CN113163399B - 一种终端与服务器的通信方法和装置 - Google Patents

一种终端与服务器的通信方法和装置 Download PDF

Info

Publication number
CN113163399B
CN113163399B CN202010015330.3A CN202010015330A CN113163399B CN 113163399 B CN113163399 B CN 113163399B CN 202010015330 A CN202010015330 A CN 202010015330A CN 113163399 B CN113163399 B CN 113163399B
Authority
CN
China
Prior art keywords
server
terminal
request
key
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010015330.3A
Other languages
English (en)
Other versions
CN113163399A (zh
Inventor
于小博
刘大鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN202010015330.3A priority Critical patent/CN113163399B/zh
Publication of CN113163399A publication Critical patent/CN113163399A/zh
Application granted granted Critical
Publication of CN113163399B publication Critical patent/CN113163399B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例提供了一种终端与服务器的通信方法和装置,所述方法包括:终端向第一服务器发送第一请求消息,第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;终端接收第一服务器发送的第一请求应答消息;终端向第一服务器发送第二请求消息,第二请求消息包括第二标识,第二标识用于向第一服务器请求获取第二密钥;终端接收第一服务器发送的对应于第二请求消息的第二请求应答消息,第二请求应答消息包括第二密钥。本申请实施例中,终端可以用空中下载的方式,从应用服务器获得鉴权以及加密密钥,解决了终端和应用服务器之间密钥的生成和运营商AKA协议强耦合的问题,使得密钥的生成和使用更加灵活。

Description

一种终端与服务器的通信方法和装置
技术领域
本申请涉及通信技术领域,特别是涉及一种终端与服务器的通信方法、一种终端与服务器的通信装置。
背景技术
物联网技术是继计算机和互联网之后的第三次信息技术革命,具有实时性和交互性的特点,已经被广泛应用于城市管理、数字家庭、定位导航、物流管理、安保系统等多个领域。物联网安全课题变得越来越重要。物联网设备需要通过一套安全机制来与应用服务器之间进行通信,保障服务以及用户隐私数据的安全。
为了解决应用服务器和物联网设备之间的鉴权以及安全通道建立等问题,3GPP(第三代移动通信标准化组织)定义了一种通用认证机制,即基于3GPP凭证的应用鉴权以及密钥管理(Authentication and key management for applications based on 3GPPcredentials,AKMA)。AKMA提供了一种在UE和服务器之间建立共享密钥的通用机制,它基于5G AKA鉴权机制来实现。5G AKA鉴权机制是5G网络中使用的一种相互鉴权和密钥协商的机制,AKMA充分利用了5G AKA鉴权机制的优点来完成业务的安全引导过程。
在AKMA中,AKMA锚点功能(AKMA Anchor Function,AAnF)为新引入的网元。AKMA可以与用户设备(UE,User Equipment)通过认证与密钥协商AKA(Authentication and KeyAgreement)协议进行双向鉴权,并且在成功鉴权后,生成共享密钥。AKMA会将该共享密钥以及相关密钥参数、用户数据等传递给网络应用功能AKMA AF(AKMA ApplicationFunction)。共享密钥将用于UE和AKMA AF之间信息的安全传输。
AKMA方案虽然能够为UE和AKMA AF之间建立一条安全的通信管道,但是共享密钥的生成和5G AKA协议强耦合,使得建立安全通路的成本以及维护费用过高。
发明内容
鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种终端与服务器的通信方法、一种终端与服务器的通信装置。
为了解决上述问题,本申请实施例公开了一种终端与服务器的通信方法,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由第一密钥加密;
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
所述第一服务器删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
所述终端向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述终端接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息;
所述终端向所述第一服务器发送第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
所述终端接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
可选地,所述终端向第一服务器发送第二请求消息,所述第二请求消息包括第二标识,还包括:
所述第二请求消息由所述第一密钥加密。
可选地,所述终端接收所述第一服务器发送的对应于第一请求消息的第一请求应答消息,还包括:
所述第一请求应答消息包括第二标识。
可选地,所述第一请求消息还包括第二标识,所述终端向第一服务器发送第一请求消息的步骤包括:
所述终端向第一服务器发送第一请求消息,所述第一请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥。
可选地,在所述终端接收所述第一服务器发送对应于所述第二请求消息的所述第二请求应答消息之后,还包括:
所述终端删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
可选地,在所述第一服务器接收所述终端发送的第二请求消息之后,在所述第一服务器向所述终端发送第二请求应答消息之前,还包括:
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器根据所述第一密钥加密所述第二请求应答消息。
可选地,所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,还包括:
所述第二请求消息由第一密钥加密。
可选地,所述第一服务器向终端发送第二请求消息对应的第二请求应答消息,所述第二请求应答消息包括所述第二密钥,还包括:
所述第二请求应答消息包括第二标识。
可选地,所述第一请求消息还包括第二标识,所述第一服务器接收所述终端发送的所述第一请求消息的步骤包括:
所述第一服务器接收所述终端发送的所述第一请求消息,所述第一请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥。
可选地,在所述第一服务器向所述终端发送第二请求应答消息之后,还包括:
所述第一服务器删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
所述终端向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息;
所述终端向第三服务器发送第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
所述终端接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从所述第五服务器获取的。
可选地,所述终端向所述第三服务器发送第四请求消息,所述第四请求消息包括第四标识,还包括:
所述第四请求消息由第三密钥加密。
可选地,所述终端接收所述第三服务器发送的所述第三请求消息对应的所述第三请求应答消息,还包括:
所述第三请求应答消息包括第四标识。
可选地,所述第三请求消息还包括第四标识,所述终端向所述第三服务器发送所述第三请求消息的步骤包括:
所述终端向所述第三服务器发送所述第三请求消息,所述第三请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥。
可选地,在所述终端接收所述第三服务器发送的所述第四请求应答消息之后,还包括:
所述终端删除所述第三密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
第三服务器接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息;
所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
所述第三服务器向终端发送所述第四请求应答消息,所述第四请求应答消息包括所述第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
可选地,所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四标识,还包括:
所述第四请求消息由第三密钥加密。
可选地,所述第三服务器向终端发送第三请求消息对应的第三请求应答消息,还包括:
所述第三请求应答消息包括第四标识。
可选地,所述第三请求消息还包括第四标识,所述第三服务器接收所述终端发送的第三请求消息的步骤包括:
所述第三服务器接收所述终端发送的第三请求消息,所述第三请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥。
可选地,在所述第三服务器向所述终端发送所述第四请求应答消息之后,还包括:
所述第三服务器删除所述第三密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向所述终端发送第一请求消息对应的第一请求应答消息;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由第一密钥加密;
位于所述第一服务器的处理模块,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的发送模块,用于向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
位于所述第一服务器的处理模块,用于删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述终端的接收模块,用于接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息;
位于所述终端的发送模块,用于向所述第一服务器发送第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
位于所述终端的接收模块,接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
可选地,所述第二请求消息由所述第一密钥加密。
可选地,所述第一请求应答消息包括第二标识。
可选地,所述第一请求消息还包括第二标识,所述终端向第一服务器发送第一请求消息的步骤包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥。
可选地,还包括:
位于所述终端的删除模块,用于在接收所述第一服务器发送对应于所述第二请求消息的所述第二请求应答消息之后删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向所述终端发送第一请求消息对应的第一请求应答消息;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
位于所述第一服务器的发送模块,用于向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述终端的接收模块,用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息;
位于所述终端的发送模块,用于向第三服务器发送第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
位于所述终端的接收模块,用于接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从所述第五服务器获取的。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述第三服务器的发送模块,用于向所述终端发送第三请求消息对应的第三请求应答消息;
位于所述第三服务器的接收模块,用于接收所述终端发送的第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
位于所述第三服务器的发送模块,用于向终端发送所述第四请求应答消息,所述第四请求应答消息包括所述第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
本申请实施例还公开了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如上所述的一个或多个的方法。
本申请实施例还公开了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得装置执行如权上所述的一个或多个的方法。
本申请实施例包括以下优点:
在本申请实施例中,终端可以用空中下载的方式,从应用服务器获得鉴权以及加密密钥,解决了终端和应用服务器之间密钥的生成和运营商AKA协议强耦合的问题,使得密钥的生成和使用更加灵活。
附图说明
图1是本申请的一种终端与服务器的通信方法实施例1的步骤流程图;
图2是本申请的一种终端与服务器的通信方法实施例2的步骤流程图;
图3是本申请的一种终端与服务器的通信方法实施例3的步骤流程图;
图4是本申请的一种终端与服务器的通信方法实施例4的步骤流程图;
图5是本申请的一种终端与服务器的通信方法实施例4的系统架构图;
图6是本申请的一种终端与服务器的通信装置实施例1的结构框图;
图7是本申请的一种终端与服务器的通信装置实施例2的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
本申请实施例的核心构思之一在于,终端通过5G AKA的方式和AKMA生成共享密钥。共享密钥用于建立终端、运营商网络以及应用服务器之间的安全通道。应用服务器通过空中下载的方式将应用层和终端之间的鉴权以及加密密钥发送至终端。本发明方案中,应用服务器也可以是边缘计算使能服务器。
以下,首先从服务器的角度介绍终端与服务器的通信流程。
参照图1,示出了本申请的一种终端与服务器的通信方法实施例1的步骤流程图,具体可以包括如下步骤:
步骤101,第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
具体地,第一服务器为应用服务器或者是边缘计算使能服务器,也可以叫做AKMAAF或者是Edge Enabler Server。第一请求消息可以是应用请求(Application Request)。应用请求中携带临时标识(Temporary Identifier),临时标识可以是区别终端的唯一临时标识。可选的,应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前,终端可以根据5G AKA协议生成的共享密钥KAKMA来衍生出共享密钥KAF。并且通过共享密钥KAF来加密第二请求消息。第二服务器可以是AAnF。第一密钥可以是共享密钥KAF。AKMA NF在收到第一请求消息后,向AAnF发送认证请求(Authentication Request),认证请求包括临时标识以及可选的,AKMA AF标识或者边缘使能服务器标识。AAnF根据临时标识找到在与终端进行AKA协商中生成的共享密钥KAKMA。具体的,KAKMA可以是AAnF通过向鉴权服务器功能(Authentication Server Function,AUSF)请求获得的。AAnF根据共享密钥KAKMA衍生出共享密钥KAF。之后AAnF向第一服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥KAF。可选的,认证响应消息中还可以包括KAF使用期限(key_lifetime)。当试用期到期后,终端需要和AAnF之间重新通过共享密钥KAKMA衍生出新的共享密钥KAF。第一服务器在收到共享密钥KAF后,会存储共享密钥KAF。并且在终端和第一服务器之间利用共享密钥KAF来实现双向鉴权以及加解密空口消息。
步骤102,所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。请求应答消息中包括随机数Nonce,KAF的使用期限(Key_lifetime)以及几个消息校验信息(Message Authentication code,MAC)。终端可以通过随机数、临时标识、AKMA AF标识以及KAKMA生成KAF
步骤103,所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由第一密钥加密;
具体地,第二请求消息可以是应用请求消息,也可以是密钥获取请求消息。第二标识可以是应用层共享密钥KAPP的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。
第二请求消息可以由共享密钥KAF加密。可选的,第二请求消息也可以由共享密钥KApp加密。当用共享密钥KApp来加密时,第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥KApp来解密第二请求消息。
第二密钥可以是应用层共享密钥KApp。共享密钥KApp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥KApp。并且通过第一请求应答消息将共享密钥KApp发送至终端。同时,第一服务器也会存储共享密钥KApp。可选的,第一请求应答消息可以由第一密钥,即共享密钥KAF加密。由于AKMA AF和终端都拥有共享密钥KAF,第一请求应答消息可以由共享密钥KAF加密并且发送至终端,并且由终端解密。可选的,应用层密钥管理服务器也可以是第一服务器的一个功能。
步骤104,所述第一服务器根据所述第一密钥解密所述第二请求消息;
具体地,第二请求消息可以是应用请求消息。第一密钥为共享密钥KAF。第二请求消息可以由共享密钥KAF加密。
步骤105,所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
具体地,第二标识可以是应用层共享密钥KApp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。第二密钥为应用层共享密钥KApp。第一服务器获取第二标识后,将对应生成的Kapp通过第二请求应答消息发送给终端。第二请求应答消息可以由KAF加密。
步骤106,所述第一服务器删除所述第一密钥。
具体地,第一服务器可以是应用服务器或者是边缘计算使能服务器,也可以叫做AKMAAF或者Edge Enabler Server。第一服务器向终端发送的第二请求应答消息可以由KAF加密。可选的,第二请求应答消息中可以包括第二密钥KApp。终端在获取KApp后可以选择删除KAF。删除操作可以在终端利用KApp与第一服务器完成双向鉴权后执行。
当终端和第一服务器都拥有应用层共享密钥KApp后,没有必要再存储共享密钥KAF。因此,第一服务器可以在发送第二请求应答消息后,删除共享密钥KAF
参照图2,示出了本申请的一种终端与服务器的通信方法实施例2的步骤流程图,具体可以包括如下步骤:
步骤201,所述终端向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
具体地,第一服务器为应用服务器或者是边缘计算使能服务器,也可以叫做AKMAAF或者是Edge Enabler Server。第一请求消息可以是应用请求(Application Request)。应用请求中携带临时标识(Temporary Identifier),临时标识可以是区别终端的唯一临时标识。可选的,应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前,终端可以根据5G AKA协议生成的共享密钥KAKMA来衍生出共享密钥KAF。并且通过共享密钥KAF来加密第二请求消息。第二服务器可以是AAnF。第一密钥可以是共享密钥KAF。AKMA NF在收到第一请求消息后,向AAnF发送认证请求(Authentication Request),认证请求包括临时标识以及可选的,AKMA AF标识或者边缘使能服务器标识。AAnF根据临时标识找到在与终端进行AKA协商中生成的共享密钥KAKMA。具体的,KAKMA可以是AAnF通过向鉴权服务器功能(Authentication Server Function,AUSF)请求获得的。AAnF根据共享密钥KAKMA衍生出共享密钥KAF。之后AAnF向第一服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥KAF。可选的,认证响应消息中还可以包括KAF使用期限(key_lifetime)。当试用期到期后,终端需要和AAnF之间重新通过共享密钥KAKMA衍生出新的共享密钥KAF。第一服务器在收到共享密钥KAF后,会存储共享密钥KAF。并且在终端和第一服务器之间利用共享密钥KAF来实现双向鉴权以及加解密空口消息。
在本申请实施例中,所述步骤201可以包括如下子步骤:
子步骤S2011,所述终端向第一服务器发送第一请求消息,所述第一请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
具体地,第二标识可以是应用层共享密钥KAPP的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。第二标识可以预置在终端上。第二标识可以包括在终端发送给第一服务器的第一请求消息或者是第二请求消息中。并且可以指示第一服务器将第二标识对应的第二密钥通过第一请求应答消息或者是第二请求应答消息发送给终端。可选的,第一服务器也可以先从应用层密钥管理服务器获取共享密钥KApp。并且通过第一请求应答消息将共享密钥KApp发送至终端。
步骤202,所述终端接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。请求应答消息中包括随机数Nonce,KAF的使用期限(Key_lifetime)以及几个消息校验信息(Message Authentication code,MAC)。终端可以通过随机数、临时标识、AKMA AF标识以及KAKMA生成KAF
在本申请实施例中,所述步骤202可以包括如下子步骤:
子步骤S2021,所述第一请求应答消息包括第二标识;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息或者密钥获取请求消息。第二标识可以是应用层共享密钥KApp的标识。第二标识可以作为指示来使得第一服务器用第二标识对应的共享密钥KApp来解密第二请求消息。可选的,第二标识可以指示第一服务器在第一请求应答消息或者是第二请求应答消息中下发KApp
步骤203,所述终端向所述第一服务器发送第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
具体地,第二请求消息可以是应用请求消息,也可以是密钥获取请求消息。第二标识可以是应用层共享密钥KAPP的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。
第二请求消息可以由共享密钥KAF加密。可选的,第二请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥KApp来解密第二请求消息。
第二密钥可以是应用层共享密钥KApp。共享密钥KApp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥KApp。并且通过第一请求应答消息将共享密钥KApp发送至终端。同时,第一服务器也会存储共享密钥KApp。可选的,第一请求应答消息可以由第一密钥,即共享密钥KAF加密。由于AKMA AF和终端都拥有共享密钥KAF,第一请求应答消息可以由共享密钥KAF加密并且发送至终端,并且由终端解密。可选的,应用层密钥管理服务器也可以是第一服务器的一个功能。
在本申请实施例中,所述步骤203可以包括如下子步骤:
子步骤S2031,所述第二请求消息由第一密钥加密;
具体地,第一密钥为共享密钥KAF。第二请求消息可以由共享密钥KAF加密。
步骤204,所述终端接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
具体地,第二标识可以是应用层共享密钥KApp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。第二密钥为应用层共享密钥KApp。第一服务器获取第二标识后,将对应生成的Kapp通过第二请求应答消息发送给终端。第二请求应答消息可以由KAF加密。
在本申请实施例中,所述步骤204可以包括如下子步骤:
子步骤S2041,所述终端删除所述第一密钥;
具体地,第一服务器可以是应用服务器或者是边缘计算使能服务器,也可以叫做AKMAAF或者Edge Enabler Server。第一服务器向终端发送的第二请求应答消息可以由KAF加密。可选的,第二请求应答消息中可以包括第二密钥KApp。终端在获取KApp后可以选择删除KAF。删除操作可以在终端利用KApp与第一服务器完成双向鉴权后执行。
当终端和第一服务器都拥有应用层共享密钥KApp后,没有必要再存储共享密钥KAF。因此,第一服务器可以在发送第二请求应答消息后,删除共享密钥KAF
参照图3,示出了本申请的一种终端与服务器的通信方法实施例3的步骤流程图,具体可以包括如下步骤:
步骤301,第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
具体地,第一服务器为应用服务器或者是边缘计算使能服务器,也可以叫做AKMAAF或者是Edge Enabler Server。第一请求消息可以是应用请求(Application Request)。应用请求中携带临时标识(Temporary Identifier),临时标识可以是区别终端的唯一临时标识。可选的,应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前,终端可以根据5G AKA协议生成的共享密钥KAKMA来衍生出共享密钥KAF。并且通过共享密钥KAF来加密第二请求消息。第二服务器可以是AAnF。第一密钥可以是共享密钥KAF。AKMA NF在收到第一请求消息后,向AAnF发送认证请求(Authentication Request),认证请求包括临时标识以及可选的,AKMAAF标识或者边缘使能服务器标识。AAnF根据临时标识找到在与终端进行AKA协商中生成的共享密钥KAKMA。具体的,KAKMA可以是AAnF通过向鉴权服务器功能(Authentication Server Function,AUSF)请求获得的。AAnF根据共享密钥KAKMA衍生出共享密钥KAF。之后AAnF向第一服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥KAF。可选的,认证响应消息中还可以包括KAF使用期限(key_lifetime)。当试用期到期后,终端需要和AAnF之间重新通过共享密钥KAKMA衍生出新的共享密钥KAF。第一服务器在收到共享密钥KAF后,会存储共享密钥KAF。并且在终端和第一服务器之间利用共享密钥KAF来实现双向鉴权以及加解密空口消息。
在本申请实施例中,所述步骤301可以包括如下子步骤:
子步骤S3011,所述第一服务器接收终端发送的第一请求消息,所述第一请求消息包括第二标识,所述第二标识于向所述第一服务器请求获取第二密钥;
具体地,第二标识可以是应用层共享密钥KAPP的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。第二标识可以预置在终端上。第二标识可以包括在终端发送给第一服务器的第一请求消息或者是第二请求消息中。并且可以指示第一服务器将第二标识对应的第二密钥通过第一请求应答消息或者是第二请求应答消息发送给终端。可选的,第一服务器也可以先从应用层密钥管理服务器获取共享密钥KApp。并且通过第一请求应答消息将共享密钥KApp发送至终端。
步骤302,所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。请求应答消息中包括随机数Nonce,KAF的使用期限(Key_lifetime)以及几个消息校验信息(Message Authentication code,MAC)。终端可以通过随机数、临时标识、AKMA AF标识以及KAKMA生成KAF
在本申请实施例中,所述步骤302可以包括如下子步骤:
子步骤S3021,所述第一请求应答消息包括第二标识;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。第二标识可以是应用层共享密钥KApp的标识。第二标识可以作为指示来使得第一服务器用第二标识对应的共享密钥KApp来解密第二请求消息。可选的,第二标识可以指示第一服务器在第一请求应答消息或者是第二请求应答消息中下发KApp
步骤303,所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
具体地,第二请求消息可以是应用请求消息,也可以是密钥获取请求消息。第二标识可以是应用层共享密钥KAPP的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。
第二请求消息可以由共享密钥KAF加密。可选的,第二请求消息也可以由共享密钥KApp加密。当用共享密钥KApp来加密时,第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥KApp来解密第二请求消息。
第二密钥可以是应用层共享密钥KApp。共享密钥KApp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥KApp。并且通过第一请求应答消息将共享密钥KApp发送至终端。同时,第一服务器也会存储共享密钥KApp。可选的,第一请求应答消息可以由第一密钥,即共享密钥KAF加密。由于AKMA AF和终端都拥有共享密钥KAF,第一请求应答消息可以由共享密钥KAF加密并且发送至终端,并且由终端解密。可选的,应用层密钥管理服务器也可以是第一服务器的一个功能。
在本申请实施例中,所述步骤303之后,所述步骤304之前可以包括如下子步骤:
子步骤S3031,所述第一服务器根据所述第一密钥解密所述第二请求消息;
具体地,第二请求消息可以是应用请求消息。第一密钥为共享密钥KAF。第二请求消息可以由共享密钥KAF加密。
在本申请实施例中,所述步骤303可以包括如下子步骤:
子步骤S3033,所述第二请求消息由第一密钥加密;
第二请求消息可以由共享密钥KAF加密。可选的,第二请求消息也可以由共享密钥KApp加密。当用共享密钥KApp来加密时,第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥KApp来解密第二请求消息。
第二密钥可以是应用层共享密钥KApp。共享密钥KApp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥KApp。并且通过第一请求应答消息将共享密钥KApp发送至终端。同时,第一服务器也会存储共享密钥KApp。可选的,第一请求应答消息可以由第一密钥,即共享密钥KAF加密。由于AKMA AF和终端都拥有共享密钥KAF,第一请求应答消息可以由共享密钥KAF加密并且发送至终端,并且由终端解密。可选的,应用层密钥管理服务器也可以是第一服务器的一个功能。
步骤304,所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
具体地,第二标识可以是应用层共享密钥KApp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥KAPP的指示标识。第二密钥为应用层共享密钥KApp。第一服务器获取第二标识后,将对应生成的Kapp通过第二请求应答消息发送给终端。第二请求应答消息可以由KAF加密。
在本申请实施例中,所述步骤304可以包括如下子步骤:
子步骤S3041,所述第一服务器删除所述第一密钥;
具体地,第一服务器可以是应用服务器或者是边缘计算使能服务器,也可以叫做AKMA AF或者Edge Enabler Server。第一服务器向终端发送的第二请求应答消息可以由KAF加密。可选的,第二请求应答消息中可以包括第二密钥KApp。终端在获取KApp后可以选择删除KAF。删除操作可以在终端利用KApp与第一服务器完成双向鉴权后执行。
当终端和第一服务器都拥有应用层共享密钥KApp后,没有必要再存储共享密钥KAF。因此,第一服务器可以在发送第二请求应答消息后,删除共享密钥KAF
参照图4,示出了本申请的一种终端与服务器的通信方法实施例4的步骤流程图,具体可以包括如下步骤:
步骤501,第三服务器接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
具体地,第三服务器为应用服务器或者是边缘计算使能服务器,也可以叫做AKMAAF或者是Edge Enabler Server。第三请求消息可以是应用请求(Application Request)。应用请求中携带临时标识(Temporary Identifier),临时标识可以是区别终端的唯一临时标识。可选的,应用请求中还可以包括应用层数据载荷。在发送第三请求消息之前,终端可以根据5G AKA协议生成的共享密钥KAKMA来衍生出共享密钥KAF。并且通过共享密钥KAF来加密第四请求消息。第四服务器可以是AAnF。第三密钥可以是共享密钥KAF。AKMA NF在收到第三请求消息后,向AAnF发送认证请求(Authentication Request),认证请求包括临时标识以及可选的,AKMA AF标识或者边缘使能服务器标识。AAnF根据临时标识找到在与终端进行AKA协商中生成的共享密钥KAKMA。具体的,KAKMA可以是AAnF通过向鉴权服务器功能(Authentication Server Function,AUSF)请求获得的。AAnF根据共享密钥KAKMA衍生出共享密钥KAF。之后AAnF向第三服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥KAF。可选的,认证响应消息中还可以包括KAF使用期限(key_lifetime)。当试用期到期后,终端需要和AAnF之间重新通过共享密钥KAKMA衍生出新的共享密钥KAF。第三服务器在收到共享密钥KAF后,会存储共享密钥KAF。并且在终端和第三服务器之间利用共享密钥KAF来实现双向鉴权以及加解密空口消息。
在本申请实施例中,所述步骤501可以包括如下子步骤:
子步骤S5011,所述第三服务器接收所述终端发送的第三请求消息,所述第三请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
具体地,第四标识可以是应用层共享密钥KAPP的唯一标识。第四标识也可以是表示向第三服务器请求获取共享密钥KAPP的指示标识。第四标识可以预置在终端上。第四标识可以包括在终端发送给第三服务器的第三请求消息或者是第四请求消息中。并且可以指示第三服务器将第四标识对应的第四密钥通过第三请求应答消息或者是第四请求应答消息发送给终端。可选的,第三服务器也可以先从应用层密钥管理服务器获取共享密钥KApp。并且通过第三请求应答消息将共享密钥KApp发送至终端。
步骤502,所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息;
具体地,第三服务器为应用层密钥管理服务器或者是AKMA AF,又或者是EdgeEnabler Server。第三请求应答消息可以是应用应答(Application Answer)消息或者是密钥获取请求消息。第四密钥可以是应用层共享密钥KApp。应用层共享密钥KApp可以由应用层密钥管理服务器管理。应用密钥管理服务器可以将应用层共享密钥KApp下发给终端,以使得终端和应用层密钥管理服务器之间可以通过应用层共享密钥KApp建立安全通路。应用层密钥管理服务器可以单独于AKMA AF或者边缘计算使能服务器存在,也可以是AKMA AF或者是边缘计算使能服务器中的一部分。
在本申请实施例中,所述步骤502可以包括如下子步骤:
子步骤S5021,所述第三请求应答消息包括第四标识;
具体地,第三请求应答消息可以是应用应答(Application Answer)消息或者是密钥获取请求消息。第二标识可以是应用层共享密钥KApp的标识。第二标识可以作为指示来使得第三服务器用第四标识对应的共享密钥KApp来解密第四请求消息。可选的,第二标识可以指示第三服务器在第三请求应答消息或者是第四请求应答消息中下发KApp
步骤503,所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
具体地,第四请求消息可以是应用请求消息,也可以是密钥获取请求消息。第四标识可以是应用层共享密钥KAPP的唯一标识。第四标识也可以是表示向第三服务器请求获取共享密钥KAPP的指示标识。
第四请求消息可以由共享密钥KAF加密。可选的,第四请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第四标识可以不加密。第四标识可以作为指示来使得服务器用第四标识对应的共享密钥KApp来解密第四请求消息。
第四密钥可以是应用层共享密钥KApp。共享密钥KApp可以是由第三服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第三服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥KApp。并且通过第三请求应答消息将共享密钥KApp发送至终端。同时,第三服务器也会存储共享密钥KApp。可选的,第三请求应答消息可以由第三密钥,即共享密钥KAF加密。由于AKMA AF和终端都拥有共享密钥KAF,第三请求应答消息可以由共享密钥KAF加密并且发送至终端,并且由终端解密。可选的,应用层密钥管理服务器也可以是第三服务器的一个功能。
在本申请实施例中,所述步骤503可以包括如下子步骤:
子步骤S5031,所述第四请求消息由第三密钥加密;
具体地,第三密钥为共享密钥KAF。第四请求消息可以由共享密钥KAF加密。
步骤504,所述第三服务器向终端发送所述第四请求应答消息,所述第四请求应答消息包括所述第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
具体地,第三服务器可以是应用层密钥管理服务器或者是AKMA AF,又或者是EdgeEnabler Server。第五服务器可以是应用服务器。参照图5为本申请的一种终端与服务器的通信方法实施例4的系统架构图。如图5所示,第五密钥可以是应用层服务器的密钥或者根密钥。终端通过AKMA建立起和应用密钥管理服务器的安全连接后,应用层密钥管理服务器可以在接收到第四应用请求消息后,向所述应用服务器发送请求消息,并且根据请求消息对应的应答消息来获取应用服务器密钥(AppKey或KApp)。应用密钥管理服务器可以是一个独立的服务器,也可以是实现在AKMA AF或者是边缘使能服务器(Edge Enabler Server)上的一个功能。可选的,应用服务器密钥也可以叫做应用密钥。应用服务器标识也可以叫做应用标识。应用层密钥管理服务器可以根据应用标识与应用服务器标识的映射关系确定应用服务器标识以及对应的地址,并且向应用服务器发送请求消息。请求消息可以是密钥请求消息。第三服务器向终端发送的第四请求应答消息可以由应用层共享密钥KApp加密。在本申请实施例中,所述步骤504可以包括如下子步骤:
子步骤S5041,所述第三服务器删除所述第三密钥;
具体地,第一服务器可以是应用服务器或者是边缘计算使能服务器,也可以叫做AKMA AF或者Edge Enabler Server。第一服务器向终端发送的第二请求应答消息可以由KAF加密。可选的,第二请求应答消息中可以包括第二密钥KApp。终端在获取KApp后可以选择删除KAF。删除操作可以在终端利用KApp与第一服务器完成双向鉴权后执行。
当终端和第一服务器都拥有应用层共享密钥KApp后,没有必要再存储共享密钥KAF。因此,第一服务器可以在发送第二请求应答消息后,删除共享密钥KAF
参照图6,示出了本申请的一种终端与服务器的通信装置实施例1的结构框图,具体可以包括如下模块:
位于所述终端的发送模块1001,用于向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述终端的接收模块1002,用于接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息;
位于所述终端的发送模块1001,用于向所述第一服务器发送第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
位于所述终端的接收模块1002,接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
参照图7,示出了本申请的一种终端与服务器的通信装置实施例2的结构框图,具体可以包括如下模块:
位于第一服务器的接收模块2002,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
位于所述第一服务器的发送模块2001,用于向所述终端发送第一请求消息对应的第一请求应答消息;
位于所述第一服务器的接收模块2002,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由第一密钥加密;
位于所述第一服务器的处理模块2003,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的发送模块2001,用于向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
位于所述第一服务器的处理模块2003,用于删除所述第一密钥。
本申请还公开了一种终端与服务器的通信装置实施例,具体可以包括如下模块:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向所述终端发送第一请求消息对应的第一请求应答消息;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;
位于所述第一服务器的发送模块,用于向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥。
本申请还公开了一种终端与服务器的通信装置实施例,具体可以包括如下模块:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述终端的接收模块,用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息;
位于所述终端的发送模块,用于向第三服务器发送第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
位于所述终端的接收模块,用于接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从所述第五服务器获取的。
本申请还公开了一种终端与服务器的通信装置实施例,具体可以包括如下模块:
位于第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述第三服务器的发送模块,用于向所述终端发送第三请求消息对应的第三请求应答消息;
位于所述第三服务器的接收模块,用于接收所述终端发送的第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;
位于所述第三服务器的发送模块,用于向终端发送所述第四请求应答消息,所述第四请求应答消息包括所述第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例还提供了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行本申请实施例所述的方法。
本申请实施例还提供了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行本申请实施例所述的方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的机器可读介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种终端与服务器的通信方法、一种终端与服务器的通信装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (23)

1.一种终端与服务器的通信方法,其特征在于,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由第一密钥加密;
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
所述第一服务器删除所述第一密钥。
2.一种终端与服务器的通信方法,其特征在于,包括:
所述终端向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述终端接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息;
所述终端向所述第一服务器发送第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;所述第二请求消息由所述第一密钥加密;
所述终端接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;所述终端删除所述第一密钥。
3.根据权利要求2所述的方法,其特征在于,所述终端接收所述第一服务器发送的对应于第一请求消息的第一请求应答消息,还包括:
所述第一请求应答消息包括第二标识。
4.根据权利要求2所述的方法,其特征在于,所述第一请求消息还包括第二标识,所述终端向第一服务器发送第一请求消息的步骤包括:
所述终端向第一服务器发送第一请求消息,所述第一请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥。
5.一种终端与服务器的通信方法,其特征在于,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥;所述第二请求消息由第一密钥加密;
所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;所述第一服务器删除所述第一密钥。
6.根据权利要求5所述的方法,其特征在于,在所述第一服务器接收所述终端发送的第二请求消息之后,在所述第一服务器向所述终端发送第二请求应答消息之前,还包括:
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器根据所述第一密钥加密所述第二请求应答消息。
7.根据权利要求5所述的方法,其特征在于,所述第一服务器向终端发送第二请求消息对应的第二请求应答消息,所述第二请求应答消息包括所述第二密钥,还包括:
所述第二请求应答消息包括第二标识。
8.根据权利要求5所述的方法,其特征在于,所述第一请求消息还包括第二标识,所述第一服务器接收所述终端发送的所述第一请求消息的步骤包括:
所述第一服务器接收所述终端发送的所述第一请求消息,所述第一请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥。
9.一种终端与服务器的通信方法,其特征在于,包括:
所述终端向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息;
所述终端向第三服务器发送第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;所述第四请求消息由第三密钥加密;
所述终端接收所述第三服务器发送的第四请求应答消息,所述第四请求应答消息包括第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从所述第五服务器获取的;所述终端删除所述第三密钥。
10.根据权利要求9所述的方法,其特征在于,所述终端接收所述第三服务器发送的所述第三请求消息对应的所述第三请求应答消息,还包括:
所述第三请求应答消息包括第四标识。
11.根据权利要求9所述的方法,其特征在于,所述第三请求消息还包括第四标识,所述终端向所述第三服务器发送所述第三请求消息的步骤包括:
所述终端向所述第三服务器发送所述第三请求消息,所述第三请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥。
12.一种终端与服务器的通信方法,其特征在于,包括:
第三服务器接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息;
所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥;所述第四请求消息由第三密钥加密;
所述第三服务器向终端发送第四请求应答消息,所述第四请求应答消息包括所述第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的;所述第三服务器删除所述第三密钥。
13.根据权利要求12所述的方法,其特征在于,所述第三服务器向终端发送第三请求消息对应的第三请求应答消息,还包括:
所述第三请求应答消息包括第四标识。
14.根据权利要求12所述的方法,其特征在于,所述第三请求消息还包括第四标识,所述第三服务器接收所述终端发送的第三请求消息的步骤包括:
所述第三服务器接收所述终端发送的第三请求消息,所述第三请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥。
15.一种终端与服务器的通信装置,其特征在于,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向所述终端发送第一请求消息对应的第一请求应答消息;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由第一密钥加密;
位于所述第一服务器的处理模块,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的发送模块,用于向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
位于所述第一服务器的处理模块,用于删除所述第一密钥。
16.一种终端与服务器的通信装置,其特征在于,包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述终端的接收模块,用于接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息;
位于所述终端的发送模块,用于向所述第一服务器发送第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由所述第一密钥加密;
位于所述终端的接收模块,接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
位于所述终端的删除模块,用于删除所述第一密钥。
17.根据权利要求16所述的装置,其特征在于,
所述第一请求应答消息包括第二标识。
18.根据权利要求16所述的装置,所述第一请求消息还包括第二标识,所述终端向第一服务器发送第一请求消息的步骤包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥。
19.一种终端与服务器的通信装置,其特征在于,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从所述第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向所述终端发送第一请求消息对应的第一请求应答消息;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二标识,所述第二标识用于向所述第一服务器请求获取第二密钥,所述第二请求消息由第一密钥加密;
位于所述第一服务器的发送模块,用于向所述终端发送对应于所述第二请求消息的第二请求应答消息,所述第二请求应答消息包括所述第二密钥;
位于所述第一服务器的处理模块,用于删除所述第一密钥。
20.一种终端与服务器的通信装置,其特征在于,包括:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述终端的接收模块,用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息;
位于所述终端的发送模块,用于向第三服务器发送第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥,所述第四请求消息由第三密钥加密;
位于所述终端的接收模块,用于接收所述第三服务器发送的第四请求应答消息,所述第四请求应答消息包括第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从所述第五服务器获取的;
位于所述终端的删除模块,用于删除所述第三密钥。
21.一种终端与服务器的通信装置,其特征在于,包括:
位于第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述第三服务器的发送模块,用于向所述终端发送第三请求消息对应的第三请求应答消息;
位于所述第三服务器的接收模块,用于接收所述终端发送的第四请求消息,所述第四请求消息包括第四标识,所述第四标识用于向所述第三服务器请求获取第四密钥,所述第四请求消息由第三密钥加密;
位于所述第三服务器的发送模块,用于向终端发送第四请求应答消息,所述第四请求应答消息包括所述第四密钥,所述第四密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的;
位于所述第三服务器的处理模块,用于删除所述第三密钥。
22.一种终端与服务器的通信装置,其特征在于,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如权利要求1-14中任一所述的方法。
23.一种计算机可读存储介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如权利要求1-14中任一所述的方法。
CN202010015330.3A 2020-01-07 2020-01-07 一种终端与服务器的通信方法和装置 Active CN113163399B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010015330.3A CN113163399B (zh) 2020-01-07 2020-01-07 一种终端与服务器的通信方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010015330.3A CN113163399B (zh) 2020-01-07 2020-01-07 一种终端与服务器的通信方法和装置

Publications (2)

Publication Number Publication Date
CN113163399A CN113163399A (zh) 2021-07-23
CN113163399B true CN113163399B (zh) 2024-06-11

Family

ID=76882076

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010015330.3A Active CN113163399B (zh) 2020-01-07 2020-01-07 一种终端与服务器的通信方法和装置

Country Status (1)

Country Link
CN (1) CN113163399B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115706992A (zh) * 2021-08-09 2023-02-17 中国移动通信有限公司研究院 安全通道建立方法、装置、相关设备及存储介质
CA3240514A1 (en) * 2021-12-31 2023-07-06 China Mobile Communication Co., Ltd Research Institute Authentication and/or key management method, first device, terminal and communication device

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1512708A (zh) * 2002-12-27 2004-07-14 �ձ�������ʽ���� 无线通信系统、共享密钥管理服务器及终端
CN101043328A (zh) * 2006-03-24 2007-09-26 华为技术有限公司 通用引导框架中密钥更新方法
CN101378313A (zh) * 2007-08-31 2009-03-04 上海华为技术有限公司 建立安全关联的方法、用户设备和网络侧设备
WO2009043859A1 (en) * 2007-10-05 2009-04-09 Nokia Siemens Networks Oy Method, apparatus and computer program product for providing key management for a mobile authentication architecture
CN102415048A (zh) * 2009-03-03 2012-04-11 Kddi株式会社 密钥共享系统
WO2014142719A1 (en) * 2013-03-14 2014-09-18 Telefonaktiebolaget L M Ericsson (Publ) Mobile terminal, control method thereof, onboard unit, control method thereof, backend server, and control method thereof
CN106658349A (zh) * 2015-10-30 2017-05-10 中国电信股份有限公司 用于自动生成与更新共享密钥的方法和系统
WO2017216874A1 (ja) * 2016-06-14 2017-12-21 三菱電機株式会社 鍵管理装置、鍵管理プログラムおよび鍵共有方法
WO2018076740A1 (zh) * 2016-10-31 2018-05-03 华为技术有限公司 数据传输方法及相关设备
WO2019000405A1 (zh) * 2017-06-30 2019-01-03 华为技术有限公司 一种认证方法及终端、网络设备
EP3444998A1 (en) * 2016-07-16 2019-02-20 Huawei Technologies Co., Ltd. Network verification method and associated apparatus and system
CN109391938A (zh) * 2017-08-04 2019-02-26 中兴通讯股份有限公司 密钥协商方法、装置及系统
WO2019105695A1 (en) * 2017-11-30 2019-06-06 Telefonaktiebolaget Lm Ericsson (Publ) Secure deactivation of subscriber identifier protection in 5g
CN110035033A (zh) * 2018-01-11 2019-07-19 华为技术有限公司 密钥分发方法、装置及系统
CN110431867A (zh) * 2017-03-18 2019-11-08 华为技术有限公司 一种基于非3gpp网络的入网认证方法、相关设备及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
CN105592434A (zh) * 2014-10-23 2016-05-18 中兴通讯股份有限公司 一种管理设备间d2d通信分组的方法及设备

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1512708A (zh) * 2002-12-27 2004-07-14 �ձ�������ʽ���� 无线通信系统、共享密钥管理服务器及终端
CN101043328A (zh) * 2006-03-24 2007-09-26 华为技术有限公司 通用引导框架中密钥更新方法
CN101378313A (zh) * 2007-08-31 2009-03-04 上海华为技术有限公司 建立安全关联的方法、用户设备和网络侧设备
WO2009043859A1 (en) * 2007-10-05 2009-04-09 Nokia Siemens Networks Oy Method, apparatus and computer program product for providing key management for a mobile authentication architecture
CN102415048A (zh) * 2009-03-03 2012-04-11 Kddi株式会社 密钥共享系统
WO2014142719A1 (en) * 2013-03-14 2014-09-18 Telefonaktiebolaget L M Ericsson (Publ) Mobile terminal, control method thereof, onboard unit, control method thereof, backend server, and control method thereof
CN106658349A (zh) * 2015-10-30 2017-05-10 中国电信股份有限公司 用于自动生成与更新共享密钥的方法和系统
WO2017216874A1 (ja) * 2016-06-14 2017-12-21 三菱電機株式会社 鍵管理装置、鍵管理プログラムおよび鍵共有方法
EP3444998A1 (en) * 2016-07-16 2019-02-20 Huawei Technologies Co., Ltd. Network verification method and associated apparatus and system
WO2018076740A1 (zh) * 2016-10-31 2018-05-03 华为技术有限公司 数据传输方法及相关设备
CN110431867A (zh) * 2017-03-18 2019-11-08 华为技术有限公司 一种基于非3gpp网络的入网认证方法、相关设备及系统
WO2019000405A1 (zh) * 2017-06-30 2019-01-03 华为技术有限公司 一种认证方法及终端、网络设备
CN109391938A (zh) * 2017-08-04 2019-02-26 中兴通讯股份有限公司 密钥协商方法、装置及系统
WO2019105695A1 (en) * 2017-11-30 2019-06-06 Telefonaktiebolaget Lm Ericsson (Publ) Secure deactivation of subscriber identifier protection in 5g
CN110035033A (zh) * 2018-01-11 2019-07-19 华为技术有限公司 密钥分发方法、装置及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KPN.S3-191877 "Update of solution #17 - Efficient key derivation for e2e security".3GPP tsg_sa\wg3_security.2019,(第tsgs3_95bis_sapporo期),全文. *
Nokia, Nokia Shanghai Bell, China Mobile.S3-194229 "Clause 6.Y – Deriving AF key for a specific Application function".3GPP tsg_sa\wg3_security.2019,(tsgs3_97_reno),全文. *

Also Published As

Publication number Publication date
CN113163399A (zh) 2021-07-23

Similar Documents

Publication Publication Date Title
EP3627794B1 (en) Discovery method and apparatus based on service-oriented architecture
CN109428874B (zh) 基于服务化架构的注册方法及装置
KR102290342B1 (ko) 디지털 인증서 관리 방법 및 장치
CN111030996B (zh) 一种访问资源的方法及装置
JP7292263B2 (ja) デジタル証明書を管理するための方法および装置
JP2005102163A5 (zh)
CN103428221A (zh) 对移动应用的安全登录方法、系统和装置
CN107196919B (zh) 一种匹配数据的方法和装置
EP2088530A2 (en) Method for joining user domain and method for exchanging information in user domain
CN108353279A (zh) 一种认证方法和认证系统
CN104247485A (zh) 在通用自举架构中的网络应用功能授权
CN113163399B (zh) 一种终端与服务器的通信方法和装置
CN110830240B (zh) 一种终端与服务器的通信方法和装置
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
CN106487761B (zh) 一种消息传输方法和网络设备
Ortiz-Yepes Balsa: Bluetooth low energy application layer security add-on
CN116055141A (zh) 数据安全传输方法、系统、装置及存储介质
CN115037504A (zh) 通信方法及装置
CN117596421B (zh) 基于融合终端的视频加密传输方法、装置及系统
CN115333820B (zh) 区块链数据处理方法、装置、设备以及存储介质
CN113543123B (zh) 无线网路动态设定权限方法与装置
JP2010004379A (ja) 鍵管理方法及び鍵管理装置
KR20070030323A (ko) 키를 전송하기 위한 방법 및 장치
CN117201023A (zh) 一种数据加密传输方法、装置、设备及存储介质
CN117914477A (zh) 一种数据处理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40056163

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant