CN113518348A - 业务处理方法、装置、系统及存储介质 - Google Patents
业务处理方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN113518348A CN113518348A CN202010622562.5A CN202010622562A CN113518348A CN 113518348 A CN113518348 A CN 113518348A CN 202010622562 A CN202010622562 A CN 202010622562A CN 113518348 A CN113518348 A CN 113518348A
- Authority
- CN
- China
- Prior art keywords
- session key
- network element
- naf
- service
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种业务处理方法、装置、系统及存储介质。其中,该方法包括:基于第一会话密钥生成第二会话密钥,所述第一会话密钥为用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥;发送所述第二会话密钥给所述应用服务器。本发明实施例使得NAF网元可以对不同的应用服务器提供安全服务,避免了原有的GBA架构中每个应用服务器均需要NAF网元,可以降低NAF网元的部署成本,从而便于GBA的推广和部署。
Description
技术领域
本发明涉及业务安全领域,尤其涉及一种业务处理方法、装置、系统及存储介质。
背景技术
GBA(Generic Bootstrapping Architecture,通用引导架构)是3GPP(第三代合作伙伴计划)组织定义的一种基于移动通信网络和用户卡的通用认证和安全密钥提供方法,GBA描述了如何在移动上下文环境中使用基于认证和密钥协商(Authentication KeyAgreement,AKA)的机制,可以为用户设备和网络应用实体之间的通信提供共享密钥,比如,可以给应用层业务提供完整的安全认证及加密服务。
GBA系统可以架构于4G或者5G网络之上,4G网络环境下GBA系统的组网架构如图1所示,GBA系统包括:用户设备(User Equipment,UE)、引导服务功能(BootstrappingServer Function,BSF)、用户归属服务器(Home Subscriber Server,HSS)、网络应用服务功能(Network Application Function,NAF)。5G网络下的系统架构与其类似,将HSS替换为统一数据管理功能(Unified Data Management,UDM)即可。其中,BSF网元具有对UE进行身份认证并生成GBA会话密钥的能力。部署于服务提供方一侧的NAF网元与BSF网元之间通过Zn接口交互,获取BSF网元生成的GBA会话密钥,从而与UE建立起安全关联。现有的GBA系统架构中,NAF网元外置部署,与服务提供方一侧的应用服务器集成(如图1所示,通过Za/Zb接口对接,或者在应用服务器内部实现),使得各应用服务器均需要部署NAF网元,且NAF网元无法与不同的业务应用对接,不利于GBA的推广与部署。
发明内容
有鉴于此,本发明实施例提供了一种业务处理方法、装置、系统及存储介质,旨在为不同的应用服务器提供安全服务,便于GBA的推广与部署。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种业务处理方法,所述方法包括:
基于第一会话密钥生成第二会话密钥,所述第一会话密钥为用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥;
发送所述第二会话密钥给所述应用服务器。
本发明实施例还提供了一种业务处理方法,应用于用户设备,所述方法包括:
基于第一会话密钥生成第二会话密钥,所述第一会话密钥为所述用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥。
本发明实施例又提供了一种业务处理装置,所述业务处理装置包括:
第一密钥生成模块,用于基于第一会话密钥生成第二会话密钥,所述第一会话密钥为用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥;
发送模块,用于发送所述第二会话密钥给所述应用服务器。
本发明实施例还提供了一种业务处理装置,应用于用户设备,所述业务处理装置包括:
第二密钥生成模块,用于基于第一会话密钥生成第二会话密钥,所述第一会话密钥为所述用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥。
本发明实施例又提供了一种NAF网元,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本发明实施例NAF网元侧所述方法的步骤。
本发明实施例还提供了一种用户设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本发明实施例用户设备侧所述方法的步骤。
本发明实施例还提供了一种业务管理系统,包括本发明实施例所述的NAF网元,所述NAF网元连接至少一个应用服务器。
本发明实施例还提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明任一实施例所述方法的步骤。
本发明实施例提供的技术方案,基于第一会话密钥生成第二会话密钥,该第二会话密钥为用户设备与应用服务器之间的共享密钥,使得NAF网元可以对不同的应用服务器提供安全服务,避免了原有的GBA架构中每个应用服务器均需要NAF网元,可以降低NAF网元的部署成本,从而便于GBA的推广和部署。
附图说明
图1为现有的GBA系统的组网架构示意图;
图2为本发明实施例GBA系统的组网架构示意图;
图3为本发明实施例NAF网元侧业务处理方法的流程示意图;
图4为本发明实施例用户设备侧业务处理方法的流程示意图;
图5为本发明第一应用实施例业务处理方法的流程示意图;
图6为本发明第二应用实施例业务处理方法的流程示意图;
图7为本发明第三应用实施例业务处理方法的流程示意图;
图8为本发明实施例NAF网元侧业务处理装置的结构示意图;
图9为本发明实施例用户设备侧业务处理装置的结构示意图;
图10为本发明实施例NAF网元的结构示意图;
图11为本发明实施例用户设备的结构示意图;
图12为本发明实施例业务管理系统的结构示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
在对本发明实施例业务处理方法进行介绍之前,先对本发明实施例涉及的GBA系统进行说明。如图2所示,本发明实施例的GBA系统在图1所示的GBA系统的基础上进行了增强,增强后的GBA系统的业务面控制实体NAF网元部署于移动通信网络侧,不再部署于服务提供方,通过在移动通信网络侧部署NAF网元,可以使得一个NAF网元为多个不同的应用服务器提供安全服务,如给至少两个应用服务器提供安全服务,本发明实施例中的NAF网元相当于GBA系统的业务网关。
本发明实施例中,为了能够使应用服务器接入移动通信网络,从NAF网元获取GBA会话密钥的能力,应用服务器新增NAF’模块,即NAF’模块集成在服务提供方一侧的应用服务器中。该NAF’模块是一种精简功能的业务逻辑处理模块,类似于软件客户端,通过API(Application Programming Interface,应用程序接口)与应用服务器对接,容易部署。相对于昂贵的NAF网元,NAF’模块部署成本较低。NAF’模块通过Zn’和Ua’接口分别与NAF网元和UE进行交互。其中,Zn’接口可以基于Diameter或SOAP(Simple Object AccessProtocol,简单对象访问协议)实现,Ua’接口可以基于HTTP(Hyper Text TransferProtocol,超文本传输协议)实现。需要说明的是,在一些实施例中,可以省去图2中所示Ua’接口,使得GBA系统更为简化。
本发明实施例提供了一种业务处理方法,应用于NAF网元,该NAF网元部署于移动通信网络侧,可与多个应用服务器对接,如图3所示,该业务处理方法包括:
步骤301,基于第一会话密钥生成第二会话密钥,所述第一会话密钥为用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥;
这里,NAF网元获取第一会话密钥后,基于第一会话密钥生成第二会话密钥(又可以称为应用层会话密钥),可以利用第二会话密钥实现用户设备与应用服务器之间的端对端的安全通信。
步骤302,发送所述第二会话密钥给所述应用服务器。
这里,NAF网元可以将生成的第二会话密钥发送给应用服务器,使得应用服务器获取到第二会话密钥,并基于第二会话密钥与用户设备进行端对端的安全通信。如此,本发明实施例业务处理方法避免了原有的GBA架构中每个应用服务器均需要NAF网元,各应用服务器只需要部署价格低廉的NAF’模块,该NAF’模块可以通过API与应用服务器通信,可以降低NAF网元的部署成本,从而便于GBA的推广和部署。
此外,如图1所示,现有机制中GBA会话密钥Ks_NAF由BSF网元生成,最终只提供给NAF网元,不提供给应用服务器(Server)。若应用服务器需要与用户设备进行端到端加密传输的数据,必须以安全的方式将数据通过Za/Zb接口传输至NAF网元并由NAF网元完成数据加密传输,这增加了数据安全传输的复杂性,也降低了服务方利用GBA提供的会话密钥自由开展业务的灵活性。本发明实施例业务处理方法,支持NAF网元将生成的第二会话密钥提供给应用服务器,允许应用服务器灵活使用第二会话密钥与用户设备建立安全通道,开展端到端加密通信,数据无需经Za/Zb接口通过NAF网元中转,做加/解密处理,简化了处理的复杂度。
需要说明的是,本方法实施例提供的NAF网元以及BSF网元可以合设在GBA认证授权系统中;也可以只有NAF网元设置在GBA认证授权系统中,而BSF网元在GBA认证授权系统之外。
此外,这里的GBA认证授权系统的名称仅为示例,在具体实施时,其名称可以有多种,在此不做具体限定。该系统主要负责OBU(On board Unit,车载单元)、RSU(Road SideUnit,路侧单元)等证书申请主体的身份认证、业务应用的授权及GBA共享会话密钥的提供。不难理解,该系统中还可能包含其他网元。
还需要说明的是,本领域技术人员公知的是:BSF网元与应用服务器之间目前不存在接口。在BSF网元与NAF网元合设在GBA认证授权系统的情况时,GBA认证授权系统与应用服务器进行的交互,其实质上是NAF网元与应用服务器进行交互。BSF网元与应用服务器之间不交互,只用于向NAF网元提供第一会话密钥。
在一些实施例中,所述基于第一会话密钥生成第二会话密钥,包括:
基于第一会话密钥和应用服务的类型标识、引导事务标识、用户设备标识及应用服务标识中的至少一个进行加密处理,得到第二会话密钥,即第一会话密钥可以与应用服务的类型标识、引导事务标识、用户设备标识及应用服务标识中的至少一个进行加密处理,得到第二会话密钥。
示例性地,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID)。其中,GBA会话密钥为第一会话密钥,Ks_NAF’为第二会话密钥,KDF是密钥生成算法,如基于国产商用密码算法SM3实现的KDF。在GBA_ME方式下,GBA会话密钥为Ks_NAF;在GBA_U方式下,GBA会话密钥为Ks_int_NAF。字符串是表示应用服务类型的字符,用于区分服务提供方所提供的不同服务,可由运营商分配。例如,车联网业务可为“V2X”,物联网业务可为“IoT”,加密密钥可为“Enc”,完整性保护密钥可为“Int”等。B-TID(Bootstrapping TemporaryIdentification,引导临时标识)是GBA事务标识。UE标识是终端用户的标识,如IMPI(International Mobile Subscriber Identity,国际移动用户识别码)、IMPU(IPMultimedia Public Identity,IP多媒体公共标识)等。NAF’_ID是应用服务标识,如应用服务器的FQDN(Fully Qualified Domain Name,完全限定域名),应确保全局唯一。
实际应用中,NAF网元可以基于用户设备发送的第一业务请求,获取第一会话密钥。在一些实施例中,业务处理方法还包括:
接收用户设备发送的携带引导事务标识的第一业务请求;
基于所述第一业务请求发送第一请求给BSF网元;
基于所述BSF网元发送的第一应答消息获取所述第一会话密钥,所述第一应答消息用于应答所述第一请求;
向所述用户设备发送第一业务请求应答消息。
这里,NAF网元接收用户设备发送的第一业务请求,该第一业务请求携带B-TID,NAF网元基于该第一业务请求发送第一请求给BSF网元,该第一请求可以为BIR(Bootstrapping-Info Request,引导信息请求)消息,该第一请求携带B-TID和NAF-ID(网络应用功能标识),BSF网元基于第一请求将相应的Ks_NAF及密钥生命周期作为第一应答消息返回给NAF网元,NAF网元基于第一应答消息获取Ks_NAF(即第一会话密钥)。NAF网元可以在保存Ks_NAF后,向用户设备发送第一业务请求应答消息,用于应答用户设备发送的第一业务请求。
在一些实施例中,所述向所述用户设备发送第一业务请求应答消息之后,业务处理方法还包括:
接收用户设备发送的携带引导事务标识和应用服务标识的第二业务请求;
基于所述应用服务标识,向应用服务器发送第二请求,所述第二请求包括所述引导事务标识,用于表示用户设备发起第二业务请求;
接收所述应用服务器发送的用户信息获取请求;
响应于所述用户信息获取请求,执行所述基于第一会话密钥生成第二会话密钥及所述发送所述第二会话密钥给所述应用服务器;
接收所述应用服务器发送的第二应答消息,所述第二应答消息用于应答所述第二请求;
基于所述第二应答消息,发送第二业务请求应答消息给所述用户设备。
这里,用户设备发送的第二业务请求可以为证书请求或者证书更新请求,NAF网元发送的第二请求可以NAF网元转发的第二业务请求或者对第二业务请求进行格式转换处理后的请求,用于指示用户设备发起第二业务请求。应用服务器发送的第二应答消息用于应答NAF网元发送的第二请求;NAF网元发送给用户设备的第二业务应答消息用于应答用户设备发送的第二业务请求。
在一些实施例中,用户设备可以直接发送第二业务请求给应用服务器,应用服务器基于第二业务请求发送用户信息获取请求给NAF网元,NAF网元基于第一会话密钥生成第二会话密钥,并将第二会话密钥发送给应用服务器。应用服务器在接收到第二会话密钥后,生成并发送第二业务应答消息给用户设备。
示例性地,用户设备向NAF网元发送第二业务请求,该第二业务请求可以为证书请求或者证书更新请求,该第二业务请求包括B-TID、NAF’_ID等信息,NAF网元根据NAF’_ID,向相应的应用服务器发送第二请求,第二请求用于表示用户设备发起第二业务请求,第二请求包括B-TID。其中,这里的“第二请求用于表示用户设备发起第二业务请求”可以理解为:应用服务器收到请求后就知道用户设备发了第二业务请求。不难理解,这里的表示有多种可选的实施方式:例如NAF网元直接转发第二业务请求给应用服务器;再例如NAF网元发送的第二请求与接收到的第二业务请求格式不同,但第二请求中的字段本身或字段的值或其他形式能够使得应用服务器在接收到第二请求后获知用户设备发起了第二业务请求。
应用服务器接收到第二请求后,向NAF网元发送用户信息获取请求,该用户信息获取请求可以携带B-TID、NAF’_ID等信息,以获取第二会话密钥以及用户相关信息。NAF网元基于B-TID,查找到第一会话密钥(Ks_NAF),基于Ks_NAF生成Ks_NAF’,其中,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID)。NAF网元将第二会话密钥及用户相关信息发送给应用服务器。应用服务器接收到第二会话密钥及用户相关信息后,发送第二应答消息给NAF网元,以应答第二请求,NAF网元基于第二应答消息,发送第二业务请求应答消息给用户设备,以应答第二业务请求。
在一些实施例中,所述向所述用户设备发送第一业务请求应答消息之后,业务处理方法还包括:
接收用户设备发送的携带引导事务标识和应用服务标识的第二业务请求;
响应于所述第二业务请求,执行所述基于第一会话密钥生成第二会话密钥;
相应地,所述发送所述第二会话密钥给所述应用服务器,包括:基于所述应用服务标识,向应用服务器发送第二请求,所述第二请求包括所述第二会话密钥,用于表示用户设备发起第二业务请求;
接收所述应用服务器发送的第二应答消息,所述第二应答消息用于应答所述第二请求;
基于所述第二应答消息,发送第二业务请求应答消息给所述用户设备。
如此,NAF网元可以响应于第二业务请求,基于第一会话密钥生成第二会话密钥,比如,NAF网元可以基于第二业务请求中的B-TID查找到第一会话密钥(Ks_NAF),基于Ks_NAF生成Ks_NAF’,其中,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID),将Ks_NAF’放入第二请求中,发送携带Ks_NAF’的第二请求给应用服务器,可以简化NAF网元与应用服务器之间的交互环节。
在一些实施例中,业务处理方法包括:
接收用户设备发送的携带引导事务标识和应用服务标识的第三业务请求;
响应于所述第三业务请求,发送第三请求给BSF网元;
基于所述BSF网元发送的第三应答消息获取所述第一会话密钥,并执行所述基于所述第一会话密钥生成第二会话密钥,所述第三应答消息用于应答所述第三请求;
相应地,所述发送所述第二会话密钥给所述应用服务器,包括:发送第四请求给所述应用服务器,所述第四请求携带所述第二会话密钥;
接收所述应用服务器发送的第四应答消息,所述第四应答消息用于应答所述第四请求;
基于所述第四应答消息,发送第三业务请求应答消息给所述用户设备。
如此,NAF网元可以在获取第一会话密钥后,直接基于第一会话密钥生成第二会话密钥,并发送第二会话密钥给应用服务器,可以省略上述的基于用户设备发送第二业务请求建立应用服务安全关联的过程。需要说明的是,这种简化会使GBA的应用层会话密钥在用户设备发起应用请求之前就已提供给应用服务器,存在业务逻辑或因果次序的混乱,需要根据具体情况选择使用。
本发明实施例中,第二会话密钥作为应用层会话密钥,不同于传统的GBA会话密钥Ks_NAF,NAF网元可以根据应用服务器使用需要生成多种应用层会话密钥(例如,用于消息加密、完整性保护等),满足上层业务应用需求。各个应用层会话密钥在生成时可通过采用不同“字符串”参数的方式来区别产生,具体生成过程可以参照前述描述,在此不再赘述。
本发明实施例还提供了一种业务处理方法,应用于用户设备,所述方法包括:
基于第一会话密钥生成第二会话密钥,所述第一会话密钥为所述用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥。
如此,使得用户设备与应用服务器之间可以基于第二会话密钥进行端对端的安全通信,可以满足终端与不同应用服务器之间的多种安全通信需要,且改变了传统的NAF网元与应用服务器一一对应的部署方式,从而便于GBA的推广和部署。
如图4所示,在一些实施例中,业务处理方法包括:
步骤401,基于GBA认证生成所述第一会话密钥;
用户设备可以基于GBA认证生成与NAF网元共享的第一会话密钥。这里,可以遵照现有的GAB认证流程,用户设备,如车联网终端OBU/RSU、物联网终端等向NAF网元发起业务接入请求,经过初始化、引导及安全关联三个阶段处理,完成接入认证,与NAF网元协商好GBA会话密钥Ks_NAF(在GBA_ME方式下,GBA会话密钥为Ks_NAF;在GBA_U方式下,GBA会话密钥为Ks_ext_NAF和Ks_int_NAF,这里以Ks_NAF为例进行说明),即第一会话密钥,并获得用户的业务标识B-TID。
步骤402,基于第一会话密钥生成第二会话密钥,所述第一会话密钥为所述用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥。
在一些实施例中,所述基于第一会话密钥生成第二会话密钥,包括:
基于第一会话密钥和应用服务的类型标识、引导事务标识、用户设备标识及应用服务标识中的至少一个进行加密处理,得到第二会话密钥。
示例性地,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID)。其中,KDF是密钥生成算法,如基于国产商用密码算法SM3实现的KDF。在GBA_ME方式下,GBA会话密钥(即第一会话密钥)为Ks_NAF;在GBA_U方式下,GBA会话密钥为Ks_int_NAF。字符串是表示应用服务类型的字符,用于区分服务提供方所提供的不同服务,可由运营商分配。例如,车联网业务可为“V2X”,物联网业务可为“IoT”,加密密钥可为“Enc”,完整性保护密钥可为“Int”等。B-TID(Bootstrapping Temperarory Identification,引导临时标识)是GBA事务标识。UE标识是终端用户的标识,如IMPI(International Mobile Subscriber Identity,国际移动用户识别码)、IMPU(IP Multimedia Public Identity,IP多媒体公共标识)等。NAF’_ID是应用服务标识,如应用服务器的FQDN(Fully Qualified Domain Name,完全限定域名),应确保全局唯一。
在一些实施例中,业务处理方法包括:
生成第一会话密钥;
这里,用户设备可以基于GBA认证生成与NAF网元共享的第一会话密钥。
发送携带引导事务标识的第一业务请求给NAF网元,所述第一业务请求用于指示NAF网元向BSF网元发送用于获取第一会话密钥的第一请求;
这里,用户设备发送第一业务请求给NAF网元,指示NAF网元向BSF网元发送用于获取第一会话密钥的第一请求。
接收所述NAF网元发送的第一业务请求应答消息。
这里,NAF网元基于BSF网元发送用于应答第一请求的第一应答消息,获取第一会话密钥,并发送第一业务请求应答消息给用户设备,以应答第一业务请求。
示例性地,用户设备生成第一会话密钥后,发送的第一业务请求给NAF网元,该第一业务请求携带B-TID,NAF网元基于该第一业务请求发送第一请求给BSF网元,该第一请求携带B-TID和NAF-ID(网络应用功能标识),BSF网元根据基于第一请求将相应的Ks_NAF及密钥生命周期作为第一应答消息返回给NAF网元,NAF网元基于第一应答消息获取Ks_NAF(即第一会话密钥),NAF网元在成功获取Ks_NAF后,发送指示其成功获取Ks_NAF的第一业务请求应答消息给用户设备。
在一些实施例中,接收所述NAF网元发送的第一业务请求应答消息之后,业务处理方法还包括:
执行所述基于第一会话密钥生成第二会话密钥;
发送携带引导事务标识和应用服务标识的第二业务请求给所述NAF网元,所述第二业务请求用于指示所述NAF网元基于所述应用服务标识向应用服务器发送第二请求;所述第二请求中包括所述引导事务标识,用于表示用户设备发起第二业务请求;
接收NAF网元发送的第二业务请求应答消息。
这里,应用服务器接收到第二请求后,发送用户信息获取请求给NAF网元,NAF网元基于用户信息获取请求将第二会话密钥及用户相关信息发送给应用服务器,并接收应用服务器应答第二请求的第二应答消息;NAF网元基于第二应答消息发送第二业务请求应答消息给用户设备。
示例性地,用户设备发送的第二业务请求包括B-TID、NAF’_ID等信息。NAF网元根据NAF’_ID,将第二业务请求以第二请求的形式转发给相应的应用服务器。应用服务器接收到第二请求后,向NAF网元发送用户信息获取请求,该用户信息获取请求可以携带B-TID、NAF’_ID等信息,以获取第二会话密钥以及用户相关信息。NAF网元基于B-TID,查找到第一会话密钥(Ks_NAF),基于Ks_NAF生成Ks_NAF’,其中,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID),并将Ks_NAF’及用户相关信息发送给应用服务器。应用服务器发送第二应答消息给NAF网元,NAF网元基于第二应答消息发送第二业务请求应答消息给用户设备。
在一些实施例中,所述接收所述NAF网元发送的第一业务请求应答消息之后,业务处理方法还包括:
执行所述基于第一会话密钥生成第二会话密钥;
发送携带引导事务标识的第二业务请求给所述应用服务器,所述第二业务请求用于触发所述应用服务器向所述NAF网元发送用户信息获取请求;
接收应用服务器发送的第二业务请求应答消息。
这里,用户设备直接发送第二业务请求给应用服务器,而不需经NAF网元转发给应用服务器,应用服务器基于第二业务请求发送用户信息获取请求给NAF网元,并接收NAF网元反馈的第二会话密钥及用户相关信息,应用服务器生成第二业务请求应答消息给用户设备,可以简化用户设备、NAF网元与应用服务器间的交互环节。
在一些实施例中,所述接收所述NAF网元发送的第一业务请求应答消息之后,业务处理方法还包括:
执行所述基于第一会话密钥生成第二会话密钥;
发送携带引导事务标识和应用服务标识的第二业务请求给NAF网元,所述第二业务请求用于指示NAF网元基于第一会话密钥生成第二会话密钥;
接收所述NAF网元发送的第二业务请求应答消息。
这里,NAF网元基于第二业务请求生成第二会话密钥后,NAF网元发送第二请求给应用服务器,该第二请求携带第二会话密钥,用于指示用户设备发起第二业务请求;应用服务器在收到第二请求后,发送第二应答消息给NAF网元,以应答第二请求,NAF网元基于第二应答消息发送第二业务请求应答消息给用户设备。
在一些实施例中,用户设备在获取第一会话密钥后,可以基于第一会话密钥生成第二会话密钥,业务处理方法还包括:
发送携带引导事务标识和应用服务标识的第三业务请求给NAF网元,所述第三业务请求用于指示NAF网元向BSF网元发送用于获取第一会话密钥的第三请求;
接收所述NAF网元发送的第三业务请求应答消息。
这里,NAF网元可以基于第三业务请求向BSF网元发送第三请求,接收BSF网元应答第三请求发送的第三应答消息,NAF网元可以基于第四应答消息获取第一会话密钥,并基于第一会话密钥生成第二会话密钥,发送第二会话密钥给应用服务器,NAF网元接收应用服务器收到第二会话密钥后的应答消息,并基于该应答消息发送第三业务请求应答消息给用户设备。
下面结合应用实施例对本发明再作进一步详细的描述。
应用实施例一:
如图2及图5所示,本应用实施例中,GBA的实现流程主要包括初始化、引导、安全关联及应用安全关联四个阶段。其中,初始化阶段用于用户设备和应用服务器互相确认使用GBA来进行认证;引导阶段是完成GBA认证和会话密钥产生的实质阶段;安全关联阶段用于NAF网元向BSF网元获取GBA会话密钥;应用安全关联阶段用于应用服务器向运营商网络获取应用层会话密钥,从而在用户设备与应用服务器之间共享密钥,以建立安全关联。
如图5所示,本应用实施例业务处理方法包括:
步骤501:发起业务请求;
用户设备向NAF网元发起业务请求。
步骤502:应答,指示终端发起GBA认证;
NAF网元指示用户设备通过GBA完成认证。
步骤503:发起业务请求(用户标识);
用户设备向BSF网元发起业务请求,该业务请求携带用户标识。
步骤504:基于用户标识获取认证向量;
BSF网元和用户设备需要分别推衍出了GBA会话中间密钥Ks,这里,BSF网元侧推衍Ks依靠用户的鉴权向量AV(即认证向量),若BSF网元未存储该用户的鉴权向量AV,则通过Zh参考点向HSS网元获取。
步骤505:应答;
HSS网元返回用户的鉴权向量AV。
步骤506:应答,401挑战终端并指示使用GBA认证(RAND、AUTH);
BSF网元应答UE,指示用户设备进行GBA认证。
步骤507:执行AKA,校验AUTH,生成RES;
步骤508:请求认证(RES);
步骤509:校验RES,生成Ks;
步骤510:应答,200(B-TID,key Lifetime);
步骤511:生成Ks;
步骤512:生成Ks_NAF,也即第一会话密钥;
步骤513:发起第一业务请求,该请求中携带B-TID;
步骤514:NAF向BSF发起第一请求,请求中携带B-TID,也可以携带NAF_ID;
步骤515:BSF向NAF发送第一应答消息,其中携带Ks_NAF,key Lifetime(密钥生存期);
步骤516:保存Ks_NAF;
步骤517:向V2X设备发送第一业务请求应答消息,图5中示出的是成功应答的情况;
需要说明的是,上述步骤501至517可以遵从现有GBA业务流程,具体的实现过程不再赘述。其中,步骤514的第一请求可以为BIR消息,步骤515的应答可以为BIA(Bootstrapping-Info Answer,引导信息应答)消息。示例性地,用户终端(如车联网终端OBU/RSU,物联网终端)向运营商网络GBA业务平台中集成的NAF发起业务接入请求,经过初始化、引导及安全关联3阶段处理,完成接入认证,与NAF协商好GBA会话密钥密钥Ks_NAF(在GBA_ME方式下,GBA会话密钥为Ks_NAF;在GBA_U方式下,GBA会话密钥为Ks_ext_NAF和Ks_int_NAF,这里以Ks_NAF为例进行说明),获得用户的业务标识B-TID。
步骤518:生成Ks_NAF’,;
这里,UE基于Ks_NAF(第一会话密钥),为即将访问的业务应用生成应用层会话密钥Ks_NAF’(第二会话密钥)。Ks_NAF’可由USIM(Universal Subscriber Identity Module,全球用户识别卡)或终端计算生成。
具体地,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID)。KDF是密钥生成算法,如基于国产商用密码算法SM3实现的KDF。在GBA_ME方式下,GBA会话密钥为Ks_NAF;在GBA_U方式下,GBA会话密钥为Ks_int_NAF。字符串是表示应用服务类型的字符,用于区分服务提供方所提供的不同服务,可由运营商分配。例如,车联网业务可为“V2X”,物联网业务可为“IoT”,加密密钥可为“Enc”,完整性保护密钥可为“Int”等。B-TID是GBA事务标识。UE标识是终端用户的标识,如IMPI、IMPU等。NAF’_ID是应用服务标识,如应用服务器的FQDN,应确保全局唯一。
步骤519:发起第二业务请求,其中携带了B-TID,也可以携带NAF’_ID;
这里,UE向GBA业务平台中的NAF网元发送第二业务请求,并提供B-TID,NAF’_ID等信息,该第二业务请求可以为证书申请请求或者证书更新请求。例如,注册证书申请请求、注册证书更新请求;假名证书申请请求;应用证书申请请求、应用证书更新请求等。
步骤520:发起第二请求(B-TID,NAF’_ID);
这里,根据NAF’_ID,NAF网元向相应的应用服务器发送第二请求,该第二请求用于指示用户设备发起第二业务请求,第二请求可以为直接转发的第二业务请求,还可以为对第二业务请求经过格式转换后的请求。
步骤521:应用服务器向NAF发送用户信息获取请求,其中携带了B-TID,NAF’_ID;
这里,应用服务器获取NAF网元(即GBA业务平台)地址,发起用户信息获取请求,并提供B-TID,NAF’_ID信息,请求获取应用层会话密钥以及用户相关信息。
步骤522:生成Ks_NAF’;
这里,基于B-TID,NAF网元在本地查找用户终端密钥Ks_NAF。基于Ks_NAF,NAF网元生成应用层会话密钥Ks_NAF’,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID)。
步骤523:应答,且该应答中携带了Ks_NAF’、key Lifetime以及用户信息;
NAF网元将生成的应用层会话密钥Ks_NAF’,密钥生存期以及相关用户信息返回给应用服务器。
步骤524:应用服务器向NAF发送的第二应答消息,图中示出的是成功应答的情况;
应用服务器存储接收到的应用层会话密钥Ks_NAF’,密钥生存期以及相关用户信息,并向GBA业务平台中的NAF网元成功应答,该成功应答用于应答步骤520对应的第二请求。
步骤525:成功应答。
NAF网元向UE成功应答,该成功应答用于应答步骤519对应的第二业务请求。
至此,用户终端与应用服务器之间协商获取对称会话密钥Ks_NAF’,两者之间应用层面的安全关联建立完成。基于Ks_NAF’,终端与应用服务器可以进行双向身份认证,建立起端到端安全通信通道(如TLS,IPSec等)或者通过应用层加密等方法对两者之间传输的数据进行端到端安全保护。得到保护的数据可不经GBA业务平台转发,在终端与应用服务器之间直接传输。
这里,Ks_NAF’是应用层会话密钥的统称,基于GBA会话管理密钥Ks_NAF,NAF可以根据应用服务器使用需要生成多种应用层会话密钥(例如,用于消息加密、完整性保护等),满足上层业务应用需求。各个密钥在生成时可通过采用不同“字符串”参数的方式来区别产生,并采用上述流程传输共享,这里不再赘述。
实际应用中,步骤519~步骤523可以采用HTTP协议实现。其中,请求消息可以以HTTP GET方式实现,也可采用其他方式实现,如HTTP POST。正常的响应消息以HTTP 200OK方式实现。
实际应用中,步骤519及步骤520可以由用户设备直接发送第二业务请求给应用服务器替代,步骤524及步骤525可以由应用服务器直接发送第二业务请求应答消息给用户设备替代。
在步骤519中,示例性地,Host携带应用服务器的FQDN,Authorization中username携带B-TID,HTTP Body消息体内可携带用户终端发送给应用服务器的加密数据信息。
在步骤520中,示例性地,Host携带应用服务器的FQDN,X-Key-Material为新扩展的头域,用于携带B-TID,消息体内可携带用户终端发送给应用服务器的加密数据信息。
在步骤521中,示例性地,Host携带NAF的FQDN,X-User-Info为新扩展的头域,用于携带B-TID和应用服务器的FQDN。
在步骤523中,X-Key-Material为新扩展的头域,用于携带应用层会话密钥及其生存期。
在步骤524中,消息体内可携带应用服务器返回给用户终端的加密数据信息。
在步骤525中,消息体内可携带应用服务器返回给用户终端的加密数据信息。
在一车联网应用示例中,针对车联网安全证书管理应用,采用本实施例的方案可实现注册证书、假名证书、应用证书的申请,相应的处理过程将使用多种GBA应用层会话密钥。本实施例对各种GBA应用层会话密钥在生成时所使用的字符串进行规定如下表1所示,该字符串即为应用服务的类型标识的一种可选的实施方式,用于标识不同的应用服务的类型,比如,字符串V2X_Enc对应证书请求/响应消息加密服务,V2X_Int对应证书请求/响应消息完整性保护服务,V2X_Auth对应V2X设备-CA服务器双向身份认证服务,V2X_E2E_Sec对应端到端安全通道建立服务,V2X_ID_Sec对应V2X设备用户身份隐私保护服务等,以便V2X终端、GBA认证授权系统、证书机构之间协商使用一致的会话密钥。
表1
应用实施例二:
本应用实施例在应用实施例一的基础上,省去前述的步骤520和步骤521,即省去NAF网元转发第二业务请求及接收应用服务器发送的用户信息获取请求的步骤,由NAF网元基于用户设备发送的第二业务请求,生成Ks_NAF’,并在NAF网元向应用服务器发送第二请求时携带Ks_NAF’,从而可以节省交互的环节。
如图6所示,本应用实施例业务处理方法包括:
步骤601至步骤619,本应用实施例中,步骤601至步骤619可以参照应用实施例一中的步骤501至步骤519,在此不再赘述。
步骤620,生成Ks_NAF’;
这里,基于B-TID,NAF网元在本地查找用户终端密钥Ks_NAF。基于Ks_NAF,NAF网元生成应用层会话密钥Ks_NAF’,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID)。
步骤621,发送第二请求,其中携带了Ks_NAF’、key Lifetime、用户信息;
NAF网元将生成的应用层会话密钥Ks_NAF’,密钥生存期以及相关用户信息随第二请求发送给应用服务器。
步骤622:成功应答;
应用服务器存储接收到的应用层会话密钥Ks_NAF’,密钥生存期以及相关用户信息,并向GBA业务平台中的NAF网元成功应答,该成功应答用于应答步骤621对应的第二请求。
步骤623:成功应答。
NAF网元向UE成功应答,该成功应答用于应答步骤619对应的第二业务请求。
至此,用户终端与应用服务器之间协商获取对称会话密钥Ks_NAF’,两者之间应用层面的安全关联建立完成。基于Ks_NAF’,终端与应用服务器可以进行双向身份认证,建立起端到端安全通信通道(如TLS,IPSec等)或者通过应用层加密等方法对两者之间传输的数据进行端到端安全保护。得到保护的数据可不经GBA业务平台转发,在终端与应用服务器之间直接传输。
应用实施例三:
如图2及图7所示,本应用实施例中,可以省略图2中的Ua’接口,使系统变得更为简单。在流程上,可以在GBA处理流程的安全关联阶段,采用主动推送的方法将GBA应用层会话密钥Ks_NAF’发送给应用服务器,能够省略用户终端发起应用请求,从而建立应用安全关联的过程。然而,这种简化会使GBA应用层会话密钥在用户终端发起业务请求之前就已提供给应用服务器,存在业务逻辑或因果次序的混乱,需要根据具体情况选择使用。
本应用实施例业务处理方法,在标准GBA处理流程的基础之上,增加了应用层会话密钥生成及提供处理流程,能够使应用服务器(包含NAF’)获取共享的专用密钥,建立安全关联。如图7所示,该业务处理方法包括:
步骤701~711:这里,用户终端(如车联网终端OBU/RSU,物联网终端)向运营商网络GBA业务平台中集成的NAF网元发起业务接入请求,经过初始化和引导2阶段处理,完成接入认证,协商好中间密钥Ks,获得用户的业务标识B-TID。步骤701~711的实现过程可以参照前述步骤501~511,在此不再赘述。
步骤712:生成Ks_NAF及Ks_NAF’;
这里,UE基于中间密钥Ks,计算生成GBA会话密钥Ks_NAF(在GBA_ME方式下,GBA会话密钥为Ks_NAF;在GBA_U方式下,GBA会话密钥为Ks_ext_NAF和Ks_int_NAF,这里以Ks_NAF为例说明),并可进一步基于Ks_NAF为即将访问的业务应用生成应用层专用会话密钥Ks_NAF’。在终端侧,Ks_NAF’可由USIM或终端计算生成。
示例性地,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID)。KDF是密钥生成算法,如基于国产商用密码算法SM3实现的KDF。在GBA_ME方式下,GBA会话密钥为Ks_NAF;在GBA_U方式下,GBA会话密钥为Ks_int_NAF。字符串是表示应用服务类型的字符,用于区分服务提供方所提供的不同服务,可由运营商分配。例如,车联网业务可为“V2X”,物联网业务可谓“IoT”等。B-TID是GBA事务标识。UE标识是终端用户的标识,如IMPI、IMPU等。NAF’_ID是应用服务标识,如应用服务器的FQDN,应确保全局唯一。
步骤713:发起第三业务请求(B-TID);
UE再次向NAF网元发起第三业务请求,该第三业务请求携带B-TID。
步骤714:第三请求(B-TID,NAF_ID);
NAF网元向BSF网元发送第三请求,该第三请求携带B-TID,也可以携带NAF_ID。可选的,第三请求可以为BIR消息。
步骤715:应答(Ks_NAF,key Lifetime);
BSF网元基于认证请求发送第三应答消息给NAF网元,第三应答消息用于应答第三请求,第三应答消息可以为BIA消息。该应答消息携带Ks_NAF及其生存期。
步骤716:基于Ks_NAF,NAF生成应用层会话密钥Ks_NAF’;
这里,Ks_NAF’=KDF(GBA会话密钥,字符串,B-TID,UE标识,NAF’_ID),这里生成密钥的方式与前两种实施方式相类似,在此不再赘述。
步骤717:发送消息(Ks_NAF’,key Lifetime,用户信息);
NAF网元将生成的应用层会话密钥Ks_NAF’,密钥生存期以及相关用户信息通过第四请求发送给应用服务器。
步骤718:应用服务器通过第四应答消息向NAF网元返回成功应答。
应用服务器存储接收到的应用层会话密钥Ks_NAF’,密钥生存期以及相关用户信息,并向GBA业务平台中的NAF网元成功应答,指示已成功获取相关信息。
步骤719:NAF向UE返回成功应答。
NAF网元通过第三业务请求应答消息向UE成功应答,指示应用服务器已成功获取包括Ks_NAF’的相关信息。
至此,用户终端与应用服务器之间协商获取对称会话密钥Ks_NAF’,两者之间应用层面的安全关联建立完成。基于Ks_NAF’,终端与应用服务器可以进行双向身份认证,建立起端到端安全通信通道(如TLS,IPSec等)或者通过应用层加密等方法对两者之间传输的数据进行端到端安全保护。
从以上的描述可以得知,本发明实施例业务处理方法,具有以下有益效果:
1、通过在应用服务器增加NAF’模块,使NAF网元能够在运营商网络侧部署,使运营商能够对业务层面的控制实体进行管控。以NAF网元为核心,运营商可进一步搭建GBA业务平台对外提供安全服务,增强了运营商的业务参与度。
2、将价格昂贵的NAF网元部署在运营商网络侧,可与多个应用服务器对接。在服务提供方一侧服务器仅部署价格低廉的NAF’模块,能够避免原有架构中对于每一个应用服务器均需部署NAF网元的情况,有效降低了GBA系统的部署成本。
3、支持NAF网元将生成的GBA应用层会话密钥Ks_NAF’提供给Server,允许Server灵活使用Ks_NAF’与终端建立安全通道,开展端到端加密通信。数据无需经Za/Zb接口通过NAF中转,做加/解密处理,简化了处理的复杂度。
4、允许NAF网元以GBA会话密钥Ks_NAF为基础根据应用服务器、密钥用途、终端用户等方面的不同,生成不同的GBA应用层会话密钥Ks_NAF’,满足多种安全通信需要。
5、仅需对NAF网元和终端进行增强,对现有GBA系统中的其他网元及接口无影响,系统改造小。
6、能够满足车联网、物联网等应用场景的需要。
为了实现本发明实施例的方法,本发明实施例还提供一种业务处理装置,该业务处理装置应用于NAF网元,与上述NAF网元侧的业务处理方法对应,上述业务处理方法实施例中的各步骤也完全适用于本业务处理装置实施例。
如图8所示,该业务处理装置700包括:第一密钥生成模块701、发送模块702,其中,第一密钥生成模块701用于基于第一会话密钥生成第二会话密钥,所述第一会话密钥为用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥;发送模块702用于发送所述第二会话密钥给所述应用服务器。
在一些实施例中,第一密钥生成模块701具体用于:
基于第一会话密钥和应用服务的类型标识、引导事务标识、用户设备标识及应用服务标识中的至少一个进行加密处理,得到第二会话密钥。
在一些实施例中,业务处理装置700还包括:接收模块703,接收模块703用于接收用户设备发送的携带引导事务标识的第一业务请求,发送模块702还用于基于所述第一业务请求发送第一请求给引导服务功能(BSF)网元,第一密钥生成模块701还用于基于所述BSF网元发送的第一应答消息获取所述第一会话密钥;所述发送模块702还用于向用户设备发送第一业务请求应答消息。
在一些实施例中,发送模块702向用户设备发送第一业务请求应答消息之后,接收模块703还用于:接收用户设备发送的携带引导事务标识和应用服务标识的第二业务请求,发送模块702还用于基于所述应用服务标识,向应用服务器发送第二请求,所述第二请求包括所述引导事务标识,用于表示用户设备发起第二业务请求;接收模块703还用于接收所述应用服务器发送的用户信息获取请求;第一密钥生成模块701用于响应于所述用户信息获取请求,执行所述基于第一会话密钥生成第二会话密钥,发送模块702发送所述第二会话密钥给所述应用服务器之后,接收模块703还用于接收所述应用服务器发送的第二应答消息,所述第二应答消息用于应答所述第二请求;发送模块702还用于基于所述第二应答消息,发送第二业务请求应答消息给所述用户设备。
在一些实施例中,发送模块702向用户设备发送第一业务请求应答消息之后,接收模块703还用于接收用户设备发送的携带引导事务标识和应用服务标识的第二业务请求,第一密钥生成模块701响应于所述第二业务请求,执行所述基于第一会话密钥生成第二会话密钥;发送模块702发送所述第二会话密钥给所述应用服务器,包括:基于所述应用服务标识,向应用服务器发送第二请求,所述第二请求包括所述第二会话密钥,用于表示用户设备发起第二业务请求;接收模块703还用于接收所述应用服务器发送的第二应答消息,所述第二应答消息用于应答所述第二请求,发送模块702还用于基于所述第二应答消息,发送第二业务请求应答消息给所述用户设备。
在一些实施例中,接收模块703还用于接收用户设备发送的携带引导事务标识和应用服务标识的第三业务请求;发送模块702还用于响应于所述第三业务请求,发送第三请求给BSF网元;第一密钥生成模块701用于基于所述BSF网元发送的第三应答消息获取所述第一会话密钥,并执行所述基于所述第一会话密钥生成第二会话密钥,所述第三应答消息用于应答所述第三请求;发送模块702发送所述第二会话密钥给所述应用服务器,包括:发送第四请求给所述应用服务器,所述第四请求携带所述第二会话密钥;接收模块703还用于接收接收所述应用服务器发送的第四应答消息,所述第四应答消息用于应答所述第四请求;发送模块702还用于基于所述第四应答消息,发送第三业务请求应答消息给所述用户设备。
实际应用时,第一密钥生成模块701、发送模块702及接收模块703,可以由业务处理装置700中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
为了实现本发明实施例的方法,本发明实施例还提供一种业务处理装置,该业务处理装置应用于用户设备,与上述用户设备侧的业务处理方法对应,上述业务处理方法实施例中的各步骤也完全适用于本业务处理装置实施例。
如图9所示,该业务处理装置800包括:第二密钥生成模块801,该第二密钥生成模块801用于基于第一会话密钥生成第二会话密钥,所述第一会话密钥为所述用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥。
在一些实施例中,第二密钥生成模块801还用于:基于通用引导架构(GBA)认证生成所述第一会话密钥。
在一些实施例中,第二密钥生成模块801具体用于:
基于第一会话密钥和应用服务的类型标识、引导事务标识、用户设备标识及应用服务标识中的至少一个进行加密处理,得到第二会话密钥。
在一些实施例中,业务处理装置800还包括:发送模块802、接收模块803,其中,发送模块802用于发送携带引导事务标识的第一业务请求给NAF网元,所述第一业务请求用于指示NAF网元向BSF网元发送用于获取第一会话密钥的第一请求;接收模块803用于接收所述NAF网元发送的第一业务请求应答消息。
在一些实施例中,发送模块802用于:发送携带引导事务标识和应用服务标识的第二业务请求给所述NAF网元,所述第二业务请求用于指示所述NAF网元基于所述应用服务标识向应用服务器发送第二请求;所述第二请求中包括所述引导事务标识,用于表示用户设备发起第二业务请求;接收模块803用于:接收NAF网元发送的第二业务请求应答消息。
在一些实施例中,发送模块802用于:发送携带引导事务标识的第二业务请求给所述应用服务器,所述第二业务请求用于触发所述应用服务器向所述NAF网元发送用户信息获取请求;接收模块803用于:接收应用服务器发送的第二业务请求应答消息。
在一些实施例中,发送模块802用于:发送携带引导事务标识和应用服务标识的第二业务请求给NAF网元,所述第二业务请求用于指示NAF网元基于第一会话密钥生成第二会话密钥;接收模块803用于:接收所述NAF网元发送的第二业务请求应答消息。
在一些实施例中,发送模块802用于:发送携带引导事务标识和应用服务标识的第三业务请求给NAF网元,所述第三业务请求用于指示NAF网元向BSF网元发送用于获取第一会话密钥的第三请求;接收模块803用于:接收所述NAF网元发送的第三业务请求应答消息。
实际应用时,第二密钥生成模块801、发送模块802及接收模块803,可以由业务处理装置800中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
需要说明的是:上述实施例提供的业务处理装置在进行业务处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的业务处理装置与业务处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供一种NAF网元。图10仅仅示出了该NAF网元的示例性结构而非全部结构,根据需要可以实施图10示出的部分结构或全部结构。
如图10所示,本发明实施例提供的NAF网元900包括:至少一个处理器901、存储器902、用户接口903和至少一个网络接口904。NAF网元900中的各个组件通过总线系统905耦合在一起。可以理解,总线系统905用于实现这些组件之间的连接通信。总线系统905除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为总线系统905。
其中,用户接口903可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
本发明实施例中的存储器902用于存储各种类型的数据以支持NAF网元的操作。这些数据的示例包括:用于在NAF网元上操作的任何计算机程序。
本发明实施例揭示的业务处理方法可以应用于处理器901中,或者由处理器901实现。处理器901可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,业务处理方法的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器901可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器901可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器902,处理器901读取存储器902中的信息,结合其硬件完成本发明实施例提供的业务处理方法的步骤。
在示例性实施例中,NAF网元可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供一种用户设备。图11仅仅示出了该用户设备的示例性结构而非全部结构,根据需要可以实施图11示出的部分结构或全部结构。
如图11所示,本发明实施例提供的用户设备1000包括:至少一个处理器1001、存储器1002、用户接口1003和至少一个网络接口1004。用户设备1000中的各个组件通过总线系统1005耦合在一起。可以理解,总线系统1005用于实现这些组件之间的连接通信。总线系统1005除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统1005。
其中,用户接口1003可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。
本发明实施例中的存储器1002用于存储各种类型的数据以支持用户设备的操作。这些数据的示例包括:用于在用户设备上操作的任何计算机程序。
本发明实施例揭示的业务处理方法可以应用于处理器1001中,或者由处理器1001实现。处理器1001可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,业务处理方法的各步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1001可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1001可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器1002,处理器1001读取存储器1002中的信息,结合其硬件完成本发明实施例提供的业务处理方法的步骤。
在示例性实施例中,用户设备1000可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
可以理解,存储器902、1002可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read OnlyMemory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本发明实施例还提供了一种业务管理系统,如图12所示,该业务处理系统包括前述实施例的NAF网元900,NAF网元900连接至少一个应用服务器1100。本发明实施例中,NAF网元900部署于移动通信网络侧,与BSF网元通信连接,应用服务器1100设置前述的NAF’模块,NAF网元900可以实现前述实施例所述的业务处理方法,在此不再赘述。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器902,上述计算机程序可由NAF网元900的处理器901执行,以完成本发明实施例NAF网元侧业务处理方法所述的步骤;又如,包括存储计算机程序的存储器1002,上述计算机程序可由用户设备1000的处理器1001执行,以完成本发明实施例用户设备侧业务处理方法所述的步骤;。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (20)
1.一种业务处理方法,其特征在于,所述方法包括:
基于第一会话密钥生成第二会话密钥,所述第一会话密钥为用户设备与网络应用功能NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥;
发送所述第二会话密钥给所述应用服务器。
2.根据权利要求1所述的方法,其特征在于,所述基于第一会话密钥生成第二会话密钥,包括:
基于第一会话密钥和应用服务的类型标识、引导事务标识、用户设备标识及应用服务标识中的至少一个进行加密处理,得到第二会话密钥。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收用户设备发送的携带引导事务标识的第一业务请求;
基于所述第一业务请求发送第一请求给引导服务功能BSF网元;
基于所述BSF网元发送的第一应答消息获取所述第一会话密钥,所述第一应答消息用于应答所述第一请求;
向所述用户设备发送第一业务请求应答消息。
4.根据权利要求3所述的方法,其特征在于,所述向所述用户设备发送第一业务请求应答消息之后,所述方法还包括:
接收用户设备发送的携带引导事务标识和应用服务标识的第二业务请求;
基于所述应用服务标识,向应用服务器发送第二请求,所述第二请求包括所述引导事务标识,用于表示用户设备发起第二业务请求;
接收所述应用服务器发送的用户信息获取请求;
响应于所述用户信息获取请求,执行所述基于第一会话密钥生成第二会话密钥及所述发送所述第二会话密钥给所述应用服务器;
接收所述应用服务器发送的第二应答消息,所述第二应答消息用于应答所述第二请求;
基于所述第二应答消息,发送第二业务请求应答消息给所述用户设备。
5.根据权利要求3所述的方法,其特征在于,所述向所述用户设备发送第一业务请求应答消息之后,所述方法还包括:
接收用户设备发送的携带引导事务标识和应用服务标识的第二业务请求;
响应于所述第二业务请求,执行所述基于第一会话密钥生成第二会话密钥;
相应地,所述发送所述第二会话密钥给所述应用服务器,包括:基于所述应用服务标识,向应用服务器发送第二请求,所述第二请求包括所述第二会话密钥,用于表示用户设备发起第二业务请求;
接收所述应用服务器发送的第二应答消息,所述第二应答消息用于应答所述第二请求;
基于所述第二应答消息,发送第二业务请求应答消息给所述用户设备。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收用户设备发送的携带引导事务标识和应用服务标识的第三业务请求;
响应于所述第三业务请求,发送第三请求给引导服务功能BSF网元;
基于所述BSF网元发送的第三应答消息获取所述第一会话密钥,并执行所述基于所述第一会话密钥生成第二会话密钥,所述第三应答消息用于应答所述第三请求;
相应地,所述发送所述第二会话密钥给所述应用服务器,包括:发送第四请求给所述应用服务器,所述第四请求携带所述第二会话密钥;
接收所述应用服务器发送的第四应答消息,所述第四应答消息用于应答所述第四请求;
基于所述第四应答消息,发送第三业务请求应答消息给所述用户设备。
7.一种业务处理方法,其特征在于,应用于用户设备,所述方法包括:
基于第一会话密钥生成第二会话密钥,所述第一会话密钥为所述用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
基于通用引导架构GBA认证生成所述第一会话密钥。
9.根据权利要求7所述的方法,其特征在于,所述基于第一会话密钥生成第二会话密钥,包括:
基于第一会话密钥和应用服务的类型标识、引导事务标识、用户设备标识及应用服务标识中的至少一个进行加密处理,得到第二会话密钥。
10.根据权利要求7所述的方法,其特征在于,所述方法还包括:
生成第一会话密钥;
发送携带引导事务标识的第一业务请求给NAF网元,所述第一业务请求用于指示NAF网元向BSF网元发送用于获取第一会话密钥的第一请求;
接收所述NAF网元发送的第一业务请求应答消息。
11.根据权利要求10所述的方法,其特征在于,所述接收所述NAF网元发送的第一业务请求应答消息之后,所述方法还包括:
执行所述基于第一会话密钥生成第二会话密钥;
发送携带引导事务标识和应用服务标识的第二业务请求给所述NAF网元,所述第二业务请求用于指示所述NAF网元基于所述应用服务标识向应用服务器发送第二请求;所述第二请求中包括所述引导事务标识,用于表示用户设备发起第二业务请求;
接收NAF网元发送的第二业务请求应答消息。
12.根据权利要求10所述的方法,其特征在于,所述接收所述NAF网元发送的第一业务请求应答消息之后,所述方法还包括:
执行所述基于第一会话密钥生成第二会话密钥;
发送携带引导事务标识的第二业务请求给所述应用服务器,所述第二业务请求用于触发所述应用服务器向所述NAF网元发送用户信息获取请求;
接收应用服务器发送的第二业务请求应答消息。
13.根据权利要求10所述的方法,其特征在于,所述接收所述NAF网元发送的第一业务请求应答消息之后,所述方法还包括:
执行所述基于第一会话密钥生成第二会话密钥;
发送携带引导事务标识和应用服务标识的第二业务请求给NAF网元,所述第二业务请求用于指示NAF网元基于第一会话密钥生成第二会话密钥;
接收所述NAF网元发送的第二业务请求应答消息。
14.根据权利要求7所述的方法,其特征在于,所述基于第一会话密钥生成第二会话密钥之后,所述方法还包括:
发送携带引导事务标识和应用服务标识的第三业务请求给NAF网元,所述第三业务请求用于指示NAF网元向BSF网元发送用于获取第一会话密钥的第三请求;
接收所述NAF网元发送的第三业务请求应答消息。
15.一种业务处理装置,其特征在于,所述业务处理装置包括:
第一密钥生成模块,用于基于第一会话密钥生成第二会话密钥,所述第一会话密钥为用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥;
发送模块,用于发送所述第二会话密钥给所述应用服务器。
16.一种业务处理装置,其特征在于,应用于用户设备,所述业务处理装置包括:
第二密钥生成模块,用于基于第一会话密钥生成第二会话密钥,所述第一会话密钥为所述用户设备与NAF网元之间的共享密钥,所述第二会话密钥为所述用户设备与应用服务器之间的共享密钥。
17.一种NAF网元,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求1至6任一项所述方法的步骤。
18.一种用户设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求7至14任一项所述方法的步骤。
19.一种业务处理系统,包括如权利要求17所述的NAF网元,所述NAF网元连接至少一个应用服务器。
20.一种存储介质,所述存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至14任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010622562.5A CN113518348B (zh) | 2020-06-30 | 2020-06-30 | 业务处理方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010622562.5A CN113518348B (zh) | 2020-06-30 | 2020-06-30 | 业务处理方法、装置、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113518348A true CN113518348A (zh) | 2021-10-19 |
| CN113518348B CN113518348B (zh) | 2023-05-09 |
Family
ID=78060873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010622562.5A Active CN113518348B (zh) | 2020-06-30 | 2020-06-30 | 业务处理方法、装置、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113518348B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115694891A (zh) * | 2022-09-23 | 2023-02-03 | 智己汽车科技有限公司 | 一种基于中央计算平台的路侧设备通信系统及方法 |
| WO2023083170A1 (zh) * | 2021-11-10 | 2023-05-19 | 中国移动通信有限公司研究院 | 密钥生成方法、装置、终端设备及服务器 |
| WO2023109865A1 (zh) * | 2021-12-14 | 2023-06-22 | 中国移动通信有限公司研究院 | 一种密钥生成方法、装置、设备及可读存储介质 |
| WO2024000123A1 (zh) * | 2022-06-27 | 2024-01-04 | 北京小米移动软件有限公司 | 密钥生成方法及装置、通信设备及存储介质 |
| WO2024051742A1 (zh) * | 2022-09-08 | 2024-03-14 | 中国移动通信有限公司研究院 | 业务处理方法、装置、网络设备和存储介质 |
| CN115694891B (zh) * | 2022-09-23 | 2024-05-14 | 智己汽车科技有限公司 | 一种基于中央计算平台的路侧设备通信系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109121135A (zh) * | 2018-08-23 | 2019-01-01 | 刘高峰 | 基于gba的客户端注册和密钥共享方法、装置及系统 |
| CN110830240A (zh) * | 2018-08-09 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN111147231A (zh) * | 2018-11-05 | 2020-05-12 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
-
2020
- 2020-06-30 CN CN202010622562.5A patent/CN113518348B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830240A (zh) * | 2018-08-09 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN109121135A (zh) * | 2018-08-23 | 2019-01-01 | 刘高峰 | 基于gba的客户端注册和密钥共享方法、装置及系统 |
| CN111147231A (zh) * | 2018-11-05 | 2020-05-12 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| CHINA MOBILE: "S3-192207 "Evaluation of solution#1- Introducing third party key to AKMA"", 《3GPP TSG-SA WG3 MEETING #95BIS》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023083170A1 (zh) * | 2021-11-10 | 2023-05-19 | 中国移动通信有限公司研究院 | 密钥生成方法、装置、终端设备及服务器 |
| WO2023109865A1 (zh) * | 2021-12-14 | 2023-06-22 | 中国移动通信有限公司研究院 | 一种密钥生成方法、装置、设备及可读存储介质 |
| WO2024000123A1 (zh) * | 2022-06-27 | 2024-01-04 | 北京小米移动软件有限公司 | 密钥生成方法及装置、通信设备及存储介质 |
| WO2024051742A1 (zh) * | 2022-09-08 | 2024-03-14 | 中国移动通信有限公司研究院 | 业务处理方法、装置、网络设备和存储介质 |
| CN115694891A (zh) * | 2022-09-23 | 2023-02-03 | 智己汽车科技有限公司 | 一种基于中央计算平台的路侧设备通信系统及方法 |
| CN115694891B (zh) * | 2022-09-23 | 2024-05-14 | 智己汽车科技有限公司 | 一种基于中央计算平台的路侧设备通信系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113518348B (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284555B2 (en) | User equipment credential system | |
| CN113518348B (zh) | 业务处理方法、装置、系统及存储介质 | |
| EP3767984B1 (en) | Communicating with a machine to machine device | |
| JP2021516515A (ja) | 次世代ネットワークにおける共通apiフレームワークのセキュリティ手順 | |
| CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
| CN111050322B (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
| CN104756458A (zh) | 用于保护通信网络中的连接的方法和设备 | |
| CN101965739B (zh) | 无线通信网络中的用户认证系统和方法 | |
| CN111630882B (zh) | 用户设备、认证服务器、介质、及确定密钥的方法和系统 | |
| CN101455053A (zh) | 对应用进行认证 | |
| US20230328524A1 (en) | Non-3gpp device access to core network | |
| CN112311543B (zh) | Gba的密钥生成方法、终端和naf网元 | |
| US11917416B2 (en) | Non-3GPP device access to core network | |
| JP2016519873A (ja) | 汎用ブートストラッピングアーキテクチャを用いてセキュアな音声通信を確立する方法 | |
| CN114531254B (zh) | 一种认证信息获取方法、装置、相关设备和存储介质 | |
| CN113727341B (zh) | 安全通信方法、相关装置及系统 | |
| Kfoury et al. | Distributed public key infrastructure and PSK exchange based on blockchain technology | |
| CN114390524B (zh) | 一键登录业务的实现方法和装置 | |
| US20200396088A1 (en) | System and method for securely activating a mobile device storing an encryption key | |
| WO2016062000A1 (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
| CN114158046A (zh) | 一键登录业务的实现方法和装置 | |
| US9686280B2 (en) | User consent for generic bootstrapping architecture | |
| CN113382410A (zh) | 通信方法和相关装置及计算机可读存储介质 | |
| US20240137221A1 (en) | Implementation of one-touch login service | |
| Andersen | Adopting Device Communities for Modern Android Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |