CN112311543A - Gba的密钥生成方法、终端和naf网元 - Google Patents
Gba的密钥生成方法、终端和naf网元 Download PDFInfo
- Publication number
- CN112311543A CN112311543A CN202011286679.7A CN202011286679A CN112311543A CN 112311543 A CN112311543 A CN 112311543A CN 202011286679 A CN202011286679 A CN 202011286679A CN 112311543 A CN112311543 A CN 112311543A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network element
- key
- public key
- naf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 77
- 230000004044 response Effects 0.000 claims abstract description 73
- 238000004891 communication Methods 0.000 claims abstract description 18
- 230000006870 function Effects 0.000 claims description 34
- 238000012545 processing Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 abstract description 16
- 238000004519 manufacturing process Methods 0.000 abstract 1
- 238000004590 computer program Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000007774 longterm Effects 0.000 description 5
- 238000004846 x-ray emission Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000009417 prefabrication Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种GBA的密钥生成方法、终端和NAF网元,涉及通信领域,能够实现终端自动申请密钥,避免厂商预制密钥或第三方注册机构代理申请密钥的过程,减少厂商成本。该方法包括:终端向NAF网元发送第一请求消息;第一请求消息用于请求更新终端的密钥;NAF网元接收终端发送的第一请求消息;NAF网元根据第一系统参数和第一算法确定第一子私钥和公钥标识;第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定;NAF网元向终端发送第一响应消息;第一响应消息包括第一子私钥和公钥标识;终端接收NAF网元发送的第一响应消息;终端根据第二系统参数确定目标密钥。本发明用于更新终端的数据加密密钥。
Description
技术领域
本发明涉及通信领域,尤其涉及一种GBA的密钥生成方法、终端和NAF网元。
背景技术
近年来,物联网技术随着网络技术的发展也得到了快速的成长,物联网能够面对复杂的业务场景,提供大带宽、低时延的服务。但是,伴随着物联网发展的同时,其面对的安全问题也日益突出,如终端身份的造假、数据泄密等问题,而数字签名技术则成为解决这一问题的主要技术手段。
数字签名技术的核心在于通过密钥实现数字身份认证和数据加密,其实现过程包括初始密码或初始证书的预制以及后续长期公钥标识的申请。这里涉及的长期公钥标识用于终端在使用过程中的身份认证及生成加密密钥,可以由厂商在终端出厂时进行预制,也可以由第三方注册机构代理申请,进而生成相应的加密密钥。这种厂商预制或第三方注册机构申请长期公钥标识的方式需要投入相应的人力、物力,增加了终端厂商的成本。
发明内容
本发明的实施例提供一种GBA的密钥生成方法、终端和NAF网元,能够实现终端自动申请密钥,避免厂商预制密钥或第三方注册机构代理申请密钥的过程,减少厂商成本。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种GBA的密钥生成方法,GBA包括终端、网络应用功能NAF网元和引导服务功能BSF网元,该方法包括:终端向NAF网元发送第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识;终端接收NAF网元发送的第一响应消息;第一响应消息包括第一子私钥和公钥标识;终端根据第二系统参数确定目标密钥;第二系统参数包括第一私钥、第一子私钥、终端的身份标识、公钥标识和第二公钥,第二公钥为NAF网元确定的系统公钥;目标密钥包括目标私钥和目标公钥。
第二方面,提供一种GBA的密钥生成方法,GBA包括终端、网络应用功能NAF网元和引导服务功能BSF网元,该方法包括:NAF网元接收终端发送的第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识;NAF网元根据第一系统参数和第一算法确定第一子私钥和公钥标识;第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定;NAF网元向终端发送第一响应消息;第一响应消息包括第一子私钥和公钥标识。
第三方面,提供一种终端,应用于通用引导架构GBA,GBA包括终端、网络应用功能NAF网元和引导服务功能BSF网元,该终端包括:发送模块,用于向NAF网元发送第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识;接收模块,用于接收NAF网元发送的第一响应消息;第一响应消息包括第一子私钥和公钥标识;处理模块,用于根据第二系统参数确定目标密钥;第二系统参数包括第一私钥、第一子私钥、终端的身份标识、公钥标识和第二公钥,第二公钥为NAF网元确定的系统公钥;目标密钥包括目标私钥和目标公钥。
第四方面,提供一种NAF网元,应用于通用引导架构GBA,GBA包括终端、NAF网元和引导服务功能BSF网元,该NAF网元包括:接收模块,用于接收终端发送的第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识;处理模块,用于根据第一系统参数和第一算法确定第一子私钥和公钥标识;第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定;发送模块,用于向终端发送第一响应消息;第一响应消息包括第一子私钥和公钥标识。
第五方面,提供一种终端,包括:存储器、处理器、总线和通信接口;存储器用于存储计算机执行指令,处理器与存储器通过总线连接;当终端运行时,处理器执行存储器存储的计算机执行指令,以使终端执行如第一方面提供的GBA的密钥生成方法。
第六方面,提供一种计算机可读存储介质,包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如第一方面提供的GBA的密钥生成方法。
第七方面,提供一种NAF网元,包括:存储器、处理器、总线和通信接口;存储器用于存储计算机执行指令,处理器与存储器通过总线连接;当NAF网元运行时,处理器执行存储器存储的计算机执行指令,以使NAF网元执行如第二方面提供的GBA的密钥生成方法。
第八方面,提供一种计算机可读存储介质,包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如第二方面提供的GBA的密钥生成方法。
本发明实施例提供的GBA的密钥生成方法,该GBA包括终端、网络应用功能NAF网元和引导服务功能BSF网元,该方法包括:终端向NAF网元发送第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识;NAF网元接收终端发送的第一请求消息;NAF网元根据第一系统参数和第一算法确定第一子私钥和公钥标识;第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定;NAF网元向终端发送第一响应消息;第一响应消息包括第一子私钥和公钥标识;终端接收NAF网元发送的第一响应消息;终端根据第二系统参数确定目标密钥;第二系统参数包括第一私钥、第一子私钥、终端的身份标识、公钥标识和第二公钥,第二公钥为NAF网元确定的系统公钥;目标密钥包括目标私钥和目标公钥。本发明实施例中,终端在与BSF网元和NAF网元完成身份认证及安全关联后,若需要更新终端传输数据时的安全密钥(包括公钥与私钥)时,则可以通过终端生成临时公钥与临时私钥自行向NAF网元申请安全密钥,NAF网元根据终端的临时公钥和临时私钥向终端返回相应的密钥资料,由终端根据这些密钥资料生成相应的安全密钥,并在后续业务流程中使用该安全密钥对数据进行加密;由于该密钥更新的流程是由终端发起的,不需要厂商另行设置安全密钥或第三方注册机构代理申请,因此能够减少厂商的运营成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种通用引导架构的架构示意图;
图2为本发明实施例提供的一种GBA认证方法的流程示意图;
图3为本发明实施例提供的一种GBA的密钥生成方法的流程示意图之一;
图4为本发明实施例提供的一种GBA的密钥生成方法的流程示意图之二;
图5为本发明实施例提供的一种GBA的密钥生成方法的流程示意图之三;
图6为本发明实施例提供的一种终端的结构示意图;
图7为本发明实施例提供的一种NAF网元的结构示意图;
图8为本发明实施例提供的又一种终端的结构示意图;
图9为本发明实施例提供的又一种NAF网元的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
本发明实施例提供一种通用引导架构(generic bootstrapping architecture,GBA),如图1所示,包括:终端10、引导服务功能(bootstrapping server function,BSF)网元11、网络应用功能(network application function,NAF)网元12和归属用户服务器(home subscriber server,HSS)网元13。
其中,BSF网元11位于终端10的归属网络,用于为终端10提供引导服务,从HSS网元13获取终端的鉴权向量,以完成对终端10的认证,建立与终端10之间的共享密钥。需要说明的是,BSF网元11通过Ub接口与终端10通信,通过Zh接口与HSS网元13通信,且BSF网元11对终端10的认证是基于认证与密钥协商(authentication and key agreement,AKA)协议进行的。
NAF网元12在GBA中相当于应用服务器(application server,AS),用于在接收终端的业务请求后,从BSF网元11获取终端10与BSF网元11协商的共享密钥,并实现对终端10的认证。NAF网元12完成与终端10的认证后,可以与终端10共享会话密钥,并基于该会话密钥建立与终端10之间的安全通道,实现与终端10之间的数据加密传输。需要说明的是,NAF网元12通过Ua接口与终端10通信,通过Zn接口与BSF网元11通信。
HSS网元13用于存储终端10的签约信息,生成终端10的安全信息等。
终端10支持AKA协议和超文本传输协议(hyper text transfer protocol,HTTP),实现与BSF网元和NAF网元之间的认证。这里的终端10可以是物联网终端,也可以是手机、蜂窝电话、无绳电话、会话发起协议(session initiation protocol,SIP)电话、智能电话等,但是需要注意的是,这里的终端10支持全球用户识别卡(universal subscriber identitymodule,USIM),能够通过USIM卡实现基于长期演进(long term evolution,LTE)网络的数据通信,且USIM卡内存储有与核心网共享的根密钥,作为终端10与网络的信任根,该根密钥可以用于生成终端10的共享密钥。
需要说明的是,在上述架构中,GBA流程包括引导认证流程和安全关联流程,引导认证流程用于通过AKA协议实现BSF网元11与终端10之间的认证以及共享密钥的协商,安全关联流程用于实现NAF网元12与终端10之间的认证以及会话密钥的协商。
一种可选的实现方式中,上述的NAF网元还可以为无证书密钥管理系统中的密钥生成系统(key generation system,KGS),这里的KGS可以实现上述NAF网元的各项功能。
依据图1所示的GBA,本发明提供一种GBA认证方法,如图2所示,包括:
S201、终端向BSF网元发送第一业务请求消息。
其中,第一业务请求消息包括终端的身份标识。
具体地,这里的第一业务请求消息用于请求BSF网元的认证,该第一业务请求消息可以为HTTP请求消息,其携带的终端的身份标识可以为私有用户标识(IP multimediaprivate identity,IMPI),也可以为其他标识终端唯一性的身份标识,如国际移动用户识别码(international mobile subscriber identity,IMSI),对此本发明实施例不做限定。
S202、BSF网元向HSS网元发送第一认证请求消息。
其中,第一认证请求消息包括终端的身份标识。
具体地,这里的第一认证请求消息可以为多媒体鉴权请求(multimedia-auth-request,MAR)消息,用于向HSS网元请求终端对应的鉴权向量。
S203、HSS网元向BSF网元返回第一认证响应消息。
其中,第一认证响应消息包括终端对应的鉴权向量。
具体地,这里的第一认证响应消息可以为多媒体鉴权响应(multimedia-auth-answer,MAA)消息。HSS网元接收第一认证请求消息后,可以根据其携带的终端的身份标识查询相应的鉴权向量,并通过第一认证响应消息将该鉴权向量发送给BSF网元。
S204、BSF网元向终端返回业务响应消息。
具体地,这里的业务响应消息可以为401挑战鉴权消息。BSF网元接收的鉴权向量包括鉴权令牌(authentication token,AUTN)、随机数RAND、期望响应(espectedresponse,XRES)、加密密钥(cipher key,CK)和完整性密钥(integrity key,IK),BSF网元向终端发送的业务响应消息包括RAND和AUTN。
需要注意的是,BSF网元向终端发送的业务响应消息不包括XRES、CK和IK,BSF网元在确定XRES、CK和IK后,将其进行本地存储。
S205、若终端通过对BSF网元的认证,则确定响应值。
S206、终端向BSF网元发送第二认证请求消息。
其中,第二认证请求消息包括响应值。
具体地,终端可以通过AKA算法利用RAND确定校验AUTN,若该校验AUTN与业务响应消息携带的AUTN相同,则终端通过对BSF网元的认证。
在终端完成对BSF网元的认证后,可以根据RADN以及终端的根密钥K确定CK、IK和响应值RES。终端在根据AKA算法确定响应值后,可以向BSF网元发送第二认证请求消息,以完成BSF网元对终端的认证。
需要注意的是,终端计算校验AUTN、CK、IK和响应值RES时使用的AKA算法与HSS网元确定鉴权向量时使用的AKA算法相同,因此这里可以通过AUTN与检验AUTN的一致性,以及XRES与RES的一致性完成终端与BSF网元之间的双向认证。
S207、若BSF网元通过对终端的认证,则确定共享密钥。
具体地,若BSF网元确定第二认证请求消息携带的响应值RES与自身存储的期望响应XRES相同,则BSF网元完成通过终端的认证。
BSF网元完成对终端的认证后,可以根据CK和IK确定共享密钥Ks,Ks=CK||IK。
S208、BSF网元向终端返回第二认证响应消息。
具体地,这里的第二认证响应消息可以为200OK消息。第二认证响应消息用于指示终端认证成功,第二认证响应消息包括事物标识(bootstrapping-transactionidentifier,B-TID)和共享密钥的生存期。
需要说明的是,B-TID可以由BSF网元根据上述的随机数RAND和BSF网元的服务器名获得,B-TID用于标识终端对应的该次引导事件,以便后续流程中NAF网元能够根据B-TID获取对应的密钥信息。
S209、终端接收第二认证响应消息,并确定共享密钥。
具体地,终端在根据第二认证响应消息确定认证完成后,同样可以根据步骤S206中确定的CK和IK确定共享密钥Ks。由于这里的共享密钥Ks同样由公式Ks=CK||IK确定,因此终端确定的共享密钥Ks与BSF网元确定的共享密钥Ks相同,从而实现了终端与BSF网元之间的密钥共享。
S210、终端根据共享密钥确定会话密钥。
具体地,终端可以根据共享密钥Ks,通过密钥派生函数(keyderivationfunction,KDF)生成会话密钥Ks_NAF。需要注意的是,通过KDF生成会话密钥Ks_NAF的过程为本领域惯用的技术手段,在此不再详细赘述,但本领域的技术人员应该清楚,在生成会话密钥Ks_NAF时,KDF的输入还包括终端的身份标识IMPI、上述的随机数RAND和NAF网元的身份标识等参数。这里终端连接的NAF网元与BSF网元连接的NAF网元相同,其对应的NAF网元的身份标识一致。
需要说明的是,上述步骤S201-S210即终端与BSF网元之间的引导认证流程,在步骤S210之后,还包括终端与NAF网元之间的安全关联流程,具体包括:
S211、终端向NAF网元发送第二业务请求消息。
具体地,这里的业务请求消息包括事务标识B-TID,业务请求消息用于指示NAF网元获取相应的会话密钥Ks_NAF。
S212、NAF网元向BSF网元发送第三认证请求消息。
具体地,这里的第三认证请求消息包括事务标识B-TID和NAF网元的身份标识,这里NAF网元的身份标识可以为NAF网元的主机名NAF_hostname或NAF网元的服务器编号NAF_ID。
S213、BSF网元向NAF网元返回第三认证响应消息。
其中,第三认证响应消息包括会话密钥和会话密钥的生存期。
具体地,与终端确定会话密钥Ks_NAF的过程相同的,BSF网元也可以根据共享密钥Ks、终端的身份标识IMPI、上述的随机数RAND和NAF网元的身份标识等参数确定会话密钥Ks_NAF。需要注意的是,本发明实施例中NAF网元的身份标识是指NAF_ID。
需要说明的是,BSF网元在确定会话密钥NAF_ID之前,还需要根据NAF网元的主机名验证NAF网元的有效性,当验证通过时再确定会话密钥NAF_ID。
S214、NAF网元接收第三认证响应消息,并存储相应的会话密钥。
S215、NAF网元向终端返回业务响应消息。
其中,业务响应消息用于指示终端与NAF网元的认证完成。
具体地,NAF网元接收第三认证响应消息后,存储其携带的会话密钥Ks_NAF,并向终端返回业务响应消息,指示终端与NAF网元的认证完成。
上述步骤S201-S215为本领域中GBA的认证流程,认证完成后,终端可以通过会话密钥Ks_NAF实现与NAF网元之间数据的加密传输,确保数据传输的安全性;且通过引导认证流程和安全关联流程可以实现终端与BSF网元和NAF网元之间的双向认证,实现各个设备的身份鉴别。
可选的,若终端首次发起业务访问流程,则在步骤S201之前,还包括初始化流程,具体包括:
S200a、终端向NAF网元发送第三业务请求消息。
其中,第三业务请求消息包括终端的身份标识。
S200b、NAF网元向终端返回初始化消息。
其中,初始化消息用于指示终端发起认证流程。
具体地,在终端首次向NAF网元发起业务流程时,由于终端尚未与NAF网元协商会话密钥Ks_NAF,因此NAF网元无法根据终端的身份标识查询相应的会话密钥Ks_NAF。因此,NAF网元向终端返回初始化消息,指示终端发起认证流程。
上述步骤S201-S215提供了一种GBA认证方法,但是为确保终端数据传输的安全性,其传输数据时所使用的会话密钥具有一定的生存期,当会话密钥的使用达到生存期的期限时,需要重新为终端分配传输数据所使用的加密密钥。目前,终端更新加密密钥的方法是由终端的厂商集中预制,或由第三方注册机构代理申请加密密钥等,这种更新加密密钥的方式无形中增加了厂商的管理成本和设备成本。
针对上述问题,本发明实施例提供一种GBA的密钥生成方法,该方法应用于图1所示的GBA,包括终端、BSF网元、HSS网元和NAF网元,其中终端存储有第一私钥和第一公钥。在上述步骤S201-S215中,终端完成与BSF网元和NAF网元的认证之后,如图3所示,该GBA的密钥生成方法包括:
S301、终端向NAF网元发送第一请求消息。
其中,第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识。
S302、NAF网元接收终端发送的第一请求消息。
具体地,在步骤S201-S215之后,若终端加密数据所用的会话密钥失效,则发起本实施例流程,由终端向NAF网元申请加密密钥,以确保数据传输的安全性。
终端可以生成临时公钥和临时私钥,用于申请终端的长期标识,这里的第一公钥即为临时公钥。当终端需要更新数据的加密密钥时,可以向NAF网元发送第一请求消息,向NAF网元请求生成加密密钥所需的密钥资料。
需要说明的是,在步骤S201-S215之后,终端可以与NAF网元使用第一私钥和第一公钥建立安全通道,此时,终端和NAF网元之间的数据交互可以由该安全通道进行。这里的安全通道是指终端你和NAF网元之间的交互的数据使用第一公钥或第一私钥进行加密。
S303、NAF网元根据第一系统参数和第一算法确定第一子私钥和公钥标识。
其中,第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定。
具体地,这里的预设策略可以为本领域技术人员自行设置的策略,如将所有终端的公钥标识对应的有效期均设置为Xmin,X为正整数;当然,预设策略也可以根据终端的种类不同进行设置,如在物联网中,这里的终端可以为物联网终端,而物联网终端可以为车载单元,也可以为路侧单元等等,针对不同的物联网终端,其对应的预设策略可以不同,如车载单元的公钥标识对应的有效期可以为Xs,而路侧单元的公钥标识对应的有效期可以为Xmin等等。
这里的第一算法可以为无证书公钥密码算法,如SM2国密算法等,当然本领域的技术人员也可以使用其他加密算法实现第一子私钥和公钥标识的计算,对此本发明实施例不做限定,这里使用SM2国密算法确定第一子私钥和公钥标识的过程为本领域惯用的技术手段,在此不再赘述;第一子私钥用于生成终端加密数据所用的目标私钥,公钥标识用于生成终端加密数据所用的目标公钥。
需要说明的是,第一系统参数还可以包括终端生成的临时公钥,即第一系统参数还包括第一公钥,此时NAF网元还可以根据第一系统参数和第一算法确定第一子公钥,第一子公钥也可以用于生成终端加密数据所用的目标公钥。
可选的,如图4所示,步骤S303可以包括:
S3031、NAF网元根据终端的身份标识,依据第一算法确定第一子私钥。
S3032、NAF网元根据终端的身份标识和公钥标识的有效期,依据第一算法确定公钥标识。
具体地,NAF网元可以根据输入参数的不同,通过第一算法确定不同的输出参数,如NAF网元通过终端的身份标识和第一算法可以确定第一子私钥,通过终端的身份标识和公钥标识的有效期可以确定公钥标识。
需要说明的是,由于公钥标识的有效期是由NAF网元根据预设策略确定的,因此在步骤S303之前,还可以包括:NAF网元根据预设策略确定公钥标识的有效期。
可选的,在第一系统参数包括第一公钥时,步骤S303还可以包括:
S3033、NAF网元根据终端的身份标识和第一公钥,依据第一算法确定第一子公钥。
同样的,在第一算法的输入参数为终端的身份标识和第一公钥时,NAF网元即可根据第一算法确定第一子公钥,第一子公钥可以用于生成终端加密数据所用的目标公钥。
S304、NAF网元向终端发送第一响应消息。
其中,第一响应消息包括第一子私钥和公钥标识。
S305、终端接收NAF网元发送的第一响应消息。
具体地,终端传输数据所用的加密密钥是由终端根据密钥资料生成的,密钥资料即上述的第一子私钥、公钥标识和第一子公钥。因此NAF网元在确定第一子私钥、公钥标识和第一子公钥后,可以通过第一响应消息将第一子私钥、公钥标识和第一子公钥发送给终端。
由于终端存储有第一公钥和第一私钥(第一私钥即终端生成的临时私钥),而NAF网元存储有第一公钥,因此NAF在向终端发送密钥资料时,可以使用第一公钥加密第一子私钥,并将加密后的第一子私钥和公钥标识通过第一响应消息发送给终端。当然,NAF网元也可以使用第一公钥对第一子私钥和公钥标识均进行加密,并将加密后的第一子私钥和公钥标识发送给终端,这里的NAF网元加密第一子私钥和公钥标识所用的加密算法同样可以为SM2算法。
可选的,第一响应消息还可以包括第一子公钥。此时,NAF网元可以使用第一公钥对第一子私钥和第一子公钥进行加密,并将加密后的第一子私钥和第一子公钥,以及公钥标识发送给终端;当然,NAF网元也可以对第一子私钥、第一子公钥和公钥标识均进行加密,并将加密后的第一子私钥、第一子公钥和公钥标识发送给终端。
由于终端内存储有第一私钥,且第一私钥与第一公钥为一对相互匹配的密钥,因此终端在接收第一响应消息后,可以使用第一私钥对第一响应消息中的加密报文进行解密,从而确定第一子私钥、第一子公钥和公钥标识。
S306、终端根据第二系统参数确定目标密钥。
其中,第二系统参数包括第一私钥、第一子私钥、终端的身份标识、公钥标识和第二公钥,第二公钥为NAF网元确定的系统公钥;目标密钥包括目标私钥和目标公钥。
需要说明的是,在GBA中,各个网络设备的公钥可以发布至其他各个网络设备,如终端的第一公钥可以发布至BSF网元和NAF网元,NAF网元的系统公钥也可以发布至终端和BSF网元等,因此NAF网元内可以存储终端的第一公钥,终端内也可以存储NAF网元的系统公钥。
可选的,如图5所示,步骤S306可以包括:
S3061、终端根据第一私钥和第一子私钥确定目标私钥。
具体地,终端在从第一响应消息中确定第一子私钥后,可以将第一子私钥和本地存储的第一私钥合并为目标私钥,将目标私钥作为终端传输数据时使用的加密密钥。
示例性的,若第一私钥为M,第一子私钥为N,则目标私钥可以为M+N;当然,终端也可以通过相应的加密算法利用第一子私钥和第一私钥计算目标私钥,这里的加密算法可以为RSA算法或椭圆曲线加密(elliptic curves cryptography,ECC)算法等,对此本发明实施例不做限定。
一种可选的实现方式中,当终端根据加密算法确定目标私钥时,加密算法的输入参数还可以包括终端的身份标识,即根据终端的身份标识、第一私钥和第一子私钥确定目标私钥。
需要说明的是,上述仅示例了部分目标私钥的确定方法,本领域的技术人员还可以通过其他方法,根据第一私钥和第一子私钥确定目标私钥,本发明实施例对此不做限定。
S3062、终端根据终端的身份标识、公钥标识和第二公钥,依据第二算法确定目标公钥。
具体地,根据终端的身份标识、公钥标识和第二公钥确定目标公钥可以通过Schnorr算法实现;当然,本领域的技术人员也可以根据其他算法实现对目标公钥的确定,对此本发明实施例不做限定。这里通过Schnorr算法确定目标公钥的过程为本领域惯用的技术手段在此不再赘述。
可选的,在第一响应消息包括第一子公钥时,步骤S3062还可以为:终端根据第一公钥和第一子私钥确定目标公钥。此时,终端可以采用与确定目标私钥相同的方法确定目标公钥。当然,终端也可以根据终端的身份标识、公钥标识和第一公钥通过Schnorr算法确定目标公钥,对此本发明实施例不做限定。
需要说明的是,上述实施例提供了一种终端向NAF网元申请密钥的方法,实际中,该NAF网元还可以密钥生成系统KGS,或其他具有密钥管理功能的网络设备,如NAF应用服务器等,上述GBA的密钥生成方法还可以在终端与这些网络设备之间执行。在终端确定目标密钥后,可以与各个网络设备建立安全通道,如与NAF网元建立安全通道,或与其他应用服务器建立安全通道等等。
本发明实施例提供的GBA的密钥生成方法,该GBA包括终端、NAF网元和BSF网元,该方法包括:终端向NAF网元发送第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识;NAF网元接收终端发送的第一请求消息;NAF网元根据第一系统参数和第一算法确定第一子私钥和公钥标识;第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定;NAF网元向终端发送第一响应消息;第一响应消息包括第一子私钥和公钥标识;终端接收NAF网元发送的第一响应消息;终端根据第二系统参数确定目标密钥;第二系统参数包括第一私钥、第一子私钥、终端的身份标识、公钥标识和第二公钥,第二公钥为NAF网元确定的系统公钥;目标密钥包括目标私钥和目标公钥。本发明实施例中,终端在与BSF网元和NAF网元完成身份认证及安全关联后,若需要更新终端传输数据时的安全密钥(包括公钥与私钥)时,则可以通过终端生成临时公钥与临时私钥自行向NAF网元申请安全密钥,NAF网元根据终端的临时公钥和临时私钥向终端返回相应的密钥资料,由终端根据这些密钥资料生成相应的安全密钥,并在后续业务流程中使用该安全密钥对数据进行加密;由于该密钥更新的流程是由终端发起的,不需要厂商另行设置安全密钥或第三方注册机构代理申请,因此能够减少厂商的运营成本。
如图6所示,本发明实施例提供一种终端40,应用于通用引导架构GBA,GBA包括终端、NAF网元和BSF网元。终端40包括:
发送模块401,用于向NAF网元发送第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识。
接收模块402,用于接收NAF网元发送的第一响应消息;第一响应消息包括第一子私钥和公钥标识。
处理模块403,用于根据第二系统参数确定目标密钥;第二系统参数包括第一私钥、第一子私钥、终端的身份标识、公钥标识和第二公钥,第二公钥为NAF网元确定的系统公钥;目标密钥包括目标私钥和目标公钥。
可选的,处理模块403,具体用于根据第一私钥和第一子私钥确定目标私钥;根据终端的身份标识、公钥标识和第二公钥,依据第二算法确定目标公钥。
如图7所示,本发明实施例提供一种NAF网元50,应用于通用引导架构GBA,GBA包括终端、NAF网元和BSF网元。NAF网元50包括:
接收模块501,用于接收终端发送的第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识。
处理模块502,用于根据第一系统参数和第一算法确定第一子私钥和公钥标识;第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定。
发送模块503,用于向终端发送第一响应消息;第一响应消息包括第一子私钥和公钥标识。
可选的,处理模块502,具体用于NAF网元根据终端的身份标识,依据第一算法确定第一子私钥;NAF网元根据终端的身份标识和公钥标识的有效期,依据第一算法确定公钥标识。
本发明实施例提供一种终端和NAF网元,应用于上述GBA的密钥生成方法,该GBA包括终端、NAF网元和BSF网元。该方法包括:终端向NAF网元发送第一请求消息;第一请求消息用于请求更新终端的密钥,第一请求消息包括第一公钥和终端的身份标识;NAF网元接收终端发送的第一请求消息;NAF网元根据第一系统参数和第一算法确定第一子私钥和公钥标识;第一系统参数包括终端的身份标识和公钥标识的有效期,公钥标识的有效期为NAF网元根据预设策略确定;NAF网元向终端发送第一响应消息;第一响应消息包括第一子私钥和公钥标识;终端接收NAF网元发送的第一响应消息;终端根据第二系统参数确定目标密钥;第二系统参数包括第一私钥、第一子私钥、终端的身份标识、公钥标识和第二公钥,第二公钥为NAF网元确定的系统公钥;目标密钥包括目标私钥和目标公钥。本发明实施例中,终端在与BSF网元和NAF网元完成身份认证及安全关联后,若需要更新终端传输数据时的安全密钥(包括公钥与私钥)时,则可以通过终端生成临时公钥与临时私钥自行向NAF网元申请安全密钥,NAF网元根据终端的临时公钥和临时私钥向终端返回相应的密钥资料,由终端根据这些密钥资料生成相应的安全密钥,并在后续业务流程中使用该安全密钥对数据进行加密;由于该密钥更新的流程是由终端发起的,不需要厂商另行设置安全密钥或第三方注册机构代理申请,因此能够减少厂商的运营成本。
如图8所示,本发明实施例还提供另一种终端,包括存储器61、处理器62、总线63和通信接口64;存储器61用于存储计算机执行指令,处理器62与存储器61通过总线63连接;当终端运行时,处理器62执行存储器61存储的计算机执行指令,以使终端执行如上述实施例提供的GBA的密钥生成方法。
在具体的实现中,作为一种实施例,处理器62(62-1和62-2)可以包括一个或多个CPU,例如图8中所示的CPU0和CPU1。且作为一种实施例,终端可以包括多个处理器62,例如图8中所示的处理器62-1和处理器62-2。这些处理器62中的每一个CPU可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器62可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器61可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器61可以是独立存在,通过总线63与处理器62相连接。存储器61也可以和处理器62集成在一起。
在具体的实现中,存储器61,用于存储本申请中的数据和执行本申请的软件程序对应的计算机执行指令。处理器62可以通过运行或执行存储在存储器61内的软件程序,以及调用存储在存储器61内的数据,终端的各种功能。
通信接口64,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如控制系统、无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。通信接口64可以包括接收单元实现接收功能,以及发送单元实现发送功能。
总线63,可以是工业标准体系结构(industry standard architecture,ISA)总线、外部设备互连(peripheral component interconnect,PCI)总线或扩展工业标准体系结构(extended industry standard architecture,EISA)总线等。该总线63可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如上述实施例提供的GBA的密钥生成方法。
本发明实施例还提供一种计算机程序,该计算机程序可直接加载到存储器中,并含有软件代码,该计算机程序经由计算机载入并执行后能够实现上述实施例提供的GBA的密钥生成方法。
如图9所示,本发明实施例还提供另一种NAF网元,包括存储器71、处理器72、总线73和通信接口74;存储器71用于存储计算机执行指令,处理器72与存储器71通过总线73连接;当NAF网元运行时,处理器72执行存储器71存储的计算机执行指令,以使NAF网元执行如上述实施例提供的GBA的密钥生成方法。
在具体的实现中,作为一种实施例,处理器72(72-1和72-2)可以包括一个或多个CPU,例如图9中所示的CPU0和CPU1。且作为一种实施例,NAF网元可以包括多个处理器72,例如图9中所示的处理器72-1和处理器72-2。这些处理器72中的每一个CPU可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器72可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器71可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器71可以是独立存在,通过总线73与处理器72相连接。存储器71也可以和处理器72集成在一起。
在具体的实现中,存储器71,用于存储本申请中的数据和执行本申请的软件程序对应的计算机执行指令。处理器72可以通过运行或执行存储在存储器71内的软件程序,以及调用存储在存储器71内的数据,NAF网元的各种功能。
通信接口74,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如控制系统、无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。通信接口74可以包括接收单元实现接收功能,以及发送单元实现发送功能。
总线73,可以是工业标准体系结构(industry standard architecture,ISA)总线、外部设备互连(peripheral component interconnect,PCI)总线或扩展工业标准体系结构(extended industry standard architecture,EISA)总线等。该总线73可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如上述实施例提供的GBA的密钥生成方法。
本发明实施例还提供一种计算机程序,该计算机程序可直接加载到存储器中,并含有软件代码,该计算机程序经由计算机载入并执行后能够实现上述实施例提供的GBA的密钥生成方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种通用引导架构GBA的密钥生成方法,所述GBA包括终端、网络应用功能NAF网元和引导服务功能BSF网元,其特征在于,在所述终端完成与所述NAF网元和所述BSF网元的认证后,所述方法包括:
所述终端向所述NAF网元发送第一请求消息;所述第一请求消息用于请求更新所述终端的密钥,所述第一请求消息包括第一公钥和所述终端的身份标识;
所述终端接收所述NAF网元发送的第一响应消息;所述第一响应消息包括第一子私钥和公钥标识;
所述终端根据第二系统参数确定目标密钥;所述第二系统参数包括第一私钥、所述第一子私钥、所述终端的身份标识、所述公钥标识和第二公钥,所述第二公钥为所述NAF网元确定的系统公钥;所述目标密钥包括目标私钥和目标公钥。
2.根据权利要求1所述的GBA的密钥生成方法,其特征在于,所述终端根据第二系统参数确定目标密钥包括:
所述终端根据所述第一私钥和所述第一子私钥确定所述目标私钥;
所述终端根据所述终端的身份标识、所述公钥标识和第二公钥,依据第二算法确定所述目标公钥。
3.一种通用引导架构GBA的密钥生成方法,所述GBA包括终端、网络应用功能NAF网元和引导服务功能BSF网元,其特征在于,在所述终端完成与所述NAF网元和所述BSF网元的认证后,所述方法包括:
所述NAF网元接收所述终端发送的第一请求消息;所述第一请求消息用于请求更新所述终端的密钥,所述第一请求消息包括第一公钥和所述终端的身份标识;
所述NAF网元根据第一系统参数和第一算法确定第一子私钥和公钥标识;所述第一系统参数包括所述终端的身份标识和所述公钥标识的有效期,所述公钥标识的有效期为所述NAF网元根据预设策略确定;
所述NAF网元向所述终端发送第一响应消息;所述第一响应消息包括第一子私钥和所述公钥标识。
4.根据权利要求3所述的GBA的密钥生成方法,其特征在于,所述NAF网元根据系统参数和第一算法确定第一子私钥和公钥标识包括:
所述NAF网元根据所述终端的身份标识,依据所述第一算法确定所述第一子私钥;
所述NAF网元根据所述终端的身份标识和所述公钥标识的有效期,依据所述第一算法确定所述公钥标识。
5.一种终端,应用于通用引导架构GBA,所述GBA包括所述终端、网络应用功能NAF网元和引导服务功能BSF网元,其特征在于,所述终端包括:
发送模块,用于向所述NAF网元发送第一请求消息;所述第一请求消息用于请求更新所述终端的密钥,所述第一请求消息包括第一公钥和所述终端的身份标识;
接收模块,用于接收所述NAF网元发送的第一响应消息;所述第一响应消息包括第一子私钥和公钥标识;
处理模块,用于根据第二系统参数确定目标密钥;所述第二系统参数包括第一私钥、所述第一子私钥、所述终端的身份标识、所述公钥标识和第二公钥,所述第二公钥为所述NAF网元确定的系统公钥;所述目标密钥包括目标私钥和目标公钥。
6.根据权利要求5所述的终端,其特征在于,所述处理模块,具体用于:
根据所述第一私钥和所述第一子私钥确定所述目标私钥;
根据所述终端的身份标识、所述公钥标识和第二公钥,依据第二算法确定所述目标公钥。
7.一种网络应用功能NAF网元,应用于通用引导架构GBA,所述GBA包括终端、所述NAF网元和引导服务功能BSF网元,其特征在于,所述NAF网元包括:
接收模块,用于接收所述终端发送的第一请求消息;所述第一请求消息用于请求更新所述终端的密钥,所述第一请求消息包括第一公钥和所述终端的身份标识;
处理模块,用于根据第一系统参数和第一算法确定第一子私钥和公钥标识;所述第一系统参数包括所述终端的身份标识和所述公钥标识的有效期,所述公钥标识的有效期为所述NAF网元根据预设策略确定;
发送模块,用于向所述终端发送第一响应消息;所述第一响应消息包括第一子私钥和所述公钥标识。
8.根据权利要求7所述的NAF网元,其特征在于,所述处理模块,具体用于:
所述NAF网元根据所述终端的身份标识,依据所述第一算法确定所述第一子私钥;
所述NAF网元根据所述终端的身份标识和所述公钥标识的有效期,依据所述第一算法确定所述公钥标识。
9.一种终端,其特征在于,包括存储器、处理器、总线和通信接口;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接;当所述终端运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述终端执行如权利要求1-2任一项所述的通用引导架构GBA的密钥生成方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求1-2任一项所述的通用引导架构GBA的密钥生成方法。
11.一种网络应用功能NAF网元,其特征在于,包括存储器、处理器、总线和通信接口;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接;当所述NAF网元运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述NAF网元执行如权利要求3-4任一项所述的通用引导架构GBA的密钥生成方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求3-4任一项所述的通用引导架构GBA的密钥生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011286679.7A CN112311543B (zh) | 2020-11-17 | 2020-11-17 | Gba的密钥生成方法、终端和naf网元 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011286679.7A CN112311543B (zh) | 2020-11-17 | 2020-11-17 | Gba的密钥生成方法、终端和naf网元 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112311543A true CN112311543A (zh) | 2021-02-02 |
| CN112311543B CN112311543B (zh) | 2023-04-18 |
Family
ID=74334927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011286679.7A Active CN112311543B (zh) | 2020-11-17 | 2020-11-17 | Gba的密钥生成方法、终端和naf网元 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112311543B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114022964A (zh) * | 2021-09-24 | 2022-02-08 | 北京中交国通智能交通系统技术有限公司 | Etc应用秘钥更新方法、装置及系统 |
| CN115065466A (zh) * | 2022-06-23 | 2022-09-16 | 中国电信股份有限公司 | 密钥协商方法、装置、电子设备和计算机可读存储介质 |
| WO2022233029A1 (en) * | 2021-05-07 | 2022-11-10 | Apple Inc. | Multicast broadcast service keys |
| CN117040846A (zh) * | 2023-08-10 | 2023-11-10 | 广东九博科技股份有限公司 | 一种接入型otn设备及其数据传输加密和解密方法 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1870500A (zh) * | 2006-01-24 | 2006-11-29 | 华为技术有限公司 | 非ims终端应用增强型通用鉴权架构的方法 |
| WO2007104245A1 (fr) * | 2006-03-16 | 2007-09-20 | Huawei Technologies Co., Ltd. | Système de cadre de référence pour développement des services web et son procédé d'authentification |
| CN101043328A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 通用引导框架中密钥更新方法 |
| CN101087261A (zh) * | 2006-06-05 | 2007-12-12 | 华为技术有限公司 | 基于通用引导构架实现推送功能的方法、设备和系统 |
| CN101141792A (zh) * | 2006-09-09 | 2008-03-12 | 华为技术有限公司 | 一种通用引导架构推送的方法 |
| JP2009522828A (ja) * | 2006-04-04 | 2009-06-11 | ノキア コーポレイション | ブートストラッピングアーキテクチャ内でキーをリフレッシュするための方法および装置 |
| CN101459505A (zh) * | 2007-12-14 | 2009-06-17 | 华为技术有限公司 | 生成用户私钥的方法、系统及用户设备、密钥生成中心 |
| WO2010128348A1 (en) * | 2009-05-08 | 2010-11-11 | Telefonaktiebolaget L M Ericsson (Publ) | System and method of using a gaa/gba architecture as digital signature enabler |
| CN101990201A (zh) * | 2009-07-31 | 2011-03-23 | 中国移动通信集团公司 | 生成gba密钥的方法及其系统和设备 |
| CN102065421A (zh) * | 2009-11-11 | 2011-05-18 | 中国移动通信集团公司 | 一种更新密钥的方法、装置和系统 |
| CN102238540A (zh) * | 2010-04-27 | 2011-11-09 | 中国移动通信集团公司 | 通用引导架构密钥更新的方法、装置与系统 |
| CN102857912A (zh) * | 2007-10-05 | 2013-01-02 | 交互数字技术公司 | 由内部密钥中心(ikc)使用的用于安全通信的方法 |
| WO2020007461A1 (en) * | 2018-07-04 | 2020-01-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication and key agreement between a network and a user equipment |
| WO2020220903A1 (zh) * | 2019-04-29 | 2020-11-05 | 华为技术有限公司 | 通信方法和装置 |
-
2020
- 2020-11-17 CN CN202011286679.7A patent/CN112311543B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1870500A (zh) * | 2006-01-24 | 2006-11-29 | 华为技术有限公司 | 非ims终端应用增强型通用鉴权架构的方法 |
| WO2007104245A1 (fr) * | 2006-03-16 | 2007-09-20 | Huawei Technologies Co., Ltd. | Système de cadre de référence pour développement des services web et son procédé d'authentification |
| CN101043328A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 通用引导框架中密钥更新方法 |
| JP2009522828A (ja) * | 2006-04-04 | 2009-06-11 | ノキア コーポレイション | ブートストラッピングアーキテクチャ内でキーをリフレッシュするための方法および装置 |
| CN101087261A (zh) * | 2006-06-05 | 2007-12-12 | 华为技术有限公司 | 基于通用引导构架实现推送功能的方法、设备和系统 |
| CN101141792A (zh) * | 2006-09-09 | 2008-03-12 | 华为技术有限公司 | 一种通用引导架构推送的方法 |
| CN102857912A (zh) * | 2007-10-05 | 2013-01-02 | 交互数字技术公司 | 由内部密钥中心(ikc)使用的用于安全通信的方法 |
| CN103001940A (zh) * | 2007-10-05 | 2013-03-27 | 交互数字技术公司 | 由wtru使用的用于建立安全本地密钥的方法 |
| CN101459505A (zh) * | 2007-12-14 | 2009-06-17 | 华为技术有限公司 | 生成用户私钥的方法、系统及用户设备、密钥生成中心 |
| WO2010128348A1 (en) * | 2009-05-08 | 2010-11-11 | Telefonaktiebolaget L M Ericsson (Publ) | System and method of using a gaa/gba architecture as digital signature enabler |
| CN101990201A (zh) * | 2009-07-31 | 2011-03-23 | 中国移动通信集团公司 | 生成gba密钥的方法及其系统和设备 |
| CN102065421A (zh) * | 2009-11-11 | 2011-05-18 | 中国移动通信集团公司 | 一种更新密钥的方法、装置和系统 |
| CN102238540A (zh) * | 2010-04-27 | 2011-11-09 | 中国移动通信集团公司 | 通用引导架构密钥更新的方法、装置与系统 |
| WO2020007461A1 (en) * | 2018-07-04 | 2020-01-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication and key agreement between a network and a user equipment |
| WO2020220903A1 (zh) * | 2019-04-29 | 2020-11-05 | 华为技术有限公司 | 通信方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP: "S3-040650 "GBA User Security Settings"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| 3GPP: "S3-040941 "Enhanced key freshness in GBA"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| 3GPP: "S3-040987 "GBA User Security Settings (GUSS) usage in GAA and Introduction of NAF groups"", 《3GPP TSG_SA\WG3_SECURITY》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022233029A1 (en) * | 2021-05-07 | 2022-11-10 | Apple Inc. | Multicast broadcast service keys |
| CN114022964A (zh) * | 2021-09-24 | 2022-02-08 | 北京中交国通智能交通系统技术有限公司 | Etc应用秘钥更新方法、装置及系统 |
| CN114022964B (zh) * | 2021-09-24 | 2024-05-17 | 北京中交国通智能交通系统技术有限公司 | Etc应用秘钥更新方法、装置及系统 |
| CN115065466A (zh) * | 2022-06-23 | 2022-09-16 | 中国电信股份有限公司 | 密钥协商方法、装置、电子设备和计算机可读存储介质 |
| CN115065466B (zh) * | 2022-06-23 | 2024-01-19 | 中国电信股份有限公司 | 密钥协商方法、装置、电子设备和计算机可读存储介质 |
| CN117040846A (zh) * | 2023-08-10 | 2023-11-10 | 广东九博科技股份有限公司 | 一种接入型otn设备及其数据传输加密和解密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112311543B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112311543B (zh) | Gba的密钥生成方法、终端和naf网元 | |
| US10263969B2 (en) | Method and apparatus for authenticated key exchange using password and identity-based signature | |
| US9621355B1 (en) | Securely authorizing client applications on devices to hosted services | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| US20200195445A1 (en) | Registration method and apparatus based on service-based architecture | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| US10516654B2 (en) | System, apparatus and method for key provisioning delegation | |
| CN110800248B (zh) | 用于第一应用和第二应用之间的互相对称认证的方法 | |
| US9693226B2 (en) | Method and apparatus for securing a connection in a communications network | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
| KR20070096060A (ko) | 무선 통신을 위한 안전한 부트스트래핑 | |
| JP7301852B2 (ja) | ユーザ装置とアプリケーションサーバとの間の通信を安全にするためのキーを判断する方法 | |
| Zhang et al. | Efficient and privacy-preserving blockchain-based multifactor device authentication protocol for cross-domain IIoT | |
| CN113518348B (zh) | 业务处理方法、装置、系统及存储介质 | |
| CN112543166B (zh) | 实名登录的方法及装置 | |
| CN115065466B (zh) | 密钥协商方法、装置、电子设备和计算机可读存储介质 | |
| CN111654481B (zh) | 一种身份认证方法、装置和存储介质 | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| WO2021093811A1 (zh) | 一种网络接入方法及相关设备 | |
| WO2019099456A1 (en) | System and method for securely activating a mobile device and storing an encryption key | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN112751664B (zh) | 一种物联网组网方法、装置和计算机可读存储介质 | |
| CN114666114A (zh) | 一种基于生物特征的移动云数据安全认证方法 | |
| WO2022027674A1 (zh) | 一种通用引导架构中的方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |