CN116600289B - 应用密钥获取方法、装置、通信设备、存储介质 - Google Patents
应用密钥获取方法、装置、通信设备、存储介质 Download PDFInfo
- Publication number
- CN116600289B CN116600289B CN202310871038.5A CN202310871038A CN116600289B CN 116600289 B CN116600289 B CN 116600289B CN 202310871038 A CN202310871038 A CN 202310871038A CN 116600289 B CN116600289 B CN 116600289B
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- application
- connection state
- state information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 230000006854 communication Effects 0.000 title claims abstract description 67
- 238000004891 communication Methods 0.000 title claims abstract description 65
- 230000004044 response Effects 0.000 claims abstract description 118
- 230000006870 function Effects 0.000 claims description 37
- 238000004590 computer program Methods 0.000 claims description 36
- 230000008569 process Effects 0.000 description 21
- 238000007726 management method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 13
- 101000703681 Homo sapiens Single-minded homolog 1 Proteins 0.000 description 9
- 102100031980 Single-minded homolog 1 Human genes 0.000 description 9
- 230000008859 change Effects 0.000 description 9
- 101000616761 Homo sapiens Single-minded homolog 2 Proteins 0.000 description 6
- 102100021825 Single-minded homolog 2 Human genes 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及一种应用密钥获取方法、装置、通信设备、存储介质。所述方法应用于多卡用户设备,包括:发送包含多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至提供应用功能的第一网络设备;每个设备密钥标识各自对应多卡用户设备中一用户识别卡;连接状态信息用于表示设备密钥标识对应的用户识别卡的连接状态;接收第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;根据应用会话建立响应,确定与匹配设备密钥标识对应的锚点密钥,推衍应用密钥。采用本方法能够使多卡用户设备顺利的确定匹配设备密钥标识,并推衍出应用密钥,从而后续可顺利地与应用服务建立安全会话。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种应用密钥获取方法、装置、通信设备、存储介质。
背景技术
随着通信技术的发展,3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)在5G网络的基础上定义了应用的服务的认证和密钥管理服务(authenticationand key managementfor applications , AKMA),其是一种轻量级的安全基础设施。AKMA可广泛应用于物联网应用和移动终端应用的接入等,其通过用户设备(User Equipment ,UE)与AKMA业务的签约认证,通过应用密钥为用户设备和应用服务功能(ApplicationFunction ,AF)之间的安全通信提供保障。
然而,用户设备在5G网络中进行主认证需要使用用户识别卡对应的识别符进行签约,并生成对应的设备密钥标识。因此,对于具有至少两张用户识别卡的多卡用户设备,当需要使用AKMA进行通信时,用户设备(UE)无法确定与AKMA签约的用户识别卡所对应的设备密钥标识,从而难以与应用服务功能(AF)之间成功建立会话。
发明内容
基于此,有必要针对上述技术问题,提供一种应用密钥获取方法、装置、通信设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种应用密钥获取方法。其应用于多卡用户设备,所述方法包括:
发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;所述第一网络设备提供应用功能;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由第一网络设备从第二网络设备接收;所述第二网络设备提供应用的服务的认证和密钥管理锚点功能;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第二网络设备从所述第一网络设备接收;
根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
根据所述锚点密钥推衍应用密钥。
在其中一个实施例中,该方法还包括:若所述应用会话建立响应还包括连接反馈信息,且所述连接反馈信息表示需要将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接,则将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接;所述连接反馈信息由所述第二网络设备根据所述匹配设备密钥标识及其对应的连接状态信息得到,并由所述第一网络设备从所述第二网络设备接收。
第二方面,本申请提供了一种应用密钥获取方法。其应用于第一网络设备,所述方法包括:
接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
向所述多卡用户设备发送包含所述匹配设备密钥标识的应用会话建立响应。
在其中一个实施例中,该方法还包括:若所述应用密钥请求响应还包括连接反馈信息,将所述连接反馈信息添加至所述应用会话建立响应;所述连接反馈信息由所述第二网络设备根据所述匹配设备密钥标识及其对应的连接状态信息得到。
第三方面,本申请提供了一种应用密钥获取方法。其应用于第二网络设备,所述方法包括:
接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
在其中一个实施例中,上述步骤根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识,包括:根据所述多个签约设备密钥标识以及所述多个设备密钥标识匹配得到初匹配设备密钥标识;若所述初匹配设备密钥标识的数量为一个,则将所述初匹配设备密钥标识作为匹配设备密钥标识;若所述初匹配设备密钥标识的数量为多个,则查询所述初匹配设备密钥标识对应的连接状态信息,若存在连接状态信息表示对应的用户识别卡的连接状态为已连接的初匹配设备密钥标识,则将所述初匹配设备密钥标识作为匹配设备密钥标识;若否,则选择一个初匹配设备密钥标识作为所述匹配设备密钥标识。
在其中一个实施例中,该方法还包括:根据所述匹配设备密钥标识,查询所述匹配设备密钥标识对应的连接状态信息;若所述连接状态信息表示所述匹配设备密钥标识对应的用户识别卡的连接状态为未连接,生成表示需要将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接的连接反馈信息;将所述连接反馈信息添加至所述应用密钥请求响应。
第四方面,本申请还提供了一种应用密钥获取装置。其应用于多卡用户设备,所述装置包括:
请求发送模块,用于发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;所述第一网络设备提供应用功能;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
响应接收模块,用于接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由所述第一网络设备从第二网络设备接收;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由第二网络设备从第一网络设备接收;
锚点密钥确定模块,用于根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
应用密钥获取模块,用于根据所述锚点密钥推衍应用密钥。
第五方面,本申请还提供了一种应用密钥获取装置。其应用于第一网络设备,所述装置包括:
请求接收模块,用于接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
请求发送模块,用于向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
响应接收模块,用于接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
响应发送模块,用于向所述多卡用户设备发送包含匹配设备密钥标识的应用会话建立响应。
第六方面,本申请还提供了一种应用密钥获取装置。其应用于第二网络设备,所述装置包括:
请求接收模块,用于接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
匹配模块,用于根据预存的签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
应用密钥获取模块,用于确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
响应发送模块,用于向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
第七方面,本申请还提供了一种通信设备。所述通信设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;所述第一网络设备提供应用功能;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由第一网络设备从第二网络设备接收;第二网络设备提供应用的服务的认证和密钥管理锚点功能;所述匹配设备密钥标识由第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由第二网络设备从第一网络设备接收;
根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
根据所述锚点密钥推衍应用密钥。
第八方面,本申请还提供了一种通信设备。所述通信设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
向所述多卡用户设备发送包含匹配设备密钥标识的应用会话建立响应。
第九方面,本申请还提供了一种通信设备。所述通信设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
第十方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;所述第一网络设备提供应用功能;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由第一网络设备从第二网络设备接收;第二网络设备提供应用的服务的认证和密钥管理锚点功能;所述匹配设备密钥标识由第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由第二网络设备从第一网络设备接收;
根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
根据所述锚点密钥推衍应用密钥。
第十一方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
向所述多卡用户设备发送包含匹配设备密钥标识的应用会话建立响应。
第十二方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
第十三方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;所述第一网络设备提供应用功能;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由第一网络设备从第二网络设备接收;第二网络设备提供应用的服务的认证和密钥管理锚点功能;所述匹配设备密钥标识由第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由第二网络设备从第一网络设备接收;
根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
根据所述锚点密钥推衍应用密钥。
第十四方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
向所述多卡用户设备发送包含匹配设备密钥标识的应用会话建立响应。
第十五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
上述应用密钥获取方法、装置、通信设备、存储介质和计算机程序产品,在多卡用户设备中向提供应用功能的第一网络设备发送包含与其用户识别卡对应的多个设备密钥标识及其各自对应的连接状态信息的应用会话建立请求,通过接收第一网络设备发送的应用会话建立响应确定与匹配设备密钥标识对应的设备密钥参数,并根据该设备密钥参数推衍应用密钥。该过程可以使多卡用户设备确定其与AKMA签约的设备密钥并推衍出对应的应用密钥,从而保证后续可以与应用服务之间成功建立会话。
附图说明
图1为AKMA服务的网络架构图;
图2为目前使用AKMA服务获取应用密钥并建立会话的过程示意图;
图3为一个实施例中应用密钥获取方法的过程示意图;
图4为一个实施例中应用于多卡用户设备的应用密钥获取方法的流程示意图;
图5为一个实施例中应用于第一网络设备的应用密钥获取方法的流程示意图;
图6为一个实施例中应用于第二网络设备的应用密钥获取方法的流程示意图;
图7为一个实施例中应用于多卡用户设备的应用密钥获取装置的结构框图;
图8为一个实施例中应用于第一网络设备的应用密钥获取装置的结构框图;
图9为一个实施例中应用于第二网络设备的应用密钥获取装置的结构框图;
图10为一个实施例中通信设备的内部结构图;
图11为另一个实施例中通信设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
首先,请参阅图1,其为本申请实施例所使用的AKMA(Authentication and KeyManagement for Application,应用的服务的认证和密钥管理)服务的网络架构图。其中,AF为应用服务功能(Application Function),其可以部署于归属网络内部的网络设备上,也可以部署于第三方网络的网络设备上;UE为用户设备(User Equipment),其中带有用户识别卡;UDM为统一数据管理(Unified DataManagement),其部署在归属网络内部的网络设备上;AAnF为应用的服务的认证和密钥管理锚点功能(AKMA Anchor Function),其可以部署在归属网络内部的网络设备上,AMF为接入和移动管理功能(Access and MobilityManagement Function),其可以部署在归属网络内部的网络设备上;AUSF为认证服务功能(Authentication ServerFunction),其可以部署在归属网络内部的网络设备上;NEF为网络开放功能(Network Exposure Function),其可使归属网络中的网络服务功能对外暴露;(R)AN为无线接入网(Radio Access Network)。
具体地,本申请实施例中使用的用户设备(UE)可以为个人通信业务(PersonalCommunication Service,PCS)电话、无绳电话、会话发起协议(Session InitiationProtocol,SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal DigitalAssistant,PDA)等设备,该终端也可以为手机、移动台(MobileStation,MS)、终端设备(Mobile Terminal)和笔记本电脑等,用户设备可以通过无线接入网与一个或多个网络设备进行通信。例如,用户设备可以是移动电话(或称为“蜂窝”电话)或具有终端设备的计算机等,例如,用户设备还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语音和/或数据。用户设备还可以为有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来演进的网络中的终端设备等,本申请实施例不作限定。
请同时参阅图2,其为目前使用AKMA服务获取应用密钥的会话过程示意图。其中,UE通过与AUSF之间的通信完成主认证签约过程,完成主认证过程后,UE与AUSF分别基于相同的参数和算法生成锚点密钥Kakma和设备密钥标识A-KID,然后AUSF会将包括已签约的UE的锚点密钥Kakma和设备密钥标识A-KID的密钥信息登记至AAnF。基于此,UE与AF之间可通过以下步骤建立会话:
步骤S201、UE向AF发送携带其A-KID的应用会话建立请求,并且在本地根据其锚点密钥Kakma推衍出应用密钥KAF;
步骤S202、AF向AAnF发送携带该UE 的A-KID以及应用服务标识(AF_ID)的应用密钥请求;
步骤S203、AAnF根据AF发送的应用密钥请求中的A-KID,在已登记的签约设备密钥中匹配对应的A-KID,并进而确定其对应的锚点密钥Kakma;然后根据锚点密钥Kakma推衍应用密钥KAF;
步骤S204、AAnF向AF发送包含应用密钥KAF的应用密钥请求响应;
步骤S205、AF向UE发送包含应用密钥KAF的应用会话建立请求响应。
经过上述步骤后,AF和UE即可根据相同的应用密钥KAF建立安全的会话通信。
但是,上述会话建立过程只考虑了每个UE都只有一个用户识别卡(USIM),从而只有唯一的设备密钥标识A-KID的情况,该情况下每个UE都与其已签约的A-KID唯一对应,从而可以使用上述过程顺利地与AF之间建立会话。
然而,对于同时使用两张或更多用户识别卡(Universal Subscriber IdentityModule,USIM)的多卡用户设备,其可能使用了其中一个或多个用户识别卡进行主认证签约,且在多卡用户设备的本地根据每张用户识别卡分别生成对应的多个设备密钥标识A-KID,并分别推衍出对应的KAF。当UE向AF发送应用会话建立请求时,由于无法确定具体签约的用户识别卡,因此UE无法确定在应用会话建立请求中需要携带的A-KID,而只能从多个A-KID中选择一个。从而容易出现应用会话请求中携带的A-KID并非为签约的用户识别卡所对应的A-KID的情况,导致AAnF无法推衍出适用于该UE的应用密钥Kaf,并进一步导致应用会话建立失败。
基于目前使用AKMA服务在用户设备(UE)和应用服务(AF)之间建立会话的过程存在的难以获得适用于多卡用户设备的应用密钥的情况,本申请实施例提供一种应用密钥获取方法,其针对多卡用户设备,可使用户设备确定其具体签约的用户识别卡所对应的A-KID,并使AAnF顺利推衍出使用于该用户设备的应用密钥Kaf,并最终使多卡用户设备(UE)和应用服务(AF)都可获取相同的应用密钥Kaf。
需要说明的是,本申请实施例所带来的有益效果或者所解决的技术问题并不限定于这一个,还可以是其它隐含或者关联的问题,具体可以参见下述实施例的描述。
在一个实施例中,如图3所示,提供了一种应用密钥获取方法,以该方法应用于移动网络环境下的多卡用户设备(以下简称为UE,在本实施例中为双卡终端)、归属网络中提供应用服务的第一网络设备(以下简称为AF)、归属网络中提供应用的服务的认证和密钥管理锚点功能的第二网络设备(以下简称为AAnF)为例,包括以下步骤:
步骤S301、双卡终端UE发送包含两个设备密钥标识A-KID1、A-KID2以及两个设备密钥标识各自对应的连接状态信息M1、M2的应用会话建立请求至第一网络设备AF。
具体地,双卡终端UE携带两张不同的用户识别卡SIM1和SIM2,并在主认证过程中使用了用户识别卡SIM1进行签约。
完成主认证过程后,双卡终端UE在本地分别根据两个用户识别卡生成了两个AKMA密钥参数对(A-KID1,Kakma1)和(A-KID2,Kakma2)。其中,Kakma1和Kakma2为分别对应于用户识别卡SIM1和SIM2的锚点密钥。
连接状态信息用于表示设备密钥标识对应的用户识别卡的当前连接状态,在本实施例中,SIM1为未连接,SIM2为已连接。
在本步骤中,UE通过网络向AF发送携带参数A-KID1、A-KID2以及M1、M2的应用会话建立请求。
步骤S302、AF向AAnF发送包含A-KID1、A-KID2以及M1、M2的应用密钥请求。
具体地, AF根据接收自UE的应用会话建立请求,获取双卡终端UE的两个设备密钥标识A-KID1和A-KID2及其各自对应的连接状态信息M1、M2。进一步地, AF通过网络向AAnF发送携带参数A-KID1和A-KID2的应用密钥请求。在本实施例中,AF向AAnF发送的应用密钥请求中还携带了应用服务标识(AF_ID)。
步骤S303、AAnF根据接收自AF的应用密钥请求中携带的两个设备密钥标识A-KID1、A-KID2及其各自对应的连接状态信息M1、M2,将本地预存的多个签约设备密钥标识与两者进行匹配,确定匹配设备密钥标识A-KID1。
具体地,在主认证过程完成后,AAnF将主认证中签约的用户设备UE的设备密钥标识A-KID和锚点密钥Kakma存储至本地。
在本步骤中,AAnF接收到AF的应用密钥请求后,根据其本地预存的多个签约设备密钥标识与应用密钥请求中携带的两个设备密钥标识进行匹配,并确定初匹配设备密钥标识A-KID1为UE具体用于签约的用户识别卡所对应的设备密钥标识。由于本实施例中初匹配设备密钥标识只有一个,因此直接以初匹配设备密钥标识作为匹配设备密钥标识。
而在其他实施例中,可能存在SIM1和SIM2都已签约的情况,则初匹配设备密钥标识的数量为两个,此时AAnF可根据其各自对应的连接状态信息M1、M2,将用户识别卡已连接的初匹配设备密钥标识作为匹配设备密钥标识,例如当SIM1为未连接,SIM2为已连接时,以A-KID2为匹配设备密钥标识。
步骤S304、AAnF根据匹配设备密钥标识A-KID1,在本地查询其对应的锚点密钥Kakma1,并根据算法推衍出应用密钥Kaf。
具体地,AAnF在步骤S303中确定匹配设备密钥标识A-KID1后,即可根据A-KID1查询到其本地预存的Kakma1,并通过算法基于Kakma1推衍出应用密钥Kaf。
步骤S305、AAnF根据匹配设备密钥标识A-KID1,查询其对应的连接状态信息M1,生成连接反馈信息。
具体地,AAnF根据M1确定A-KID1对应的用户识别卡的连接状态为未连接,生成表示需要将该用户识别卡的连接状态变更为已连接的连接反馈信息。
步骤S306、AAnF向AF发送包含应用密钥Kaf、匹配设备密钥标识A-KID1以及连接反馈信息的应用密钥请求响应。
具体地,在步骤S303和S304中确定了匹配设备密钥标识A-KID1并推衍出对应的应用密钥Kaf,在步骤S305中得到了连接反馈信息后,AAnF通过网络向AF发送携带了应用密钥Kaf、匹配设备密钥标识A-KID1以及连接反馈信息的应用密钥请求响应。其中,在本实施例中,应用密钥请求响应还携带了匹配设备密钥标识A-KID1对应的用户识别卡SIM1的标识符SUPI以及密钥生命周期keylifetime。
步骤S307、AF向UE发送包含匹配设备密钥标识A-KID1和连接反馈信息的应用会话建立请求响应。
具体地,AF接收到AAnF发送的应用会话建立请求响应后,获得了其中携带的应用密钥Kaf、匹配设备密钥标识A-KID1和连接反馈信息。进一步地,AF通过网络向UE发送携带匹配设备密钥标识A-KID1和连接反馈信息的应用会话建立请求响应。
步骤S308、UE根据接收的应用会话建立请求响应中携带的匹配设备密钥标识A-KID1,在本地查询对应的锚点密钥Kakma1,并推衍出应用密钥Kaf。
具体地,UE接收到应用会话建立请求响应后,可根据其携带的匹配设备密钥标识,确定本地的两个设备密钥标识A-KID1、A-KID2中对应于签约的用户识别卡的匹配设备密钥标识为A-KID1。
进一步地,UE根据匹配设备密钥标识A-KID1,可在本地查询到其对应的锚点密钥Kakma1,并通过与AAnF中相同的算法,推衍出应用密钥Kaf。
步骤S309、UE根据接收的应用会话建立请求响应中携带的连接反馈信息,变更用户识别卡SIM1的连接状态为已连接。
具体地,UE接收到应用会话建立请求响应后,可根据其携带的连接反馈信息中表示需要将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接的内容,将当前连接状态为未连接的用户识别卡SIM1的连接状态变更为已连接。
按照上述步骤分别在UE和AAnF中确定匹配设备密钥标识并推衍出应用密钥Kaf后,UE与AF同时持有相同的应用密钥Kaf,并可以通过该匹配设备密钥标识对应的用户识别卡进行连接通信。
本实施例通过使多卡用户设备向第一网络设备发送包含其两个设备密钥标识的应用会话建立请求,并使第一网络设备向第二网络设备发送包含该两个设备密钥标识的应用密钥请求,可使第二网络设备接收到对应于多卡用户设备中每个用户识别卡的设备密钥标识,从而第二网络设备可以根据其本地预存的签约设备密钥标识,在接收到的设备密钥标识中匹配出已签约的匹配设备密钥标识,并推衍出匹配设备密钥标识对应的应用密钥;进一步地,通过使第二网络设备向第一网络设备发送包含匹配设备密钥标识和应用密钥的应用密钥请求响应,并使第一网络设备向双卡用户设备发送包含匹配设备密钥标识的应用会话建立请求响应,可使多卡用户设备得到匹配设备密钥标识,并进一步地推衍出对应的应用密钥。基于此,多卡用户设备和第一网络设备中的应用功能可同时持有相同的应用密钥,从而可以顺利创建安全会话。而且,上述过程中多卡用户设备与第一网络设备之间,以及第一网络设备与第二网络设备之间分别只进行了一次请求和一次响应,与目前使用AKMA服务进行会话创建过程中的会话过程相比,仅仅对请求和响应中携带的参数进行了调整,而并未增加请求和响应的次数。因此,本实施例中的方案能够在不增加目前方案的通信开销的基础上实现多卡用户设备与应用服务之间的会话创建。进一步地,本实施例通过匹配设备密钥标识对应的连接状态信息对其对应的用户识别卡的连接状态进行判断得到连接反馈信息,并使多卡用户设备根据连接反馈信息对未连接的用户识别卡的连接状态变更为已连接,其可以使多卡用户设备在后续的通信中使用与匹配设备密钥标识相对应的用户识别卡进行连接通信。
在一个实施例中,如图4所示,提供了一种应用密钥获取方法,应用于多卡用户设备,包括以下步骤:
步骤S401、发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;第一网络设备提供应用功能;每个设备密钥标识各自对应多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
具体地,本实施例中的多卡用户设备(UE)可以是上述实施例中的双卡终端,也可以是支持使用更多数量的用户识别卡的通信设备。第一网络设备可以是部署在网络上的服务器,其提供应用服务功能(AF)。
其中,本实施例中的多卡用户设备(UE)在主认证过程中可以只使用一个用户识别卡进行签约,也可以使用多个用户识别卡进行签约。
完成主认证过程后,多卡用户设备(UE)在本地分别根据每个用户识别卡生成了对应的AKMA密钥参数对(A-KID, Kakma)。其中,A-KID为用户识别卡对应的设备密钥标识,Kakma为用户识别卡对应的锚点密钥。
进一步地,多卡用户设备根据设备中每个用户识别卡的当前连接状态,可以获得其对应的连接状态信息,例如是已连接或未连接。
在本步骤中,多卡用户设备(UE)可通过网络向第一网络设备发送应用会话建立请求,该应用会话建立请求携带多卡用户设备(UE)中的每个用户识别卡所对应的设备密钥标识以及连接状态信息。
步骤S402、接收第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,匹配设备密钥标识由第一网络设备从第二网络设备接收;第二网络设备提供应用的服务的认证和密钥管理锚点功能;匹配设备密钥标识由第二网络设备根据预存的多个签约设备密钥标识以及多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息匹配得到;多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息由第二网络设备从第一网络设备接收。
本步骤中,多卡用户设备(UE)可通过网络接收由第一网络设备发送的应用会话建立响应。其中,该应用会话建立响应携带有第一网络设备从第二网络设备接收到的匹配设备密钥标识。该匹配设备密钥标识即为多卡用户设备(UE)用于进行主认证签约的用户识别卡所对应的匹配设备密钥标识。
具体地,本实施例中的第二网络设备可以是部署于归属网络上的服务器,其提供应用的服务的认证和密钥管理锚点功能,在第二网络设备中预存有多个完成了主认证过程的签约用户识别卡所对应的签约设备密钥标识以及其对应的锚点密钥。从而,当第一网络设备向第二网络设备发送包含其接收到的多卡用户设备(UE)的设备密钥标识时,第二网络设备可以将接收到的设备密钥标识与预存的多个签约设备密钥标识相匹配,并结合每个设备密钥标识各自对应的连接状态信息,最终确定匹配设备密钥标识,再进一步将其发送至第一网络设备。
步骤S403、根据应用会话建立响应,确定与匹配设备密钥标识对应的锚点密钥。
具体地,多卡用户设备(UE)接收到应用会话建立请求响应后,可根据其携带的匹配设备密钥标识,在本地的多个设备密钥标识中确定对应于签约的用户识别卡的匹配设备密钥标识,并进一步根据匹配设备密钥标识查询得到其对应的锚点密钥。
步骤S404、根据锚点密钥推衍应用密钥。
经过上述步骤S401至S403后,多卡用户设备(UE)在本步骤中基于上一步确定的锚点密钥,使用预设的算法推衍得到应用密钥。该应用密钥可用于多卡用户设备(UE)后续与应用服务的安全会话创建中。多卡用户设备在后续可以将该应用密钥用于后续与应用服务的安全会话创建中,并使用该匹配设备密钥标识对应的用户识别卡进行通信。
本实施例通过在多卡用户设备中向提供应用功能的第一网络设备发送包含与其用户识别卡对应的多个设备密钥标识及其各自对应的连接状态信息的应用会话建立请求,通过接收第一网络设备发送的应用会话建立响应确定与匹配设备密钥标识对应的设备密钥参数,并根据该设备密钥参数推衍应用密钥。该过程可以使多卡用户设备确定其与AKMA签约的设备密钥并推衍出对应的应用密钥,从而保证后续可以与应用服务之间成功建立会话。
在一个实施例中,上述方法还包括:若应用会话建立响应还包括连接反馈信息,且连接反馈信息表示需要将匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接,则将匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接;连接反馈信息由第二网络设备根据匹配设备密钥标识及其对应的连接状态信息得到,并由第一网络设备从第二网络设备接收。
具体地,考虑到对于某些多卡用户设备,可能存在只有部分用户识别卡进行了签约,且该部分用户识别卡均未连接的情况,本实施例中,第二网络设备可根据匹配设备密钥标识及其对应的连接状态信息生成连接反馈信息,例如,当匹配设备密钥标识对应的用户识别卡为已连接时,可以不生成连接反馈信息,又或者可以生成表示无需变更用户识别卡的连接状态的连接反馈信息;而当匹配设备密钥标识对应的用户识别卡为未连接时,可以生成用于表示需要变更用户识别卡的连接状态为已连接的连接反馈信息。
第二网络设备生成了连接反馈信息后,将其发送至第一网络设备,并由第一网络设备将该信息添加至应用会话建立响应中并发送至多卡用户设备。多卡用户设备可以根据应用会话建立响应中携带的连接反馈信息中提示的需要将匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接的内容,将对应的用户识别卡的连接状态变更为已连接,从而多卡用户设备可以使用与匹配设备密钥标识对应的用户识别卡进行后续的通信。
本实施例中,多卡用户设备可以根据应用会话建立响应中携带的表示需要将匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接的连接反馈信息,进行对应的用户识别卡的连接状态变更,从而无需在本地对匹配设备密钥标识对应的用户识别卡的连接状态进行判断,其加快了多卡用户设备使用对应的用户识别卡进行后续通信的效率。
在一个实施例中,如图5所示,提供了一种应用密钥获取方法,应用于第一网络设备,包括以下步骤:
步骤S501、接收由多卡用户设备发送的包含多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应多卡用户设备中一用户识别卡;连接状态信息用于表示设备密钥标识对应的用户识别卡的连接状态。
具体地,本实施例中的第一网络设备可以是部署在网络上的服务器,其提供应用服务功能。在本步骤中,第一网络设备通过网络接收由多卡用户设备(UE)发送的应用会话建立请求。其中,该应用会话建立请求包含有多卡用户设备(UE)中每个用户识别卡对应的设备密钥标识以及每个设备密钥标识各自对应的连接状态信息。
步骤S502、向第二网络设备发送包含多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息的应用密钥请求。
具体地,第一网络设备根据在本步骤中根据步骤S501中获得多卡用户设备(UE)的多个设备密钥标识及其各自对应的连接状态信息,生成包含该标识及其连接状态信息的应用密钥请求,并通过网络向第二网络设备发送该应用密钥请求。
步骤S503、接收第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;匹配设备密钥标识由第二网络设备根据预存的多个签约设备密钥标识以及多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息匹配得到;应用密钥由第二网络设备根据匹配设备密钥标识推衍得到。
在本步骤中,第一网络设备通过网络接收由第二网络设备发送的应用密钥请求响应,其中包含了匹配设备密钥标识和应用密钥。
具体地,匹配设备密钥标识为多卡用户设备(UE)用于进行主认证签约的用户识别卡所对应的设备密钥标识,应用密钥为第二网络设备根据匹配设备密钥标识推衍得到的应用密钥。
其中,第二网络设备可以是部署于归属网络上的服务器,其提供应用的服务的认证和密钥管理锚点功能,在第二网络设备中预存有多个完成了主认证过程的签约用户识别卡所对应的签约设备密钥标识以及其对应的锚点密钥。当第二网络设备接收到第一网络设备在步骤S502中发出应用密钥请求后,其将接收到的设备密钥标识与预存的多个签约设备密钥标识相匹配,并结合每个设备密钥标识各自对应的连接状态信息,最终确定匹配设备密钥标识,再进一步根据预设的算法推衍得到应用密钥。然后生成包含匹配设备密钥标识和应用密钥的应用密钥请求响应,并通过网络将其发送至第一网络设备。
步骤S504、向多卡用户设备发送包含匹配设备密钥标识的应用会话建立响应。
具体地,第一网络设备根据步骤S503中接收的应用密钥请求响应,从中提取出匹配设备密钥标识和应用密钥。然后生成包含匹配设备密钥标识的应用会话建立响应并将其通过网络发送至多卡用户设备(UE)。第一网络设备可在后续使用该应用密钥与多卡用户设备(UE)创建安全会话。
本实施例通过使第一网络设备将接收到的对应于多卡用户设备中每个用户识别卡的多个设备密钥标识及其各自对应的连接状态信息发送至第二网络设备,并从第二网络设备接收匹配设备密钥标识和应用密钥,再将匹配设备密钥标识发送至多卡用户设备。其可通过少数几次通信过程使第一网络设备获得对应于匹配设备密钥标识的应用密钥,并使多卡用户设备确定其用于签约的用户识别卡所对应的匹配设备密钥标识,从而可使多卡用户设备在后续中获取与第一网络设备相同的应用密钥,并使两者可以基于应用密钥顺利创建安全会话。本实施例在未额外增加通信次数的情况下,有效避免了目前的AKMA技术方案中使用多卡用户设备时,第一网络设备难以获得适合的应用密钥,从而无法与多卡用户设备创建会话的问题。
在一个实施例中,上述方法还包括:若应用密钥请求响应还包括连接反馈信息,将连接反馈信息添加至应用会话建立响应;连接反馈信息由第二网络设备根据匹配设备密钥标识及其对应的连接状态信息得到。
具体地,本实施例中,第二网络设备可根据匹配设备密钥标识及其对应的连接状态信息生成连接反馈信息,例如,当匹配设备密钥标识对应的用户识别卡为已连接时,可以不生成连接反馈信息,又或者可以生成表示无需变更用户识别卡的连接状态的连接反馈信息;而当匹配设备密钥标识对应的用户识别卡为未连接时,可以生成用于表示需要变更用户识别卡的连接状态为已连接的连接反馈信息。第二网络设备生成了连接反馈信息后,可将其添加至应用密钥请求响应,并发送至第一网络设备。第一网络设备可根据应用密钥请求响应中存在的连接反馈信息,将其添加至应用会话建立响应,并发送至多卡用户设备。
本实施例通过使第一网络设备将第二网络设备发送的连接反馈信息添加至应用会话建立响应,可以使多卡用户设备在接收匹配设备密钥标识的同时还收到连接反馈信息,从在后续可以使用与匹配设备密钥标识对应的用户识别卡进行通信。
在一个实施例中,如图6所示,提供了一种应用密钥获取方法,应用于第二网络设备,包括以下步骤:
步骤S601、接收由第一网络设备发送的包含多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息的应用密钥请求;设备密钥标识及多个设备密钥标识各自对应的连接状态信息由第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应多卡用户设备中一用户识别卡;连接状态信息用于表示设备密钥标识对应的用户识别卡的连接状态。
具体地,本实施例中的第二网络设备可以是部署于归属网络上的服务器,其提供应用的服务的认证和密钥管理锚点功能。
在本步骤中,第二网络设备通过网络接收由第一网络设备发送的应用密钥请求。其中,该应用密钥请求包含由第一网络设备从多卡用户设备(UE)接收的多个设备密钥标识以及每个设备密钥标识各自对应的连接状态信息。其中,每个设备密钥标识分别对应于多卡用户设备(UE)中的一个用户识别卡,而连接状态信息则用于表示对应的用户识别卡为已连接或未连接。
步骤S602、根据预存的多个签约设备密钥标识以及多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识。
具体地,第二网络设备预存有多个完成了主认证过程的用户设备所使用的签约用户识别卡对应的签约设备密钥标识以及其对应的锚点密钥。
在本步骤中,第二网络设备将其在步骤S601中接收到的设备密钥标识与预存的多个签约设备密钥标识相匹配,并结合每个设备密钥标识各自对应的连接状态信息,最终确定匹配设备密钥标识。该匹配设备密钥标识即为多卡用户设备(UE)用于进行主认证的签约用户识别卡所对应的设备密钥标识。
步骤S603、确定与匹配设备密钥标识对应的锚点密钥,根据锚点密钥推衍应用密钥。
具体地,在步骤S602中确定了匹配设备密钥标识后,第二网络设备可在本地查询得到该匹配设备密钥标识对应的锚点密钥,并进一步根据预设的算法推衍得到应用密钥。
步骤S604、向第一网络设备发送包含匹配设备密钥标识和应用密钥的应用密钥请求响应。
在本步骤中,第二网络设备根据上述步骤中获得的匹配设备密钥标识和应用密钥,生成应用密钥请求响应,并通过网络将其发送至第一网络设备。
本实施例使第二网络设备通过第一网络设备的请求获得对应于多卡用户设备中每个用户识别卡的设备密钥标识及其各自对应的连接状态信息,并在本地对每个设备密钥标识进行匹配,并结合连接状态信息确定该多卡用户设备所对应的匹配设备密钥标识,并推衍出匹配设备密钥标识对应的应用密钥,再通过响应将两者发送至第一网络设备。该过程中,第二网络设备和第一网路设备通过一次请求和一次响应即可使第一网络设备获得匹配设备密钥标识和应用密钥,有效避免了目前的AKMA技术方案中使用多卡用户设备时,第二网络设备难以获得与签约设备密钥标识相匹配的设备密钥标识,从而无法推衍出适用的应用密钥的问题,而且也有效节省了通信过程的时间开销。
在一个实施例中,根据预存的多个签约设备密钥标识以及多个设备密钥标识及多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识,包括:根据多个签约设备密钥标识以及多个设备密钥标识匹配得到初匹配设备密钥标识;若初匹配设备密钥标识的数量为一个,则将初匹配设备密钥标识作为匹配设备密钥标识;若初匹配设备密钥标识的数量为多个,则查询初匹配设备密钥标识对应的连接状态信息,若存在连接状态信息表示对应的用户识别卡的连接状态为已连接的初匹配设备密钥标识,则将初匹配设备密钥标识作为匹配设备密钥标识;若否,则选择一个初匹配设备密钥标识作为匹配设备密钥标识。
具体地,本实施例对于多卡用户设备中存在的几种不同的用户识别卡签约和连接情况,提供了一种具体的确定匹配设备密钥标识的方法。
其中,第二网络设备首先根据接收到的多个设备密钥标识,将其分别与预存的多个签约设备密钥标识进行匹配,并将所有能够匹配上的设备密钥标识作为初匹配设备密钥标识。
其中,若多卡用户设备中只有一个用户识别卡进行了签约,则得到的初匹配设备密钥标识的数量只有一个。在这种情况下,无论该用户识别卡的状态是已连接还是未连接,都将该初匹配设备密钥标识作为后续要使用的匹配设备密钥标识。
而若多卡用户设备中存在多个完成了签约的用户识别卡,则对应地可以得到多个初匹配设备密钥标识。在这种情况下,第二网络设备进一步查询每个初匹配设备密钥标识的连接状态信息以确认其对应的用户识别卡的连接状态。其中,若存在用户识别卡为已连接的初匹配设备密钥标识,则将其作为匹配设备密钥标识;若不存在,则可认为该多卡用户设备中的所有已签约的用户识别卡均未连接,因此可以从多个初匹配设备密钥标识中选择一个初匹配设备密钥标识作为后续要使用的匹配设备密钥标识。
本实施例对确定匹配设备密钥标识过程中可能出现的几种不同情况进行了考虑,在确保能够找到与已签约的用户识别卡相对应的匹配设备密钥标识的前提下,优先将已连接的用户识别卡所对应的设备密钥标识作为匹配设备密钥标识,其可以更高效地令多卡用户设备在后续流程中使用已连接的用户识别卡进行通信。
在一个实施例中,上述方法还包括:根据匹配设备密钥标识,查询匹配设备密钥标识对应的连接状态信息;若连接状态信息表示匹配设备密钥标识对应的用户识别卡的连接状态为未连接,生成表示需要将匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接的连接反馈信息;将连接反馈信息添加至应用密钥请求响应。
具体地,本实施例中,第二网络设备在确定了匹配设备密钥标识后,还对匹配设备密钥标识对应的连接状态信息进行查询,以获得该匹配设备密钥标识对应的用户识别卡的连接状态。
其中,当查询到对应的用户识别卡的连接状态为未连接时,可生成用于表示需要变更用户识别卡的连接状态为已连接的连接反馈信息;而当查询到对应的用户识别卡的连接状态为已连接时,可不生成连接反馈信息,又或者是可以生成用于表示无需变更用户识别卡的连接状态的连接反馈信息。该连接反馈信息可提示多卡用户设备是否对该用户识别卡的连接状态进行变更。
生成连接反馈信息后,将其添加至应用密钥请求响应,并发送至第一网络设备。
本实施例通过查询匹配设备密钥标识对应的连接状态信息,在用户识别卡未连接的情况下生成表示需要变更用户识别卡的连接状态为已连接的连接反馈信息,并将其添加至应用密钥请求响应中,与匹配设备密钥标识一并发送至第一网络设备,其可以在不增加通信次数的情况下将需要变更连接状态的信息传递至第一网络设备,可有效提高通信效率。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的应用密钥获取方法的应用密钥获取装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个应用密钥获取装置实施例中的具体限定可以参见上文中对于应用密钥获取方法的限定,在此不再赘述。
在一个实施例中,如图7所示,提供了一种应用密钥获取装置700,应用于多卡用户设备,所述装置包括:
请求发送模块701,用于发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;所述第一网络设备提供应用功能;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
响应接收模块702,用于接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由第一网络设备从第二网络设备接收;所述匹配设备密钥标识由第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由第二网络设备从第一网络设备接收;
锚点密钥确定模块703,用于根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
应用密钥获取模块704,用于根据所述锚点密钥推衍应用密钥。
在一个实施例中,装置还包括连接状态变更模块,其用于若所述应用会话建立响应还包括连接反馈信息,且所述连接反馈信息表示需要将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接,将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接;所述连接反馈信息由所述第二网络设备根据所述匹配设备密钥标识及其对应的连接状态信息得到,并由所述第一网络设备从所述第二网络设备接收。
在一个实施例中,如图8所示,提供了一种应用密钥获取装置800,应用于第一网络设备,所述第一网络设备提供应用功能,所述装置包括:
请求接收模块801,用于接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
请求发送模块802,用于向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
响应接收模块803,用于接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
响应发送模块804,用于向所述多卡用户设备发送包含匹配设备密钥标识的应用会话建立响应。
在一个实施例中,响应发送模块804还用于若所述应用密钥请求响应还包括连接反馈信息,将所述连接反馈信息添加至所述应用会话建立响应;所述连接反馈信息由所述第二网络设备根据所述匹配设备密钥标识及其对应的连接状态信息得到。
在一个实施例中,如图9所示,提供了一种应用密钥获取装置900,应用于第二网络设备,所述第二网络设备提供应用的服务的认证和密钥管理锚点功能,所述装置包括:
请求接收模块901,用于接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
匹配模块902,用于根据预存的签约设备密钥以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
应用密钥获取模块903,用于确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
响应发送模块904,用于向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
在一个实施例中,匹配模块902还用于,根据所述多个签约设备密钥标识以及所述多个设备密钥标识匹配得到初匹配设备密钥标识;若所述初匹配设备密钥标识的数量为一个,则将所述初匹配设备密钥标识作为匹配设备密钥标识;若所述初匹配设备密钥标识的数量为多个,则查询所述初匹配设备密钥标识对应的连接状态信息,若存在连接状态信息表示对应的用户识别卡的连接状态为已连接的初匹配设备密钥标识,则将所述初匹配设备密钥标识作为匹配设备密钥标识;若否,则选择一个初匹配设备密钥标识作为所述匹配设备密钥标识。
在一个实施例中,该装置还包括连接反馈信息生成模块,其用于,根据所述匹配设备密钥标识,查询所述匹配设备密钥标识对应的连接状态信息;若所述连接状态信息表示所述匹配设备密钥标识对应的用户识别卡的连接状态为未连接,生成表示需要将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接的连接反馈信息;将所述连接反馈信息添加至所述应用密钥请求响应。
上述应用密钥获取装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于通信设备中的处理器中,也可以以软件形式存储于通信设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种通信设备,该通信设备可以是终端,其内部结构图可以如图10所示。该通信设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该通信设备的处理器用于提供计算和控制能力。该通信设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该通信设备的输入/输出接口用于处理器与外部设备之间交换信息。该通信设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种应用密钥获取方法。该通信设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该通信设备的输入装置可以是显示屏上覆盖的触摸层,也可以是通信设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,提供了一种通信设备,该通信设备可以是服务器,其内部结构图可以如图11所示。该通信设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该通信设备的处理器用于提供计算和控制能力。该通信设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该通信设备的数据库用于存储接收自其他通信设备或者是本地生成的设备密钥标识、锚点密钥、应用密钥等数据。该通信设备的输入/输出接口用于处理器与外部设备之间交换信息。该通信设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种应用密钥获取方法。
本领域技术人员可以理解,图10和图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的通信设备的限定,具体的通信设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种通信设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random AccessMemory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (12)
1.一种应用密钥获取方法,其特征在于,应用于多卡用户设备,所述方法包括:
发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;所述第一网络设备提供应用功能;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由第一网络设备从第二网络设备接收;所述第二网络设备提供应用的服务的认证和密钥管理锚点功能;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第二网络设备从所述第一网络设备接收;
根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
根据所述锚点密钥推衍应用密钥。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述应用会话建立响应还包括连接反馈信息,且所述连接反馈信息表示需要将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接,则将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接;所述连接反馈信息由所述第二网络设备根据所述匹配设备密钥标识及其对应的连接状态信息得到,并由所述第一网络设备从所述第二网络设备接收。
3.一种应用密钥获取方法,其特征在于,应用于第一网络设备,所述方法包括:
接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
向所述多卡用户设备发送包含所述匹配设备密钥标识的应用会话建立响应。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述应用密钥请求响应还包括连接反馈信息,将所述连接反馈信息添加至所述应用会话建立响应;所述连接反馈信息由所述第二网络设备根据所述匹配设备密钥标识及其对应的连接状态信息得到。
5.一种应用密钥获取方法,其特征在于,应用于第二网络设备,所述方法包括:
接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
6.根据权利要求5所述的方法,其特征在于,所述根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识,包括:
根据所述多个签约设备密钥标识以及所述多个设备密钥标识匹配得到初匹配设备密钥标识;
若所述初匹配设备密钥标识的数量为一个,则将所述初匹配设备密钥标识作为匹配设备密钥标识;
若所述初匹配设备密钥标识的数量为多个,则查询所述初匹配设备密钥标识对应的连接状态信息,若存在连接状态信息表示对应的用户识别卡的连接状态为已连接的初匹配设备密钥标识,则将所述初匹配设备密钥标识作为匹配设备密钥标识;若否,则选择一个初匹配设备密钥标识作为所述匹配设备密钥标识。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
根据所述匹配设备密钥标识,查询所述匹配设备密钥标识对应的连接状态信息;
若所述连接状态信息表示所述匹配设备密钥标识对应的用户识别卡的连接状态为未连接,生成表示需要将所述匹配设备密钥标识对应的用户识别卡的连接状态变更为已连接的连接反馈信息;
将所述连接反馈信息添加至所述应用密钥请求响应。
8.一种应用密钥获取装置,其特征在于,应用于多卡用户设备,所述装置包括:
请求发送模块,用于发送包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求至第一网络设备;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
响应接收模块,用于接收所述第一网络设备发送的包含匹配设备密钥标识的应用会话建立响应;其中,所述匹配设备密钥标识由所述第一网络设备从第二网络设备接收;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第二网络设备从所述第一网络设备接收;
锚点密钥确定模块,用于根据所述应用会话建立响应,确定与所述匹配设备密钥标识对应的锚点密钥;
应用密钥获取模块,用于根据所述锚点密钥推衍应用密钥。
9.一种应用密钥获取装置,其特征在于,应用于第一网络设备,所述装置包括:
请求接收模块,用于接收由多卡用户设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用会话建立请求;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
请求发送模块,用于向第二网络设备发送包含所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;
响应接收模块,用于接收所述第二网络设备发送的包含匹配设备密钥标识和应用密钥的应用密钥请求响应;所述匹配设备密钥标识由所述第二网络设备根据预存的多个签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到;所述应用密钥由所述第二网络设备根据所述匹配设备密钥标识推衍得到;
响应发送模块,用于向所述多卡用户设备发送包含所述匹配设备密钥标识的应用会话建立响应。
10.一种应用密钥获取装置,其特征在于,应用于第二网络设备,所述装置包括:
请求接收模块,用于接收由第一网络设备发送的包含多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息的应用密钥请求;所述设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息由所述第一网络设备从多卡用户设备接收;每个设备密钥标识各自对应所述多卡用户设备中一用户识别卡;所述连接状态信息用于表示所述设备密钥标识对应的用户识别卡的连接状态;
匹配模块,用于根据预存的签约设备密钥标识以及所述多个设备密钥标识及所述多个设备密钥标识各自对应的连接状态信息匹配得到匹配设备密钥标识;
应用密钥获取模块,用于确定与所述匹配设备密钥标识对应的锚点密钥,根据所述锚点密钥推衍应用密钥;
响应发送模块,用于向所述第一网络设备发送包含所述匹配设备密钥标识和所述应用密钥的应用密钥请求响应。
11.一种通信设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310871038.5A CN116600289B (zh) | 2023-07-17 | 2023-07-17 | 应用密钥获取方法、装置、通信设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310871038.5A CN116600289B (zh) | 2023-07-17 | 2023-07-17 | 应用密钥获取方法、装置、通信设备、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116600289A CN116600289A (zh) | 2023-08-15 |
CN116600289B true CN116600289B (zh) | 2023-09-29 |
Family
ID=87608321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310871038.5A Active CN116600289B (zh) | 2023-07-17 | 2023-07-17 | 应用密钥获取方法、装置、通信设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116600289B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022147803A1 (zh) * | 2021-01-08 | 2022-07-14 | 华为技术有限公司 | 安全通信方法及设备 |
WO2022156933A1 (en) * | 2021-01-22 | 2022-07-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Routing indicator retrival for akma |
CN115152257A (zh) * | 2020-02-19 | 2022-10-04 | 三星电子株式会社 | 使用从网络接入认证导出的密钥生成应用特定密钥的装置和方法 |
CN115362656A (zh) * | 2020-04-03 | 2022-11-18 | 苹果公司 | 应用功能密钥派生和刷新 |
CN115942305A (zh) * | 2021-08-08 | 2023-04-07 | 华为技术有限公司 | 一种会话建立方法和相关装置 |
-
2023
- 2023-07-17 CN CN202310871038.5A patent/CN116600289B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115152257A (zh) * | 2020-02-19 | 2022-10-04 | 三星电子株式会社 | 使用从网络接入认证导出的密钥生成应用特定密钥的装置和方法 |
CN115362656A (zh) * | 2020-04-03 | 2022-11-18 | 苹果公司 | 应用功能密钥派生和刷新 |
WO2022147803A1 (zh) * | 2021-01-08 | 2022-07-14 | 华为技术有限公司 | 安全通信方法及设备 |
WO2022156933A1 (en) * | 2021-01-22 | 2022-07-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Routing indicator retrival for akma |
CN115942305A (zh) * | 2021-08-08 | 2023-04-07 | 华为技术有限公司 | 一种会话建立方法和相关装置 |
Non-Patent Citations (3)
Title |
---|
3GPP.3rd Generation Partnership Project * |
Security ; Lawful Interception (LI) architecture and functions (Release 17).3GPP TS 33.127 V17.2.0 (2021-09).2021,全文. * |
Technical Specification Group Services and System Aspects * |
Also Published As
Publication number | Publication date |
---|---|
CN116600289A (zh) | 2023-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110881184B (zh) | 通信方法和装置 | |
CN106416331B (zh) | 用于访问存储eSIM的eUICC中的文件的方法、设备、装置及介质 | |
US11778458B2 (en) | Network access authentication method and device | |
CN109428717A (zh) | 管理具有多个证书颁发者的嵌入式通用集成电路卡调配 | |
KR20190027488A (ko) | 무선 통신 시스템에서 디바이스들의 프로파일 이동을 지원하는 방법 및 장치 | |
CN106102038A (zh) | 移动设备为中心的电子订户身份模块(eSIM)的供应 | |
WO2021164125A1 (zh) | 会话创建方法及相关设备 | |
WO2019096279A1 (zh) | 一种安全通信方法和装置 | |
WO2022170994A1 (zh) | Pc5根密钥处理方法、装置、ausf及远程终端 | |
WO2021031053A1 (zh) | 一种通信方法、装置及系统 | |
US10425985B2 (en) | Wireless communication apparatus, information processing apparatus, communication system, and control method for wireless communication apparatus | |
CN106063363A (zh) | Ims/rcs wi‑fi直连支持 | |
CN108243631B (zh) | 一种接入网络的方法及设备 | |
CN103888264A (zh) | 基于后台数据交换的手机间数据转移方法、终端及系统 | |
CN109525629A (zh) | 信息推送方法、装置和存储介质 | |
US20180160463A1 (en) | Wireless control of devices | |
CN116600289B (zh) | 应用密钥获取方法、装置、通信设备、存储介质 | |
EP4280639A1 (en) | Electronic device for managing network configuration information and operation method of same | |
US20230363019A1 (en) | Method for information transmission | |
CN115150075A (zh) | 基于共享密钥进行数据通信的方法、装置、设备和介质 | |
US11589223B2 (en) | Terminal device and non-transitory computer-readable recording medium storing computer readable instructions for terminal device | |
CN112087297B (zh) | 一种获取安全上下文的方法、系统及设备 | |
CN114025349A (zh) | 网络服务方法、装置、系统和存储介质 | |
CN105611068B (zh) | 移动终端及系统升级方法 | |
US20190327789A1 (en) | Cellular extension on a datalink layer communication channel |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |