CN109429225A - 消息接收、发送方法及装置、终端、网络功能实体 - Google Patents

消息接收、发送方法及装置、终端、网络功能实体 Download PDF

Info

Publication number
CN109429225A
CN109429225A CN201710764710.5A CN201710764710A CN109429225A CN 109429225 A CN109429225 A CN 109429225A CN 201710764710 A CN201710764710 A CN 201710764710A CN 109429225 A CN109429225 A CN 109429225A
Authority
CN
China
Prior art keywords
key
uid
token
user identifier
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710764710.5A
Other languages
English (en)
Inventor
谢振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201710764710.5A priority Critical patent/CN109429225A/zh
Publication of CN109429225A publication Critical patent/CN109429225A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种消息接收、发送方法及装置、终端、网络功能实体;其中,所述消息接收方法包括:向第一网络功能实体发送用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;接收第一网络功能实体根据请求消息返回的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。通过本发明,解决了相关技术中终端如何获取到归属域密钥的问题,达到不需要升级USIM就可以获取到归属域密钥的效果。

Description

消息接收、发送方法及装置、终端、网络功能实体
技术领域
本发明涉及通信领域,具体而言,涉及一种消息接收、发送方法及装置、终端、网络功能实体。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)提出了一种保护用户标识的方案,即终端使用归属域的公钥将用户标识加密,从而只有归属域使用相应的私钥才能解密获得用户标识,从而保护了用户标识不被发现。但现有技术并未提出如何让终端获得归属网的公钥,一种显而易见的方案是归属网运营商在全球用户识别卡(Universal Subscriber Identity Module,简称USIM)卡中存储公钥,但是如果USIM卡不升级就无法存储公钥,如何使终端在使用未升级的USIM卡的情况下获得归属网的公钥仍没有相关方案。
针对相关技术中的上述技术问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种消息接收、发送方法及装置、终端、网络功能实体,以至少解决相关技术中终端如何获取到归属域密钥的问题。
根据本发明的一个实施例,提供了一种消息接收方法,包括:向第一网络功能实体发送用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;接收第一网络功能实体根据请求消息返回的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
可选地,响应消息中还携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
可选地,PI基于用户标识和归属域密钥生成的。
可选地,令牌基于与UID对应的用户密钥、归属域密钥生成,或者基于与UID对应的用户密钥、归属域密钥和PI生成。
可选地,在所述响应消息中携带所述令牌或者所述响应消息中携带所述令牌和所述PI的情况下,在接收所述第一网络功能实体根据所述请求信息返回的响应消息之后,所述方法还包括:从硬件设备中获取第一密钥响应字符串,其中,所述第一密钥响应字符串用于验证所述令牌。
可选地,在从硬件设备中获取第一密钥响应字符串之后,所述方法还包括:在验证所述令牌成功的情况下,确定存储所述归属域密钥,或者确定存储所述归属域密钥和所述PI;在验证所述令牌失败的情况下,确定丢弃所述归属域密钥,或者确定丢弃所述归属域密钥和所述PI。
可选地,通过以下方式验证所述令牌包括:根据所述第一密钥响应字符串生成期望令牌;其中,在生成的所述期望令牌与所述令牌相同的情况下,确定验证所述令牌成功;在生成的所述期望令牌与所述令牌不同的情况下,确定验证所述令牌失败。
可选地,在从硬件设备中获取第一密钥响应字符串之前,方法还包括:基于归属域密钥和/或PI生成第一输入密钥字符串;其中,第一密钥响应字符串为硬件设备基于第一输入密钥字符串生成。
可选地,在向第一网络功能实体发送用于请求获取归属域密钥的请求信息之前,方法还包括:根据用户标识生成UID。
可选地,根据用户标识生成UID包括:根据用户标识生成第二输入密钥字符串;接收硬件设备发送的第二密钥响应字符串;其中,第二密钥响应字符串为硬件设备基于第二输入密钥字符串生成的;根据第二密钥响应字符串生成UID。
根据本发明的一个实施例,提供了一种消息发送方法,包括:接收终端发送的用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;向终端发送与请求消息对应的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
可选地,响应消息中还携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
可选地,在响应消息中还携带PI的情况下,在向终端发送与请求消息对应的响应消息之前,方法还包括:基于用户标识和归属域密钥生成PI;在响应消息中还携带令牌的情况下,在向终端发送与请求消息对应的响应消息之前,方法还包括以下至少之一:基于与UID对应的用户密钥和归属域密钥生成令牌,基于与UID对应的用户密钥、归属域密钥和PI生成令牌。
可选地,在向终端发送与请求消息对应的响应消息之前,方法还包括:根据UID查找用户记录中与UID对应的用户密钥;根据用户标识和用户密钥对UID进行验证,其中,在验证成功的情况下,向终端发送与请求消息对应的响应消息。
可选地,根据用户标识和用户密钥对UID进行验证包括:根据用户密钥和用户标识生成期望UID;比较期望UID和UID;其中,在期望UID和UID相同的情况下,确定验证成功;在期望UID和UID不相同的情况下,确定验证失败。
根据本发明的一个实施例,提供了一种消息接收装置,包括:发送模块,用于向第一网络功能实体发送用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;接收模块,用于接收第一网络功能实体根据请求消息返回的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
可选地,响应消息中还携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
可选地,在所述响应消息中携带所述令牌或者所述响应消息中携带所述令牌和所述PI的情况下,所述装置还包括:获取模块,用于从硬件设备中获取第一密钥响应字符串,其中,所述第一密钥响应字符串用于验证所述令牌。
可选地,所述装置还包括:第一确定模块,用于在验证所述令牌成功的情况下,确定存储所述归属域密钥,或者确定存储所述归属域密钥和所述PI;第二确定模块,用于在验证所述令牌失败的情况下,确定丢弃所述归属域密钥,或者确定丢弃所述归属域密钥和所述PI。
可选地,所述装置还包括:验证模块,用于根据所述第一密钥响应字符串生成期望令牌;其中,在生成的所述期望令牌与所述令牌相同的情况下,确定验证所述令牌成功;在生成的所述期望令牌与所述令牌不同的情况下,确定验证所述令牌失败。
可选地,装置还包括:生成模块,用于根据用户标识生成UID。
可选地,生成模块包括:第二生成单元,用于根据用户标识生成第二输入密钥字符串;接收单元,用于接收硬件设备发送的第二密钥响应字符串;其中,第二密钥响应字符串为硬件设备基于第二输入密钥字符串生成的;第三生成单元,用于根据第二密钥响应字符串生成UID。
根据本发明的一个实施例,提供了一种消息发送装置,包括:接收模块,用于接收终端发送的用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;发送模块,用于向终端发送与请求消息对应的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
可选地,响应消息中还携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
可选地,装置还包括:生成模块,用于以下至少之一:在响应消息中还携带PI的情况下,基于用户标识和归属域密钥生成PI;在响应消息中还携带令牌的情况下,基于与UID对应的用户密钥和归属域密钥生成令牌,或者基于与UID对应的用户密钥、归属域密钥和PI生成令牌。
可选地,装置还包括:查找模块,用于根据UID查找用户记录中与UID对应的用户密钥;验证模块,用于根据用户标识和用户密钥对UID进行验证,其中,在验证成功的情况下,向终端发送与请求消息对应的响应消息。
可选地,验证模块包括:生成单元,用于根据用户密钥和用户标识生成期望UID;比较单元,用于比较期望UID和UID;确定单元,用于在期望UID和UID相同的情况下,确定验证成功;在期望UID和UID不相同的情况下,确定验证失败。
根据本发明的一个实施例,提供了一种终端,包括:处理器,其中,处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的消息接收方法。
根据本发明的一个实施例,提供了一种网络功能实体,包括:处理器,其中,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的消息发送方法。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
通过本发明,由于可以通过向第一网络功能实体发送携带有与终端的用户标识对应的UID的请求信息,以请求获取归属域密钥,进而可以从第一网络功能实体中获取到与UID对应的归属域密钥,因而可以使得不需要升级USIM卡使USIM卡中存储该归属域密钥就可以获取到归属域密钥,因此,可以解决相关技术中终端如何获取到归属域密钥的问题,达到不需要升级USIM就可以获取到归属域密钥的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种消息接收方法的移动终端的硬件结构框图;
图2是根据本发明实施例的消息接收方法的流程图;
图3是根据本发明实施例的消息发送方法的流程图;
图4是根据本发明实施例的消息接收装置的结构框图;
图5是根据本发明实施例的消息发送装置的结构框图;
图6是根据本发明优选实施例提供的归属域公钥配置方法的流程示意图一;
图7是根据本发明优选实施例提供的归属域公钥配置方法的流程示意图二。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种消息接收方法的移动终端的硬件结构框图。如图1所示,移动终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,移动终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的消息接收方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端的消息接收方法,图2是根据本发明实施例的消息接收方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,向第一网络功能实体发送用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;
步骤S204,接收第一网络功能实体根据请求消息返回的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
通过上述步骤,由于可以通过向第一网络功能实体发送携带有与终端的用户标识对应的UID的请求信息,以请求获取归属域密钥,进而可以从第一网络功能实体中获取到与UID对应的归属域密钥,因而可以使得不需要升级USIM卡使USIM卡中存储该归属域密钥就可以获取到归属域密钥,因此,可以解决相关技术中终端如何获取到归属域密钥的问题,达到不需要升级USIM就可以获取到归属域密钥的效果。
需要说明的是,上述第一网络功能实体可以是AUSF或者ARPF,需要说明的是,AUSF或ARPF中存储有上述归属域密钥。
需要说明的是,上述用户标识可以是IMSI,但并不限于此。
在本发明的一个实施例中,上述响应消息中还可以携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
需要说明的是,上述PI可以是基于用户标识和归属域密钥生成的,上述令牌可以是基于与UID对应的用户密钥、归属域密钥生成,或者是基于与UID对应的用户密钥、归属域密钥和PI生成。
需要说明的是,在响应消息中携带PI,进而可以实现终端在使用时直接使用PI即可,而避免终端来生成PI,可以节省终端的资源。
在本发明的一个实施例中,在所述响应消息中携带所述令牌或者所述响应消息中携带所述令牌和所述PI的情况下,在上述步骤S204之后,上述方法还包括:从硬件设备中获取第一密钥响应字符串,其中,所述第一密钥响应字符串用于验证所述令牌。
需要说明的是,在从硬件设备中获取第一密钥响应字符串之后,所述方法还可以包括:在验证所述令牌成功的情况下,确定存储所述归属域密钥,或者确定存储所述归属域密钥和所述PI;在验证所述令牌失败的情况下,确定丢弃所述归属域密钥,或者确定丢弃所述归属域密钥和所述PI。
需要说明的是,在响应消息中携带令牌的情况下,在验证所述令牌成功的情况下,确定存储所述归属域密钥,;在响应消息中携带令牌和PI的情况下,在验证所述令牌成功的情况下,确定存储所述归属域密钥和所述PI;但并不限于此。
需要说明的是,可以通过以下方式验证所述令牌包括:根据所述第一密钥响应字符串生成期望令牌;其中,在生成的所述期望令牌与所述令牌相同的情况下,确定验证所述令牌成功;在生成的所述期望令牌与所述令牌不同的情况下,确定验证所述令牌失败。
需要说明的是,在从硬件设备中获取第一密钥响应字符串之前,上述方法还可以包括:基于归属域密钥和/或PI生成第一输入密钥字符串;其中,第一密钥响应字符串为硬件设备基于第一输入密钥字符串生成的密钥响应字符串。
基于归属域密钥和/或PI生成第一输入密钥字符串可以表现为:使用归属域密钥,或使用归属域密钥和PI的拼接作为函数SHA-256的输入来生成第一输入密钥字符串。
需要说明的是,上述硬件设备可以是USIM卡,但并不限于此。
在本发明的一个实施例中,在上述步骤S202之前,上述方法还可以包括:根据用户标识生成UID。
需要说明的是,根据用户标识生成UID可以表现为由用户标识直接生成UID,比如以用户标识作为函数SHA-256的输入生成UID,也可以通过其他的方式,比如:根据用户标识生成第二输入密钥字符串;接收硬件设备发送的第二密钥响应字符串;其中,第二密钥响应字符串为硬件设备基于第二输入密钥字符串生成的;根据第二密钥响应字符串生成UID。
需要说明的是,上述步骤的执行主体可以是终端,但并不限于此。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中提供了一种消息发送方法,图3是根据本发明实施例的消息发送方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,接收终端发送的用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;
步骤S304,向终端发送与请求消息对应的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
通过上述步骤,由于在接收终端发送携带有与终端的用户标识对应的UID的用于请求获取归属域密钥的请求信息之后向终端发送携带有与UID对应的归属域密钥的响应消息,使得终端可以使得不需要升级USIM卡使USIM卡中存储该归属域密钥就可以获取到归属域密钥,因此,可以解决相关技术中终端如何获取到归属域密钥的问题,达到不需要升级USIM就可以获取到归属域密钥的效果。
需要说明的是,上述响应消息中还携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
在本发明的一个实施例中,在响应消息中还携带PI的情况下,在上述步骤S304之前,上述方法还可以包括:基于用户标识和归属域密钥生成PI;在响应消息中还携带令牌的情况下,在上述步骤S304之前,上述方法还可以包括以下至少之一:基于与UID对应的用户密钥和归属域密钥生成令牌,基于与UID对应的用户密钥、归属域密钥和PI生成令牌。
在本发明的一个实施例中,在上述步骤S304之前,上述方法还可以包括:根据UID查找用户记录中与UID对应的用户密钥;根据用户标识和用户密钥对UID进行验证,其中,在验证成功的情况下,向终端发送与请求消息对应的响应消息。
需要说明的是,根据用户标识和用户密钥对UID进行验证可以表现为:根据用户密钥和用户标识生成期望UID;比较期望UID和UID;其中,在期望UID和UID相同的情况下,确定验证成功;在期望UID和UID不相同的情况下,确定验证失败。
需要说明的是,上述步骤的执行主体可以是AUSF或ARPF,上述AUSF或ARPF中存储有上述归属域密钥,但并不限于此。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例3
在本实施例中还提供了一种消息接收装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的消息接收装置的结构框图,如图4所示,该装置包括:
发送模块42,用于向第一网络功能实体发送用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;
接收模块44,与上述发送模块42连接,用于接收第一网络功能实体根据请求消息返回的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
通过上述装置,由于可以通过向第一网络功能实体发送携带有与终端的用户标识对应的UID的请求信息,以请求获取归属域密钥,进而可以从第一网络功能实体中获取到与UID对应的归属域密钥,因而可以使得不需要升级USIM卡使USIM卡中存储该归属域密钥就可以获取到归属域密钥,因此,可以解决相关技术中终端如何获取到归属域密钥的问题,达到不需要升级USIM就可以获取到归属域密钥的效果。
需要说明的是,上述第一网络功能实体可以是AUSF或者ARPF,需要说明的是,AUSF或ARPF中存储有上述归属域密钥。
在本发明的一个实施例中,上述响应消息中还可以携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
需要说明的是,上述PI可以是基于用户标识和归属域密钥生成的,上述令牌可以是基于与UID对应的用户密钥、归属域密钥生成,或者是基于与UID对应的用户密钥、归属域密钥和PI生成。
需要说明的是,在响应消息中携带PI,进而可以实现终端在使用时直接使用PI即可,而避免终端来生成PI,可以节省终端的资源。
在本发明的一个实施例中,上述装置还可以包括:在所述响应消息中携带所述令牌或者所述响应消息中携带所述令牌和所述PI的情况下,获取模块,与上述接收模块44连接,用于从硬件设备中获取第一密钥响应字符串,其中,所述第一密钥响应字符串用于验证所述令牌。
在本发明的一个实施例中,上述装置还可以包括:第一确定模块,与上述获取模块连接,用于在验证所述令牌成功的情况下,确定存储所述归属域密钥,或者确定存储所述归属域密钥和所述PI;第二确定模块,与上述获取模块连接,用于在验证所述令牌失败的情况下,确定丢弃所述归属域密钥,或者确定丢弃所述归属域密钥和所述PI。
在本发明的一个实施例中,上述装置还可以包括:验证模块,与上述获取模块连接,用于根据所述第一密钥响应字符串生成期望令牌;其中,在生成的所述期望令牌与所述令牌相同的情况下,确定验证所述令牌成功;在生成的所述期望令牌与所述令牌不同的情况下,确定验证所述令牌失败。
需要说明的是,上述硬件设备可以是USIM卡,但并不限于此。
在本发明的一个实施例中,上述装置还可以包括:生成模块,与上述获取模块和上述发送模块42连接,用于根据用户标识生成UID。
需要说明的是,上述生成模块可以包括:第二生成单元,用于根据用户标识生成第二输入密钥字符串;接收单元,与上述第二生成单元连接,用于接收硬件设备发送的第二密钥响应字符串;其中,第二密钥响应字符串为硬件设备基于第二输入密钥字符串生成的;第三生成单元,与上述接收单元连接,用于根据第二密钥响应字符串生成UID。
需要说明的是,上述装置可以位于终端中,但并不限于此。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例4
在本实施例中还提供了一种消息发送装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的消息发送装置的结构框图,如图5所示,该装置包括:
接收模块52,用于接收终端发送的用于请求获取归属域密钥的请求消息;其中,请求消息中携带有与终端的用户标识对应的用户索引UID;
发送模块54,与上述接收模块52连接,用于向终端发送与请求消息对应的响应消息,其中,响应消息中携带有与UID对应的归属域密钥。
通过上述装置,由于在接收终端发送携带有与终端的用户标识对应的UID的用于请求获取归属域密钥的请求信息之后向终端发送携带有与UID对应的归属域密钥的响应消息,使得终端可以使得不需要升级USIM卡使USIM卡中存储该归属域密钥就可以获取到归属域密钥,因此,可以解决相关技术中终端如何获取到归属域密钥的问题,达到不需要升级USIM就可以获取到归属域密钥的效果。
需要说明的是,上述响应消息中还携带以下至少之一信息:与用户标识对应的加密用户标识PI,与用户标识对应的令牌。
在本发明的一个实施例中,上述装置还可以包括:生成模块,与上述发送模块54连接,用于以下至少之一:在响应消息中还携带PI的情况下,基于用户标识和归属域密钥生成PI;在响应消息中还携带令牌的情况下,基于与UID对应的用户密钥和归属域密钥生成令牌,或者基于与UID对应的用户密钥、归属域密钥和PI生成令牌。
在本发明的一个实施例中,上述装置还可以包括:查找模块,用于根据UID查找用户记录中与UID对应的用户密钥;验证模块,与上述查找模块和上述发送模块54连接,用于根据用户标识和用户密钥对UID进行验证,其中,在验证成功的情况下,向终端发送与请求消息对应的响应消息。
需要说明的是,上述验证模块可以包括:生成单元,用于根据用户密钥和用户标识生成期望UID;比较单元,与生成单元连接,用于比较期望UID和UID;确定单元,与上述比较单元连接,用于在期望UID和UID相同的情况下,确定验证成功;在期望UID和UID不相同的情况下,确定验证失败。
需要说明的是,上述装置可以位于AUSF或ARPF,上述AUSF或ARPF中存储有上述归属域密钥,但并不限于此。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例5
本发明实施例提供了一种终端,包括:处理器,其中,处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的消息接收方法。
需要说明的是,上述终端中的处理器,在程序运行时执行上述实施例1所述的方法。
本发明实施例提供了一种网络功能实体,包括:处理器,其中,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的消息发送方法。
需要说明的是,上述网络功能实体中的处理器,在程序运行时执行上述实施例2所述的方法。
需要说明的是,上述网络功能实体可以是AUSF或ARPF,上述AUSF或ARPF中存储有上述归属域密钥,但并不限于此。
实施例6
本发明的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时执行上述任一项所述的方法。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的实施例还提供了一种处理器,该处理器用于运行程序,其中,该程序运行时执行上述任一项方法中的步骤。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
为了更好地理解本发明实施例,以下结合优选的实施例对本发明做进一步解释。
优选实施例
图6是根据本发明优选实施例提供的归属域公钥配置方法的流程示意图一,如图6所示,其中USIM卡(相当于上述实施例中的硬件设备)中存储了用户密钥K(相当于上述实施例中的用户密钥),该用户密钥K也存储在认证服务功能(Authentication ServerFunction——AUSF)或认证信息存储与处理功能(Authentication Repository andProcessing Function——ARPF)的用户记录中,需要说明的是,AUSF或ARPF相当于上述实施例中的第一网络功能实体或网络功能实体,该流程包括:
步骤601:终端UE无法从其自身的存储中或从USIM卡中找到归属域公钥PKey,于是从USIM卡中请求用户标识Internet Mobile Station Identifier(IMSI)(相当于上述实施例中的用户标识),比如通过USIM卡的应用程序接口(API)获取;
步骤602:USIM卡返回IMSI给UE,比如通过API的返回值;
步骤603:UE基于IMSI生成RANDi(相当于上述实施例中的第二输入密钥字符串),比如在IMSI之前或之后补足一定数量的0生成128比特的RANDi,或以IMSI作为函数SHA-256的输入生成,UE仿真Global System for Mobile Communication(GSM)安全环境请求USIM卡认证RANDi,比如通过API请求;
步骤604:USIM卡使用传统方法认证RANDi,生成SRESi(相当于上述实施例中的第二密钥响应字符串)并返回给UE,比如通过API的返回值;
步骤605:UE基于SRESi生成用户索引(UID)(相当于上述实施例中的UID),比如使用SRESi作为函数SHA-256的输入,或将SRESi截断,然后向AUSF或ARPF请求公钥,携带UID;
步骤606:AUSF或ARPF使用UID找到用户记录,可以使用用户记录中的用户密钥K和IMSI计算一个期望UID(XUID)(相当于上述实施例中的期望UID)并比较XUID和UID,如果相同则继续后续过程,否则停止;AUSF或ARPF可以使用IMSI或IMSI的一部分和归属域公钥PKey一起计算加密用户标识PI;AUSF或ARPF还可以基于用户密钥K和归属域公钥PKey计算令牌Token,或基于用户密钥K、归属域公钥PKey、和PI计算令牌Token;
步骤607:AUSF或ARPF发送响应公钥给UE,携带PKey,还可以携带Token和/或PI;
步骤608:UE存储PKey,UE可以基于收到的PKey,还可以额外基于收到的PI生成RANDk(相当于上述实施例中的第一输入密钥字符串),比如使用PKey,或使用PKey和PI的拼接作为函数SHA-256的输入生成,UE仿真GSM安全环境请求USIM卡认证RANDk,比如通过API请求;
步骤609:USIM卡使用传统方法认证RANDk,生成SRESk((相当于上述实施例中的第一密钥响应字符串))并返回给UE,比如通过API的返回值;
步骤610:UE基于SRESk生成期望令牌Xtoken,比如Xtoken等于SRESk,或以SRESk作为函数SHA-256的输入生成;UE比较Xtoken和Token,如果相同则UE存储PKey,可以存储PI,如果不同则UE丢弃收到的PKey和PI。
图7是根据本发明优选实施例提供的归属域公钥配置方法的流程示意图二,如图7所示,该流程包括:
步骤701~702:与图6中的步骤601~602相同;
步骤703:终端UE基于IMSI计算用户索引UID,比如以IMSI作为函数SHA-256的输入生成;
步骤704:UE向AUSF或ARPF请求公钥,携带UID;
步骤705~709:与图6中的步骤606~610相同。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (31)

1.一种消息接收方法,其特征在于,包括:
向第一网络功能实体发送用于请求获取归属域密钥的请求消息;其中,所述请求消息中携带有与终端的用户标识对应的用户索引UID;
接收所述第一网络功能实体根据所述请求消息返回的响应消息,其中,所述响应消息中携带有与所述UID对应的归属域密钥。
2.根据权利要求1所述的方法,其特征在于,所述响应消息中还携带以下至少之一信息:与所述用户标识对应的加密用户标识PI,与所述用户标识对应的令牌。
3.根据权利要求2所述的方法,其特征在于,所述PI基于所述用户标识和所述归属域密钥生成的。
4.根据权利要求2所述的方法,其特征在于,所述令牌基于与所述UID对应的用户密钥、所述归属域密钥生成,或者基于与所述UID对应的用户密钥、所述归属域密钥和所述PI生成。
5.根据权利要求2所述的方法,其特征在于,在所述响应消息中携带所述令牌或者所述响应消息中携带所述令牌和所述PI的情况下,在接收所述第一网络功能实体根据所述请求信息返回的响应消息之后,所述方法还包括:
从硬件设备中获取第一密钥响应字符串,其中,所述第一密钥响应字符串用于验证所述令牌。
6.根据权利要求5所述的方法,其特征在于,在从硬件设备中获取第一密钥响应字符串之后,所述方法还包括:
在验证所述令牌成功的情况下,确定存储所述归属域密钥,或者确定存储所述归属域密钥和所述PI;
在验证所述令牌失败的情况下,确定丢弃所述归属域密钥,或者确定丢弃所述归属域密钥和所述PI。
7.根据权利要求5或6所述的方法,其特征在于,通过以下方式验证所述令牌包括:
根据所述第一密钥响应字符串生成期望令牌;其中,在生成的所述期望令牌与所述令牌相同的情况下,确定验证所述令牌成功;在生成的所述期望令牌与所述令牌不同的情况下,确定验证所述令牌失败。
8.根据权利要求5所述的方法,其特征在于,在从硬件设备中获取第一密钥响应字符串之前,所述方法还包括:
基于所述归属域密钥和/或PI生成第一输入密钥字符串;其中,所述第一密钥响应字符串为所述硬件设备基于所述第一输入密钥字符串生成。
9.根据权利要求1所述的方法,其特征在于,在向第一网络功能实体发送用于请求获取归属域密钥的请求信息之前,所述方法还包括:
根据用户标识生成所述UID。
10.根据权利要求9所述的方法,其特征在于,根据所述用户标识生成所述UID包括:
根据所述用户标识生成第二输入密钥字符串;
接收硬件设备发送的第二密钥响应字符串;其中,所述第二密钥响应字符串为所述硬件设备基于所述第二输入密钥字符串生成的;
根据所述第二密钥响应字符串生成所述UID。
11.一种消息发送方法,其特征在于,包括:
接收终端发送的用于请求获取归属域密钥的请求消息;其中,所述请求消息中携带有与所述终端的用户标识对应的用户索引UID;
向所述终端发送与所述请求消息对应的响应消息,其中,所述响应消息中携带有与所述UID对应的归属域密钥。
12.根据权利要求11所述的方法,其特征在于,所述响应消息中还携带以下至少之一信息:与所述用户标识对应的加密用户标识PI,与所述用户标识对应的令牌。
13.根据权利要求12所述的方法,其特征在于,
在所述响应消息中还携带所述PI的情况下,在向所述终端发送与所述请求消息对应的响应消息之前,所述方法还包括:基于所述用户标识和所述归属域密钥生成所述PI;
在所述响应消息中还携带所述令牌的情况下,在向所述终端发送与所述请求消息对应的响应消息之前,所述方法还包括以下至少之一:基于与所述UID对应的用户密钥和所述归属域密钥生成所述令牌,基于与所述UID对应的用户密钥、所述归属域密钥和所述PI生成所述令牌。
14.根据权利要求11所述的方法,其特征在于,在向所述终端发送与所述请求消息对应的响应消息之前,所述方法还包括:
根据所述UID查找用户记录中与所述UID对应的用户密钥;
根据所述用户标识和所述用户密钥对所述UID进行验证,其中,在验证成功的情况下,向所述终端发送与所述请求消息对应的响应消息。
15.根据权利要求14所述的方法,其特征在于,根据所述用户标识和用户密钥对所述UID进行验证包括:
根据所述用户密钥和所述用户标识生成期望UID;
比较所述期望UID和所述UID;其中,在所述期望UID和所述UID相同的情况下,确定验证成功;在所述期望UID和所述UID不相同的情况下,确定验证失败。
16.一种消息接收装置,其特征在于,包括:
发送模块,用于向第一网络功能实体发送用于请求获取归属域密钥的请求消息;其中,所述请求消息中携带有与终端的用户标识对应的用户索引UID;
接收模块,用于接收所述第一网络功能实体根据所述请求消息返回的响应消息,其中,所述响应消息中携带有与所述UID对应的归属域密钥。
17.根据权利要求16所述的装置,其特征在于,所述响应消息中还携带以下至少之一信息:与所述用户标识对应的加密用户标识PI,与所述用户标识对应的令牌。
18.根据权利要求2所述的装置,其特征在于,在所述响应消息中携带所述令牌或者所述响应消息中携带所述令牌和所述PI的情况下,所述装置还包括:
获取模块,用于从硬件设备中获取第一密钥响应字符串,其中,所述第一密钥响应字符串用于验证所述令牌。
19.根据权利要求18所述的装置,其特征在于,所述装置还包括:
第一确定模块,用于在验证所述令牌成功的情况下,确定存储所述归属域密钥,或者确定存储所述归属域密钥和所述PI;
第二确定模块,用于在验证所述令牌失败的情况下,确定丢弃所述归属域密钥,或者确定丢弃所述归属域密钥和所述PI。
20.根据权利要求18或19所述的装置,其特征在于,所述装置还包括:
验证模块,用于根据所述第一密钥响应字符串生成期望令牌;其中,在生成的所述期望令牌与所述令牌相同的情况下,确定验证所述令牌成功;在生成的所述期望令牌与所述令牌不同的情况下,确定验证所述令牌失败。
21.根据权利要求16所述的装置,其特征在于,所述装置还包括:
生成模块,用于根据用户标识生成所述UID。
22.根据权利要求21所述的装置,其特征在于,所述生成模块包括:
第二生成单元,用于根据所述用户标识生成第二输入密钥字符串;
接收单元,用于接收所述硬件设备发送的第二密钥响应字符串;其中,所述第二密钥响应字符串为所述硬件设备基于所述第二输入密钥字符串生成的;
第三生成单元,用于根据所述第二密钥响应字符串生成所述UID。
23.一种消息发送装置,其特征在于,包括:
接收模块,用于接收终端发送的用于请求获取归属域密钥的请求消息;其中,所述请求消息中携带有与所述终端的用户标识对应的用户索引UID;
发送模块,用于向所述终端发送与所述请求消息对应的响应消息,其中,所述响应消息中携带有与所述UID对应的归属域密钥。
24.根据权利要求23所述的装置,其特征在于,所述响应消息中还携带以下至少之一信息:与所述用户标识对应的加密用户标识PI,与所述用户标识对应的令牌。
25.根据权利要求24所述的装置,其特征在于,所述装置还包括:
生成模块,用于以下至少之一:在所述响应消息中还携带所述PI的情况下,基于所述用户标识和所述归属域密钥生成所述PI;在所述响应消息中还携带所述令牌的情况下,基于与所述UID对应的用户密钥和所述归属域密钥生成所述令牌,或者基于与所述UID对应的用户密钥、所述归属域密钥和所述PI生成所述令牌。
26.根据权利要求23所述的装置,其特征在于,所述装置还包括:
查找模块,用于根据所述UID查找用户记录中与所述UID对应的用户密钥;
验证模块,用于根据所述用户标识和所述用户密钥对所述UID进行验证,其中,在验证成功的情况下,向所述终端发送与所述请求消息对应的响应消息。
27.根据权利要求26所述的装置,其特征在于,所述验证模块包括:
生成单元,用于根据所述用户密钥和所述用户标识生成期望UID;
比较单元,用于比较所述期望UID和所述UID;
确定单元,用于在所述期望UID和所述UID相同的情况下,确定验证成功;在所述期望UID和所述UID不相同的情况下,确定验证失败。
28.一种终端,其特征在于,包括:处理器,其中,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至10中任一项所述的方法。
29.一种网络功能实体,其特征在于,包括:处理器,其中,所述处理器用于运行程序,其中,所述程序运行时执行权利要求11至15中任一项所述的方法。
30.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行权利要求1至15中任一项所述的方法。
31.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至15中任一项所述的方法。
CN201710764710.5A 2017-08-30 2017-08-30 消息接收、发送方法及装置、终端、网络功能实体 Pending CN109429225A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710764710.5A CN109429225A (zh) 2017-08-30 2017-08-30 消息接收、发送方法及装置、终端、网络功能实体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710764710.5A CN109429225A (zh) 2017-08-30 2017-08-30 消息接收、发送方法及装置、终端、网络功能实体

Publications (1)

Publication Number Publication Date
CN109429225A true CN109429225A (zh) 2019-03-05

Family

ID=65504150

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710764710.5A Pending CN109429225A (zh) 2017-08-30 2017-08-30 消息接收、发送方法及装置、终端、网络功能实体

Country Status (1)

Country Link
CN (1) CN109429225A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132979A (zh) * 2019-12-30 2021-07-16 中移雄安信息通信科技有限公司 Imsi加密公钥的获取方法、下发方法及设备
CN113271541A (zh) * 2020-02-17 2021-08-17 大唐移动通信设备有限公司 终端行为数据的获取方法、发送方法、装置及网络设备
CN114301663A (zh) * 2021-12-27 2022-04-08 中国电信股份有限公司 数据处理方法、装置、电子设备及计算机可读存储介质
CN114301663B (zh) * 2021-12-27 2024-06-28 中国电信股份有限公司 数据处理方法、装置、电子设备及计算机可读存储介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132979A (zh) * 2019-12-30 2021-07-16 中移雄安信息通信科技有限公司 Imsi加密公钥的获取方法、下发方法及设备
CN113132979B (zh) * 2019-12-30 2023-03-21 中移雄安信息通信科技有限公司 Imsi加密公钥的获取方法、下发方法及设备
CN113271541A (zh) * 2020-02-17 2021-08-17 大唐移动通信设备有限公司 终端行为数据的获取方法、发送方法、装置及网络设备
CN113271541B (zh) * 2020-02-17 2022-08-23 大唐移动通信设备有限公司 终端行为数据的获取方法、发送方法、装置及网络设备
CN114301663A (zh) * 2021-12-27 2022-04-08 中国电信股份有限公司 数据处理方法、装置、电子设备及计算机可读存储介质
CN114301663B (zh) * 2021-12-27 2024-06-28 中国电信股份有限公司 数据处理方法、装置、电子设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN106899410B (zh) 一种设备身份认证的方法及装置
US9532223B2 (en) Method for downloading a subscription from an operator to a UICC embedded in a terminal
CN1943203B (zh) 用于验证实体的第一标识和第二标识的方法
US20190289463A1 (en) Method and system for dual-network authentication of a communication device communicating with a server
US20210075778A1 (en) Operation related to user equipment using secret identifier
CN108141747A (zh) 用于在通信系统中远程提供简档的方法和装置
US20120166803A1 (en) Verification method, apparatus, and system for resource access control
CN105188055A (zh) 无线网络接入方法、无线接入点以及服务器
CN110266642A (zh) 身份认证方法及服务器、电子设备
CN102833712A (zh) 防止信息泄露的方法、装置、服务器、系统和设备
CN108022100B (zh) 一种基于区块链技术的交叉认证系统及方法
CN105722072A (zh) 一种业务授权方法、装置、系统及路由器
Khan et al. Improving air interface user privacy in mobile telephony
CN107508822A (zh) 访问控制方法及装置
WO2018205148A1 (zh) 一种数据包校验方法及设备
US20230232228A1 (en) Method and apparatus for establishing secure communication
RU2537275C2 (ru) Профиль средств обеспечения безопасности смарт-карт в домашнем абонентском сервере
CN109429225A (zh) 消息接收、发送方法及装置、终端、网络功能实体
US20130183934A1 (en) Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device
CN103313245A (zh) 基于手机终端的网络业务访问方法、设备和系统
KR101854389B1 (ko) 애플리케이션 인증 시스템 및 방법
CN110351721A (zh) 接入网络切片的方法及装置、存储介质、电子装置
CN105743859A (zh) 一种轻应用认证的方法、装置及系统
CN113709729B (zh) 数据处理方法、装置、网络设备及终端
CN116888922A (zh) 服务授权方法、系统及通信装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190305

WD01 Invention patent application deemed withdrawn after publication