法,其特征在于,包括:
网络认证设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
110.根据权利要求109所述的方法,其特征在于,所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
111.根据权利要求109或110所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
112.一种网络认证方法,其特征在于,包括:
业务认证设备获取用户设备的身份标识;
所述业务认证设备结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
113.一种网络认证方法,其特征在于,包括:
用户设备和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
114.根据权利要求113所述的方法,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
115.一种网络认证方法,其特征在于,包括:
网络认证设备接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
所述网络认证设备结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
所述网络认证设备将所述认证根密钥写入所述用户设备;
所述网络认证设备和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
116.根据权利要求115所述的方法,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
117.一种网络认证方法,其特征在于,包括:
业务认证设备和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
所述业务认证设备将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
118.根据权利要求117所述的方法,其特征在于,所述方法还包括:
所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥;
所述业务认证设备将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
119.一种网络认证方法,其特征在于,包括:
用户设备和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
120.根据权利要求119所述的方法,其特征在于,所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述用户设备接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述用户设备和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
121.根据权利要求120所述方法,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
122.一种网络认证方法,其特征在于,包括:
网络认证设备接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥;
所述业务认证设备为对业务的认证进行管理的设备,所述网络认证设备为运营商提供网络接入的设备,所述业务认证设备不受所述运营商控制。
123.根据权利要求122所述的方法,其特征在于,所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述网络认证设备将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述网络认证设备和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
124.根据权利要求123所述方法,其特征在于,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
125.根据权利要求122~124任一项所述的方法,所述方法还包括:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP17830184.2A EP3444998B1 (en) | 2016-07-16 | 2017-01-23 | Network verification method and associated apparatus and system |
PCT/CN2017/072253 WO2018014535A1 (zh) | 2016-07-16 | 2017-01-23 | 一种网络认证方法、相关设备及系统 |
PCT/CN2017/083360 WO2018014630A1 (zh) | 2016-07-16 | 2017-05-05 | 一种网络认证方法、相关设备及系统 |
US16/248,778 US11075752B2 (en) | 2016-07-16 | 2019-01-16 | Network authentication method, and related device and system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2016105630162 | 2016-07-16 | ||
CN201610563016 | 2016-07-16 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107623670A CN107623670A (zh) | 2018-01-23 |
CN107623670B true CN107623670B (zh) | 2021-10-01 |
Family
ID=61087706
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610633776.6A Pending CN107623668A (zh) | 2016-07-16 | 2016-08-04 | 一种网络认证方法、相关设备及系统 |
CN201610819335.5A Active CN107623670B (zh) | 2016-07-16 | 2016-09-09 | 一种网络认证方法、相关设备及系统 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610633776.6A Pending CN107623668A (zh) | 2016-07-16 | 2016-08-04 | 一种网络认证方法、相关设备及系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11075752B2 (zh) |
EP (1) | EP3444998B1 (zh) |
CN (2) | CN107623668A (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107623668A (zh) * | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
KR102633995B1 (ko) * | 2016-08-22 | 2024-02-06 | 삼성전자 주식회사 | 무선 통신 시스템에서, 단말과 써드 파티 서버 간의 인증 요청 방법 및, 이를 위한 단말 및 네트워크 슬라이스 인스턴스 관리 장치 |
FR3057132A1 (fr) * | 2016-10-04 | 2018-04-06 | Orange | Procede d'authentification mutuelle entre un equipement utilisateur et un reseau de communication |
MY195382A (en) | 2016-10-31 | 2023-01-18 | Ericsson Telefon Ab L M | Authentication for Next Generation Systems |
EP3639543B1 (en) * | 2017-10-02 | 2022-06-01 | Telefonaktiebolaget LM Ericsson (publ) | Methods and apparatuses for securing network steering information |
CN108495279B (zh) * | 2018-03-09 | 2020-02-14 | 北京全路通信信号研究设计院集团有限公司 | 一种lte-m信令解析方法及系统 |
CN109068321B (zh) * | 2018-07-19 | 2021-07-02 | 飞天诚信科技股份有限公司 | 协商会话密钥的方法、系统、移动终端及智能家居设备 |
CN110958598B (zh) * | 2018-09-26 | 2022-05-06 | 中国移动通信有限公司研究院 | 一种移动终端和sim卡的绑定认证方法和装置 |
US11076004B2 (en) * | 2019-08-20 | 2021-07-27 | The Calany Holding S.Á R.L. | Virtual radio access network system and method for optimized real-time responsive continuous location-based cloud computing, rendering, tracking, and communication services in three-dimensional space through a distributed computing center network |
CN110690928B (zh) * | 2019-09-01 | 2020-10-16 | 成都量安区块链科技有限公司 | 一种量子中继链路虚拟化方法与装置 |
CN115567931A (zh) * | 2019-09-12 | 2023-01-03 | 华为技术有限公司 | 一种密钥生成方法及装置 |
CN114765596B (zh) * | 2021-01-04 | 2023-12-01 | 腾讯科技(深圳)有限公司 | 社交关系的构建方法、装置、服务器及存储介质 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101303717B (zh) * | 1995-02-13 | 2015-04-29 | 英特特拉斯特技术公司 | 用于安全交易管理和电子权利保护的系统和方法 |
FI115372B (fi) * | 1998-09-18 | 2005-04-15 | Nokia Corp | Menetelmä matkaviestimen tunnistamiseksi, viestintäjärjestelmä ja matkaviestin |
CN100403742C (zh) * | 2003-07-25 | 2008-07-16 | 华为技术有限公司 | 一种媒体网关与媒体网关控制器之间安全认证的方法 |
EP1867094A2 (en) * | 2005-03-15 | 2007-12-19 | Trapeze Networks, Inc. | System and method for distributing keys in a wireless network |
CN100407868C (zh) * | 2005-06-17 | 2008-07-30 | 中兴通讯股份有限公司 | 一种在移动用户和应用服务器之间建立安全信道的方法 |
CN101005326B (zh) | 2006-01-18 | 2014-05-07 | 华为技术有限公司 | 一种上行资源分配方法和无线通信系统 |
CN1859097B (zh) | 2006-01-19 | 2010-08-04 | 华为技术有限公司 | 一种基于通用鉴权框架的认证方法及系统 |
WO2007085175A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile |
CN101009919A (zh) | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
CN101052033B (zh) * | 2006-04-05 | 2012-04-04 | 华为技术有限公司 | 基于ttp的认证与密钥协商方法及其装置 |
CN101141792A (zh) * | 2006-09-09 | 2008-03-12 | 华为技术有限公司 | 一种通用引导架构推送的方法 |
CN100448196C (zh) * | 2006-12-29 | 2008-12-31 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的无线局域网运营方法 |
US8817990B2 (en) * | 2007-03-01 | 2014-08-26 | Toshiba America Research, Inc. | Kerberized handover keying improvements |
CN101030862B (zh) * | 2007-03-29 | 2010-05-26 | 中兴通讯股份有限公司 | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue |
CN102196436B (zh) * | 2010-03-11 | 2014-12-17 | 华为技术有限公司 | 安全认证方法、装置及系统 |
US8429441B2 (en) * | 2010-04-19 | 2013-04-23 | International Business Machines Corporation | Operating processor below maximum turbo mode frequency by sending higher than actual current amount signal to monitor |
CN102195906A (zh) | 2011-06-22 | 2011-09-21 | 北京交通大学 | Ofdm系统中导频信号的设计方法及系统 |
CN106254386B (zh) | 2011-09-20 | 2019-07-05 | 中兴通讯股份有限公司 | 一种信息处理方法和名字映射服务器 |
CN103024735B (zh) * | 2011-09-26 | 2015-07-01 | 中国移动通信集团公司 | 无卡终端的业务访问方法及设备 |
CN103051598B (zh) | 2011-10-17 | 2017-04-26 | 中兴通讯股份有限公司 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
US10826663B2 (en) | 2013-03-13 | 2020-11-03 | Huawei Technologies Co., Ltd. | System and method for determining a pilot signal |
JP6203093B2 (ja) * | 2014-03-19 | 2017-09-27 | 株式会社東芝 | 通信システム、通信装置、通信方法およびプログラム |
CN104954125A (zh) * | 2014-03-25 | 2015-09-30 | 华为技术有限公司 | 密钥协商方法、用户设备、路由器及位置服务器 |
CN104980247B (zh) | 2014-04-04 | 2019-11-22 | 北京三星通信技术研究有限公司 | 自适应调整调制编码方式和参考信号图样的方法、基站、终端和系统 |
US9439069B2 (en) * | 2014-12-17 | 2016-09-06 | Intel IP Corporation | Subscriber identity module provider apparatus for over-the-air provisioning of subscriber identity module containers and methods |
CN107579948B (zh) | 2016-07-05 | 2022-05-10 | 华为技术有限公司 | 一种网络安全的管理系统、方法及装置 |
CN107623668A (zh) * | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
-
2016
- 2016-08-04 CN CN201610633776.6A patent/CN107623668A/zh active Pending
- 2016-09-09 CN CN201610819335.5A patent/CN107623670B/zh active Active
-
2017
- 2017-01-23 EP EP17830184.2A patent/EP3444998B1/en active Active
-
2019
- 2019-01-16 US US16/248,778 patent/US11075752B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3444998B1 (en) | 2021-03-10 |
EP3444998A4 (en) | 2019-05-22 |
CN107623668A (zh) | 2018-01-23 |
US11075752B2 (en) | 2021-07-27 |
EP3444998A1 (en) | 2019-02-20 |
US20190149329A1 (en) | 2019-05-16 |
CN107623670A (zh) | 2018-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107623670B (zh) | 一种网络认证方法、相关设备及系统 | |
CN108293223B (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
TWI524807B (zh) | 裝置間通訊的認證系統及認證方法 | |
KR101097709B1 (ko) | 셀룰러 시스템과 연관된 보안값(들)에 기초하여 무선근거리 네트워크에 대한 액세스를 인증하는 방법 | |
EP3771244B1 (en) | Authentication method, related equipment, and system | |
EP2309698B1 (en) | Exchange of key material | |
CN101147377B (zh) | 无线通信的安全自启动 | |
JP7010215B2 (ja) | 通信方法、認証サーバ及び認証サーバのための方法 | |
US10149158B2 (en) | Access method, system, and device of terminal, and computer storage medium | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
EP2475194B1 (en) | Service access method, system and device based on wlan access authentication | |
WO2018049865A1 (zh) | 一种网络漫游保护方法、相关设备及系统 | |
CN112119651B (zh) | 接入技术不可知的服务网络认证方法和装置 | |
JPWO2018079692A1 (ja) | システム、基地局、コアネットワークノード、及び方法 | |
WO2018014535A1 (zh) | 一种网络认证方法、相关设备及系统 | |
US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
CN117546441A (zh) | 一种安全通信方法及装置、终端设备、网络设备 | |
CN102378174A (zh) | 一种sim卡的用户终端的接入方法、装置及系统 | |
KR20080093449A (ko) | Cdma 네트워크에서 gsm 인증 | |
CN105721144A (zh) | 一种无线网络接入点的密码保存方法及终端 | |
CN111865569B (zh) | 一种密钥协商方法及装置 | |
Yadav et al. | A Secure Key Management and Authentication Protocol for Virtualized-BBU in C-RAN Architecture | |
EP3847836B1 (en) | Method for updating a secret data in a credential container | |
Huang et al. | A secure and efficient multi-device and multi-service authentication protocol (semmap) for 3gpp-lte networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |