CN110035033B - 密钥分发方法、装置及系统 - Google Patents

密钥分发方法、装置及系统 Download PDF

Info

Publication number
CN110035033B
CN110035033B CN201810028060.2A CN201810028060A CN110035033B CN 110035033 B CN110035033 B CN 110035033B CN 201810028060 A CN201810028060 A CN 201810028060A CN 110035033 B CN110035033 B CN 110035033B
Authority
CN
China
Prior art keywords
terminal
management server
key
mapping
aaa
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810028060.2A
Other languages
English (en)
Other versions
CN110035033A (zh
Inventor
万荣飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201810028060.2A priority Critical patent/CN110035033B/zh
Priority to EP18899509.6A priority patent/EP3726797B1/en
Priority to PCT/CN2018/112361 priority patent/WO2019137067A1/zh
Publication of CN110035033A publication Critical patent/CN110035033A/zh
Priority to US16/926,690 priority patent/US11588626B2/en
Application granted granted Critical
Publication of CN110035033B publication Critical patent/CN110035033B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5084Providing for device mobility
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种密钥分发方法、装置及系统,其中方法包括:身份管理服务器根据终端发送的ID注册请求消息中的AAA认证信息判断终端是否经过AAA认证,若终端经过AAA认证,则为终端分配ID并向密钥管理服务器发送终端的ID,密钥管理服务器根据终端的ID生成终端的私钥并返回身份管理服务器;身份管理服务器在与终端协商生成的第一密钥后,通过第一密钥对终端的ID和私钥的进行加密并向终端发送,终端接收后通过第一密钥进行解密并获取终端的ID和私钥。本申请提供的密钥分发方法、装置及系统,提高了终端进行基于ID注册认证时的通信安全性能。

Description

密钥分发方法、装置及系统
技术领域
本申请涉及通信技术,尤其涉及一种密钥分发方法、装置及系统。
背景技术
终端在接入互联网时先后通过传输层和网络层的认证,而传输层和网络层紧密地结合在一起,并没有将各自的功能独立实现,IP地址既担任寻址功能又担任着标识通信设备节点的作用。IP地址的这种双重功能决定了当IP地址变化时,不仅路由会发生变化,还会导致识别通信设备主机的标识会发生变化,从而导致设备标识的变化会导致应用和连接中断。
现有技术中的下一代IP协议研究中,终端接入网在IP协议层增加终端身份标识ID(网络身份或标识)是当前一个主流研究方向,代表协议有HIP、LISP、ION(SLIM)、ILNP、ILA。接入互联网的终端根据移动IP场景下,MIPv4/6等协议使用家乡地址(Home Address,HoA)和转交地址(Care-of Address,CoA)双地址的方式实现移动,并且保持原有的连接不变,例如采用Home Address作为终端的ID,使得终端在移动中,作为终端标识的ID始终保持不变,使得IP地址只保留寻址功能,而将标识通信设备的功能由ID实现。
在ION网络架构下的当接入网在网络层增加终端的ID,终端在接入互联网时首先进行AAA认证,当终端通过AAA认证并获取终端的网络位置(如IP地址)后,再对标识终端身份信息的ID进行注册认证。在认证时,终端向互联网中负责终端ID管理的身份管理服务器发送注册请求消息,身份管理服务器获取并向终端发送终端的ID和终端的私钥,以使终端通过终端的ID和私钥进行基于身份的密码技术IBC加密与签名。然而,在采用现有技术传输私钥及终端ID等关键信息时,并没有在ID所在的网络层通过例如加密、鉴权等安全通信方式保证私钥及终端ID的信息安全,终端重要的ID和私钥等信息容易泄露,造成终端在进行基于ID注册认证时通信的安全性能较低。
发明内容
本申请提供一种密钥分发方法、装置及系统,提高了终端进行基于ID注册认证时的通信安全性能。
第一方面,本申请实施例提供一种密钥分发方法,方法用于终端注册认证系统对终端进行基于身份标识ID的注册时向终端分发终端的ID和私钥,终端注册认证系统包括:身份管理服务器、映射管理服务器、密钥管理服务器和认证授权计费AAA服务器,终端通过统一接入网关UAG连接终端注册认证系统,该方法包括:
终端通过UAG向身份管理服务器发送ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括AAA认证信息;
身份管理服务器接收ID注册请求消息,根据AAA认证信息判断终端是否经过AAA认证,若终端经过AAA认证,则为终端分配ID并向密钥管理服务器发送终端的ID;
密钥管理服务器接收终端的ID,根据终端的ID生成终端的私钥,并将私钥发送至身份管理服务器;
终端与身份管理服务器协商生成的第一密钥;
身份管理服务器通过UAG向终端发送由第一密钥加密、终端的ID和私钥。
本申请实施例第一方面提供的密钥分发方法用于密钥分发系统中,终端与身份管理服务器之间的通信密钥的协商与分发,在AAA认证机制的基础上,实现身份管理服务器对终端进行基于ID的注册时,将终端的ID和私钥通过身份管理服务器和终端协商生成的第一密钥进行加密,从而保障了身份管理服务器和终端之间传输信息的安全,提高了终端进行基于ID注册认证时的通信安全性能,实现了从而基于AAA认证进行扩展,不但兼容现有的网络认证方法,还能够成为构建基于ID注册认证的网络架构下端到端安全通信的基础。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:身份管理服务器通过UAG向终端发送由第一密钥加密、终端的ID和私钥之后,还包括:
终端与映射管理服务器协商生成的第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
本实施例提供的密钥分发方法在上述实施例基础上,还实现了终端与映射管理服务器之间通信密钥的协商,在映射服务器对终端提供ID到网络位置查询、更新的服务时,能够先协商用于加密通信消息的第二密钥后,再进行双方之间的通信,进一步地提高了基于ID注册认证时的通信安全性能。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:身份管理服务器根据AAA认证信息判断终端是否经过AAA认证,包括:
身份管理服务器向AAA服务器发送终端的AAA认证信息;
AAA服务器根据AAA认证信息判断终端是否经过AAA认证并向身份管理服务器发送终端的AAA认证结果;
身份管理服务器根据AAA认证结果判断终端是否经过AAA认证。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:终端通过UAG向身份管理服务器发送ID注册请求消息之前,还包括:
AAA服务器向身份管理服务器发送终端的AAA认证信息;
身份管理服务器根据AAA认证信息判断终端是否经过AAA认证,包括:
身份管理服务器判断AAA服务器发送的终端的AAA认证信息和终端发送的注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定终端经过AAA认证。
本实施例提供的密钥分发方法,通过身份管理服务器接收到终端的ID请求后,首先判断终端是否经过AAA认证,具体判断方式可以是发送至AAA服务器进行比对,或者提前接收终端的AAA认证信息,都在基于AAA认证的基础上,实现了终端基于ID的注册,使得密钥分发方法不但兼容现有网络认证方法,还可以作为构建面向ID的网络架构下端到端安全通信的基础。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:身份管理服务器通过UAG向终端发送由第一密钥加密、终端的ID和私钥之后,还包括:
终端向身份管理服务器发送映射注册请求消息,用于请求映射管理服务器对终端进行注册,其中,映射注册请求消息包括终端的ID、终端的网络位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息通过终端的私钥签名;
身份管理服务器接收映射注册请求消息,通过终端的ID验证终端的私钥签名,通过身份管理服务器的私钥解密并获取第一随机数,发送映射认证请求消息至映射管理服务器;
映射管理服务器接收映射注册请求消息,将终端的ID和网络位置建立映射关系,并生成第二随机数,向身份管理服务器发送第二随机数;
身份管理服务器接收第二随机数,向终端发送通过身份管理服务器的私钥签名的、终端的ID加密的第二随机数;
终端接收终端的ID加密的第二随机数,通过身份管理服务器的ID验证身份管理服务器的私钥的签名,并通过终端的私钥解密并获取第二随机数;
终端和映射管理服务器根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
本实施例中提供的实施例中的密钥分发方法,还可以在终端已经注册ID的情况下,后续在终端的认证时,只通过基于终端ID的认证,而不需要对终端再次进行AAA认证,从而简化了对终端认证的流程。
第二方面,本申请实施例提供一种密钥分发方法,包括:
身份管理服务器接收终端通过统一接入网关UAG发送的ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括AAA认证信息;
身份管理服务器根据AAA认证信息判断终端是否经过AAA认证,若终端经过AAA认证,则为终端分配ID并向密钥管理服务器发送终端的ID;
身份管理服务器接收密钥管理服务器发送的终端的私钥,其中,私钥为密钥管理服务器以终端的身份标识ID为公钥生成;
身份管理服务器与终端协商生成的第一密钥;
身份管理服务器通过UAG向终端发送通过第一密钥加密、终端的ID和私钥。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:身份管理服务器根据AAA认证信息判断终端是否经过AAA认证,包括:
身份管理服务器向AAA服务器发送终端的AAA认证信息;
身份管理服务器接收AAA服务器发送的终端的AAA认证结果;
身份管理服务器根据AAA认证结果判断终端是否经过AAA认证。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:身份管理服务器接收终端通过UAG发送的ID注册请求消息之前,还包括:
身份管理服务器接收AAA服务器发送的终端的AAA认证信息;
身份管理服务器根据AAA认证信息判断终端是否经过AAA认证,具体包括:
身份管理服务器判断AAA服务器发送的终端的AAA认证信息和终端发送的注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定终端经过AAA认证。
身份管理服务器通过UAG向终端发送通过第一密钥加密、终端的ID和私钥之后,还包括:
身份管理服务器接收终端发送的映射注册请求消息,用于请求映射管理服务器对终端进行注册,其中,映射注册请求消息包括终端的ID、终端的位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息终端的私钥签名;
身份管理服务器通过终端的ID验证终端的私钥签名,通过身份管理服务器的私钥解密并获取第一随机数,发送映射认证请求消息至映射管理服务器;
身份管理服务器接收映射管理服务器生成并发送的第二随机数;
身份管理服务器向终端发送通过身份管理服务器的私钥签名的、终端的ID加密的第二随机数,以使终端通过终端的私钥解密并获取第二随机数,并通过身份管理服务器的ID验证身份管理服务器的私钥的签名,并使终端和映射管理服务器根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,映射管理服务器向终端提供ID到网络位置的映射查询服务。
第三方面,本实施例提供一种密钥分发方法,包括:
终端通过统一接入网关UAG向身份管理服务器发送ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括AAA认证信息;
终端与身份管理服务器协商生成的第一密钥;
终端接收身份管理服务器发送的通过第一密钥加密的、终端的ID和终端的私钥,其中,私钥为密钥管理服务器以终端的身份标识ID为公钥生成;
终端通过第一密钥解密并获取终端的ID和终端的私钥。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:终端通过第一密钥解密并获取终端的ID和终端的私钥之后,还包括:
终端与映射管理服务器协商生成的第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:终端通过第一密钥解密并获取终端的ID和终端的私钥之后,还包括:
终端UAG向身份管理服务器发送映射注册请求消息,用于请求映射管理服务器对终端进行注册,其中,映射注册请求消息包括终端的ID、终端的网络位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息通过终端的私钥签名;
终端接收身份管理服务发送的通过身份管理服务器的私钥签名的、终端的ID加密的第二随机数;
终端通过身份管理服务器的ID验证身份管理服务器的私钥的签名,并通过终端的私钥解密并获取第二随机数;
终端根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
第四方面,本实施例提供一种身份管理服务器,包括:
接收模块,接收模块用于接收终端通过统一接入网关UAG发送的ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括AAA认证信息;
处理模块,处理模块用于根据AAA认证信息判断终端是否经过AAA认证,若终端经过AAA认证,则为终端分配ID并向密钥管理服务器发送终端的ID;
接收模块还用于,接收密钥管理服务器发送的终端的私钥,其中,私钥为密钥管理服务器以终端的身份标识ID为公钥生成;
处理模块还用于,与终端协商生成的第一密钥;
发送模块,发送模块用于通过UAG向终端发送通过第一密钥加密、终端的ID和私钥。
在本申请一种可能的实现方式中,上述实施例中的服务器还可以包括:
发送模块还用于,向AAA服务器发送终端的AAA认证信息;
接收模块还用于,接收AAA服务器发送的终端的AAA认证结果;
处理模块还用于,根据AAA认证结果判断终端是否经过AAA认证。
在本申请一种可能的实现方式中,上述实施例中的方法还可以包括:
接收模块还用于,接收AAA服务器发送的终端的AAA认证信息;
处理模块具体用于,判断AAA服务器发送的终端的AAA认证信息和终端发送的注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定终端经过AAA认证。
在本申请一种可能的实现方式中,上述实施例中的服务器还可以包括:
接收模块还用于,接收终端发送的映射注册请求消息,用于请求映射管理服务器对终端进行注册,其中,映射注册请求消息包括终端的ID、终端的位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息终端的私钥签名;
处理模块还用于,通过终端的ID验证终端的私钥签名,通过身份管理服务器的私钥解密并获取第一随机数,发送映射认证请求消息至映射管理服务器;
接收模块还用于,接收映射管理服务器生成并发送的第二随机数;
发送模块还用于,向终端发送通过身份管理服务器的私钥签名的、终端的ID加密的第二随机数,以使终端通过终端的私钥解密并获取第二随机数,并通过身份管理服务器的ID验证身份管理服务器的私钥的签名,并使终端和映射管理服务器根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,映射管理服务器向终端提供ID到网络位置的映射查询服务。
第五方面,本实施例提供一种终端,包括:
发送模块,发送模块用于通过统一接入网关UAG向身份管理服务器发送ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括AAA认证信息;
处理模块,处理模块用于与身份管理服务器协商生成的第一密钥;
接收模块,接收模块用于接收身份管理服务器发送的通过第一密钥加密的、终端的ID和终端的私钥,其中,私钥为密钥管理服务器以终端的身份标识ID为公钥生成;
处理模块还用于,通过第一密钥解密并获取终端的ID和终端的私钥。
在本申请一种可能的实现方式中,上述实施例中的终端还可以包括:
处理模块还用于,与映射管理服务器协商第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
在本申请一种可能的实现方式中,上述实施例中的终端还可以包括:
发送模块还用于,向身份管理服务器发送映射注册请求消息,用于请求映射管理服务器对终端进行注册,其中,映射注册请求消息包括终端的ID、终端的网络位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息通过终端的私钥签名;
接收模块,用于接收身份管理服务发送的通过身份管理服务器的私钥签名的、终端的ID加密的第二随机数;
处理模块,用于通过身份管理服务器的ID验证身份管理服务器的私钥的签名,并通过终端的私钥解密并获取第二随机数;
处理模块还用于,根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
第六方面,本实施例提供一种密钥分发系统,包括上述各实施例中任一项的身份管理服务器和上述实施例中任一项的终端。
本申请实施例提供的密钥分发方法、装置及系统,通过终端与身份管理服务器之间的通信密钥的协商与分发,在AAA认证机制的基础上,实现身份管理服务器对终端进行基于ID的注册时,将终端的ID和私钥通过身份管理服务器和终端协商生成的第一密钥进行加密,从而保障了身份管理服务器和终端之间传输信息的安全,提高了终端进行基于ID注册认证时的通信安全性能,实现了从而基于AAA认证进行扩展,不但兼容现有的网络认证方法,还能够成为构建基于ID注册认证的网络架构下端到端安全通信的基础。
附图说明
图1为本申请密钥分发系统实施例一的结构示意图;
图2为本申请密钥分发方法实施例一的流程示意图;
图3为本申请密钥分发方法实施例二的流程示意图;
图4为本申请密钥分发方法实施例三的流程示意图;
图5为本申请密钥分发方法实施例四的流程示意图;
图6为本申请密钥分发方法实施例五的流程示意图;
图7为本申请密钥分发方法实施例六的流程示意图;
图8为本申请密钥分发方法实施例七的流程示意图;
图9为本申请密钥分发方法实施例八的流程示意图;
图10为本申请密钥分发方法实施例九的流程示意图;
图11为本申请身份管理服务器实施例一的结构示意图;
图12为本申请终端实施例一的结构示意图。
具体实施方式
图1为本申请密钥分发系统实施例一的结构示意图。在如图1所示的系统中:
终端,在本申请的实施例中可以是移动节点(Mobile Node,简称:MN)、主机或者移动终端设备,具有身份标识(Identification,简称:ID)和网际协议(Internet Protocol,简称:IP)信息的协议处理功能和提供ID的注册功能,并通过统一接入网关(Unifiedaccess gateway,简称:UAG)接入网络,还通过UAG与认证授权计费(Authentication、Authorization、Accounting,简称:AAA)服务器、身份管理服务器、密钥管理服务器和映射管理服务器交互通信。其中,终端具体可以是终端设备(Terminal)、用户设备(UserEquipment)以及物联网(Internet of Things,IoT)设备等等中的任意一种或者多种的组合。其中,终端设备可以是台式计算机(computer),笔记本电脑(notebook),平板电脑(PAD)等等。用户设备可以是智能手机(smart phone),智能手表(smart watch),智能眼镜等等。物联网设备可以是智能单车,智能汽车,智能电器等等。应理解,上述举例仅是为说明,不应构成具体限定。
统一接入网关UAG,具有AAA认证处理功能、终端的网络位置Locator(例如:IP)的分配功能以及网络位置和ID的查询功能,UAG负责终端统一接入系统,用于终端连接运营商网络,并为终端提供网络接入及IP地址的分配。具体地,当终端接入UAG后,UAG向AAA服务器请求认证终端,并且负责终端,与身份管理服务器、密钥管理服务器和映射管理服务器之间的通信,此外,身份管理服务器、密钥管理服务器、映射管理服务器和下述的AAA服务器之间可以通过分别建立独立的连接关系的方式通信,或者也可以设置为统一通过UAG进行交互通信,在实际使用中并不影响本申请实施例的实现。
本申请实施例中的终端注册认证系统可以是可以是通用弹性标识服务(GenericResilient ID Services,GRIDS)系统,其中,GRIDS系统是本申请实施例提供的一种终端的身份注册与认证系统,不同的运营商网络具有不同的GRIDS系统。具体的,GRIDS系统可以包括以下逻辑实体:ID管理系统,名称映射系统,身份密钥管理系统和AAA系统,实现上述对应服务器的功能。而在本申请实施例中的终端注册认证系统包括:身份管理服务器、映射管理服务器、密钥管理服务器和认证授权计费AAA服务器,终端通过统一接入网关UAG连接终端注册认证系统,其中本申请实施例的服务器可以是GRIDS系统中的服务器,也可以是其他执行相同或相似功能的服务器。具体地,
身份管理服务器,可以是GRIDS中的ID管理系统或ID管理服务器(ID ManagementSystem,简称:IDMS),身份管理服务器为终端提供ID注册认证服务,当终端通过UAG接入GRIDS后,可首先向身份管理服务器发送ID的注册请求,当身份管理服务器将终端的ID进行注册后终端获得ID的私钥,使得终端能够通过私钥使用基于身份的签名技术IBC技术以签名的方式处理终端与GRIDS系统之间的通信消息。
映射管理服务器,可以是GRIDS中的名称映射系统(Name Management System,简称:NMS),映射管理服务器能够为终端提供ID到网络位置(Locator,例如IP地址)的查询服务。
密钥管理服务器,可以是GRIDS中的身份密钥管理系统(Identity KeyManagement System,简称:IKMS),负责终端的私钥的生成,能够根据基于身份的加密技术IBC根据终端的ID生成对应的私钥服务,并具有密钥生成器(Private Key Generator,简称PKG)功能。具体地,密钥管理服务器基于终端的公钥生成对应的私钥。终端的公钥和私钥是配对使用的,即,当通讯双方中的其中一方使用终端的私钥进行签名以获得签名时,另一方只能使用该终端的公钥对该签名进行验证。本申请实施例中,终端的ID被用作终端的公钥,具体的,密钥管理服务器可基于终端的ID,生成终端的ID对应的私钥,进而将终端的私钥发送给终端。需要说明的是,在可能的实施例中,密钥管理服务器可部署在身份管理服务器中,也就是说,密钥管理服务器作为身份管理服务器功能实体的一部分而存在。在又一种可能的实施例中,密钥管理服务器和身份管理服务器可分别作为独立的功能实体而存在。
认证授权计费(Authentication Authorization Accounting,AAA)服务器:可以是GRIDS中的AAA系统,其中,AAA服务器用于对终端进行认证,所谓认证(Authentication)为用以对用户身份进行确认;所谓授权为(Authorization)为用以确定用户是否被授权使用某种网络资源;所谓计费(Accounting)为用以监测用户使用网络资源的状况,可依照检测的记录对用户收费。需要说明的是,在可能的实施例中,AAA服务器在部署在所述GRIDS系统的内部;在又一种可能的实施例中,AAA服务器也可在部署与所述GRIDS系统的外部。
还需要理解的是,本申请实施例中,身份管理服务器、映射管理服务器、密钥管理服务器以及AAA系统均是逻辑实体,这些逻辑实体部署方式可以是非常灵活的,例如,身份管理服务器、映射管理服务器、密钥管理服务器以及AAA系统可以分别单独部署,可以集中部署(例如,部署在同一服务器中等等),也可以和其他的设备部署在一起,本申请不作具体限定。
另外,在实际应用中,身份管理服务器、映射管理服务器、密钥管理服务器以及AAA系统在不同系统中的实际产品名称可能不尽相同,例如,有些产品中的身份密钥管理系统被称为私钥生成器(Private-Key Generator,PKG)。可以理解的,产品名称的改变并不会影响密身份密钥管理系统的实质。
具体地,终端接入UAG后,UAG请求GRIDS中的AAA服务器对终端进行认证,AAA服务器对终端进行认证后将认证结果返回UAG。UAG为终端分配网络位置后,向终端发送网络位置及AAA认证结果。终端经过AAA认证并得到网络位置后,GRIDS还会对对标识终端身份信息的ID进行注册认证,在认证时,终端向GRIDS负责终端ID管理的身份管理服务器发送携带AAA认证信息的ID注册请求消息,身份管理服务器根据AAA认证信息验证终端的身份后,身份管理服务器为终端分配ID并根据终端的ID向密钥管理服务器请求并得到终端的私钥,随后身份管理服务器向终端发送终端的ID和私钥,以使终端能够通过终端的ID和私钥进行基于身份的密码技术IBC加密与签名。然而,现有技术中身份管理服务器向终端发送终端ID和密钥时并不提供对终端ID和终端的私钥在信息安全方面的保护,而终端的ID和私钥作为重要的终端标识信息,在没有保证安全的通信环境下,很容易被泄露或窃取,从而导致了现有技术中,对终端在进行基于ID注册认证通信时的安全性能较低。
而本申请为了提高终端进行基于ID注册认证时的安全性能,当GRIDS中的身份管理服务器接收到终端的基于ID注册请求消息,首先根据ID注册请求消息中AAA认证信息验证终端的身份后,随后向密钥管理服务器请求为终端分配私钥,其中密钥管理服务器通过基于身份的密码技术IBC根据终端的ID生成终端的私钥并发送至身份管理服务器。身份管理服务器接收到密钥管理服务器发送的终端私钥后,与终端协商生成的、二者共享信息时使用的第一密钥,随后身份管理服务器将私钥通过第一密钥加密后,再发送至终端,使得终端通过第一密钥解密后获取终端的私钥,保证了信息传输过程中的安全性能。因此,本申请提供的基于ID的终端注册与认证的密钥分发方法中,提供了基于ID注册与认证的网络结构下基于ID的终端注册认证方法与密钥协商的方法,简化了注册与认证流程,保证了基于ID的终端注册与认证时信息的安全传输。
具体地,在本申请实施例中提供的ID是指面向ID的网络(ID-OrientedNetwoking,简称:ION)协议架构下的终端(或节点)的ID,具体指标识层的标识(ID)。终端(或节点)的标识可以是固定不变的标识,例如,设备序列号、手机号码、国际移动设备标识(International Mobile Equipment Identity,IMEI)、国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、IP多媒体私有标识(IPMultimedia Private Identity,IMPI)、IP多媒体公共标识(IP Multimedia PublicIdentity,IMPU)等等,也可以是临时分配的标识,例如,临时移动用户标识符(TemporaryMobile Subscriber Identity,TMSI)、全球唯一临时UE标识(Globally Unique TemporaryUE Identity,GUTI)等等。
其中,ION协议架构是一种新型的通信协议架构,与传统的IPv6协议架构的不同之处在于:ION协议架构在IPv6协议架构的IP层(3层)和传输层(4层)之间增加了标识层(3.5层)。这样,采用ION协议架构的节点(或终端)都可以采用标识层的标识作为唯一不变的身份标识。而且,标识层位于IP层之上,所以,ION协议架构下的节点(或终端)可以根据标识层的标识通过IP层进行寻址。
具体地,图2为本申请密钥分发方法实施例一的流程示意图。如图2所示,本实施例提供的密钥分发方法包括:
S201:终端通过UAG向身份管理服务器发送ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括终端的AAA认证信息。
具体地,本实施例密钥分发方法在图1所示的密钥分发系统中执行,终端通过UAG向身份管理服务器发送用于请求对终端进行基于ID注册的ID注册请求消息,并在ID注册请求消息中携带终端的AAA认证信息,其中,终端已经经过AAA服务器的AAA认证,并已获取UAG为终端分配的网络位置(可以是IP地址)和AAA服务器对终端的AAA认证信息。当终端经过AAA服务器的认证之后,再向身份管理服务器发送注册ID的请求消息,使得身份管理服务器能够根据终端的AAA认证信息验证终端的身份。
可选地,ID注册请求消息由AAA diameter协议扩展消息加入终端的ID实现,具体地,在AAA diameter协议的能力交换请求消息(Capabilities-Exchange-Request,简称:CER)和能力交换应答消息(Capabilities-Exchange-Answer,简称:CEA)中增加基于终端ID的AVP,则具体地增加终端ID的AVP之后的CER消息格式为:<CER>::=<DiameterHeader:257,REQ>{Origin-Host}{Origin-Realm}1*{Host-IP-Address}1*{Host-UID}{Vendor-Id}{Product-Name}[Origin-State-Id]*[Supported-Vendor-Id]*[Auth-Application-Id]*[Inband-Security-Id]*[Acct-Application-Id]*[Vendor-Specific-App lication-Id][Firmware-Revision]*[AVP];其中,{Host-UID}即为终端的ID;增加终端ID的AVP之后的CEA消息格式为<CEA>::=<DiameterHeader:257>{Result-Code}{Origin-Host}{Origin-Realm}1*{Host-IP-A ddress}{Host-UID}{Vendor-Id}{Product-Name}[Origin-State-Id][Error-Message][Faile d-AVP]*[Supported-Vendor-Id]*[Auth-Application-Id]*[Inband-Security-Id]*[Acct-Ap plication-Id]*[Vendor-Specific-Application-Id][Firmware-Revision]*[AVP];其中,{Host-UID}即为终端的ID。可选地,ID注册请求消息还可以通过其他diameter的消息实现例如:DWR,DWA,DPR或DPA等消息,并在消息中加入支持终端ID的AVP,实现方式与上述示例相同,不再赘述。
S202:身份管理服务器根据AAA认证信息判断终端是否经过AAA认证。
具体地,身份管理服务器接收到终端发送的ID注册请求后,需要首先判断终端是否经过AAA服务器的认证。当终端已经过AAA服务器的认证时,才对终端进行基于ID的注册。本申请实施例中身份管理服务器处理的是ION协议中3.5层的标识层消息,因此需要在终端在第三层的网络IP层进行AAA认证并且分配网络地址后,由身份管理服务器对终端的ID进行注册,使得终端可以根据标识层的ID通过IP层进行寻址。
可选地,本实施例一种可能的判断方式为,身份管理服务器将终端的AAA认证信息发送至AAA服务器,由AAA服务器根据终端的AAA认证信息判断终端是否经过AAA认证,并向身份管理服务器发送终端的AAA认证结果,认证结果可以包括已认证或未认证两种结果,身份管理服务器根据收到的AAA认证结果判断终端是否经过AAA认证。
本实施例另一种可能的判断方式为,AAA服务器在对终端进行AAA认证之后,除了还向UAG发送终端的AAA认证信息,还向身份管理服务器发送终端的AAA认证信息。当身份管理服务器收到终端携带AAA认证信息的ID注册请求后,验证其中携带的AAA认证信息与AAA服务器发送的终端的AAA认证信息是否相同,若相同则判断终端已经过AAA认证,若不相同,则判断终端未经过AAA认证。
因此,本实施例提供的密钥分发方法,能够在已有的AAA认证的基础上,在AAA认证之后对终端的ID进行注册认证,从而基于AAA认证进行扩展,不但兼容现有的网络认证方法,还能够成为构建现象ID的网络架构下端到端安全通信的基础。
可选地,在本申请实施例提供的身份管理服务器采用分布式系统,在终端漫游时移动切换,从而不需要在中央系统中对终端进行认证,减少了终端在移动切换过程中的认证时延。
S203:若终端经过AAA认证,身份管理服务器为终端分配ID并向密钥管理服务器发送终端的ID。
具体地,当身份管理服务器收到终端发送的ID注册请求消息后,开始对终端进行基于ID的注册,首先为终端分配ID,并将终端的ID发送至密钥管理服务器,由密钥管理服务器生成终端的私钥。
S204:密钥管理服务器根据终端的ID生成终端的私钥,并将私钥发送至身份管理服务器;
具体地,密钥管理服务器根据身份管理服务器发送的终端的ID,以ID为公钥生成ID唯一对应的私钥。其中,密钥管理服务器可以根据基于身份的密码技术IBC对终端的ID进行处理,生成终端的私钥后向身份管理服务器发送该私钥。
S205:身份管理服务器与终端协商生成的第一密钥。
具体地,当身份管理服务器从密钥管理服务器接收到终端的私钥后,为了保障向终端发送私钥时的通信安全,在发送之前,身份管理服务器与终端协商第一密钥,用于加密身份管理服务器与终端之间的通信信息。可选地,身份管理服务器与终端可以通过密钥协商协议,协商生成第一密钥,密钥协商协议包括:DH(Diffie Hellman)协议、IKE(Internetkey exchange)协议等,在此不做限定。
S205:身份管理服务器向终端发送由第一密钥加密、终端的ID和私钥。
具体地,当身份管理服务器与终端协商生成的第一密钥后,向终端发送由第一密钥加密的终端的ID和私钥,使得终端接收并通过第一密钥进行解密,提取其中的终端ID的私钥。从而保障了终端的ID和私钥在由身份管理服务器向终端发送过程中的信息安全,保证了终端在基于ID进行注册时信息传输过程中的安全性能。
综上,本实施例提供的密钥分发方法用于密钥分发系统中,终端与身份管理服务器之间的通信密钥的协商与分发,具体地,身份管理服务器接收到终端发送的ID注册请求消息后,根据ID注册请求消息中的AAA认证信息判断终端是否经过AAA认证,若终端经过AAA认证,则为终端分配ID并向密钥管理服务器发送终端的ID,密钥管理服务器根据终端的ID生成终端的私钥并返回身份管理服务器。身份管理服务器在与终端协商生成的第一密钥后,通过第一密钥对终端的ID和私钥的进行加密并向终端发送,终端接收后通过第一密钥进行解密并获取终端的ID和私钥。本申请实施例提供的密钥分发方法,在AAA认证机制的基础上,实现身份管理服务器对终端进行基于ID的注册时,将终端的ID和私钥通过身份管理服务器和终端协商生成的第一密钥进行加密,从而保障了身份管理服务器和终端之间传输信息的安全,提高了终端进行基于ID注册认证时的通信安全性能。
图3为本申请密钥分发方法实施例二的流程示意图。如图3所示,本实施例提供的密钥分发方法在图2所示实施例的基础上,S202具体包括:
S301:身份管理服务器向AAA服务器发送终端的AAA认证信息,向AAA服务器请求判断终端是否经过AAA认证,其中,AAA认证信息为终端S201发送的ID注册请求消息中包括的终端的AAA认证信息。
S302:AAA服务器根据AAA认证信息判断终端是否经过AAA认证,并向身份管理服务器发送AAA认证结果,认证结果可以是已认证或未认证两种结果,使得身份管理服务器在判断终端经过AAA认证后向密钥管理服务器发送终端的ID。
S303为S204的一种可能实现方式,在S303中,身份管理服务器与终端可以通过密钥协商协议协商生成的第一密钥,密钥协商协议包括:DH协议、IKE协议等,在此可不做限定。
如图3所示,当终端从身份管理服务器获取私钥后,需要进一步地与映射管理服务协商确定终端与映射管理服务器通信时所使用的第二密钥,其中,映射管理服务器用于向终端提供ID到网络位置的映射查询服务,为了保障ID与网络位置的映射查询服务交互信息的安全性能,终端在完成身份管理服务器的注册之后,向映射管理服务器器发送映射注册请求,请求映射管理服务器对终端进行注册并协商二者通信的第二密钥,其中,第二密钥用于加密终端与映射管理服务器之间的通信消息。而可选地,映射注册请求可以通过第一密钥进行加密并先发送至身份管理服务器,以保证映射注册请求的通信安全。具体地,S205之后还包括:
S304:终端向身份管理服务器发送映射注册请求,其中映射注册请求消息包括终端的ID、终端的位置和终端生成的第一随机数,用于请求映射管理服务器对终端进行注册;映射注册请求消息由第一密钥加密,映射管理服务器向终端提供ID到网络位置的映射查询服务。
S305:身份管理服务器接收映射注册请求消息,通过第一密钥解密映射注册请求消息,并发送解密后的映射注册请求消息至映射管理服务器。
S306:映射管理服务器接收映射注册请求消息并生成第二随机数,并根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,即终端和映射管理服务器之间通信时,均用第二密钥加密发送的消息,接收到对方的消息后,用第二密钥进行解密。随后,映射管理服务器向身份管理服务器发送第二随机数。
S307:身份管理服务器向终端发送通过第一密钥加密的映射注册结果,映射注册结果包括第二随机数和映射管理服务器的ID,使得终端通过第一密钥解密并获取映射注册结果;并使得终端根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥。
S308:终端在计算获取第二密钥之后,终端与映射管理服务器通过第二密钥对交互的通信消息进行加密与解密。
综上,本实施例提供的密钥分发方法中,在终端向身份管理服务请求私钥之后,还通过身份管理服务器向映射管理服务器请求注册终端,并向终端提供映射查询功能的服务。则终端和映射管理服务器通过协商第二密钥的方式,保证了终端与映射管理服务器之间往来消息的安全,均通过第二密钥进行加密与解密,从而进一步地提高了终端进行基于ID注册认证时的通信安全性能。
图4为本申请密钥分发方法实施例三的流程示意图。如图4所示,本实施例提供的密钥分发方法在图2所示实施例的基础上,在S202具体包括:
S401:身份管理服务器向AAA服务器发送终端的AAA认证信息,向AAA服务器请求判断终端是否经过AAA认证,其中,AAA认证信息为终端S201发送的ID注册请求消息中包括的终端的AAA认证信息。
S402:AAA服务器根据AAA认证信息判断终端是否经过AAA认证,并向身份管理服务器发送AAA认证结果,认证结果可以是已认证或未认证两种结果,使得身份管理服务器在判断终端经过AAA认证后向密钥管理服务器发送终端的ID。
如图4所示,本实施例中终端与身份管理服务器通过协商参数计算的方式生成终端与身份管理服务器之间的通信时使用的第一密钥。具体地,在S204之后,还包括:
S403:身份管理服务器向身份管理服务器发送映射注册请求消息,映射注册请求消息包括终端的ID、终端的网络位置和终端生成的第一随机数,用于请求映射管理服务器对终端进行注册;映射注册请求消息由第一密钥加密,映射管理服务器向终端提供ID到IP信息的映射查询服务;其中,终端生成的第一随机数为终端通过ID注册请求消息发送至身份管理服务器。
S404:映射管理服务器将终端的ID和终端的网络位置建立映射关系,并生成第二随机数;将第二随机数发送至身份管理服务器。
则身份管理服务器和终端在S404之后、S405之前,均通过第一随机数、终端的ID和身份管理服务器的ID计算生成的第一密钥。
并且在S405中,身份管理服务器向终端发送的注册结果中,还包括:第一随机数、第二随机数和映射管理服务器的ID,以使终端和映射管理服务器根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算生成的第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,即终端和映射管理服务器之间通信时,均用第二密钥加密发送的消息,接收到对方的消息后,用第二密钥进行解密。
随后在S406中,终端在计算获取第二密钥之后,终端与映射管理服务器通过第二密钥对交互的通信消息进行加密与解密。
综上,本实施例提供的密钥分发方法中,在终端向身份管理服务请求私钥之后,还通过身份管理服务器向映射管理服务器请求注册终端,并向终端提供映射查询功能的服务。则终端和映射管理服务器通过协商参数计算第二密钥的方式,保证了终端与映射管理服务器之间往来消息的安全,均通过第二密钥进行加密与解密,从而进一步地提高了终端进行基于ID注册认证时的通信安全性能。
图5为本申请密钥分发方法实施例四的流程示意图。如图5所示,本实施例提供的密钥分发方法在图2和图4所示实施例的基础上,在S201之前,还包括:
S501:身份管理服务器接收AAA服务器发送的所述终端的AAA认证信息。
具体地,当终端接入UAG后,UAG检测到有终端接入,则向AAA服务器发送AAA认证请求,请求AAA服务器认证终端。AAA服务器对终端进行认证后,通过UAG向终端返回AAA认证信息,UAG也将AAA服务器返回的AAA认证信息发送至身份管理服务器。
使得身份管理服务器在接收到终端发送的包含终端AAA认证信息的ID注册请求消息后,图2中的S202具体包括:身份管理服务器判断AAA服务器发送的终端的AAA认证信息和终端发送的注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定终端经过AAA认证。
进一步地,在上述各实施例中,当终端已经过身份管理服务器的认证注册,但是需要再次请求映射管理服务器的注册认证,或者,终端与映射管理服务器之间的第二密钥失效时,不需要对终端进行AAA认证,而仅基于终端的ID进行快速的注册认证。具体地,图6为本申请密钥分发方法实施例五的流程示意图,如图6所示,本实施例提供的密钥分发方法包括:
S601:终端向身份管理服务器发送映射注册请求消息,映射注册请求消息用于请求映射管理服务器对终端进行注册,映射注册请求消息包括终端的ID、终端的网络位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息通过终端的私钥签名。
S602:身份管理服务器接收映射注册请求消息,通过终端的ID验证终端的私钥的签名,通过身份管理服务器的私钥解密并获取第一随机数,并发送映射认证请求消息至映射管理服务器;
S603:映射管理服务器将终端的ID和终端的网络位置建立映射关系,并生成第二随机数;并将第二随机数发送至身份管理服务器。
S604:身份管理服务器接收映射管理服务器发送私钥签名的、终端的ID加密的第二随机数。
S605:终端接收并通过终端的私钥解密获取第二随机数,并通过身份管理服务器的ID验证身份管理服务器的私钥的签名;终端和映射管理服务器根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算生成第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息。
综上,本实施例中提供的实施例中的密钥分发方法,还可以在终端已经注册ID的情况下,后续在终端的认证时,只通过基于终端ID的认证,而不需要对终端再次进行AAA认证,从而简化了对终端认证的流程。
图7为本申请密钥分发方法实施例六的流程示意图。如图7所示的本申请密钥分发方法为基于图3中实施例的基础上,终端为通信实体主机Host,身份管理服务器为GRIDS系统中的ID管理系统或ID管理服务器IDMS,映射管理服务为GRIDS中的映射系统或映射服务器NMS,密钥管理服务器可以是GRIDS中的身份密钥管理系统IKMS。其中,通信实体Host接入统一网关UAG之后,UAG向AAA服务器请求对Host进行AAA认证,并为Host分配IP地址。Host接入网络后向IDMS发送请求基于ID的注册的请求,请求中包括AAA认证信息,则当IDMS收到该请求后,首先向AAA服务器验证Host的身份,若验证通过则响应该请求,IDMS为Host分配ID并向IKMS发送Host的ID,使得IKMS基于IBC技术根据Host的ID作为公钥生成Host的私钥。IDMS和Host通过协商的方式确定二者间通信的第一密钥后,IDMS向Host发送通过第一密钥加密的Host的ID和私钥。随后,Host通过向IDMS发送映射注册请求消息的方式,使得IDMS请求NMS对Host进行映射服务的注册,NMS根据映射注册请求消息对Host进行注册后,通过发送随机数的方式与Host通过共同的参数计算二者之间通信的第二密钥,使得NMS与Host进行网络位置到ID的映射查询或更新服务时使用第二密钥,对二者交互的信息进行加密和解密处理。
具体地,图7所示,本实施例中的密钥分发方法包括:
步骤1a:Host接入网络,通过二层接入统一接入网关UAG;
步骤1b:由UAG向AAA服务器发起认证请求,请求AAA服务器对接入UAG的Host进行AAA认证;
步骤1c:AAA服务器对UAG请求认证的Host根据AAA认证机制对Host进行认证,并将Host的AAA认证结果即AAA认证信息返回UAG,其中,认证机制可以是基于用户识别码和密码的机制,或者对密码进行哈希Challenge/Response认证机制;
步骤1d:UAG对Host的AAA认证结果进行验证后,向Host分配IP信息,并将Host的IP信息和IDMS的IP信息通过通告的方式发送至Host,其中IP信息可以是主机IP地址。
步骤2a:当Host完成上述步骤后接入网络,即可通过UAG向IDMS进行注册并请求基于ID的服务;Host向IDMS发送Host认证请求消息,其中,Host认证请求消息用于Host请求IDMS对Host进行基于ID的注册认证,并且Host认证请求消息中携带Host的IP信息和AAA认证信息;
步骤2b:当IDMS接收到Host发送的Host认证请求消息后,首先对Host是否经过AAA服务器的认证进行验证,将Host认证请求消息中的Host的AAA认证信息发送至AAA服务器,由AAA服务器对AAA认证信息进行验证;
步骤2c:若验证通过则,确认Host身份,并向IDMS返回AAA认证结果,执行步骤2e;若验证不通过未确认Host的身份,则执行步骤2d:
步骤2d:IDMS向Host发送验证失败消息;
步骤2e:IDMS将Host的ID发送至IKMS,向IKMS请求分配Host的私钥;
步骤2f:IKMS以Host的ID为公钥通过基于身份的密码技术(Identity BasedCryptography,简称:IBC)生成Host的私钥,并将IKMS的系统参数和Host的私钥发送至IDMS;
步骤3:IDMS与Host通过协商获取第一密钥SK1,用于建立其二者间分发私钥的安全通道,其中,协商获取的方式可以是种密钥协商认同DH协议;
步骤4a:IDMS向Host发送通过第一密钥加密的Host的注册认证结果,其中,注册认证结果中可以包括:Host的ID、Host的私钥、系统参数、NMS的ID、NMS的IP信息和IDMS的ID等;
步骤4b:Host接收注册认证结果并解密后,完成Host基于ID的注册认证。
可选地,当Host完成基于ID的注册认证后,Host可以与映射管理服务协商第二密钥进行在NMS的注册认证,通过NMS向Host提供ID到IP信息的映射查询服务;具体地:
步骤5a:Host向IDMS发送映射认证请求消息;其中,映射认证请求消息用于请求NMS确定第二密钥,并请求对Host进行映射关系的注册,映射认证请求消息被第一密钥进行加密,映射认证请求消息中包括Host的ID、IP信息和第一随机数;
步骤5b:IDMS通过第一密钥对映射认证请求消息进行解密后,响应映射认证请求消息,将映射认证请求消息转发至NMS;
步骤5c:NMS根据映射认证请求消息,将Host的IP和ID建立映射关系,并生成第二随机数;NMS根据第一随机数、第二随机数、Host的ID和NMS的ID通过SK2=F(Host的IDHostID,第一随机数Nonce1,第二随机数Nonce2,NMS的ID NMS_ID)计算生成第二密钥SK2,例如:SK2=HostID+Nonce1+Nonce2+NMS_ID,其他计算方式也可以实现第二密钥的计算,在此不作具体限定;
步骤5d:NMS将映射注册结果发送至IDMS,映射注册结果包括Host的IP和ID的映射关系和第二随机数;
步骤5e:IDMS将映射注册结果通过第一密钥加密后向Host发送;
步骤5f:Host接收映射注册结果并通过第一密钥解密后,根据第一随机数、第二随机数、Host的ID和NMS的ID通过SK2=F(HostID,Nonce1,Nonce2,NMS_ID)计算生成第二密钥,从而使得Host与NMS都获取了第二密钥,在随后的Host与映射服务器之间进行IP与ID的查询和更新的通信时,Host与映射管理服务器都使用第二密钥进行来往消息的加密与解密。
本实施例通过Host与IDMS之间协商的第一密钥对Host与IDMS往来的信息进行加密,并且还通过Host与NMS之间协商的第二密钥对Host与NMS往来的信息进行加密,从而保证了信息传输过程中的安全性能,并且简化了认证流程,保证了基于ID的Host认证时信息的安全传输。
图8为本申请密钥分发方法实施例七的流程示意图。如图8所示的本申请密钥分发方法为基于图4中实施例的基础上,终端为通信实体主机Host,身份管理服务器为GRIDS系统中的ID管理系统或ID管理服务器IDMS,映射管理服务为GRIDS中的映射系统或映射服务器NMS,密钥管理服务器可以是GRIDS中的身份密钥管理系统IKMS。,Host接入统一网关UAG之后,UAG对向AAA服务器请求对Host进行AAA认证,并为Host分配IP地址,UAG还向Host提供IDMS的ID和AAA认证信息。Host接入网络后向IDMS发送请求基于ID注册的请求,该请求携带第一随机数,则当IDMS收到该请求后,首先通过向AAA服务器发送Host的AAA认证信息的方式验证Host的身份,若验证通过则响应该请求,IDMS为Host分配ID并向IKMS发送Host的ID,使得IKMS基于IBC技术根据Host的ID作为公钥生成Host的私钥并生成第二参数。IDMS和Host均通过参数计算的方式确定二者间通信的第一密钥,参数计算所需的参数包括第一随机数、第二随机数和IDMS的ID,随后IDMS向Host发送通过第一密钥加密的Host的私钥及第二参数。随后,Host和NMS通过参数计算的方式,通过共同的参数计算二者之间通信的第二密钥,参数计算所需的参数包括第一随机数、第二随机数、Host的ID和IDMS的ID,使得NMS与Host进行IP信息到ID的映射查询/更新服务时使用第二密钥对二者交互的信息进行加密和解密处理。
具体地,如图3所示,本实施例中的基于ID的Host认证方法包括:
步骤1a:Host在需要接入网络时,二层接入统一接入网关UAG;
步骤1b:由UAG向AAA服务器发起认证请求,请求AAA服务器对接入UAG的Host进行AAA认证;
步骤1c:AAA服务器对UAG请求认证的Host根据AAA认证机制对Host进行认证,并将Host的AAA认证结果返回UAG,其中,认证机制可以是基于用户识别码和密码的机制,或者对密码进行哈希Challenge/Response认证机制;
步骤1d:UAG对Host的AAA认证结果进行验证后,向Host分配IP,并将Host的IP信息和IDMSID通过通告的方式发送至Host,其中IP可以是主机IP地址。
步骤2a:Host完成上述步骤后接入网络,即可通过UAG向IDMS进行注册并请求基于ID的服务;Host向IDMS发送Host认证请求消息,其中Host认证请求消息用于Host请求IDMS对Host进行基于ID的注册认证,并且Host认证请求消息中携带Host的IP和AAA认证信息,Host认证请求消息中还包括经过IDMS的ID加密的第一随机数;
步骤2b:当IDMS接收到Host发送的Host认证请求消息后,通过IDMS的私钥解密并获取第一随机数,并对Host是否经过AAA服务器的认证进行验证,将Host认证请求消息中的Host的AAA认证信息发送至AAA服务器,由AAA服务器对AAA认证信息进行验证;
步骤2c:若验证通过则,确认Host身份,并向IDMS返回AAA认证结果,执行步骤2e;若验证不通过未确认Host的身份,则执行步骤2d:
步骤2d:IDMS向Host发送验证失败消息;
步骤2e:IDMS为Host分配ID并将Host的ID发送至IKMS,向IKMS请求分配Host的私钥;
步骤2f:IKMS以Host的ID为公钥通过基于身份的密码技术IBC生成Host的私钥,并将IKMS的系统参数和Host的私钥发送至IDMS;
步骤3a:IDMS向NMS发送映射认证请求消息,其中,映射认证请求消息中携带Host的ID、IP和Host认证请求消息的第一随机数;
步骤3b:NMS根据映射认证请求消息,将Host的IP和ID建立映射关系,并生成第二随机数,将映射注册结果和第二随机数作为映射认证请求的回复发送至IDMS;
步骤3c:Host和NMS分别通过预设方式计算得到第一密钥其中,通过所述第一随机数、Host的ID和IDMS的ID通过SK1=F(Host的IDHostID,第一随机数Nonce1,IDMS的IDIDMS_ID)计算得到第一密钥SK1,例如:SK1=HostID+Nonce1+IDMS_ID其他具体的计算方式也可以实现第一密钥的计算,在此不作具体限定;
步骤4a:IDMS向Host发送通过第一密钥加密并通过IDMS的私钥签名的Host的注册认证结果,注册认证结果中可以包括:第二随机数、Host的ID、Host的私钥、系统参数、NMS的ID和NMS的IP信息等;
步骤4b:Host接收到注册认证结果后,通过IDMS的ID进行签名认证后,通过第一密钥对其进行解密,完成Host基于ID的注册认证。
可选地,当Host完成基于ID的注册认证后,Host可以与映射管理服务协商第二密钥进行在NMS的注册认证,通过NMS向Host提供ID到IP的映射查询服务;具体地:
步骤5a:Host通过步骤4中获取的NMS的ID和第二随机数计算第二密钥,具体通过SK2=F(Host的IDHostI,第一随机数Nonce1,第二随机数Nonce2,NMS的IDNMS_ID)计算生成第二密钥SK2,例如:SK2=HostID+Nonce1+Nonce2+NMS_ID,其他计算方式也可以实现第二密钥的计算,在此不作具体限定;
步骤5b:NMS也通过步骤5a中的方式计算第二密钥SK2;
步骤5c:在随后的Host与映射服务器之间进行IP与ID的查询和更新的通信时,Host与映射服务区都使用第二密钥进行来往消息的加密与解密。
本实施例通过Host与IDMS之间协商的第一密钥对Host与IDMS往来的信息进行加密,并且还通过Host与NMS之间协商的第二密钥对Host与NMS往来的信息进行加密,从而保证了信息传输过程中的安全性能,并且简化了认证流程,保证了基于ID的Host认证时信息的安全传输。
图9为本申请密钥分发方法实施例八的流程示意图。如图9所示的本申请密钥分发方法为基于图5中实施例的基础上,终端为通信实体主机Host,身份管理服务器为GRIDS系统中的ID管理系统或ID管理服务器IDMS,映射管理服务为GRIDS中的映射系统或映射服务器NMS,密钥管理服务器可以是GRIDS中的身份密钥管理系统IKMS。,Host接入统一网关UAG之后,UAG对向AAA服务器请求对Host进行AAA认证,并为Host分配IP地址,UAG还向Host提供IDMS的ID,AAA服务器对Host进行认证后,还向IDMS发送Host的AAA认证信息。Host接入网络后向IDMS发送请求基于ID注册的请求,该请求携带第一随机数和AAA认证信息,则当IDMS收到该请求后,首先通过比对AAA服务器发送的和Host发送的AAA认证信息是否匹配的方式验证Host的身份,若验证通过则响应该请求,IDMS为Host分配ID,并向IKMS发送Host的ID,使得IKMS基于IBC技术根据Host的ID作为公钥生成Host的私钥并生成第二参数。IDMS和Host均通过参数计算的方式确定二者间通信的第一密钥,参数计算所需的参数包括第一随机数、第二随机数和IDMS的ID,随后IDMS向Host发送通过第一密钥加密的Host的私钥及第二参数。随后,Host和NMS通过参数计算的方式,通过共同的参数计算二者之间通信的第二密钥,参数计算所需的参数包括第一随机数、第二随机数、Host的ID和IDMS的ID,使得NMS与Host进行IP信息到ID的映射查询/更新服务时使用第二密钥对二者交互的信息进行加密和解密处理。
具体地,如图9所示,本实施例中的基于ID的Host认证方法包括:
步骤1a:Host在需要接入网络时,二层接入统一接入网关UAG;
步骤1b:由UAG向AAA服务器发起认证请求,请求AAA服务器对接入UAG的Host进行AAA认证;
步骤1c:AAA服务器对UAG请求认证的Host根据AAA认证机制对Host进行认证,并将Host的AAA认证结果返回UAG,其中,认证机制可以是基于用户识别码和密码的机制,或者对密码进行哈希Challenge/Response认证机制;
步骤1d:UAG对Host的AAA认证结果进行验证后,向Host分配IP信息,并将Host的IP信息和IDMS的ID通过通告的方式发送至Host,其中IP信息可以是主机IP地址。
步骤1e:AAA服务器将Host的AAA认证结果发送至IDMS;
步骤2a:Host完成上述步骤后接入网络,即可通过UAG向IDMS进行注册并请求基于ID的服务;Host向IDMS发送Host认证请求消息,其中Host认证请求消息用于Host请求IDMS对Host进行基于ID的注册认证,并且Host认证请求消息中携带Host的IP和AAA认证信息,Host认证请求消息中还包括经过IDMS的ID加密的第一随机数;
步骤2b:当IDMS接收到Host发送的Host认证请求消息后,通过IDMS的私钥解密并获取第一随机数,并对Host是否经过AAA服务器的认证进行验证,具体地通过Host认证请求消息中携带的AAA认证信息与步骤1e中接收的AAA认证结果进行比对,若比对相同则验证成功,则执行步骤2d,若比对不相同则验证失败,IDMS向Host发送验证失败消息;
步骤2c:IDMS为Host分配ID并将Host的ID发送至IKMS,向IKMS请求分配Host的私钥;
步骤2d:IKMS以Host的ID为公钥通过基于身份的密码技术IBC生成Host的私钥,并将IKMS的系统参数和Host的私钥发送至IDMS;
步骤3a:IDMS向NMS发送映射认证请求消息,其中,映射认证请求消息中携带Host的ID、IP和Host认证请求消息的第一随机数;
步骤3b:NMS根据映射认证请求消息,将Host的IP和ID建立映射关系,并生成第二随机数,将映射注册结果和第二随机数作为映射认证请求的回复发送至IDMS;
步骤3c:Host和NMS分别通过预设方式计算得到第一密钥其中,通过所述第一随机数、Host的ID和IDMS的ID通过SK1=F(Host的IDHostID,第一随机数Nonce1,IDMS的IDIDMS_ID)计算得到第一密钥SK1,例如:SK1=HostID+Nonce1+IDMS_ID其他具体的计算方式也可以实现第一密钥的计算,在此不作具体限定;
步骤4a:IDMS向Host发送通过第一密钥加密并通过IDMS的私钥签名的Host的注册认证结果,注册认证结果中可以包括:第二随机数、Host的ID、Host的私钥、系统参数、NMS的ID和NMS的IP等;
步骤4b:Host接收到注册认证结果后,通过IDMS的ID进行签名认证后,通过第一密钥对其进行解密,完成Host基于ID的注册认证。
可选地,当Host完成基于ID的注册认证后,Host可以与映射管理服务协商第二密钥进行在NMS的注册认证,通过NMS向Host提供ID到IP的映射查询服务;具体地:
步骤5a:Host通过步骤4中获取的NMS的ID和第二随机数计算第二密钥,具体通过SK2=F(Host的IDHostI,第一随机数Nonce1,第二随机数Nonce2,NMS的IDNMS_ID)计算生成第二密钥SK2,例如:SK2=HostID+Nonce1+Nonce2+NMS_ID,其他计算方式也可以实现第二密钥的计算,在此不作具体限定;
步骤5b:NMS也通过步骤5a中的方式计算第二密钥SK2;
步骤5c:在随后的Host与映射服务器之间进行IP与ID的查询和更新的通信时,Host与映射服务区都使用第二密钥进行来往消息的加密与解密。
本实施例通过Host与IDMS之间协商的第一密钥对Host与IDMS往来的信息进行加密,并且还通过Host与NMS之间协商的第二密钥对Host与NMS往来的信息进行加密,从而保证了信息传输过程中的安全性能,并且简化了认证流程,保证了基于ID的Host认证时信息的安全传输。
图10为本申请密钥分发方法实施例九的流程示意图。如图10所示的本申请密钥分发方法为基于图6中实施例的基础上,终端为通信实体主机Host,身份管理服务器为GRIDS系统中的ID管理系统或ID管理服务器IDMS,映射管理服务为GRIDS中的映射系统或映射服务器NMS,密钥管理服务器可以是GRIDS中的身份密钥管理系统IKMS。当Host已经过IDMS的认证注册,但是需要再次请求NMS的注册认证,或者,Host与映射管理服务区之间的第二密钥失效时,不需要对Host进行AAA认证,而仅基于Host的ID进行快速的注册认证,具体地,如图5所示,本实施例中的基于ID的Host认证方法包括:
步骤1a:Host向IDMS发送Host认证请求信息,Host认证请求信息中包括:映射认证请求消息和第一随机数,其中,映射认证请求消息用于请求NMS确定第二密钥,并请求对Host进行映射关系的注册,映射认证请求消息和第一随机数使用Host的私钥进行签名,第一随机数通过IDMS的公钥即ID进行加密;
步骤1b:IDMS接收映射认证请求和第一随机数,并通过IDMS的私钥解密第一随机数,通过Host的公钥即ID验证Host的私钥签名,当验证通过则完成对Host的身份验证;
步骤2a:IDMS将映射认证请求和第一随机数发送至NMS;
步骤2b:映射管理服务根据映射认证请求消息,将Host的IP和ID建立映射关系,并生成第二随机数;
步骤2c:NMS将映射注册结果发送至IDMS,映射注册结果包括Host的IP和ID的映射关系和第二随机数;
步骤3a:IDMS将映射注册结果和第二随机数通过IDMS的私钥进行签名,并通过Host的公钥即ID对第二随机数进行加密;
步骤3b:IDMS将签名消息、映射注册结果和第二随机数发送至Host;
步骤4a:Host接通过Host的私钥解密第二随机数,并通过IDMS的公钥即ID验证IDMS的签名;
步骤4b:Host和NMS均根据第一随机数、第二随机数、Host的ID和NMS的ID通过SK2=F(Host的IDHostI,第一随机数Nonce1,第二随机数Nonce2,NMS的IDNMS_ID)计算生成第二密钥SK2,例如:SK2=HostID+Nonce1+Nonce2+NMS_ID,其他计算方式也可以实现第二密钥的计算,在此不作具体限定;
步骤4c:在随后的Host与映射服务器之间进行IP与ID的查询和更新的通信时,Host与映射服务区都使用第二密钥进行来往消息的加密与解密。
本实施例通过对已经进行基于ID注册的Host,再次请求NMS的注册时,不再需要对Host进行AAA认证,而仅基于Host的ID进行快速的注册认证,从而简化了Host认证的流程。
可选地,在上述实施例中,终端向身份管理服务器发送的终端认证请求消息中包括映射认证请求消息,即终端认证请求信息中包括映射认证请求消息合二为一的消息格式可以通过表1所示的格式进行设计:
表1
终端认证请求消息 映射认证请求消息 第一随机数的密文 签名信息
其中,签名信息的构造方法可以是“终端认证请求消息”+“映射认证请求消息”+“第一随机数”进行哈希摘要,然后使用终端的私钥对摘要进行加密,将摘要的密文作为签名信息;同时,使用对端的公钥(对方ID)加密第一随机数,得到第一随机数的密文。如上表所示,构成了基于ID的快速认证与密钥协商请求消息。
相应地,接收端即上述实施例中的身份管理服务器接收上述请求消息后,通过身份管理服务器的ID对应的私钥解密第一随机数,并通过终端的ID即公钥来验证签名信息。
图11为本申请身份管理服务器实施例一的结构示意图。如图11所示,本实施例中身份管理服务器11包括:接收模块1101,处理模块1102和发送模块1103。其中,接收模块1101用于接收终端通过统一接入网关UAG发送的ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括AAA认证信息;处理模块1102用于根据AAA认证信息判断终端是否经过AAA认证,若终端经过AAA认证,则为终端分配ID并向密钥管理服务器发送终端的ID;接收模块1101还用于接收密钥管理服务器发送的终端的私钥,其中,私钥为密钥管理服务器以终端的身份标识ID为公钥生成;处理模块1102还用于,与终端协商生成的第一密钥;发送模块1103用于通过UAG向终端发送通过第一密钥加密、终端的ID和私钥。
本实施例提供的身份管理服务器可用于执行图2所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
可选地,发送模块1103还用于向AAA服务器发送终端的AAA认证信息;接收模块1101还用于接收AAA服务器发送的终端的AAA认证结果;处理模块1102还用于根据AAA认证结果判断终端是否经过AAA认证。
本实施例提供的身份管理服务器可用于执行图3和图4所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
可选地,接收模块1101还用于,接收AAA服务器发送的终端的AAA认证信息;处理模块1102具体用于,判断AAA服务器发送的终端的AAA认证信息和终端发送的注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定终端经过AAA认证。
本实施例提供的身份管理服务器可用于执行图5所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
可选地,接收模块1101还用于,接收终端发送的映射注册请求消息,用于请求映射管理服务器对终端进行注册,其中,映射注册请求消息包括终端的ID、终端的位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息终端的私钥签名;处理模块1102还用于,通过终端的ID验证终端的私钥签名,通过身份管理服务器的私钥解密并获取第一随机数,发送映射认证请求消息至映射管理服务器;接收模块1101还用于,接收映射管理服务器生成并发送的第二随机数;发送模块1103还用于,向终端发送通过身份管理服务器的私钥签名的、终端的ID加密的第二随机数,以使终端通过终端的私钥解密并获取第二随机数,并通过身份管理服务器的ID验证身份管理服务器的私钥的签名,并使终端和映射管理服务器根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,映射管理服务器向终端提供ID到网络位置的映射查询服务。
本实施例提供的身份管理服务器可用于执行图6所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
图12为本申请终端实施例一的结构示意图。如图12所示,本实施例终端12包括:接收模块1201,处理模块1202和发送模块1203。其中,发送模块1203用于通过统一接入网关UAG向身份管理服务器发送ID注册请求消息,用于请求对终端的ID进行注册,其中,ID注册请求消息包括AAA认证信息;处理模块1202用于与身份管理服务器协商生成的第一密钥;接收模块1201用于接收身份管理服务器发送的通过第一密钥加密的、终端的ID和终端的私钥,其中,私钥为密钥管理服务器以终端的身份标识ID为公钥生成;处理模块1202还用于,通过第一密钥解密并获取终端的ID和终端的私钥。
本实施例提供的终端可用于执行图2所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
可选地,处理模块1202还用于,与映射管理服务器协商第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
本实施例提供的终端可用于执行图3-图5所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
发送模块1203还用于,向身份管理服务器发送映射注册请求消息,用于请求映射管理服务器对终端进行注册,其中,映射注册请求消息包括终端的ID、终端的网络位置和通过身份管理服务器的ID加密的第一随机数,映射注册请求消息通过终端的私钥签名;接收模块1201,用于接收身份管理服务发送的通过身份管理服务器的私钥签名的、终端的ID加密的第二随机数;处理模块1202,用于通过身份管理服务器的ID验证身份管理服务器的私钥的签名,并通过终端的私钥解密并获取第二随机数;处理模块1202还用于,根据第一随机数、第二随机数、终端的ID和映射管理服务器的ID计算得到第二密钥,第二密钥用于加密终端与映射管理服务器之间的通信消息,映射管理服务器向终端提供ID到网络位置的映射查询服务。
本实施例提供的终端可用于执行图6所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
本实施例还提供一种密钥分发系统,包括上述任一实施例中的身份管理服务器和上述任一实施例中的终端,其结构如图1所示,还包括统一接入网关UAG、映射管理服务器、AAA服务器和密钥管理服务器。本实施例提供的系统用于执行上述各实施例中所述的密钥分发方法,其实现方式与具体原理相同,不再赘述。
本申请实施例还提供一种密存储介质,包括:可读存储介质和计算机程序,所述计算机程序存储在可读存储介质上,所述计算机程序用于实现上述各实施例中所述的密钥分发方法。
本申请一实施例还提供一种程序产品,该程序产品包括:计算机程序(即执行指令),该计算机程序存储在可读存储介质中。编码设备的至少一个处理器可以从可读存储介质读取该计算机程序,至少一个处理器执行该计算机程序使得编码设备实施前述的各种实施方式提供的密钥分发方法。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (20)

1.一种密钥分发方法,其特征在于,所述方法应用于ION网络架构中,所述方法用于终端注册认证系统对终端进行基于身份标识ID的注册时向所述终端分发终端的ID和私钥,所述终端注册认证系统包括:身份管理服务器、映射管理服务器、密钥管理服务器和认证授权计费AAA服务器,所述终端通过统一接入网关UAG连接所述终端注册认证系统,所述方法包括:
所述终端通过所述UAG向所述身份管理服务器发送ID注册请求消息,用于请求对所述终端的ID进行注册,其中,所述ID注册请求消息包括AAA认证信息;
所述身份管理服务器接收所述ID注册请求消息,根据所述AAA认证信息判断所述终端是否经过AAA认证,若所述终端经过所述AAA认证,则为所述终端分配ID并向所述密钥管理服务器发送所述终端的ID;
所述密钥管理服务器接收所述终端的ID,根据所述终端的ID生成所述终端的私钥,并将所述私钥发送至所述身份管理服务器;
所述终端与所述身份管理服务器协商生成的第一密钥;
所述身份管理服务器通过所述UAG向所述终端发送由所述第一密钥加密、所述终端的ID和所述私钥。
2.根据权利要求1所述的方法,其特征在于,所述身份管理服务器通过所述UAG向所述终端发送由所述第一密钥加密、所述终端的ID和所述私钥之后,还包括:
所述终端与所述映射管理服务器协商生成的第二密钥,所述第二密钥用于加密所述终端与所述映射管理服务器之间的通信消息,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
3.根据权利要求2所述的方法,其特征在于,所述身份管理服务器根据所述AAA认证信息判断所述终端是否经过AAA认证,包括:
所述身份管理服务器向所述AAA服务器发送所述终端的AAA认证信息;
所述AAA服务器根据所述AAA认证信息判断所述终端是否经过AAA认证并向所述身份管理服务器发送所述终端的AAA认证结果;
所述身份管理服务器根据所述AAA认证结果判断所述终端是否经过所述AAA认证。
4.根据权利要求2所述的方法,其特征在于,所述终端通过所述UAG向所述身份管理服务器发送ID注册请求消息之前,还包括:
所述AAA服务器向所述身份管理服务器发送所述终端的AAA认证信息;
所述身份管理服务器根据所述AAA认证信息判断所述终端是否经过AAA认证,包括:
所述身份管理服务器判断所述AAA服务器发送的所述终端的AAA认证信息和所述终端发送的所述注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定所述终端经过所述AAA认证。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述身份管理服务器通过所述UAG向所述终端发送由所述第一密钥加密、所述终端的ID和所述私钥之后,还包括:
所述终端向所述身份管理服务器发送映射注册请求消息,用于请求映射管理服务器对所述终端进行注册,其中,所述映射注册请求消息包括所述终端的ID、所述终端的网络位置和通过所述身份管理服务器的ID加密的第一随机数,所述映射注册请求消息通过所述终端的私钥签名;
所述身份管理服务器接收所述映射注册请求消息,通过所述终端的ID验证所述终端的私钥签名,通过所述身份管理服务器的私钥解密并获取所述第一随机数,发送所述映射认证请求消息至所述映射管理服务器;
所述映射管理服务器接收所述映射注册请求消息,将所述终端的ID和网络位置建立映射关系,并生成第二随机数,向所述身份管理服务器发送所述第二随机数;
所述身份管理服务器接收所述第二随机数,向所述终端发送通过所述身份管理服务器的私钥签名的、所述终端的ID加密的第二随机数;
所述终端接收所述终端的ID加密的第二随机数,通过所述身份管理服务器的ID验证所述身份管理服务器的私钥的签名,并通过所述终端的私钥解密并获取所述第二随机数;
所述终端和所述映射管理服务器根据所述第一随机数、所述第二随机数、所述终端的ID和所述映射管理服务器的ID计算得到第二密钥,所述第二密钥用于加密所述终端与所述映射管理服务器之间的通信消息,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
6.一种密钥分发方法,其特征在于,所述方法应用于ION网络架构中,包括:
身份管理服务器接收终端通过统一接入网关UAG发送的ID注册请求消息,用于请求对所述终端的ID进行注册,其中,所述ID注册请求消息包括AAA认证信息;
所述身份管理服务器根据所述AAA认证信息判断所述终端是否经过AAA认证,若所述终端经过所述AAA认证,则为所述终端分配ID并向所述密钥管理服务器发送所述终端的ID;
所述身份管理服务器接收所述密钥管理服务器发送的终端的私钥,其中,所述私钥为所述密钥管理服务器以所述终端的身份标识ID为公钥生成;
所述身份管理服务器与所述终端协商生成的第一密钥;
所述身份管理服务器通过所述UAG向所述终端发送通过所述第一密钥加密、所述终端的ID和所述私钥。
7.根据权利要求6所述的方法,其特征在于,所述身份管理服务器根据所述AAA认证信息判断所述终端是否经过AAA认证,包括:
所述身份管理服务器向所述AAA服务器发送所述终端的AAA认证信息;
所述身份管理服务器接收所述AAA服务器发送的所述终端的AAA认证结果;
所述身份管理服务器根据所述AAA认证结果判断所述终端是否经过所述AAA认证。
8.根据权利要求6所述的方法,其特征在于,所述身份管理服务器接收终端通过所述UAG发送的ID注册请求消息之前,还包括:
所述身份管理服务器接收所述AAA服务器发送的所述终端的AAA认证信息;
所述身份管理服务器根据所述AAA认证信息判断所述终端是否经过AAA认证,具体包括:
所述身份管理服务器判断所述AAA服务器发送的所述终端的AAA认证信息和所述终端发送的所述注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定所述终端经过所述AAA认证。
9.根据权利要求6-8任一项所述的方法,其特征在于,所述身份管理服务器通过所述UAG向所述终端发送通过所述第一密钥加密、所述终端的ID和所述私钥之后,还包括:
所述身份管理服务器接收所述终端发送的映射注册请求消息,用于请求映射管理服务器对所述终端进行注册,其中,所述映射注册请求消息包括所述终端的ID、所述终端的位置和通过所述身份管理服务器的ID加密的第一随机数,所述映射注册请求消息所述终端的私钥签名;
所述身份管理服务器通过所述终端的ID验证所述终端的私钥签名,通过所述身份管理服务器的私钥解密并获取所述第一随机数,发送所述映射认证请求消息至所述映射管理服务器;
所述身份管理服务器接收所述映射管理服务器生成并发送的第二随机数;
所述身份管理服务器向所述终端发送通过所述身份管理服务器的私钥签名的、所述终端的ID加密的第二随机数,以使所述终端通过所述终端的私钥解密并获取所述第二随机数,并通过所述身份管理服务器的ID验证所述身份管理服务器的私钥的签名,并使所述终端和所述映射管理服务器根据所述第一随机数、所述第二随机数、所述终端的ID和所述映射管理服务器的ID计算得到第二密钥,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
10.一种密钥分发方法,其特征在于,所述方法应用于ION网络架构中,包括:
终端通过统一接入网关UAG向身份管理服务器发送ID注册请求消息,用于请求对所述终端的ID进行注册,其中,所述ID注册请求消息包括AAA认证信息;
终端与身份管理服务器协商生成的第一密钥;
所述终端接收所述身份管理服务器发送的通过所述第一密钥加密的、所述终端的ID和所述终端的私钥,其中,所述私钥为所述密钥管理服务器以所述终端的身份标识ID为公钥生成;
所述终端通过所述第一密钥解密并获取所述终端的ID和所述终端的私钥。
11.根据权利要求10所述的方法,其特征在于,所述终端通过所述第一密钥解密并获取所述终端的ID和所述终端的私钥之后,还包括:
所述终端与映射管理服务器协商生成的第二密钥,所述第二密钥用于加密所述终端与映射管理服务器之间的通信消息,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
12.根据权利要求10或11所述的方法,其特征在于,所述终端通过所述第一密钥解密并获取所述终端的ID和所述终端的私钥之后,还包括:
所述终端所述UAG向所述身份管理服务器发送映射注册请求消息,用于请求映射管理服务器对所述终端进行注册,其中,所述映射注册请求消息包括所述终端的ID、所述终端的网络位置和通过所述身份管理服务器的ID加密的第一随机数,所述映射注册请求消息通过所述终端的私钥签名;
所述终端接收所述身份管理服务发送的通过所述身份管理服务器的私钥签名的、所述终端的ID加密的第二随机数;
所述终端通过所述身份管理服务器的ID验证所述身份管理服务器的私钥的签名,并通过所述终端的私钥解密并获取所述第二随机数;
所述终端根据所述第一随机数、所述第二随机数、所述终端的ID和所述映射管理服务器的ID计算得到第二密钥,所述第二密钥用于加密所述终端与所述映射管理服务器之间的通信消息,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
13.一种身份管理服务器,应用于ION网络架构中,其特征在于,包括:
接收模块,所述接收模块用于接收终端通过统一接入网关UAG发送的ID注册请求消息,用于请求对所述终端的ID进行注册,其中,所述ID注册请求消息包括AAA认证信息;
处理模块,所述处理模块用于根据所述AAA认证信息判断所述终端是否经过AAA认证,若所述终端经过所述AAA认证,则为所述终端分配ID并向密钥管理服务器发送所述终端的ID;
所述接收模块还用于,接收所述密钥管理服务器发送的终端的私钥,其中,所述私钥为所述密钥管理服务器以所述终端的身份标识ID为公钥生成;
所述处理模块还用于,与所述终端协商生成的第一密钥;
发送模块,所述发送模块用于通过所述UAG向所述终端发送通过所述第一密钥加密、所述终端的ID和所述私钥。
14.根据权利要求13所述的服务器,其特征在于,
所述发送模块还用于,向所述AAA服务器发送所述终端的AAA认证信息;
所述接收模块还用于,接收所述AAA服务器发送的所述终端的AAA认证结果;
所述处理模块还用于,根据所述AAA认证结果判断所述终端是否经过所述AAA认证。
15.根据权利要求13所述的服务器,其特征在于,
所述接收模块还用于,接收所述AAA服务器发送的所述终端的AAA认证信息;
所述处理模块具体用于,判断所述AAA服务器发送的所述终端的AAA认证信息和所述终端发送的所述注册认证请求消息中包括的AAA认证信息是否相同,若相同则确定所述终端经过所述AAA认证。
16.根据权利要求13-15任一项所述的服务器,其特征在于,
所述接收模块还用于,接收所述终端发送的映射注册请求消息,用于请求映射管理服务器对所述终端进行注册,其中,所述映射注册请求消息包括所述终端的ID、所述终端的位置和通过所述身份管理服务器的ID加密的第一随机数,所述映射注册请求消息所述终端的私钥签名;
所述处理模块还用于,通过所述终端的ID验证所述终端的私钥签名,通过所述身份管理服务器的私钥解密并获取所述第一随机数,发送所述映射认证请求消息至所述映射管理服务器;
所述接收模块还用于,接收所述映射管理服务器生成并发送的第二随机数;
所述发送模块还用于,向所述终端发送通过所述身份管理服务器的私钥签名的、所述终端的ID加密的第二随机数,以使所述终端通过所述终端的私钥解密并获取所述第二随机数,并通过所述身份管理服务器的ID验证所述身份管理服务器的私钥的签名,并使所述终端和所述映射管理服务器根据所述第一随机数、所述第二随机数、所述终端的ID和所述映射管理服务器的ID计算得到第二密钥,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
17.一种终端,应用于ION网络架构中,其特征在于,包括:
发送模块,所述发送模块用于通过统一接入网关UAG向身份管理服务器发送ID注册请求消息,用于请求对所述终端的ID进行注册,其中,所述ID注册请求消息包括AAA认证信息;
处理模块,所述处理模块用于与身份管理服务器协商生成的第一密钥;
接收模块,所述接收模块用于接收所述身份管理服务器发送的通过所述第一密钥加密的、所述终端的ID和所述终端的私钥,其中,所述私钥为所述密钥管理服务器以所述终端的身份标识ID为公钥生成;
所述处理模块还用于,通过所述第一密钥解密并获取终端的ID和所述终端的私钥。
18.根据权利要求17所述的终端,其特征在于,
所述处理模块还用于,与映射管理服务器协商第二密钥,所述第二密钥用于加密所述终端与映射管理服务器之间的通信消息,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
19.根据权利要求17或18所述的终端,其特征在于,
所述发送模块还用于,向所述身份管理服务器发送映射注册请求消息,用于请求映射管理服务器对所述终端进行注册,其中,所述映射注册请求消息包括所述终端的ID、所述终端的网络位置和通过所述身份管理服务器的ID加密的第一随机数,所述映射注册请求消息通过所述终端的私钥签名;
所述接收模块,用于接收所述身份管理服务发送的通过所述身份管理服务器的私钥签名的、所述终端的ID加密的第二随机数;
处理模块,用于通过所述身份管理服务器的ID验证所述身份管理服务器的私钥的签名,并通过所述终端的私钥解密并获取所述第二随机数;
所述处理模块还用于,根据所述第一随机数、所述第二随机数、所述终端的ID和所述映射管理服务器的ID计算得到第二密钥,所述第二密钥用于加密所述终端与所述映射管理服务器之间的通信消息,所述映射管理服务器向所述终端提供ID到网络位置的映射查询服务。
20.一种密钥分发系统,应用于ION网络架构中,其特征在于,包括如权利要求13-16中任一项所述的身份管理服务器和如权利要求17-19中任一项所述的终端。
CN201810028060.2A 2018-01-11 2018-01-11 密钥分发方法、装置及系统 Active CN110035033B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201810028060.2A CN110035033B (zh) 2018-01-11 2018-01-11 密钥分发方法、装置及系统
EP18899509.6A EP3726797B1 (en) 2018-01-11 2018-10-29 Key distribution method, device and system
PCT/CN2018/112361 WO2019137067A1 (zh) 2018-01-11 2018-10-29 密钥分发方法、装置及系统
US16/926,690 US11588626B2 (en) 2018-01-11 2020-07-11 Key distribution method and system, and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810028060.2A CN110035033B (zh) 2018-01-11 2018-01-11 密钥分发方法、装置及系统

Publications (2)

Publication Number Publication Date
CN110035033A CN110035033A (zh) 2019-07-19
CN110035033B true CN110035033B (zh) 2022-11-25

Family

ID=67218788

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810028060.2A Active CN110035033B (zh) 2018-01-11 2018-01-11 密钥分发方法、装置及系统

Country Status (4)

Country Link
US (1) US11588626B2 (zh)
EP (1) EP3726797B1 (zh)
CN (1) CN110035033B (zh)
WO (1) WO2019137067A1 (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200322334A1 (en) * 2019-04-05 2020-10-08 Cisco Technology, Inc. Authentication of network devices based on extensible access control protocols
WO2021087073A1 (en) 2019-10-30 2021-05-06 Via Science, Inc. Secure outsourcing of a multiplication
CN110943976B (zh) * 2019-11-08 2022-01-18 中国电子科技网络信息安全有限公司 一种基于口令的用户签名私钥管理方法
CN111372247A (zh) * 2019-12-23 2020-07-03 国网天津市电力公司 一种基于窄带物联网的终端安全接入方法及终端安全接入系统
CN113163399B (zh) * 2020-01-07 2024-06-11 阿里巴巴集团控股有限公司 一种终端与服务器的通信方法和装置
CN111629003B (zh) * 2020-05-28 2022-03-22 河南智云数据信息技术股份有限公司 面向物联网的密钥分发方法
CN111835752B (zh) * 2020-07-09 2022-04-12 国网山西省电力公司信息通信分公司 基于设备身份标识的轻量级认证方法及网关
CN112020013B (zh) * 2020-08-21 2023-02-03 青岛海尔科技有限公司 用于配网的方法及系统、装置、设备
US11727127B2 (en) * 2020-10-16 2023-08-15 Micron Technology, Inc. Secure storage device verification with multiple computing devices
CN112667995A (zh) * 2020-12-31 2021-04-16 中国科学技术大学 受限Paillier加密系统及其在密钥分发和身份认证中的应用方法
CN112995144A (zh) * 2021-02-05 2021-06-18 杭州华橙软件技术有限公司 文件处理方法、系统、可读存储介质及电子设备
CN112953725B (zh) * 2021-02-23 2022-12-06 浙江大华技术股份有限公司 设备私钥的确定方法及装置、存储介质、电子装置
CN113849815B (zh) * 2021-08-26 2022-04-22 兰州大学 一种基于零信任和机密计算的统一身份认证平台
CN114205091B (zh) * 2021-11-30 2023-11-03 安徽大学 一种基于混沌映射的自动驾驶车辆网络认证和密钥协商方法
CN115378623B (zh) * 2022-03-17 2024-05-07 中国移动通信集团有限公司 身份认证方法、装置、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005303485A (ja) * 2004-04-08 2005-10-27 Hitachi Ltd 暗号化通信のための鍵配付方法及びシステム
WO2015001600A1 (ja) * 2013-07-01 2015-01-08 三菱電機株式会社 機器認証システム、メーカ鍵生成装置、機器鍵生成装置、製造機器、連携認証装置、機器再生鍵生成装置、機器認証方法および機器認証プログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101009910A (zh) * 2006-01-25 2007-08-01 华为技术有限公司 在无线网络中实现扩展认证协议认证的方法及装置
CN101917715B (zh) * 2006-07-12 2012-11-21 华为技术有限公司 移动ip密钥的产生及分发方法和系统
CN101106452B (zh) * 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
US8311042B2 (en) * 2007-06-15 2012-11-13 Mformation System and method for automatic detection and reporting of the mapping between device identity and network address in wireless networks
EP2071804A1 (en) * 2007-12-13 2009-06-17 Alcatel Lucent A method for security handling in a wireless access system supporting multicast broadcast services
CN101771535B (zh) * 2008-12-30 2012-07-11 上海茂碧信息科技有限公司 终端和服务器之间的双向认证方法
KR101407699B1 (ko) * 2009-05-05 2014-06-17 노키아 솔루션스 앤드 네트웍스 오와이 파라미터 액세스 서비스를 갖는 로컬 브레이크아웃
CN101640590B (zh) * 2009-05-26 2012-01-11 深圳市安捷信联科技有限公司 一种获取标识密码算法私钥的方法和密码中心
CN101867928A (zh) 2010-05-21 2010-10-20 西安电子科技大学 移动用户通过家庭基站接入核心网的认证方法
KR102124413B1 (ko) * 2013-12-30 2020-06-19 삼성에스디에스 주식회사 아이디 기반 키 관리 시스템 및 방법
JP2015194879A (ja) 2014-03-31 2015-11-05 富士通株式会社 認証システム、方法、及び提供装置
US10004017B2 (en) * 2014-08-13 2018-06-19 Yulong Computer Telecommunication Scientific (Shenzhen) Co., Ltd. Switching method and switching system between heterogeneous networks
CN105761078A (zh) * 2016-02-04 2016-07-13 中城智慧科技有限公司 一种电子货币支付系统及其方法
CN107317789B (zh) * 2016-04-27 2020-07-21 华为技术有限公司 密钥分发、认证方法,装置及系统
CN107317674B (zh) * 2016-04-27 2021-08-31 华为技术有限公司 密钥分发、认证方法,装置及系统
CN106850699B (zh) * 2017-04-10 2019-11-29 中国工商银行股份有限公司 一种移动终端登录认证方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005303485A (ja) * 2004-04-08 2005-10-27 Hitachi Ltd 暗号化通信のための鍵配付方法及びシステム
WO2015001600A1 (ja) * 2013-07-01 2015-01-08 三菱電機株式会社 機器認証システム、メーカ鍵生成装置、機器鍵生成装置、製造機器、連携認証装置、機器再生鍵生成装置、機器認証方法および機器認証プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种无密钥托管的移动IPv6网络匿名密钥分发协议;张雨霏; 刘建伟; 尚涛; 马妍;《武汉大学学报(理学版)》;20121224;第58卷(第6期);497-502页 *

Also Published As

Publication number Publication date
EP3726797A4 (en) 2020-11-25
US11588626B2 (en) 2023-02-21
EP3726797B1 (en) 2023-10-04
US20200351082A1 (en) 2020-11-05
EP3726797A1 (en) 2020-10-21
CN110035033A (zh) 2019-07-19
WO2019137067A1 (zh) 2019-07-18

Similar Documents

Publication Publication Date Title
CN110035033B (zh) 密钥分发方法、装置及系统
JP6641029B2 (ja) キー配信および認証方法およびシステム、ならびに装置
WO2017185999A1 (zh) 密钥分发、认证方法,装置及系统
CN110035037B (zh) 安全认证方法、相关设备及系统
RU2406251C2 (ru) Способ и устройство для установления безопасной ассоциации
EP1933498B1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
US9432349B2 (en) Service access authentication method and system
US20060059344A1 (en) Service authentication
CN101969638B (zh) 一种移动通信中对imsi进行保护的方法
US20140007207A1 (en) Method and device for generating local interface key
US20060253703A1 (en) Method for distributing certificates in a communication system
WO2005096644A1 (fr) Procede d&#39;etablissement d&#39;une association de securite entre l&#39;abonne itinerant et le serveur du reseau visite
EP3876493A1 (en) Authentication method employing general bootstrapping architecture (gba) and related apparatus
WO2008006312A1 (en) A realizing method for push service of gaa and a device
CN103188080A (zh) 一种基于身份标识的端到端的密钥认证协商方法及系统
CN108353279A (zh) 一种认证方法和认证系统
CN116546491A (zh) 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统
CN116746182A (zh) 安全通信方法及设备
WO2012134789A1 (en) Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
CN116108458A (zh) 密钥生成方法、装置、终端设备及服务器
Angermeier et al. PAL-privacy augmented LTE: A privacy-preserving scheme for vehicular LTE communication
CN1996838A (zh) 一种多主机WiMAX系统中的AAA认证优化方法
US11838428B2 (en) Certificate-based local UE authentication
CN112954679B (zh) 基于DH算法的LoRa终端安全接入方法
CN117880806A (zh) 证书分发方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant