WO2015123953A1 - 一种密钥生成的方法、设备及系统 - Google Patents
一种密钥生成的方法、设备及系统 Download PDFInfo
- Publication number
- WO2015123953A1 WO2015123953A1 PCT/CN2014/080987 CN2014080987W WO2015123953A1 WO 2015123953 A1 WO2015123953 A1 WO 2015123953A1 CN 2014080987 W CN2014080987 W CN 2014080987W WO 2015123953 A1 WO2015123953 A1 WO 2015123953A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- key
- identifier
- location server
- domain
- user equipment
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 168
- 230000004044 response Effects 0.000 claims abstract description 307
- 238000009795 derivation Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 abstract description 53
- 230000006854 communication Effects 0.000 abstract description 41
- 238000004891 communication Methods 0.000 abstract description 38
- 230000001419 dependent effect Effects 0.000 abstract description 4
- 238000013507 mapping Methods 0.000 description 49
- 230000008569 process Effects 0.000 description 40
- 238000010586 diagram Methods 0.000 description 20
- 230000007547 defect Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 7
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000001568 sexual effect Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- XLNZEKHULJKQBA-UHFFFAOYSA-N terbufos Chemical compound CCOP(=S)(OCC)SCSC(C)(C)C XLNZEKHULJKQBA-UHFFFAOYSA-N 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
Abstract
本发明实施例提供一种密钥生成的方法、设备及系统,涉及通信领域,逐级派生出会话密钥,为UIP网络中用户设备与路由器之间的数据传输提供机密性、完整性。本发明实施例提供的方法包括:目的路由器接收源路由器发送的切换请求消息,向位置服务器发送接入请求消息;目的路由器接收位置服务器发送的接入响应消息,其中,接入响应消息包含设备相关密钥,设备相关密钥由位置服务器根据随机值,根密钥以及下述参数中的一种或几种派生:用户设备的设备标识符,位置服务器所处域的标识符,目的路由器的标识符;所述目的路由器根据所述接入响应消息中的设备相关密钥派生出会话密钥。
Description
一种密钥生成的方法、 设备及系统
本申请要求于 2014 年 02 月 19 日提交中国专利局、 申请号为 201410057184.5、 发明名称为 "一种密钥生成的方法、 设备及系统" 的 专利申请的优先权, 其全部内容通过引用结合在本申请中。
技术领域 本发明涉及通信领域, 尤其涉及一种密钥生成的方法、 设备及系统。 背景技术
长期以来, 网际协议地址 ( Internet Protocol Address, 简称 IP地址 ) 担任了标识符(即主机身份标识)和定位符 (即网络位置标识) 的双重角 色, 这使得在 TCP/IP协议体系架构中传输层与网络层的分离不够彻底, 对 实现终端主机的移动以及保证通信安全等方面带来一定的局限性; 为了解 决上述问题需要将 IP 地址的标识符和定位符进行分离, 其中, 用户身份 协议 ( User Identity Protocol, UIP ) 就是实现将 IP地址的标识符和定位符 分离的一种方案。 图 1为 UIP的网络架构示意图, 如图 1所示, UIP网络由一个或多个 UlPi或组成,一个 UlPi或由一个用户位置月良务器( Subscriber Location Server, 简称 SLS) 、 一个或多个路由器 ( Domain Router, 简称 DR ) 组成, 其中, UIP域内及不同 UIP域之间的路由器相互链接, UIP域内位置服务器与路由 器之间相互链接, 其中, 路由器保存用户设备的用户标识符( User ID) 与 用户设备的定位符( Locator)的映射关系、 实现用户数据转发及报文地址 变换; 位置服务器保存 User ID与用户设备当前路由器 (即源路由器) 的 映射关系; 用户设备( User Equipment, UE )通过无线接入网接入 UIP域, 如图 1所示, 实线表示的是 UIP网络的用户面 ( User Plane, UP) , 传输 的是业务数据, 虚线表示的是 UIP网络的控制面 (Control Plane, CP) , 传输的是控制信令。 但是, 在 UIP网络中, 用户设备与路由器之间直接进行数据传输, 不 能为用户设备与路由器之间的数据传输提供机密性、 完整性。 发明内容
本发明的实施例提供一种密钥生成的方法、设备及系统, 逐级派生出 会话密钥, 为 U I P网络中用户设备与路由器之间的数据传输提供机密性、 完整性。 为达到上述目的, 本发明的实施例采用如下技术方案:
第一方面, 本发明实施例提供一种密钥生成的方法, 包括:
目的路由器接收源路由器发送的切换请求消息, 其中, 所述切换请求 消息包含用户设备的用户标识符, 所述用户设备的设备标识符;
所述目的路由器向位置服务器发送接入请求消息, 其中, 所述接入请 求包含所述用户设备的用户标识符, 所述用户设备的设备标识符和所述目 的路由器的标识符;
所述目的路由器接收所述位置服务器发送的接入响应消息, 其中, 所 述接入响应消息包含设备相关密钥, 所述设备相关密钥由所述位置服务器 根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户设备的 设备标识符,所述位置服务器所处域的标识符,所述目的路由器的标识符; 所述随机值由所述位置服务器生成, 用于认证所述用户设备以及生成设备 相关密钥; 所述根密钥由位置服务器根据所述用户标识符获取;
所述目的路由器根据所述接入响应消息中的设备相关密钥派生出会 话密钥。
结合第一方面, 在第一方面的第一种可能的实现方式中, 所述目的路 由器根据所述接入响应消息中的设备相关密钥派生出会话密钥, 包括: 所述目的路由器根据所述接入响应消息中的设备相关密钥派生出临 时密钥;
所述目的路由器根据所述临时密钥派生出会话密钥。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第 二种可能的实现方式中, 所述设备相关密钥由所述位置服务器根据随机 值, 根密钥以及所述用户设备的设备标识符派生;
所述目的路由器根据所述接入响应消息中的设备相关密钥派生出会 话密钥, 包括:
所述目的路由器根据所述设备相关密钥以及计数值派生出临时密钥; 其中, 所述计数值有所述目的路由器获取;
根据所述临时密钥,所述位置服务器所处域的标识符以及所述目的路 由器的标识符派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥, 计数值, 所述位置服务器所 处域的标识符以及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥,所述位置服务器所处域的标 识符以及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥 以及计数值派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出会话密钥。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第 三种可能的实现方式中, 所述设备相关密钥由所述位置服务器根据随机 值, 根密钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识 符以及所述目的路由器的标识符派生;
所述目的路由器根据所述接入响应消息中的所述设备相关密钥派生 出会话密钥, 包括:
所述目的路由器根据所述设备相关密钥以及计数值派生出临时密钥; 根据所述临时密钥派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥。
结合第一方面至第一方面的第三种可能的实现方式中的任一种实现 方式, 在第一方面的第四种可能的实现方式中, 所述方法还包括:
所述目的路由器接收所述位置服务器发送的认证请求消息; 其中, 所 述认证请求消息包含所述随机值和所述位置服务器所处域的标识符;
所述目的路由器向所述用户设备发送认证请求消息, 其中, 所述认证 请求消息中包含所述随机值, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符, 以使得所述用户设备返回认证响应消息及生成设备相 关密钥以及会话密钥。
第二方面, 本发明实施例提供一种密钥生成的方法, 包括:
位置服务器接收目的路由器发送的接入请求消息, 其中, 所述接入请 求消息包含用户设备的用户标识符, 用户设备的设备标识符和所述目的路 由器的标识符;
所述位置服务器向所述目的路由器发送认证请求消息, 其中, 所述认 证请求消息包含随机值和所述位置服务器所处域的标识符, 所述随机值由 所述位置服务器生成, 用于认证所述用户设备以及生成设备相关密钥; 所述位置服务器接收所述目的路由器发送的认证响应消息,根据根密 钥, 所述随机值以及下述参数中的一种或几种派生出所述设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符; 所述根密钥由位置服务器根据所述用户标识符获取; 所述位置服务器向所述目的路由器发送接入响应消息, 其中, 所述接 入响应消息包含所述设备相关密钥。
结合第二方面, 在第二方面的第一种可能的实现方式中, 所述位置服 务器根据根密钥, 所述随机值以及下述参数中的一种或几种派生出所述设 备相关密钥:所述用户设备的设备标识符,所述位置服务器所处域的标识符 以及所述目的路由器的标识符, 包括:
所述位置服务器根据根密钥,所述随机值以及所述用户设备的设备标 识符派生出所述设备相关密钥;
或者,
所述位置服务器根据根密钥, 所述随机值, 所述用户设备的设备标识 符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出 所述设备相关密钥。
第三方面, 本发明实施例提供一种密钥生成的方法, 包括: 用户设备接收目的路由器发送的认证请求消息, 其中, 所述认证请求 消息包含所述随机值, 所述位置服务器所处域的标识符以及所述目的路由 器的标识符;
所述用户设备根据根密钥,所述随机值以及下述参数中的一种或几种 派生出设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处 域的标识符以及所述目的路由器的标识符,根据所述设备相关密钥派生出 会话密钥。
结合第三方面, 在第三方面的第一种可能的实现方式中, 所述用户设 备根据根密钥, 所述随机值以及下述参数中的一种或几种派生出设备相关
密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符,根据所述设备相关密钥派生出会话密钥,包括: 所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥以及计数值派生出临时密钥; 所述用户设备根据所述临时密钥,所述位置服务器所处域的标识符以 及所述目的路由器的标识符派生出会话密钥;
或者,
所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥, 计数值, 所述位置服务器所处 域的标识符以及所述目的路由器的标识符派生出临时密钥;
所述用户设备根据所述临时密钥派生出会话密钥;
或者,
所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥,所述位置服务器所处域的标识 符以及所述目的路由器的标识符派生出临时密钥;
所述用户设备根据所述临时密钥以及计数值派生出会话密钥; 或者,
所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥派生出临时密钥;
所述用户设备根据所述临时密钥, 计数值, 所述位置服务器所处域的 标识符以及所述目的路由器的标识符派生出会话密钥;
或者,
所述用户设备根据根密钥 ,所述随机值,所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出设 备相关密钥;
所述用户设备根据所述设备相关密钥以及计数值派生出临时密钥; 所述用户设备根据所述临时密钥派生出会话密钥;
或者,
所述用户设备根据根密钥 ,所述随机值,所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出设 备相关密钥;
所述用户设备根据所述设备相关密钥派生出临时密钥;
所述用户设备根据所述临时密钥以及计数值派生出会话密钥。
第四方面, 本发明实施例提供一种目的路由器, 包括:
接收模块, 用于接收源路由器发送的切换请求消息, 其中, 所述切换 请求消息包含用户设备的用户标识符, 所述用户设备的设备标识符;
发送模块, 用于在所述接收模块接收到切换请求消息时, 向位置服务 器发送接入请求消息, 其中, 所述接入请求消息包含所述用户设备的用户 标识符, 所述用户设备的设备标识符和所述目的路由器的标识符;
所述接收模块, 还用于接收所述位置服务器发送的接入响应消息, 其 中, 所述接入响应消息包含设备相关密钥, 所述设备相关密钥由所述位置 服务器根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户 设备的设备标识符, 所述位置服务器所处域的标识符, 所述目的路由器的 标识符;
生成模块: 用于在所述接收模块接收到接入响应消息时, 根据所述设 备相关密钥派生出会话密钥。
结合第四方面, 在第四方面的第一种可能的实现方式中, 所述生成模 块具体用于:
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥派生出会话密钥。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第 二种可能的实现方式中, 所述设备相关密钥由所述位置服务器根据随机 值, 根密钥以及所述用户设备的设备标识符派生;
相应的, 所述生成模块具体用于:
根据所述设备相关密钥以及计数值派生出临时密钥; 其中, 所述计数 值有所述目的路由器获取;
根据所述临时密钥,所述位置服务器所处域的标识符以及所述目的路 由器的标识符派生出会话密钥;
或者,
根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标识符以
及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据所述设备相关密钥,所述位置服务器所处域的标识符以及所述目 的路由器的标识符派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥;
或者,
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出会话密钥。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第 三种可能的实现方式中, 所述设备相关密钥由所述位置服务器根据随机 值, 根密钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识 符以及所述目的路由器的标识符派生,
相应的, 所述生成模块具体用于:
根据所述设备相关密钥以及计数值派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥。
结合第四方面至第四方面的第三种可能的实现方式中的任一种实现 方式, 在第四方面的第四种可能的实现方式中,
所述接收模块还用于: 接收所述位置服务器发送的认证请求消息; 其 中, 所述认证请求消息包含所述随机值和所述位置服务器所处域的标识 付;
所述发送模块还用于: 在所述接收模块接收到认证请求消息时, 向所 述用户设备发送认证请求消息,其中,所述认证请求消息包含所述随机值、 所述位置服务器所处域的标识符以及所述目的路由器的标识符, 以使得所 述用户设备返回认证响应消息及生成设备相关密钥以及会话密钥。
第五方面, 本发明实施例提供一种位置服务器, 包括:
接收模块, 用于接收目的路由器发送的接入请求消息, 其中, 所述接 入请求消息包含用户设备的用户标识符, 用户设备的设备标识符和所述目
的路由器的标识符;
发送模块, 用于在所述接收模块接收到接入请求消息时, 向所述目的 路由器发送认证请求消息, 其中, 所述认证请求消息包含随机值和所述位 置服务器所处域的标识符; 所述随机值由所述位置服务器生成, 用于认证 所述用户设备及生成设备相关密钥;
所述接收模块, 还用于接收所述目的路由器发送的认证响应消息; 生成模块 ,用于在所述接收模块接收到认证响应消息时 ,根据根密钥 , 所述随机值以及下述参数中的一种或几种派生出所述设备相关密钥: 所述 用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路 由器的标识符; 所述根密钥由位置服务器根据所述用户标识符获取;
所述发送模块, 还用于在所述生成模块生成设备相关密钥时, 向所述 目的路由器发送接入响应消息, 其中, 所述接入响应消息包含所述设备相 关密钥。
结合第五方面, 在第五方面的第一种可能的实现方式中,
所述生成模块具体用于:
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出所述 设备相关密钥;
或者,
根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符派生出所述设备相关 密钥。
第六方面, 本发明实施例提供一种用户设备, 包括:
接收模块: 用于接收目的路由器发送的认证请求消息, 其中, 所述认 证请求消息包含所述随机值, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符;
生成模块:用于在所述接收模块接收到认证请求消息时,根据根密钥 , 所述随机值以及下述参数中的一种或几种派生出设备相关密钥: 所述用户 设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路由器 的标识符, 根据所述设备相关密钥派生出会话密钥。
结合第六方面, 在第六方面的第一种可能的实现方式中,
所述生成模块具体用于:
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出设备
相关密钥;
根据所述设备相关密钥以及计数值派生出临时密钥;
根据所述临时密钥,所述位置服务器所处域的标识符以及所述目的路 由器的标识符派生出会话密钥;
或者,
根据根密钥, 所述随机值, 以及所述用户设备的设备标识符派生出设 备相关密钥;
根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标识符以 及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出设备 相关密钥;
根据所述设备相关密钥,所述位置服务器所处域的标识符以及所述目 的路由器的标识符派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥;
或者,
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出设备 相关密钥;
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及所 述目的路由器的标识符派生出会话密钥;
或者,
根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符派生出设备相关密钥; 根据所述设备相关密钥以及计数值派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符派生出设备相关密钥; 根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥 以及计数值派生出会话密钥。
第七方面, 本发明实施例提供一种密钥生成系统, 包括: 源路由器, 如第四方面至第四方面的第四种可能的实现方式中的任一项所述的目的 路由器, 如第五方面至第五方面的第一种可能的实现方式中的任一项所述 的位置服务器以及如第六方面至第六方面的第一种可能的实现方式中的 任一项所述的用户设备。 由上可知, 本发明实施例提供一种密钥生成的方法、 设备及系统, 目 的路由器接收源路由器发送的切换请求消息, 其中, 所述切换请求消息包 含用户设备的用户标识符, 所述用户设备的设备标识符; 所述目的路由器 向位置服务器发送接入请求消息, 其中, 所述接入请求消息包含所述用户 设备的用户标识符, 所述用户设备的设备标识符和所述目的路由器的标识 符; 所述目的路由器接收所述位置服务器发送的接入响应消息, 其中, 所 述接入响应消息包含设备相关密钥, 所述设备相关密钥由所述位置服务器 根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户设备的 设备标识符,所述位置服务器所处域的标识符,所述目的路由器的标识符; 所述随机值由所述位置服务器生成, 用于认证所述用户设备以及生成设备 相关密钥; 所述根密钥由位置服务器根据所述用户标识符获取; 所述目的 路由器根据所述接入响应消息中的设备相关密钥派生出会话密钥。 如此, 逐级派生出会话密钥, 为 U I P网络中用户设备与路由器之间的数据传输提 供机密性、 完整性; 避免了现有 U I P网络不能为用户设备与路由器之间的 数据传输提供机密性, 完整性的缺陷。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明的一些实施例, 对于本领域普通技术人员 来讲,在不付出创造性劳动的前提下,还可以用这些附图获得其他的附图。 图 1为 U I P的网络架构的示意图; 图 2为 U I P网络的 I D模型示意图; 图 3为 U I P网路的移动性管理的示意图; 图 4为本发明实施例提供的 U I P网络密钥等级的结构示意图; 图 5为本发明实施例提供的一种密钥生成的方法的流程图;
图 6为本发明实施例提供的一种密钥生成的方法的流程图; 图 7为本发明实施例提供的一种密钥生成的方法的流程图; 图 8为本发明实施例提供的另一种密钥生成的方法的流程图; 图 9为本发明实施例提供的另一种密钥生成的方法的流程图;
10为本发明实施例提供的另一种密钥生成的方法的流程图; 图 11为本发明实施例提供的另一种密钥生成的方法的流程图; 图 12为本发明实施例提供的另一种密钥生成的方法的流程图; 图 13为本发明实施例提供的另一种密钥生成的方法的流程图; 图 14为本发明实施例提供的另一种密钥生成的方法的流程图; 图 15为本发明实施例提供的另一种密钥生成的方法的流程图; 图 16为本发明实施例提供的另一种密钥生成的方法的流程图; 图 17为本发明实施例提供的另一种密钥生成的方法的流程图; 图 18为本发明实施例提供的另一种密钥生成的方法的流程图; 图 19为本发明实施例提供的另一种密钥生成的方法的流程图; 图 20为本发明实施例提供的一种目的路由器的结构图; 图 21为本发明实施例提供的一种位置服务器的结构图; 图 22为本发明实施例提供的一种用户设备的结构图; 图 23为本发明实施例提供的另一种目的路由器的结构图; 图 24为本发明实施例提供的另一种位置服务器的结构图; 图 25为本发明实施例提供的另一种用户设备的结构图;
26为本发明实施例提供的一种密钥生成系统的结构图。
具体实施方式 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进 行清楚、 完整地描述,显然, 所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。 基于本发明中的实施例, 本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的
范围。
本发明实施例提供的密钥生成的方法适用于用户身份协议网络( U s e r Identity Protocol, 简称 UIP网络) , 还可以适用于任意一个实现数据安全 传输的网路中; 本发明实施例对此不进行限制, 本发明实施例仅以 UIP网 络为例进行说明。 实施例一 图 5 为本发明实施例提供的一种密钥生成的方法的流程图, 如图 5 所示, 可以包括以下步骤:
501: 目的路由器接收源路由器发送的切换请求消息, 其中, 所述切 换请求消息包含用户设备的用户标识符, 所述用户设备的设备标识符。 其中, 源路由器和目的路由器是相对的概念, 根据用户设备 ( User Equipment, UE ) 的切换情况确定, 源路由器为所述 UE切换前与所述 UE 进行数据通信的路由器,目的路由器为所述 UE切换后与所述 UE进行数据 通信的路由器; 其中, 所述切换为 UE从一个路由器的覆盖区域移动到另 一个路由器的覆盖区域; 本发明实施例中, 源路由器和目的路由器可以在 同一个 UIP域内或不同的 UIP域内, 当源路由器和目的路由器处于同一个 UIP域内时, UE处于域内移动的状态; 当源路由器和目的路由器处于不同 的 UIP域内时, UE处于域间移动的状态; 例如, 图 2为 UIP网络中用户设 备移动性管理的示意图, 如图 2所示, 连接 UIP网络的 UE的移动情况可 以有下述两种: ( 1)域内移动, 如 UE从路由器 2的覆盖区域移动到路由 器 1的覆盖区域, 其中, 路由器 2为源路由器, 路由器 1为目的路由器; ( 2 )域间移动,如 UE从路由器 2的覆盖区域移动到路由器 3的覆盖区域, 其中, 路由器 2为源路由器, 路由器 3为目的路由器。 在本发明的一个实施例中, 当 UE从源路由器的覆盖区域移动到目的 路由器的覆盖区域时, 目的路由器接收源路由器发送的切换请求消息, 其 中, 所述切换请求消息包含所述用户设备的用户标识符, 所述用户设备的 设备标识符, 或者, 所述切换请求包含所述用户设备的用户标识符, 所述 用户设备的设备标识符以及定位符。 其中, 所述用户设备的用户标识符(User ID) , 所述用户设备的设备 标识符 ( Device ID) 以及定位符 ( Locator ) 是 UIP网络协议划分的三个标
识符 ( identification, ID) ; User ID由运营商分配, 永久不变; Device ID 由设备制造商或运营商分配,如国际移动设备辨识码( International Mobile Station Equipment Identity, IMEI ) , 一个 User ID可以关联多个 Device ID; Loctaor通常为 IP地址, 由运营商分配或用户设备指定, 一个 Device ID可 以关联多个 Locator; 所述用户设备的用户标识符, 所述用户设备的设备 标识符以及定位符可以在 UE与源路由器进行数据通信的初始化过程中保 存在源路由器中; 例如, 图 3为 UIP网络的 ID模型的示意图, 如图 3所 示, 对于一个用户多台设备的场景, UIP网络的 ID可以分为一个用户标识 符 ( User ID ) , 多个设备标识符 ( Device ID ) 以及多个定位符 ( Locator ) 。
502: 所述目的路由器向位置服务器发送接入请求消息, 其中, 所述 接入请求消息包含所述用户设备的用户标识符, 所述用户设备的设备标识 符和所述目的路由器的标识符。 其中, 所述目的路由器的标识符保存在所述目的路由器中, 用于标识 所述目的路由器。 所述位置服务器为所述用户设备的归属位置服务器和 /或拜访位置服 务器; 所述用户设备的归属位置服务器为归属域内的位置服务器, 所述拜 访位置服务器为拜访域内的位置服务器; 其中, 所述归属域为用户与运营 商签约时约定的用户所属的 U I P域, 在用户设备的通信过程中归属域是唯 一不变的; 所述拜访域为 UE处于漫游状态时所处的域; 所述漫游状态是 指 UE当前所处的 UIP域不是归属域; 例如, 如图 2所示, 假设 UE的归属 域为 UIP域 -1, 则位置服务器 SLS-1为归属位置服务器, 当 UE移动到 UIP 域 -2内的路由器 3的覆盖区域, 即离开归属域时, UE处于漫游状态, UIP 域 -2为拜访域, 位置服务器 SLS-2为拜访位置服务器。 在本发明的一个实施例中, 目的路由器可以根据所述 UE当前所处域 的情况, 向所述用户设备的归属位置服务器和 /或拜访位置服务器发送接 入请求消息; 其中, 根据图 2所示的 UIP网络中 UE的移动性以及 UIP域的情况可 知, UE 的移动情况可以为下述五种移动情况中的任一种情况: 归属域的 域内移动, 拜访域的域间移动, 拜访域到归属域的域间移动, 归属域到拜 访域的域间移动, 拜访域到拜访域的域间移动, 因此, 所述 UE 当前所处
域可以为归属域或者拜访域。
示例性的, 当所述 UE当前所处域是归属域时, 所述目的路由器向归属位置服务器发送接入请求信息。 示例性的, 当所述 UE当前所处域是拜访域时, 所述目的路由器向拜访位置服务器发送接入请求信息,以使得所述拜 访位置服务器向所述归属位置服务器发送所述接入请求信息。
503: 所述目的路由器接收所述位置服务器发送的接入响应消息, 其 中, 所述接入响应消息包含设备相关密钥, 所述设备相关密钥由所述位置 服务器根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户 设备的设备标识符, 所述位置服务器所处域的标识符, 所述目的路由器的 标识符; 所述随机值由所述位置服务器生成, 用于认证所述用户设备以及 生成设备相关密钥。
其中, 所述根密钥为 UE与 UIP网络中所述 UE和所述 UE的归属位置 服务器的共享密钥, 保存在所述 UE和所述归属位置服务器中, 且所述根 密钥与所述 UE的用户标识符( User ID)相对应,每个 UE有唯一的根密钥, 由位置服务器根据所述用户标识符查询得到, 用于派生出设备相关密钥, 所述根密钥 K可以由运营商预先设定, 本发明实施例对此不进行限定。
所述位置服务器所处域的标识符为归属位置服务器所处域的标识符, 保存在所述 UE的归属位置服务器中, 用于标识所述 UE的归属域; 在本发 明的一个实施例中, 所述位置服务器所处域的标识符可以由所述用户设备 的归属位置服务器发送给所述目的路由器,还可以由所述目的路由器通过 其他的配置方式获得, 本发明实施例对此不进行限定。
在本发明的一个实施例中, 所述设备相关密钥 ( Kdev) 可以由所述 UE的归属服务器根据随机值 (nonce) , 根密钥以及下述参数中的一种或 几种派生: 所述用户设备的设备标识符 ( Device ID) , 所述位置服务器所 处域的标识符 ( Domain ID) , 所述目的路由器的标识符 ( DR ID) , 实现 在一个用户多设备的场景下, 不同的设备具有不同的设备相关密钥 Kdev。
示例性的, 所述设备相关密钥 Kdev可以由所述归属位置服务器根据 随机值, 根密钥以及所述用户设备的设备标识符 ( Domain ID) , 采用密 钥派生函数( Key derivation function, KDF)派生, 列 ^口, Kdev=KDF(K, Device ID, nonce);
或者, 由所述归属位置服务器根据所述随机值 nonce, 根密钥 K, 所 述用户设备的设备标识符 ( Device ID ) , 位置服务器所处域的标识符 ( Domain ID)以及目的路由器的标识符( DR ID) , 采用密钥派生函数( Key derivation function, KDF ) 派生, 列 ^口, Kdev=KDF(K, Device ID, nonce,
Domain ID, DR ID)。 在本发明的一个实施例中, 所述目的路由器可以根据根据所述 UE当 前所处域的情况, 接收所述用户设备的归属位置服务器和 /或拜访位置服 务器发送的接入响应消息。 示例性的, 当所述 UE当前所处域是归属域时, 所述目的路由器接收所述归属位置服务器发送的接入响应消息。 示例性的, 当所述 UE当前所处域是拜访域时, 所述目的路由器接收所述拜访位置服务器发送的接入响应消息; 其 中, 所述接入响应消息为所述归属位置服务器发送给所述拜访位置服务器 的。
504: 所述目的路由器根据所述接入响应消息中的设备相关密钥派生 出会话密钥。
在本发明的一个实施例中,所述目的路由器根据所述接入响应消息中 的设备相关密钥派生出临时密钥; 根据所述临时密钥派生出会话密钥。 例 如, 图 4为本发明实施例提供的 UIP网络密钥等级的结构示意图, 如图 4 所示, UIP网络的密钥包含才艮密钥 K, 设备相关密钥 Kdev, 临时密钥 Kdev' 以及会话密钥 Ksession; 所述设备相关密钥 Kdev由才艮密钥 K派生, 所述 临时密钥 Kdev'由所述设备相关密钥 Kdev派生, 所述会话密钥 Ksession由 所述临时密钥 Kdev'派生, 逐级派生出会话密钥, 为目的路由器与用户设 备之间的数据传输提供机密性、 完整性保护。
示例性的, 所述设备相关密钥由所述位置服务器根据随机值, 根密钥 以及所述用户设备的设备标识符派生; 例如, 所述设备相关密钥 Kdev=KDF(K, Device ID, nonce);
相应的, 所述目的路由器可以通过下述 ( 1 ) - ( 4) 所述的方法派生 出会话密钥, 下面对这四种方法分别进行说明:
( 1) 所述目的路由器根据所述设备相关密钥以及计数值派生出临时
密钥, 例如, Kdev'=KDF(Kdev, counter); 其中, 所述计数值有所述目的路 由器获取, 计数值 counter为 UIP系统网络中路由器与用户设备维护的一 个计数器产生的;
根据所述临时密钥,所述位置服务器所处域的标识符以及所述目的路 由器的标识符派生出会话密钥, 例如, Ksession = KDF(Kdev', Domain ID, DR ID)。
( 2) 所述目的路由器根据所述设备相关密钥, 计数值, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符派生出临时密钥, 例 如, Kdev'=KDF(Kdev, counter, Domain ID, DR ID);
根据所述临时密钥派生出会话密钥, 例如, Ksession = KDF(Kdev')。
( 3) 所述目的路由器根据所述设备相关密钥, 所述位置服务器所处 域的标识符以及所述目 的路由器的标识符派生出临时密钥, 例如, Kdev'=KDF(Kdev, Domain ID, DR ID);
根据所述临时密钥以及计数值派生 出会话密钥 , 例如, Ksession=KDF(Kdev' , counter);
(4) 所述目的路由器根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev);
根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出会话密钥, 例如, Ksession = KDF(Kdev', counter, Domain ID, DR ID)。
示例性的 ,所述设备相关密钥由所述位置服务器根据随机值,根密钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符派生; 例如, 所述设备相关密钥 Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID),
相应的, 所述目的路由器可以通过下述 ( 1 ) - ( 2 ) 两种方法派生出 会话密钥, 下面对这两种方法分别进行说明:
( 1) 所述目的路由器根据所述设备相关密钥以及计数值派生出临时 密钥, 例如, Kdev'=KDF(Kdev, counter);
根据所述临时密钥派生出会话密钥, 例如, Ksession = KDF(Kdev');
( 2 )所述目的路由器根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev);
根据所述临时密钥 以及计数值派生出会话密钥, 例如,
Ksession = KDF( Kdev' , cou nter)。 进一步的, 上述方法还包括:
所述目的路由器接收所述位置服务器发送的认证请求消息; 其中, 所 述认证请求消息包含所述随机值和所述位置服务器所处域的标识符;
所述目的路由器向所述用户设备发送认证请求消息, 其中, 所述认证 请求消息包含所述随机值、 所述位置服务器所处域的标识符以及所述目的 路由器的标识符, 以使得所述用户设备返回认证响应消息及生成设备相关 密钥以及会话密钥。
由上可知, 本发明实施例提供一种密钥生成的方法, 目的路由器接 收源路由器发送的切换请求消息, 其中, 所述切换请求消息包含用户设 备的用户标识符, 所述用户设备的设备标识符; 所述目的路由器向位置 服务器发送接入请求消息, 其中, 所述接入请求消息包含所述用户设备 的用户标识符, 所述用户设备的设备标识符和所述目的路由器的标识符; 所述目的路由器接收所述位置服务器发送的接入响应消息, 其中, 所述 接入响应消息包含设备相关密钥, 所述设备相关密钥由所述位置服务器 根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户设备 的设备标识符, 所述位置服务器所处域的标识符, 所述目的路由器的标 识符; 所述随机值由所述位置服务器生成, 用于认证所述用户设备以及 生成设备相关密钥; 所述根密钥由位置服务器根据所述用户标识符获取; 所述目的路由器根据所述接入响应消息中的设备相关密钥派生出会话密 钥。 如此, 逐级派生出会话密钥, 为 U I P 网络中用户设备与路由器之间 的数据传输提供机密性、 完整性; 避免了现有 U I P 网络不能为用户设备 与路由器之间的数据传输提供机密性, 完整性的缺陷。
实施例二 图 6为本发明实施例提供的一种密钥生成的方法流程图, 如图 6所 示, 可以包括以下步骤:
601 : 位置服务器接收目的路由器发送的接入请求消息, 其中, 所述 接入请求消息包含用户设备的用户标识符, 用户设备的设备标识符和所述 目的路由器的标识符。
其中, 所述位置服务器包含归属位置服务器和 /或拜访位置服务器; 在本发明的一个实施例中, 当所述 U E当前所处域是归属域时, 所述
位置服务器为用户设备的归属位置服务器; 归属位置服务器接收目的路由器发送的接入请求消息。
当 U E当前所处域是拜访域时, 所述位置服务器为用户设备的归属位 置器和拜访位置服务器;
拜访位置服务器接收目的路由器发送的接入请求消息,以使得所述拜 访位置服务器向归属位置服务器发送所述接入请求消息。
602 : 所述位置服务器向所述目的路由器发送认证请求消息, 其中, 所述认证请求消息包含随机值和所述位置服务器所处域的标识符; 所述随 机值由所述位置服务器生成, 用于认证所述用户设备及生成设备相关密 钥;
在本发明的一个实施例中, 当所述 U E当前所处域是归属域时, 所述 位置服务器为用户设备的归属位置服务器; 归属位置服务器向所述目的路由器发送认证请求消息。
当所述 U E当前所处域是拜访域时, 所述位置服务器为用户设备的归 属位置器和拜访位置服务器;
拜访位置服务器向目的路由器发送所述认证请求; 其中, 所述认证请 求消息由归属位置服务器向拜访位置服务器发送。
603 : 所述位置服务器接收所述目的路由器发送的认证响应消息, 根 据根密钥, 所述随机值以及下述参数中的一种或几种派生出所述设备相关 密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符。 在本发明的一个实施例中, 当所述 U E当前所处域是归属域时, 所述 位置服务器为用户设备的归属位置服务器; 所述归属位置服务器接收所述目的路由器发送的认证响应消息,根据 下述 ( 1 ) - ( 2 ) 两种方式派生设备相关密钥。
当所述 U E当前所处域是拜访域时, 所述位置服务器为用户设备的归 属位置器和拜访位置服务器;
所述拜访位置服务器接收所述目的路由器发送的认证响应消息; 所述拜访位置服务器向所述归属位置服务器发送所述认证响应消息; 所述归属位置服务器接收所述拜访位置服务器发送的认证响应消息,
根据下述 ( 1) - ( 2 ) 两种方式派生设备相关密钥。
下面对这两种方式分别进行说明:
( 1) 归属位置服务器根据根密钥, 所述随机值以及所述用户设备的 设备标识符派生出所述设备相关密钥, 例如, 设备相关密钥 Kdev=KDF(K, Device ID, nonce);
( 2) 归属位置服务器根据根密钥, 所述随机值, 所述用户设备的设 备标识符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符 派生出所述设备相关密钥, 例如, 设备相关密钥 Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID)„
604: 所述位置服务器向所述目的路由器发送接入响应消息, 其中, 所述接入响应消息中包含所述设备相关密钥。 在本发明的一个实施例中, 当所述 UE当前所处域是归属域时, 所述 位置服务器为用户设备的归属位置服务器; 所述归属位置服务器向所述目的路由器发送接入响应消息。 当所述 UE当前所处域是拜访域时, 所述位置服务器为用户设备的归 属位置器和拜访位置服务器;
所述归属位置服务器向所述拜访位置服务器发送接入响应消息; 所述拜访位置服务器接收所述归属位置服务器发送的接入响应消息, 向所述目的路由器发送所述接入响应消息。
由上可知, 本发明实施例提供一种密钥协商的方法, 位置服务器接收 目的路由器发送的接入请求消息, 其中, 所述接入请求消息包含用户设备 的用户标识符和用户设备的设备标识符; 所述位置服务器向所述目的路由 器发送认证请求消息, 其中, 所述认证请求消息包含随机值和所述位置服 务器所处域的标识符, 所述随机值由所述位置服务器生成, 用于认证所述 用户设备及生成设备相关密钥; 所述位置服务器接收所述目的路由器发送 的认证响应消息, 根据根密钥, 所述随机值以及下述参数中的一种或几种 派生出所述设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器 所处域的标识符以及所述目的路由器的标识符。 如此, 位置服务器派生成 设备相关密钥, 以使得目的路由器根据所述设备相关密钥生成会话密钥, 为 UIP网络中用户设备与路由器之间的数据传输提供机密性、 完整性; 避 免了现有 UIP网络不能为终端用户与路由器之间的数据传输提供机密性,
完整性的缺陷。 实施例三 图 7为本发明实施例提供的一种密钥生成的方法流程图, 如图 7所 示, 可以包括以下步骤:
701: 用户设备接收目的路由器发送的认证请求消息, 其中, 所述认 证请求消息包含所述随机值, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符。
702: 所述用户设备根据根密钥, 所述随机值以及下述参数中的一种 或几种派生出设备相关密钥: 所述用户设备的设备标识符, 所述位置服务 器所处域的标识符以及所述目的路由器的标识符,根据所述设备相关密钥 派生出会话密钥。
在本发明的一个实施例中, 用户设备可以根据下述 ( 1 ) - ( 6) 六种 方式派生出会话密钥; 下面对这六种方式分别进行说明:
( 1) 用户设备根据随机值, 根密钥以及所述用户设备的设备标识符 派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce);
所述用户设备根据所述设备相关密钥以及计数值派生出临时密钥,例 如, Kdev'=KDF(Kdev, counter);
所述用户设备根据所述临时密钥,所述位置服务器所处域的标识符以 及所述目的路由器的标识符派生出会话密钥, 例如, Ksession=KDF(Kdev', Domain ID, DR ID);
( 2) 用户设备根据随机值, 根密钥, 以及所述用户设备的设备标识 符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce);
根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标识符以 及 所 述 目 的 路 由 器 的 标 识 符 派 生 出 临 时 密 钥 , 例 如 , Kdev'=KDF(Kdev , counter, DomainlD, DR ID);
根据所述临时密钥派生出会话密钥, 例如, Ksession = KDF(Kdev');
( 3) 用户设备根据随机值, 根密钥, 以及所述用户设备的设备标识 符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce);
根据所述设备相关密钥,所述位置服务器所处域的标识符以及所述目 的路由器的标识符派生出临时密钥, 例如, Kdev'=KDF(Kdev, Domain ID, DR ID);
根据所述临时密钥以及计数值派生 出会话密钥 , 例如,
Ksession = KDF(Kdev' , counter);
( 4) 用户设备根据随机值, 根密钥, 以及所述用户设备的设备标识 符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce);
根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev); 根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及所 述目的路由器的标识符派生出会话密钥, 例如, Ksession = KDF(Kdev' , counter, Domain ID, DR ID);
( 5 ) 用户设备根据随机值, 根密钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出设 备相关密钥, 例如, Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter);
根据所述临时密钥派生出会话密钥, 例如, Ksession = KDF(Kdev');
( 6) 用户设备根据随机值, 根密钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出设 备相关密钥, 例如, Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev); 根据所述临时密钥以及计数值派生 出会话密钥 , 例如, Ksession = KDF(Kdev' , counter)。
由上可知, 本发明实施例提供一种密钥生成的方法, 用户设备接收目 的路由器发送的认证请求消息,其中,所述认证请求消息包含所述随机值, 所述位置服务器所处域的标识符以及所述目的路由器的标识符; 所述用户 设备根据根密钥, 所述随机值以及下述参数中的一种或几种派生出设备相 关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以 及所述目的路由器的标识符, 根据所述设备相关密钥派生出临时密钥, 根 据所述临时密钥派生出会话密钥。 如此, 逐级派生出会话密钥, 为 UIP网 路中用户设备与路由器之间的数据传输提供机密性、 完整性; 避免了现有
UIP 网络不能为终端用户与路由器之间的数据传输提供机密性, 完整性的 缺陷。
下面对本发明实施例提供的一种密钥生成方法进行具体说明, 其中, 在下述的实施例中, 路由器用 DR表示, 位置服务器用 SLS表示, 用户设
备用 UE表示。
实施例四 图 8为本发明实施例提供的一种密钥生成方法流程图, 所述方法应 用于 UE处于归属域的场景下, 图 8所示的 SLS为归属 SLS, 如图 8所示, 可以包括以下步骤:
801: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
802: 目的 DR向 SLS发送接入请求消息; 其中, 所述接入请求消息 包含 User ID, Device ID, DR ID;
803: SLS生成一个随机值 nonce; 其中, 所述随机值 nonce用于认 证 UE及生成设备相关密钥 Kdev;
804: SLS 向目的 DR发送认证请求消息; 其中, 所述认证请求消息 包含 nonce, Domain ID; 所述 Domain ID保存在 SLS内;
805: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
806: UE向目的 DR发送认证响应消息, 以使得目的 DR将认证响应 消息反馈给 SLS;
807: 目的 DR向 SLS发送认证响应消息; 其中, 所述认证响应消息 用于通知 SLS完成认证过程;
808: SLS才艮据 UE的 User ID查询得到 SLS与 UE共享的才艮密钥 K;
809: SLS生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce) ;
810: SLS 向目的 DR发送接入响应消息; 其中, 所述接入响应消息 包含所述设备相关密钥 Kdev;
811: 目的 DR生成临时密钥 Kdev'=KDF ( Kdev, counter ) 及会话密 钥 Ksession = KDF ( Kdev', Domain ID, DR ID ) ;
812: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临
时密钥 Kdev'=KDF ( Kdev, counter ) 及会话密钥 Ksession=KDF ( Kdev', Domain ID, DR ID ) ; 进一步的, 由于当 UE移动到目的 DR的覆盖范围时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
813: 目的 DR向 SLS发送更新请求消息; 其中, 所述更新请求消息 包含目的 DR的 DR ID;
814: SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射关系;
815: SLS 向目的 DR发送更新响应消息; 其中, 所述更新响应消息 用于通知目的 DR信息更新已完成;
816: 目的 DR保存 UE的 User ID与 Locator的映射关系;
817: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中,需要说明的是,步骤 812为 UE生成密钥的过程,步骤 809-811 为目的 DR生成密钥的过程, 步骤 812和步骤 809-811不分先后顺序。
由上可知, 本发明实施例提供一种密钥生成的方法、 设备及系统, 目 的 DR接收源 DR发送的切换请求消息, 其中, 所述切换请求消息包含 UE 的用户标识符, 所述 UE的设备标识符; 所述目的 DR向 SLS发送接入请求 消息, 其中, 所述接入请求中包含所述 UE的用户标识符和所述 UE的设备 标识符, 所述 SLS为所述 UE的归属 SLS, 其中, 所述接入响应消息包含设 备相关密钥, 所述设备相关密钥所述 SLS根据随机值, 根密钥以及下述参 数中的一种或几种派生: 所述 UE 的设备标识符, 目的 DR所处域的域标 识, 目的 DR 的标识符; 所述目的 DR根据所述接入响应消息中的设备相 关密钥派生出临时密钥, 根据所述临时密钥派生出会话密钥。 如此, 逐级 派生出会话密钥, 为 UIP网络中 UE与 DR之间的数据传输提供机密性、 完 整性; 避免了现有 UIP网络不能为用户设备与路由器之间的数据传输提供 机密性, 完整性的缺陷。
实施例五 图 9为本发明实施例提供的一种密钥生成方法流程图, 所述方法应
用于 UE处于归属域的场景下, 此时, 图 9所示的 SLS为归属 SLS, 如图 9 所示, 可以包括以下步骤:
901: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
902: 目的 DR向 SLS发送接入请求消息; 其中, 所述接入请求消息 包含 User ID, Device ID, DR ID;
903: SLS生成一个随机值 nonce; 其中, 所述随机值 nonce用于认 证 UE及生成设备相关密钥 Kdev;
904: SLS 向目的 DR发送认证请求消息; 其中, 所述认证请求消息 包含 nonce, Domain ID, 所述 Domain ID保存在 SLS内;
905: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
906: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给 SLS;
907: 目的 DR向 SLS发送认证响应消息; 其中, 所述认证响应消息 用于通知 SLS完成认证过程;
908: SLS才艮据 UE的 User ID查询得到 SLS与 UE共享的才艮密钥 K; 909: SLS生成设备相关密钥 Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID);
910: SLS 向目的 DR发送接入响应消息; 其中, 所述接入响应消息 包含所述设备相关密钥 Kdev;
911: 目的 DR生成临时密钥 Kdev'=KDF ( Kdev, counter ) 及会话密 钥 Ksession = KDF(Kdev');
912: UE生成设备相关密钥 Kdev=KDF(K, Device ID, nonce, Domain ID , DR ID) , 临时密钥 Kdev'=KDF ( Kdev , counter ) 及会话密钥 Ksession = KDF(Kdev');
进一步的, 由于当 UE移动到目的 DR的覆盖区域时, 目的 DR中没
有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
913: 目的 DR向 SLS发送更新请求消息; 其中, 所述更新请求消息 包含目的 DR的 DR ID;
914: SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射关系;
915: SLS 向目的 DR发送更新响应消息; 其中, 所述更新响应消息 用于通知目的 DR信息更新已完成;
916: 目的 DR保存 User ID与 Locator的映射关系;
917: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中,需要说明的是,步骤 912为 UE生成密钥的过程,步骤 909-911 为目的 DR生成密钥的过程, 步骤 912和步骤 909-911不分先后顺序。
由上可知, 本发明实施例提供一种密钥生成的方法、 设备及系统, 目 的 DR接收源 DR发送的切换请求消息, 其中, 所述切换请求消息包含 UE 的用户标识符, 所述 UE的设备标识符; 所述目的 DR向 SLS发送接入请求 消息, 其中, 所述接入请求中包含所述 UE的用户标识符和所述 UE的设备 标识符, 所述 SLS为所述 UE的归属 SLS, 其中, 所述接入响应消息包含设 备相关密钥, 所述设备相关密钥所述 SLS根据随机值, 根密钥以及下述参 数中的一种或几种派生: 所述 UE 的设备标识符, 目的 DR所处域的域标 识, 目的 DR 的标识符; 所述目的 DR根据所述接入响应消息中的设备相 关密钥派生出临时密钥, 根据所述临时密钥派生出会话密钥。 如此, 逐级 派生出会话密钥, 为 UIP网络中 UE与 DR之间的数据传输提供机密性、 完 整性; 避免了现有 UIP网络不能为用户设备与路由器之间的数据传输提供 机密性, 完整性的缺陷。
实施例六 图 10为本发明实施例提供的另一种密钥生成方法流程图,所述方法 应用于 UE处于归属 i或的场景下, 此时, 图 10所示的 SLS为归属 SLS, 如 图 10所示, 可以包括以下步骤:
1001: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信
息包含 User ID, Device ID;
1002: 目的 DR向 SLS发送接入请求消息; 其中, 所述接入请求消息 包含 User ID, Device ID, DR ID;
1003: SLS生成一个随机值 nonce; 其中, 所述随机值 nonce用于认 证 UE及生成设备相关密钥 Kdev;
1004: SLS向目的 DR发送认证请求消息; 其中, 所述认证请求消息 包含 nonce, Domain ID; 所述 Domain ID保存在 SLS内;
1005: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1006: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给 SLS;
1007: 目的 DR向 SLS发送认证响应消息; 其中, 所述认证响应消息 用于通知 SLS完成认证过程;
1008: SLS才艮据 UE的 User ID查询得到 SLS与 UE共享的才艮密钥 K;
1009: SLS生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce) ;
1010: SLS向目的 DR发送接入响应消息; 其中, 所述接入响应消息 包含所述设备相关密钥 Kdev;
1011: 目的 DR生成临时密钥 Kdev'=KDF( Kdev, counter, Domain ID, DR ID ) 及会话密钥 Ksession = KDF ( Kdev' ) ;
1012: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临 时密钥 Kdev'=KDF ( Kdev, counter, Domain ID, DR ID ) 及会话密钥 Ksession = KDF ( Kdev' ) ; 进一步的, 由于当 UE移动到目的 DR的移动范围时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括:
1013: 目的 DR向 SLS发送更新请求消息; 其中, 所述更新请求消息
包含目的 DR的 DR ID;
1014: SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射关系;
1015: SLS向目的 DR发送更新响应消息; 其中, 所述更新响应消息 用于通知目的 DR信息更新已完成;
1016: 目的 DR保存 User ID与 Locator的映射关系;
1017: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1012 为 UE 生成密钥的过程, 步骤 1009-1011为目的 DR生成密钥的过程, 步骤 1012和步骤 1009-1011不分 先后顺序。
由上可知, 本发明实施例提供一种密钥生成的方法, 目的 DR接收源 DR发送的切换请求消息,其中,所述切换请求消息包含 UE的用户标识符, 所述 UE的设备标识符; 所述目的 DR向 SLS发送接入请求消息, 其中, 所 述接入请求中包含所述 UE的用户标识符和所述 UE的设备标识符, 其中, 所述接入响应消息包含设备相关密钥, 所述设备相关密钥所述 SLS根据随 机值, 根密钥以及下述参数中的一种或几种派生: 所述 UE的设备标识符, 目的 DR所处域的域标识, 目的 DR的标识符; 所述目的 DR根据所述接入 响应消息中的设备相关密钥派生出临时密钥,根据所述临时密钥派生出会 话密钥。 如此, 逐级派生出会话密钥, 为 UIP网络中 UE与 DR之间的数据 传输提供机密性、 完整性; 避免了现有 UIP网络不能为终端用户与 DR之 间的数据传输提供机密性, 完整性的缺陷。
实施例七 图 11为本发明实施例提供的另一种密钥生成方法流程图,所述方法 应用于 UE处于归属 i或的场景下, 此时, 图 11所示的 SLS为归属 SLS, 如 图 11所示, 可以包括以下步骤:
1101: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1102: 目的 DR向 SLS发送接入请求消息; 其中, 所述接入请求消息 包含 User ID, Device ID, DR ID;
1103: SLS生成一个随机值 nonce; 其中, 所述随机值 nonce用于认 证 UE及生成设备相关密钥 Kdev;
1104: SLS向目的 DR发送认证请求消息; 其中, 所述认证请求消息 包含 nonce, Domain ID; 所述 Domain ID保存在 SLS内;
1105: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1106: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给 SLS;
1107: 目的 DR向 SLS发送认证响应消息; 其中, 所述认证响应消息 用于通知 SLS完成认证过程;
1108: SLS才艮据 UE的 User ID查询得到 SLS与 UE共享的才艮密钥 K;
1109: SLS生成设备相关密钥 Kdev=KDF( K, Device ID, nonce, Domain ID, DR ID ) ;
1110: SLS向目的 DR发送接入响应消息; 其中, 所述接入响应消息 包含所述设备相关密钥 Kdev;
1111: 目 的 DR 生成临时密钥 Kdev'=KDF ( Kdev ) 及会话密钥 Ksession = KDF ( Kdev', counter ) ;
1112: UE生成设备相关密钥 Kdev=KDF( K, Device ID, nonce, Domain ID, DR ID ) ,临时密钥 Kdev'=KDF( Kdev )及会话密钥 Ksession = KDF ( Kdev', counter ) ;
进一步的, 由于当 UE移动到目的 DR的覆盖区域时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
1113: 目的 DR向 SLS发送更新请求消息; 其中, 所述更新请求消息 包含目的 DR的 DR ID;
1114: SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射关系;
1115: SLS向目的 DR发送更新响应消息; 其中, 所述更新响应消息 用于通知目的 DR信息更新已完成;
1116: 目的 DR保存 User ID与 Locator的映射关系;
1117: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1112 为 UE 生成密钥的过程, 步骤 1109-1111为目的 DR生成密钥的过程, 步骤 1112和步骤 1109-1111不分 先后顺序。
由上可知, 本发明实施例提供一种密钥生成的方法、 设备及系统, 目 的 DR接收源 DR发送的切换请求消息, 其中, 所述切换请求消息包含 UE 的用户标识符, 所述 UE的设备标识符; 所述目的 DR向 SLS发送接入请求 消息, 其中, 所述接入请求中包含所述 UE的用户标识符和所述 UE的设备 标识符, 所述 SLS为所述 UE的归属 SLS, 其中, 所述接入响应消息包含设 备相关密钥, 所述设备相关密钥所述 SLS根据随机值, 根密钥以及下述参 数中的一种或几种派生: 所述 UE 的设备标识符, 目的 DR所处域的域标 识, 目的 DR 的标识符; 所述目的 DR根据所述接入响应消息中的设备相 关密钥派生出临时密钥, 根据所述临时密钥派生出会话密钥。 如此, 逐级 派生出会话密钥, 为 UIP网络中 UE与 DR之间的数据传输提供机密性、 完 整性; 避免了现有 UIP网络不能为终端用户与 DR之间的数据传输提供机 密性, 完整性的缺陷。
实施例八
图 12为本发明实施例提供的另一种密钥生成方法流程图,所述方法 应用于 UE处于归属 i或的场景下, 此时, 图 12所示的 SLS为归属 SLS, 如 图 12所示, 可以包括以下步骤:
1201: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1202: 目的 DR向 SLS发送接入请求消息; 其中, 所述接入请求消息 包含 User ID, Device ID, DR ID;
1203: SLS生成一个随机值 nonce; 其中, 所述随机值 nonce用于认
证 UE及生成设备相关密钥 Kdev;
1204: SLS向目的 DR发送认证请求消息; 其中, 所述认证请求消息 包含 nonce, Domain ID; 所述 Domain ID保存在 SLS内;
1205: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1206: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给 SLS;
1207: 目的 DR向 SLS发送认证响应消息; 其中, 所述认证响应消息 用于通知 SLS完成认证过程;
1208: SLS才艮据 UE的 User ID查询得到 SLS与 UE共享的才艮密钥 K;
1209: SLS生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce) ;
1210: SLS向目的 DR发送接入响应消息; 其中, 所述接入响应消息 包含所述设备相关密钥 Kdev;
1211: 目的 DR生成临时密钥 Kdev'=KDF ( Kdev, Domain ID, DR ID ) 及会话密钥 Ksession = KDF ( Kdev', counter ) ;
1212: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临 时密钥 Kdev'=KDF ( Kdev, Domain ID, DR ID) 及会话密钥 Ksession=KDF ( Kdev' , counter ) ;
进一步的, 由于当 UE移动到目的 DR的覆盖范围时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
1213: 目的 DR向 SLS发送更新请求消息; 其中, 所述更新请求消息 包含目的 DR的 DR ID;
1214: SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射关系;
1215: SLS向目的 DR发送更新响应消息; 其中, 所述更新响应消息
用于通知目的 DR信息更新已完成;
1216: 目的 DR保存 User ID与 Locator的映射关系;
1217: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1212 为 UE 生成密钥的过程, 步骤 1209-1211为目的 DR生成密钥的过程, 步骤 1212和步骤 1209-1211不分 先后顺序。
由上可知, 本发明实施例提供一种密钥生成的方法、 设备及系统, 目 的 DR接收源 DR发送的切换请求消息, 其中, 所述切换请求消息包含 UE 的用户标识符, 所述 UE的设备标识符; 所述目的 DR向 SLS发送接入请求 消息, 其中, 所述接入请求中包含所述 UE的用户标识符和所述 UE的设备 标识符, 所述 SLS为所述 UE的归属 SLS, 其中, 所述接入响应消息包含设 备相关密钥, 所述设备相关密钥所述 SLS根据随机值, 根密钥以及下述参 数中的一种或几种派生: 所述 UE 的设备标识符, 目的 DR所处域的域标 识, 目的 DR 的标识符; 所述目的 DR根据所述接入响应消息中的设备相 关密钥派生出临时密钥, 根据所述临时密钥派生出会话密钥。 如此, 逐级 派生出会话密钥, 为 UIP网络中 UE与 DR之间的数据传输提供机密性、 完 整性; 避免了现有 UIP网络不能为 UE与 DR之间的数据传输提供机密性, 完整性的缺陷。
实施例九
图 13为本发明实施例提供的另一种密钥生成方法流程图,所述方法 应用于 UE处于归属 i或的场景下, 此时, 图 13所示的 SLS为归属 SLS, 如 图 13所示, 可以包括以下步骤:
1301: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1302: 目的 DR向 SLS发送接入请求消息; 其中, 所述接入请求消息 包含 User ID, Device ID, DR ID;
1303: SLS生成一个随机值 nonce; 其中, 所述随机值 nonce用于认 证 UE及生成设备相关密钥 Kdev;
1304: SLS向目的 DR发送认证请求消息; 其中, 所述认证请求消息
包含 nonce, Domain ID; 所述 Domain ID保存在 SLS内;
1305: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1306: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给 SLS;
1307: 目的 DR向 SLS发送认证响应消息; 其中, 所述认证响应消息 用于通知 SLS完成认证过程;
1308: SLS才艮据 UE的 User ID查询得到 SLS与 UE共享的才艮密钥 K;
1309: SLS生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce) ;
1310: SLS向目的 DR发送接入响应消息; 其中, 所述接入响应消息 包含所述设备相关密钥 Kdev;
1311: 目 的 DR 生成临时密钥 Kdev'=KDF ( Kdev ) 及会话密钥 Ksession = KDF ( Kdev', counter, Domain ID, DR ID ) ;
1312: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临 时密钥 Kdev'=KDF ( Kdev) 及会话密钥 Ksession = KDF ( Kdev', counter, Domain ID, DR ID ) ; 进一步的, 由于当 UE移动到目的 DR的移动范围时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
1313: 目的 DR向 SLS发送更新请求消息; 其中, 所述更新请求消息 包含目的 DR的 DR ID;
1314: SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射关系;
1315: SLS向目的 DR发送更新响应消息; 其中, 所述更新响应消息 用于通知目的 DR信息更新已完成;
1316: 目的 DR保存 User ID与 Locator的映射关系;
1317: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1312 为 UE 生成密钥的过程, 步骤 1309-1311为目的 DR生成密钥的过程, 步骤 1312和步骤 1309-1311不分 先后顺序。
由上可知, 本发明实施例提供另一种密钥生成的方法, 由上可知, 本 发明实施例提供一种密钥生成的方法、 设备及系统, 目的 DR 接收源 DR 发送的切换请求消息, 其中, 所述切换请求消息包含 UE的用户标识符, 所述 UE的设备标识符; 所述目的 DR向 SLS发送接入请求消息, 其中, 所 述接入请求中包含所述 UE 的用户标识符和所述 UE 的设备标识符, 所述 SLS为所述 UE的归属 SLS; 所述目的 DR接收所述 SLS发送的接入响应消 息, 其中, 所述接入响应消息包含设备相关密钥, 所述设备相关密钥所述 SLS根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述 UE的设 备标识符, 目的 DR所处域的域标识, 目的 DR的标识符; 所述目的 DR根 据所述接入响应消息中的设备相关密钥派生出临时密钥,根据所述临时密 钥派生出会话密钥。 如此, 逐级派生出会话密钥, 为 UIP网络中 UE与 DR 之间的数据传输提供机密性、 完整性; 避免了现有 UIP 网络不能为 UE与 D R之间的数据传输提供机密性, 完整性的缺陷。 实施例十
图 14为本发明实施例提供的另一种密钥生成的方法流程图,所述方 法适用于 UE处于拜访域, 即 UE处于漫游状态的场景下, 如图 14所示, 包括以下步骤:
1401: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1402: 目的 DR向拜访 SLS发送接入请求消息; 其中, 所述接入请求 消息包含 User ID, Device ID, DR ID; 所述拜访 SLS为所述目的 DR所处域 的 SLS;
1403: 拜访 SLS向归属 SLS发送接入请求消息; 其中, 所述接入请 求消息包含 User ID, Device ID, DR ID;
1404: 归属 SLS 生成一个随机值 nonce; 其中, 所述随机值 nonce
用于认证 UE及生成设备相关密钥 Kdev;
1405: 归属 SLS向拜访 SLS发送认证请求消息; 其中, 所述认证请 求消息包含所述随机值 nonce , Domain ID; 所述 Domain ID保存在归属 SLS内;
1406: 拜访 SLS向目的 DR发送认证请求消息; 所述认证请求消息包 含 nonce, Domain ID;
1407: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1408: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给拜访 SLS;
1409: 目的 DR向拜访 SLS发送认证响应消息; 以使得拜访 SLS将认 证响应消息反馈给归属 S LS;
1410: 拜访 SLS向归属 SLS发送认证响应消息; 其中, 所述认证响 应消息用于通知归属 SLS完成认证过程;
1411: 归属 SLS根据 UE的 User ID查询得到归属 SLS与 UE共享的根 密钥 K;
1412: 归属 SLS生成设备相关密钥 Kdev=KDF( K, Device ID, nonce) ;
1413: 归属 SLS向拜访 SLS发送接入响应消息; 其中, 所述接入响 应消息包含所述设备相关密钥 Kdev;
1414: 拜访 SLS向目的 DR发送接入响应消息; 其中, 所述接入响应 消息包含所述设备相关密钥 Kdev;
1415: 目的 DR生成临时密钥 Kdev'=KDF ( Kdev, counter )及会话密 钥 Ksession = KDF ( Kdev', Domain ID, DR ID ) ;
1416: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临 时密钥 Kdev'=KDF ( Kdev, counter ) 及会话密钥 Ksession=KDF ( Kdev', Domain ID, DR ID ) ;
进一步的, 由于当 UE移动到目的 DR的覆盖范围时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
1417: 目的 DR向拜访 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1418: 目的 DR向归属 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1419: 归属 SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射 关系;
1420: 归属 SLS向拜访 SLS发送更新响应消息, 其中, 所述更新响 应消息用于通知目的 DR信息更新已完成;
1421: 拜访 SLS向目的 DR发送更新响应消息;
1422: 目的 DR保存 User ID与 Locator的映射关系;
1423: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1416 为 UE 生成密钥的过程, 步骤 1411-1415为目的 DR生成密钥的过程, 步骤 1416和步骤 1411-1415不分 先后顺序。
由上可知, 本发明实施例提供另一种密钥生成的方法, 源 DR向目的 DR发送切换请求消息; 目的 DR向拜访 SLS发送接入请求消息; 拜访 SLS 向归属 SLS发送接入请求消息; 归属 SLS生成一个随机值 nonce; 归属 SLS 向拜访 SLS发送认证请求消息; 拜访 SLS向目的 DR发送认证请求消息; 目的 DR向 UE发送认证请求消息; UE向目的 DR发送认证响应消息; 目 的 DR向拜访 SLS发送认证响应消息;拜访 SLS向归属 SLS发送认证响应消 息; 归属 SLS才艮据 UE的 User ID查询得到归属 SLS与 UE共享的才艮密钥 K; 归属 SLS生成设备相关密钥; 归属 SLS向拜访 SLS发送接入响应消息; 拜 访 SLS向目的 DR发送接入响应消息; 目的 DR生成临时密钥及会话密钥; UE生成设备相关密钥, 临时密钥及会话密钥; 目的 DR向拜访 SLS发送更 新请求消息; 目的 DR向归属 SLS发送更新请求消息; 归属 SLS保存 U E与
当前 DR ID (即目的 DR的 DR ID) 的映射关系; 归属 SLS向拜访 SLS发送 更新响应消息,拜访 SLS向目的 DR发送更新响应消息; 目的 DR保存 User ID与 Locator的映射关系; 目的 DR向源 DR发送切换响应消息。 如此, 逐 级派生出会话密钥, 为 UIP网络中 UE与 DR之间的数据传输提供机密性、 完整性;避免了现有 UIP网络不能为 UE与 DR之间的数据传输提供机密性, 完整性的缺陷。 实施例十一
图 15为本发明实施例提供的另一种密钥生成的方法流程图,所述方 法适用于 UE处于拜访域, 即 UE处于漫游状态的场景下, 如图 15所示, 包括以下步骤:
1501: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1502: 目的 DR向拜访 SLS发送接入请求消息; 其中, 所述接入请求 消息包含 User ID, Device ID, DR ID; 所述拜访 SLS为所述目的 DR所处域 的 SLS;
1503: 拜访 SLS向归属 SLS发送接入请求消息; 其中, 所述接入请 求消息包含 User ID, Device ID, DR ID;
1504: 归属 SLS 生成一个随机值 nonce; 其中, 所述随机值 nonce 用于认证 UE及生成设备相关密钥 Kdev;
1505: 归属 SLS向拜访 SLS发送认证请求消息; 其中, 所述认证请 求消息包含所述随机值 nonce, Domain ID; 所述 Domain ID保存在归属 SLS内;
1506: 拜访 SLS向目的 DR发送认证请求消息; 所述认证请求消息包 含 nonce, Domain ID;
1507: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1508: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应
消息反馈给拜访 SLS;
1509: 目的 DR向拜访 SLS发送认证响应消息; 以使得拜访 SLS将认 证响应消息反馈给归属 S LS;
1510: 拜访 SLS向归属 SLS发送认证响应消息; 其中, 所述认证响 应消息用于通知归属 SLS完成认证过程;
1511: 归属 SLS根据 UE的 User ID查询得到归属 SLS与 UE共享的根 密钥 K;
1512: 归属 SLS生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce, Domain ID, DR ID ) ;
1513: 归属 SLS向拜访 SLS发送接入响应消息; 其中, 所述接入响 应消息包含所述设备相关密钥 Kdev;
1514: 拜访 SLS向目的 DR发送接入响应消息; 其中, 所述接入响应 消息包含所述设备相关密钥 Kdev;
1515: 目的 DR生成临时密钥 Kdev'=KDF ( Kdev, counter )及会话密 钥 Ksession = KDF ( Kdev' ) ;
1516: UE生成设备相关密钥 Kdev=KDF( K, Device ID, nonce, Domain ID, DR ID ),临时密钥 Kdev'=KDF( Kdev, counter )及会话密钥 Ksession=KDF ( Kdev' ) ;
进一步的, 由于 UE移动到目的 DR的覆盖区域时, 目的 DR中没有 所述 UE的 User ID与 Locator的映射关系,UE与目的 DR还没有建立联系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步骤:
1517: 目的 DR向拜访 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1518: 目的 DR向归属 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1519: 归属 SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射 关系;
1520: 归属 SLS向拜访 SLS发送更新响应消息, 其中, 所述更新响
应消息用于通知目的 DR信息更新已完成;
1521: 拜访 SLS向目的 DR发送更新响应消息;
1522: 目的 DR保存 User ID与 Locator的映射关系;
1523: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1516 为 UE 生成密钥的过程, 步骤 1511-1515为目的 DR生成密钥的过程, 步骤 1516和步骤 1511-1515不分 先后顺序。
由上可知, 本发明实施例提供另一种密钥生成的方法, 源 DR向目的 DR发送切换请求消息; 目的 DR向拜访 SLS发送接入请求消息; 拜访 SLS 向归属 SLS发送接入请求消息; 归属 SLS生成一个随机值 nonce; 归属 SLS 向拜访 SLS发送认证请求消息; 拜访 SLS向目的 DR发送认证请求消息; 目的 DR向 UE发送认证请求消息; UE向目的 DR发送认证响应消息; 目 的 DR向拜访 SLS发送认证响应消息;拜访 SLS向归属 SLS发送认证响应消 息; 归属 SLS才艮据 UE的 User ID查询得到归属 SLS与 UE共享的才艮密钥 K; 归属 SLS生成设备相关密钥; 归属 SLS向拜访 SLS发送接入响应消息; 拜 访 SLS向目的 DR发送接入响应消息; 目的 DR生成临时密钥及会话密钥; UE生成设备相关密钥, 临时密钥及会话密钥; 目的 DR向拜访 SLS发送更 新请求消息; 目的 DR向归属 SLS发送更新请求消息; 归属 SLS保存 U E与 当前 DR ID (即目的 DR的 DR ID) 的映射关系; 归属 SLS向拜访 SLS发送 更新响应消息,拜访 SLS向目的 DR发送更新响应消息; 目的 DR保存 User ID与 Locator的映射关系; 目的 DR向源 DR发送切换响应消息。 如此, 逐 级派生出会话密钥, 为 UIP网络中用户设备与路由器之间的数据传输提供 机密性、 完整性; 避免了现有 UIP网络不能为用户设备与路由器之间的数 据传输提供机密性, 完整性的缺陷。
实施例十二 图 16为本发明实施例提供的另一种密钥生成的方法,所述方法适用 于 UE处于拜访域, 即 UE处于漫游状态的场景下, 如图 16所示, 包括以 下步骤:
1601: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信
息包含 User ID, Device ID;
1602: 目的 DR向拜访 SLS发送接入请求消息; 其中, 所述接入请求 消息包含 User ID, Device ID, DR ID; 所述拜访 SLS为所述目的 DR所处域 的 SLS;
1603: 拜访 SLS向归属 SLS发送接入请求消息; 其中, 所述接入请 求消息包含 User ID, Device ID, DR ID;
1604: 归属 SLS 生成一个随机值 nonce; 其中, 所述随机值 nonce 用于认证 UE及生成设备相关密钥 Kdev;
1605: 归属 SLS向拜访 SLS发送认证请求消息; 其中, 所述认证请 求消息包含所述随机值 nonce, Domain ID;所述 Domain ID保存在归属 SLS 内;
1606: 拜访 SLS向目的 DR发送认证请求消息; 所述认证请求消息包 含 nonce, Domain ID;
1607: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1608: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给拜访 SLS;
1609: 目的 DR向拜访 SLS发送认证响应消息; 以使得拜访 SLS将认 证响应消息反馈给归属 S LS;
1610: 拜访 SLS向归属 SLS发送认证响应消息; 其中, 所述认证响 应消息用于通知归属 SLS完成认证过程;
1611: 归属 SLS根据 UE的 User ID查询得到归属 SLS与 UE共享的根 密钥 K;
1612: 归属 SLS生成设备相关密钥 Kdev=KDF( K, Device ID, nonce) ;
1613: 归属 SLS向拜访 SLS发送接入响应消息; 其中, 所述接入响 应消息包含所述设备相关密钥 Kdev;
1614: 拜访 SLS向目的 DR发送接入响应消息; 其中, 所述接入响应 消息包含所述设备相关密钥 Kdev;
1615: 目的 DR生成临时密钥 Kdev'=KDF( Kdev, counter, Domain ID, DR ID ) 及会话密钥 Ksession = KDF ( Kdev' ) ;
1616: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临 时密钥 Kdev'=KDF ( Kdev, counter, Domain ID, DR ID ) 及会话密钥 Ksession = KDF ( Kdev' ) ;
进一步的, 由于 UE移动到目的 DR的覆盖范围时, 目的 DR中没有 所述 UE的 User ID与 Locator的映射关系,UE与目的 DR还没有建立联系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步骤:
1617: 目的 DR向拜访 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1618: 目的 DR向归属 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1619: 归属 SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射 关系;
1620: 归属 SLS向拜访 SLS发送更新响应消息, 其中, 所述更新响 应消息用于通知目的 DR信息更新已完成;
1621: 拜访 SLS向目的 DR发送更新响应消息;
1622: 目的 DR保存 User ID与 Locator的映射关系;
1623: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1616 为 UE 生成密钥的过程, 步骤 1611-1615为目的 DR生成密钥的过程, 步骤 1616和步骤 1611-1615不分 先后顺序。
由上可知, 本发明实施例提供另一种密钥生成的方法, 源 DR向目的 DR发送切换请求消息; 目的 DR向拜访 SLS发送接入请求消息; 拜访 SLS 向归属 SLS发送接入请求消息; 归属 SLS生成一个随机值 nonce; 归属 SLS 向拜访 SLS发送认证请求消息; 拜访 SLS向目的 DR发送认证请求消息;
目的 DR向 UE发送认证请求消息; UE向目的 DR发送认证响应消息; 目 的 DR向拜访 SLS发送认证响应消息;拜访 SLS向归属 SLS发送认证响应消 息; 归属 SLS才艮据 UE的 User ID查询得到归属 SLS与 UE共享的才艮密钥 K; 归属 SLS生成设备相关密钥; 归属 SLS向拜访 SLS发送接入响应消息; 拜 访 SLS向目的 DR发送接入响应消息; 目的 DR生成临时密钥及会话密钥; UE生成设备相关密钥, 临时密钥及会话密钥; 目的 DR向拜访 SLS发送更 新请求消息; 目的 DR向归属 SLS发送更新请求消息; 归属 SLS保存 U E与 当前 DR ID (即目的 DR的 DR ID) 的映射关系; 归属 SLS向拜访 SLS发送 更新响应消息,拜访 SLS向目的 DR发送更新响应消息; 目的 DR保存 User ID与 Locator的映射关系; 目的 DR向源 DR发送切换响应消息。 如此, 逐 级派生出会话密钥, 为 UIP网络中用户设备与路由器之间的数据传输提供 机密性、 完整性; 避免了现有 UIP网络不能为用户设备与路由器之间的数 据传输提供机密性, 完整性的缺陷。
实施例十三
图 17为本发明实施例提供的另一种密钥生成的方法流程图,所述方 法适用于 UE处于拜访域, 即 UE处于漫游状态的场景下, 如图 17所示, 包括以下步骤:
1701: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1702: 目的 DR向拜访 SLS发送接入请求消息; 其中, 所述接入请求 消息包含 User ID, Device ID, DR ID; 所述拜访 SLS为所述目的 DR所处域 的 SLS;
1703: 拜访 SLS向归属 SLS发送接入请求消息; 其中, 所述接入请 求消息包含 User ID, Device ID, DR ID;
1704: 归属 SLS 生成一个随机值 nonce; 其中, 所述随机值 nonce 用于认证 UE及生成设备相关密钥 Kdev;
1705: 归属 SLS向拜访 SLS发送认证请求消息; 其中, 所述认证请 求消息包含所述随机值 nonce, Domain ID; 所述 Domain ID保存在归属 SLS内;
1706: 拜访 SLS向目的 DR发送认证请求消息; 所述认证请求消息包
含 nonce, Domain ID;
1707: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1708: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给拜访 SLS;
1709: 目的 DR向拜访 SLS发送认证响应消息; 以使得拜访 SLS将认 证响应消息反馈给归属 S LS;
1710: 拜访 SLS向归属 SLS发送认证响应消息; 其中, 所述认证响 应消息用于通知归属 SLS完成认证过程;
1711: 归属 SLS根据 UE的 User ID查询得到归属 SLS与 UE共享的根 密钥 K;
1712: 归属 SLS生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce, Domain ID, DR ID ) ;
1713: 归属 SLS向拜访 SLS发送接入响应消息; 其中, 所述接入响 应消息包含所述设备相关密钥 Kdev;
1714: 拜访 SLS向目的 DR发送接入响应消息; 其中, 所述接入响应 消息包含所述设备相关密钥 Kdev;
1715: 目 的 DR 生成临时密钥 Kdev'=KDF ( Kdev ) 及会话密钥 Ksession = KDF ( Kdev', counter ) ;
1716: UE生成设备相关密钥 Kdev=KDF( K, Device ID, nonce, Domain ID, DR ID ) ,临时密钥 Kdev'=KDF( Kdev )及会话密钥 Ksession = KDF ( Kdev', counter ) ;
进一步的, 由于当 UE移动到目的 DR的覆盖区域时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
1717: 目的 DR向拜访 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1718: 目的 DR向归属 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1719: 归属 SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射 关系;
1720: 归属 SLS向拜访 SLS发送更新响应消息, 其中, 所述更新响 应消息用于通知目的 DR信息更新已完成;
1721: 拜访 SLS向目的 DR发送更新响应消息;
1722: 目的 DR保存 User ID与 Locator的映射关系;
1723: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1716 为 UE 生成密钥的过程, 步骤 1711-1715为目的 DR生成密钥的过程, 步骤 1716和步骤 1711-1715不分 先后顺序。
由上可知, 本发明实施例提供另一种密钥生成的方法, 源 DR向目的 DR发送切换请求消息; 目的 DR向拜访 SLS发送接入请求消息; 拜访 SLS 向归属 SLS发送接入请求消息; 归属 SLS生成一个随机值 nonce; 归属 SLS 向拜访 SLS发送认证请求消息; 拜访 SLS向目的 DR发送认证请求消息; 目的 DR向 UE发送认证请求消息; UE向目的 DR发送认证响应消息; 目 的 DR向拜访 SLS发送认证响应消息;拜访 SLS向归属 SLS发送认证响应消 息; 归属 SLS才艮据 UE的 User ID查询得到归属 SLS与 UE共享的才艮密钥 K; 归属 SLS生成设备相关密钥; 归属 SLS向拜访 SLS发送接入响应消息; 拜 访 SLS向目的 DR发送接入响应消息; 目的 DR生成临时密钥及会话密钥; UE生成设备相关密钥, 临时密钥及会话密钥; 目的 DR向拜访 SLS发送更 新请求消息; 目的 DR向归属 SLS发送更新请求消息; 归属 SLS保存 U E与 当前 DR ID (即目的 DR的 DR ID) 的映射关系; 归属 SLS向拜访 SLS发送 更新响应消息,拜访 SLS向目的 DR发送更新响应消息; 目的 DR保存 User ID与 Locator的映射关系; 目的 DR向源 DR发送切换响应消息。 如此, 逐 级派生出会话密钥, 为 UIP网络中用户设备与路由器之间的数据传输提供
机密性、 完整性; 避免了现有 UIP网络不能为用户设备与路由器之间的数 据传输提供机密性, 完整性的缺陷。
实施例十四 图 18为本发明实施例提供的另一种密钥生成的方法流程图,所述方 法适用于 UE处于拜访域, 即 UE处于漫游状态的场景下, 如图 18所示, 包括以下步骤:
1801: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1802: 目的 DR向拜访 SLS发送接入请求消息; 其中, 所述接入请求 消息包含 User ID, Device ID, DR ID; 所述拜访 SLS为所述目的 DR所处域 的 SLS;
1803: 拜访 SLS向归属 SLS发送接入请求消息; 其中, 所述接入请 求消息包含 User ID, Device ID;
1804: 归属 SLS 生成一个随机值 nonce; 其中, 所述随机值 nonce 用于认证 UE及生成设备相关密钥 Kdev;
1805: 归属 SLS向拜访 SLS发送认证请求消息; 其中, 所述认证请 求消息包含所述随机值 nonce, Domain ID; 所述 Domain ID保存在归属 SLS内;
1806: 拜访 SLS向目的 DR发送认证请求消息; 所述认证请求消息包 含 nonce, Domain ID;
1807: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1808: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给拜访 SLS;
1809: 目的 DR向拜访 SLS发送认证响应消息; 以使得拜访 SLS将认 证响应消息反馈给归属 S LS;
1810: 拜访 SLS向归属 SLS发送认证响应消息; 其中, 所述认证响 应消息用于通知归属 SLS完成认证过程;
1811: 归属 SLS根据 UE的 User ID查询得到归属 SLS与 UE共享的根 密钥 K;
1812: 归属 SLS生成设备相关密钥 Kdev=KDF( K, Device ID, nonce) ;
1813: 归属 SLS向拜访 SLS发送接入响应消息; 其中, 所述接入响 应消息包含所述设备相关密钥 Kdev;
1814: 拜访 SLS向目的 DR发送接入响应消息; 其中, 所述接入响应 消息包含所述设备相关密钥 Kdev;
1815: 目的 DR生成临时密钥 Kdev'=KDF ( Kdev, Domain ID, DR ID ) 及会话密钥 Ksession = KDF ( Kdev', counter ) ;
1816: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临 时密钥 Kdev'=KDF ( Kdev, Domain ID, DR ID) 及会话密钥 Ksession=KDF ( Kdev' , counter ) ;
进一步的, 由于当 UE移动到目的 DR的覆盖范围时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
1817: 目的 DR向拜访 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1818: 目的 DR向归属 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1819: 归属 SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射 关系;
1820: 归属 SLS向拜访 SLS发送更新响应消息, 其中, 所述更新响 应消息用于通知目的 DR信息更新已完成;
1821: 拜访 SLS向目的 DR发送更新响应消息;
1822: 目的 DR保存 User ID与 Locator的映射关系;
1823: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1816 为 UE 生成密钥的过程, 步骤 1811-1815为目的 DR生成密钥的过程, 步骤 1816和步骤 1811-1815不分 先后顺序。
由上可知, 本发明实施例提供另一种密钥生成的方法, 源 DR向目的 DR发送切换请求消息; 目的 DR向拜访 SLS发送接入请求消息; 拜访 SLS 向归属 SLS发送接入请求消息; 归属 SLS生成一个随机值 nonce; 归属 SLS 向拜访 SLS发送认证请求消息; 拜访 SLS向目的 DR发送认证请求消息; 目的 DR向 UE发送认证请求消息; UE向目的 DR发送认证响应消息; 目 的 DR向拜访 SLS发送认证响应消息;拜访 SLS向归属 SLS发送认证响应消 息; 归属 SLS才艮据 UE的 User ID查询得到归属 SLS与 UE共享的才艮密钥 K; 归属 SLS生成设备相关密钥; 归属 SLS向拜访 SLS发送接入响应消息; 拜 访 SLS向目的 DR发送接入响应消息; 目的 DR生成临时密钥及会话密钥; UE生成设备相关密钥, 临时密钥及会话密钥; 目的 DR向拜访 SLS发送更 新请求消息; 目的 DR向归属 SLS发送更新请求消息; 归属 SLS保存 U E与 当前 DR ID (即目的 DR的 DR ID) 的映射关系; 归属 SLS向拜访 SLS发送 更新响应消息,拜访 SLS向目的 DR发送更新响应消息; 目的 DR保存 User ID与 Locator的映射关系; 目的 DR向源 DR发送切换响应消息。 如此, 逐 级派生出会话密钥, 为 UIP网络中用户设备与路由器之间的数据传输提供 机密性、 完整性; 避免了现有 UIP网络不能为用户设备与路由器之间的数 据传输提供机密性, 完整性的缺陷。 实施例十五
图 19为本发明实施例提供的另一种密钥生成的方法流程图,所述方 法适用于 UE当前处于拜访域, 即 UE处于漫游状态的场景下, 如图 19所 示, 包括以下步骤:
1901: 源 DR向目的 DR发送切换请求消息; 其中, 所述切换请求信 息包含 User ID, Device ID;
1902: 目的 DR向拜访 SLS发送接入请求消息; 其中, 所述接入请求 消息包含 User ID, Device ID, DR ID; 所述拜访 SLS为所述目的 DR所处域
的 SLS;
1903: 拜访 SLS向归属 SLS发送接入请求消息; 其中, 所述接入请 求消息包含 User ID, Device ID, DR ID;
1904: 归属 SLS 生成一个随机值 nonce; 其中, 所述随机值 nonce 用于认证 UE及生成设备相关密钥 Kdev;
1905: 归属 SLS向拜访 SLS发送认证请求消息; 其中, 所述认证请 求消息包含所述随机值 nonce, Domain ID; 所述 Domain ID保存在归属 SLS内;
1906: 拜访 SLS向目的 DR发送认证请求消息; 所述认证请求消息包 含 nonce, Domain ID;
1907: 目的 DR向 UE发送认证请求消息; 其中, 认证请求消息包含 nonce, Domain ID, DR ID, 以使得 UE根据 nonce, Domain ID, DR ID, 根密钥 K以及计数值 counter派生出设备相关密钥 Kdev,临时密钥 Kdev', 会话密钥 Ksession;
1908: UE向目的 DR发送认证响应消息; 以使得目的 DR将认证响应 消息反馈给拜访 SLS;
1909: 目的 DR向拜访 SLS发送认证响应消息; 以使得拜访 SLS将认 证响应消息反馈给归属 S LS;
1910: 拜访 SLS向归属 SLS发送认证响应消息; 其中, 所述认证响 应消息用于通知归属 SLS完成认证过程;
1911: 归属 SLS根据 UE的 User ID查询得到归属 SLS与 UE共享的根 密钥 K;
1912: 归属 SLS生成设备相关密钥 Kdev=KDF( K, Device ID, nonce) ;
1913: 归属 SLS向拜访 SLS发送接入响应消息; 其中, 所述接入响 应消息包含所述设备相关密钥 Kdev;
1914: 拜访 SLS向目的 DR发送接入响应消息; 其中, 所述接入响应 消息包含所述设备相关密钥 Kdev;
1915: 目 的 DR 生成临时密钥 Kdev'=KDF ( Kdev ) 及会话密钥
Ksession = KDF ( Kdev', counter, Domain ID, DR ID ) ;
1916: UE生成设备相关密钥 Kdev=KDF ( K, Device ID, nonce ) , 临 时密钥 Kdev'=KDF ( Kdev) 及会话密钥 Ksession = KDF ( Kdev', counter, Domain ID, DR ID ) ;
进一步的, 由于当 UE移动到目的 DR的覆盖范围时, 目的 DR中没 有所述 UE的 User ID与 Locator的映射关系, UE与目的 DR还没有建立联 系, 因此, 为了使所述 UE与目的 DR建立联系, 所述方法还包括以下步 骤:
1917: 目的 DR向拜访 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1918: 目的 DR向归属 SLS发送更新请求消息; 其中, 所述更新请求 消息包含目的 DR的 DR ID;
1919: 归属 SLS保存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射 关系;
1920: 归属 SLS向拜访 SLS发送更新响应消息, 其中, 所述更新响 应消息用于通知目的 DR信息更新已完成;
1921: 拜访 SLS向目的 DR发送更新响应消息;
1922: 目的 DR保存 User ID与 Locator的映射关系;
1923: 目的 DR向源 DR发送切换响应消息; 其中, 所述切换响应消 息用于通知源 DR切换已完成。 其中, 需要说明的是, 步骤 1916 为 UE 生成密钥的过程, 步骤 1911-1915为目的 DR生成密钥的过程, 步骤 1916和步骤 1911-1915不分 先后顺序。
由上可知, 本发明实施例提供另一种密钥生成的方法, 源 DR向目的 DR发送切换请求消息; 目的 DR向拜访 SLS发送接入请求消息; 拜访 SLS 向归属 SLS发送接入请求消息; 归属 SLS生成一个随机值 nonce; 归属 SLS 向拜访 SLS发送认证请求消息; 拜访 SLS向目的 DR发送认证请求消息; 目的 DR向 UE发送认证请求消息; UE向目的 DR发送认证响应消息; 目 的 DR向拜访 SLS发送认证响应消息; 拜访 SLS向归属 SLS发送认证响应
消息; 归属 SLS根据 UE的 User ID查询得到归属 SLS与 UE共享的根密钥 K; 归属 SLS生成设备相关密钥; 归属 SLS向拜访 SLS发送接入响应消息; 拜访 SLS向目的 DR发送接入响应消息; 目的 DR生成临时密钥及会话密 钥; UE生成设备相关密钥, 临时密钥及会话密钥; 目的 DR向拜访 SLS 发送更新请求消息; 目的 DR向归属 SLS发送更新请求消息; 归属 SLS保 存 UE与当前 DR ID (即目的 DR的 DR ID ) 的映射关系; 归属 SLS向拜访 SLS发送更新响应消息, 拜访 SLS向目的 DR发送更新响应消息; 目的 DR 保存 User ID与 Locator的映射关系;目的 DR向源 DR发送切换响应消息。 如此, 逐级派生出会话密钥, 为 UIP 网络中用户设备与路由器之间的数 据传输提供机密性、 完整性; 避免了现有 UIP 网络不能为用户设备与路 由器之间的数据传输提供机密性, 完整性的缺陷。 实施例十六
图 20为本发明实施例提供的一种目的路由器 200, 如图 20所示, 包 括: 接收模块 2001: 用于接收源路由器发送的切换请求消息, 其中, 所 述切换请求消息包含用户设备的用户标识符, 所述用户设备的设备标识 付。
其中, 源路由器和目的路由器是相对的概念, 根据用户设备 ( User Equipment, UE ) 的切换情况确定, 源路由器为所述 UE切换前与所述 UE 进行数据通信的路由器,目的路由器为所述 UE切换后与所述 UE进行数据 通信的路由器; 其中, 所述切换为 UE从一个路由器的覆盖区域移动到另 一个路由器的覆盖区域; 本发明实施例中, 源路由器和目的路由器可以在 同一个 UIP域内或不同的 UIP域内, 当源路由器和目的路由器处于同一个 UIP域内时, UE处于域内移动的状态; 当源路由器和目的路由器处于不同 的 UIP域内时, UE处于域间移动的状态; 例如, 图 2为 UIP网络中用户设 备移动性管理的示意图, 如图 2所示, 连接 UIP网络的 UE的移动情况可 以有下述两种: 域内移动, 如 UE从路由器 2的覆盖区域移动到路由器 1 的覆盖区域, 其中路由器 2为源路由器, 路由器 1为目的路由器; 域间移 动, 如 UE从路由器 2的覆盖区域移动到路由器 3的覆盖区域, 其中, 路 由器 2为源路由器, 路由器 3为目的路由器。
在本发明的一个实施例中, 当 UE从源路由器的覆盖区域移动到目的 路由器 200的覆盖区域时, 接收模块 2001接收源路由器发送的切换请求 消息, 其中, 所述切换请求消息包含所述用户设备的用户标识符, 所述用 户设备的设备标识符, 或者, 所述切换请求消息包含所述用户设备的用户 标识符, 所述用户设备的设备标识符以及定位符。 其中, 所述用户设备的用户标识符(User ID) , 所述用户设备的设备 标识符 ( Device ID) 以及定位符 ( Locator ) 是 UIP网络协议划分的三个标 识符 ( identification, ID) ; User ID由运营商分配, 永久不变; Device ID 由设备制造商或运营商分配,如国际移动设备辨识码( International Mobile Station Equipment Identity, IMEI ) , 一个 User ID可以关联多个 Device ID; Loctaor通常为 IP地址, 由运营商分配或用户设备指定, 一个 Device ID可 以关联多个 Locator; 所述用户设备的用户标识符, 所述用户设备的设备 标识符以及定位符可以在 UE与源路由器进行数据通信的初始化过程中保 存在源路由器中; 例如, 图 3为 UIP网络的 ID模型的示意图, 如图 3所 示, 对于一个用户多台设备的场景, UIP网络的 ID可以分为一个用户标识 符 ( User ID ) , 多个设备标识符 ( Device ID ) 以及多个定位符 ( Locator ) 。 发送模块 2002: 用于在所述接收模块接收到切换请求消息时, 向位 置服务器发送接入请求消息, 其中, 所述接入请求消息包含所述用户设备 的用户标识符, 所述用户设备的设备标识符和所述目的路由器的标识符。
其中, 所述目的路由器的标识符保存在所述目的路由器中, 用于标识 所述目的路由器。
所述位置服务器为所述用户设备的归属位置服务器和 /或拜访位置 服务器; 所述用户设备的归属位置服务器为归属域内的位置服务器, 所 述拜访位置服务器为拜访域内的位置服务器; 其中, 所述归属域为用户 与运营商签约时约定的用户所属的 UIP 域, 在用户设备的通信过程中归 属域是唯一不变的; 所述拜访域为 UE处于漫游状态时所处的域; 所述漫 游状态是指 UE当前所处的 UIP域不是归属域; 例如, 如图 2所示, 假设 UE的归属域为 UIP域 -1, 则位置服务器 SLS-1为归属位置服务器, 当 UE 移动到 UIP域 -2内的路由器 3的覆盖区域, 即离开归属域时, UE处于漫 游状态, UIP域 -2为拜访域, 位置服务器 SLS-2为拜访位置服务器。
所述接收模块 2001还用于,接收所述位置服务器发送的接入响应消 息, 其中, 所述接入响应消息包含设备相关密钥, 所述设备相关密钥由 所述位置服务器根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户设备的设备标识符, 所述位置服务器所处域的域标识, 所述目 的路由器的标识符。 其中, 所述随机值由所述位置服务器生成, 用于认证所述用户设备 以及生成设备相关密钥; 所述根密钥为 UE与 UIP网络中所述 UE和所述 UE的归属位置服务 器的共享密钥, 保存在所述 UE和所述归属位置服务器中, 且所述根密钥 与所述 UE的用户标识符 ( User ID) 相对应, 每个 UE有唯一的才艮密钥, 由位置服务器根据所述用户标识符查询得到, 用于派生出设备相关密钥, 所述根密钥 K可以由运营商预先设定, 本发明实施例对此不进行限定。 所述位置服务器所处域的标识符为归属位置服务器所处域的标识 符, 保存在所述 UE的归属位置服务器中, 用于标识所述 UE的归属域; 在本发明的一个实施例中, 所述位置服务器所处域的标识符可以由所述 用户设备的归属位置服务器发送给所述目的路由器, 还可以由所述目的 路由器通过其他的配置方式获得, 本发明实施例对此不进行限定。 所述设备相关密钥( Kdev)可以由所述 UE的归属服务器根据随机值 ( nonce ) , 根密钥以及下述参数中的一种或几种派生: 所述用户设备的 设备标识符( Device ID) , 所述位置服务器所处域的标识符( Domain ID) , 所述目的路由器的标识符 (DR ID) , 实现在一个用户多设备的场景下, 不同的设备具有不同的设备相关密钥 Kdev。 在本发明的一个实施例中, 所述设备相关密钥 Kdev可以由所述归属 位置服务器根据随机值,根密钥以及所述用户设备的设备标识符( Domain ID) , 采用密钥派生函数 ( Key derivation function, KDF ) 派生, 列 ^口, Kdev=KDF(K, Device ID, nonce); 或者, 由所述归属位置服务器根据所述随机值 nonce, 根密钥 K, 所 述用户设备的设备标识符 ( Device ID ) , 位置服务器所处域的标识符 ( Domain ID )以及目的路由器的标识符( DR ID ) ,采用密钥派生函数( Key derivation function, KDF ) 派生, 列 ^口, Kdev=KDF(K, Device ID, nonce,
Domain ID, DR ID)。 生成模块 2003, 用于在所述接收单元 2001接收到接入响应消息时, 根据所述设备相关密钥派生出会话密钥。
进一步的, 发送模块 2001具体用于, 根据所述 UE当前所处域的情 况, 向所述用户设备的归属位置服务器和 /或拜访位置服务器发送接入请 求消息。 本发明实施例中, 根据图 2所示的 UIP网络中 UE的移动性以及 UIP 域的情况可知,UE的移动情况可以为下述五种移动情况中的任一种情况: 归属域的域内移动, 拜访域的域间移动, 拜访域到归属域的域间移动, 归属域到拜访域的域间移动, 拜访域到拜访域的域间移动, 因此, 所述 UE当前所处域可以为归属域或者拜访域。 示例性的, 当所述 UE当前所处域是归属域时, 发送模块 2001向归 属位置服务器发送接入请求信息。
示例性的, 当所述 UE当前所处域是拜访域时, 发送模块 2001向拜 访位置服务器发送接入请求信息, 以使得所述拜访位置服务器向所述归 属位置服务器发送所述接入请求信息。 进一步的, 生成模块 2003具体用于, 根据所述接入响应消息中的设 备相关密钥派生出临时密钥; 根据所述临时密钥派生出会话密钥。 例如, 图 4为本发明实施例提供的 UIP 网络密钥等级的结构示意图, 如图 4所 示, UIP网络的密钥包含才艮密钥 K, 设备相关密钥 Kdev, 临时密钥 Kdev' 以及会话密钥 Ksession; 所述设备相关密钥 Kdev由根密钥 K派生, 所述 临时密钥 Kdev'由所述设备相关密钥 Kdev派生, 所述会话密钥 Ksession 由所述临时密钥 Kdev'派生, 逐级派生出会话密钥, 为目的路由器与用户 设备之间的数据传输提供机密性、 完整性保护。 示例性的, 所述设备相关密钥由所述位置服务器根据随机值, 根密 钥以及所述用户设备的设备标识符派生; 例如, 所述设备相关密钥 Kdev=KDF(K, Device ID, nonce); 所述生成模块 2003 具体用于, 通过下述 ( 1 ) - (4) 四种方法派生 出会话密钥, 下面对这四种方法分别进行说明:
( 1 ) 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter); 其中, 计数值 counter为 UIP系统网络中路由 器与用户设备维护的一个计数器产生的计数值; 根据所述临时密钥, 所述位置服务器所处域的标识符以及所述目的 路由器的标识符派生出会话密钥, 例如, Ksession = KDF(Kdev', Domain ID, DR ID)。
( 2)根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标 识符以及所述目 的路由器的标识符派生 出 临时密钥, 例如, Kdev'=KDF(Kdev, counter, Domain ID, DR ID); 根据所述临时密钥派生出会话密钥, 例如, Ksession=KDF(Kdev')。
( 3)根据所述设备相关密钥, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出临时密钥,例如, Kdev'=KDF(Kdev, Domain ID, DR ID); 根据所述临时密钥以及计数值派生 出会话密钥, 例如, Ksession = KDF(Kdev', counter);
( 4 ) 根据所述设备相关密钥派生 出 临时密钥 , 例如, Kdev'=KDF(Kdev ); 根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出会话密钥, 例如, Ksession=KDF(Kdev', counter, Domain ID, DR ID)。 示例性的, 所述设备相关密钥由所述位置服务器根据随机值, 根密 钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生; 例如, 所述设备相关密钥 Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 所述生成模块 2003 具体用于, 通过下述 ( 1 ) - ( 2 ) 两种方法派生 出会话密钥, 下面对这两种方法分别进行说明:
( 1 ) 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter); 根据所述临时密钥派生出会话密钥, 例如, Ksession = KDF(Kdev');
( 2 ) 根据所述设备相关密钥派生 出 临时密钥 , 例如, Kdev'=KDF(Kdev) ; 根据所述临时密钥 以及计数值派生出会话密钥, 例如, Ksession = KDF(Kdev' , counter)。 进一步的, 所述接收模块 2001还用于, 接收所述位置服务器发送的 认证请求消息; 其中认证请求消息包含所述随机值和所述位置服务器所 处域的标识符; 所述发送模块 2002还用于, 在所述接收模块 2001接收到认证请求 消息时, 向所述用户设备发送认证请求消息, 其中, 认证请求消息包含 所述随机值、 所述位置服务器所处域的标识符以及所述目的路由器的标 识符, 以使得所述用户设备返回认证响应消息及生成设备相关密钥以及 会话密钥。
由上可知, 本发明实施例提供一种目的路由器 200 , 接收源路由器 发送的切换请求消息, 其中, 所述切换请求消息包含用户设备的用户标 识符, 所述用户设备的设备标识符; 向位置服务器发送接入请求消息, 其中, 所述接入请求中包含所述用户设备的用户标识符, 所述用户设备 的设备标识符和所述目的路由器的标识符; 接收所述位置服务器发送的 接入响应消息, 其中, 所述接入响应消息包含设备相关密钥, 所述设备 相关密钥由位置服务器根据所述随机值, 根密钥以及下述参数中的一种 或几种派生: 所述用户设备的设备标识符, 所述位置服务器所处域的标 识符, 所述目的路由器的标识符; 根据所述接入响应消息中的设备相关 密钥派生出会话密钥。 如此, 逐级派生出会话密钥, 为 U I P 网络中用户 设备与路由器之间的数据传输提供机密性、 完整性; 避免了现有 U I P 网 络不能为用户设备与路由器之间的数据传输提供机密性, 完整性的缺陷。
实施例十七 图 21为本发明实施例提供的一种位置服务器 210 , 如图 21所示, 包括: 接收模块 2101 , 用于接收目的路由器发送的接入请求消息, 其中, 所述接入请求消息包含用户设备的用户标识符, 用户设备的设备标识符 和所述目的路由器的标识符。
发送模块 2102 , 用于在所述接收模块接收到接入请求信息时, 向所 述目的路由器发送认证请求消息, 其中, 所述认证请求中包含随机值和 所述位置服务器所处域的标识符; 所述随机值由所述位置服务器生成, 用于认证所述用户设备及生成设备相关密钥。 所述接收模块 2101还用于,接收所述目的路由器发送的认证响应消 息,
生成模块 2103 , 用于在所述接收模块接收到所述目的路由器发送的 认证响应消息时, 根据根密钥, 所述随机值以及下述参数中的一种或几 种派生出所述设备相关密钥: 所述用户设备的设备标识符, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符。 所述发送模块 2102 , 还用于在所述生成模块生成设备相关密钥时, 向所述目的路由器发送接入响应消息, 其中, 所述接入响应消息中包含 所述设备相关密钥。 进一步的, 所述生成模块 2103 具体用于, 通过下述 ( 1 ) - ( 2 ) 两 种方式派生设备相关密钥, 下面对这两种方式分别进行说明:
( 1 )根据根密钥, 所述随机值以及所述用户设备的设备标识符派生 出所述设备相关密钥,例如,设备相关密钥 Kdev=KDF(K, Device ID , nonce) ;
( 2 )根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述 位置服务器所处域的标识符以及所述目的路由器的标识符派生出所述设 备相关密钥,例如,设备相关密钥 Kdev=KDF(K, Device ID , nonce , Domain I D , DR I D)。 由上可知, 本发明实施例提供一种目的路由器 230 , 接收源路由器 发送的切换请求消息, 其中, 所述切换请求消息包含用户设备的用户标 识符, 所述用户设备的设备标识符; 向位置服务器发送接入请求消息, 其中, 所述接入请求中包含所述用户设备的用户标识符和所述用户设备 的设备标识符, 所述位置服务器为所述用户设备的归属位置服务器和 /或 拜访位置服务器; 接收所述位置服务器发送的接入响应消息, 其中, 所 述接入响应消息包含设备相关密钥, 所述设备相关密钥所述位置服务器 根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户设备 的设备标识符, 目的路由器所处域的域标识, 目的路由器的标识符; 根
据所述接入响应消息中的设备相关密钥派生出临时密钥, 根据所述临时 密钥派生出会话密钥。 如此, 逐级派生出会话密钥, 为 UIP 网络中用户 设备与路由器之间的数据传输提供机密性、 完整性; 避免了现有 UIP 网 络的通信过程中没有会话密钥, 不能为终端用户与路由器之间的数据传 输提供机密性, 完整性的缺陷。
实施例十八
图 22为本发明实施例提供的一种用户设备 220, 如图 22所示, 包 括:
接收模块 2201: 用于接收目的路由器发送的认证请求消息, 其中, 所述认证请求消息包含所述随机值, 所述位置服务器所处域的标识符以 及所述目的路由器的标识符。 生成模块 2202: 用于在所述接收模块接收到认证请求消息时, 根据 根密钥, 所述随机值以及下述参数中的一种或几种派生出设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述 目的路由器的标识符, 根据所述设备相关密钥派生出会话密钥。
进一步的, 所述生成模块 2202具体用于, 根据所述设备相关密钥派 生出临时密钥, 根据所述临时密钥派生出会话密钥。 示例性的, 所述生成模块 2202 通过下述 ( 1 ) - ( 6) 六种方式派生 出会话密钥, 下面对这六种方式分别进行说明:
( 1) 根据随机值, 根密钥以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter); 根据所述临时密钥, 所述位置服务器所处域的标识符以及所述目的 路由器的标识符派生出会话密钥, 例如, Ksession=KDF(Kdev', Domain ID, DR ID);
( 2)根据随机值,根密钥, 以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标识符
以 及所述 目 的路由 器 的 标识符派生 出 临 时 密钥 , 例如 ,
Kdev'=KDF(Kdev , counter, DomainlD, DR ID); 根据所述临时密钥派生出会话密钥, 例如, Ksession=KDF(Kdev');
( 3)根据随机值,根密钥, 以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥, 所述位置服务器所处域的标识符以及所述 目的路由器的标识符派生出临时密钥,例如, Kdev'=KDF(Kdev, Domain ID, DR ID); 根据所述临时密钥以及计数值派生 出会话密钥, 例如, Ksession = KDF(Kdev', counter);
( 4)根据随机值,根密钥, 以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev); 根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出会话密钥, 例如, Ksession=KDF(Kdev', counter, Domain ID, DR ID);
( 5)根据随机值, 根密钥, 的设备标识符, 所述位置服务器所处域 的标识符以及所述目的路由器的标识符派生出设备相关密钥, 例如, Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter); 根据所述临时密钥派生出会话密钥, 例如, Ksession=KDF(Kdev');
( 6)根据随机值, 根密钥, 的设备标识符, 所述位置服务器所处域 的标识符以及所述目的路由器的标识符派生出设备相关密钥, 例如, Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev); 根据所述临时密钥以及计数值派生 出会话密钥, 例如, Ksession = KDF(Kdev', counter)。
由上可知, 本发明实施例提供一种用户设备 220, 接收目的路由器 发送的认证请求消息, 其中, 所述认证请求消息中包含所述随机值, 所 述位置服务器所处域的标识符以及所述目的路由器的标识符; 根据根密 钥, 所述随机值以及下述参数中的一种或几种派生出设备相关密钥: 所 述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符, 根据所述设备相关密钥派生出会话密钥。 如此, 逐 级派生出会话密钥, 为 UIP 网络中用户设备与路由器之间的数据传输提 供机密性、 完整性; 避免了现有 UIP 网络不能为用户设备与路由器之间 的数据传输提供机密性, 完整性的缺陷。
实施例十九 参见图 23, 为本发明实施例提供的另一种目的路由器 230, 如图 23 所示, 该设备包括: 处理器 2301、 存储器 2302、 通信单元 2303, 至少一 个通信总线 2304, 用于实现这些装置之间的连接和相互通信; 处理器 2301可能是一个中央处理器 (英文: central processing unit, 简称为 CPU ) ; 存储器 2302, 可以是易失性存储器(英文: volatile memory) , 例如 随机存取存储器 (英文: random-access memory, 缩写: RAM ) ; 或者非 易失性存储器 (英文: non-volatile memory) , 例如只读存储器 (英文: read-only memory, 缩写: ROM ) , 快闪存储器 (英文: flash memory ) , 硬盘(英文: hard disk drive, 缩写: HDD )或固态硬盘(英文: solid-state drive, 缩写: SSD) ; 或者上述种类的存储器的组合, 并向处理器 1001提 供指令和数据; 所述通信单元 2303, 用于接收源路由器发送的切换请求消息, 其中, 所述切换请求消息包含用户设备的用户标识符, 所述用户设备的设备标识 付。
其中, 源路由器和目的路由器是相对的概念, 根据用户设备 ( User Equipment, UE) 的切换情况确定, 源路由器为所述 UE切换前与所述 UE 进行数据通信的路由器,目的路由器为所述 UE切换后与所述 UE进行数据 通信的路由器; 其中, 所述切换为 UE从一个路由器的覆盖区域移动到另 一个路由器的覆盖区域; 本发明实施例中, 源路由器和目的路由器可以在
同一个 UIP域内或不同的 UIP域内, 当源路由器和目的路由器处于同一个 UIP域内时, UE处于域内移动的状态; 当源路由器和目的路由器处于不同 的 UIP域内时, UE处于域间移动的状态; 例如, 图 2为 UIP网络中用户设 备移动性管理的示意图, 如图 2所示, 连接 UIP网络的 UE的移动情况可 以有下述两种: 域内路由器间移动, 如 UE从路由器 2的覆盖区域移动到 路由器 1的覆盖区域,其中路由器 2为源路由器,路由器 1为目的路由器; 域间路由器间移动, 如 UE从路由器 2的覆盖区域移动到路由器 3的覆盖 区域, 其中, 路由器 2为源路由器, 路由器 3为目的路由器。 在本发明的一个实施例中, 当 UE从源路由器的覆盖区域移动到目的 路由器 200的覆盖区域时, 接收模块 2001接收源路由器发送的切换请求 消息, 其中, 所述切换请求消息包含所述用户设备的用户标识符, 所述用 户设备的设备标识符, 或者, 所述切换请求消息包含所述用户设备的用户 标识符, 所述用户设备的设备标识符以及定位符。 其中, 所述用户设备的用户标识符(User ID) , 所述用户设备的设备 标识符 ( Device ID) 以及定位符 ( Locator ) 是 UIP网络协议划分的三个标 识符 ( identification, ID) ; User ID由运营商分配, 永久不变; Device ID 由设备制造商或运营商分配,如国际移动设备辨识码( International Mobile Station Equipment Identity, IMEI ) , 一个 User ID可以关联多个 Device ID; Loctaor通常为 IP地址, 由运营商分配或用户设备指定, 一个 Device ID可 以关联多个 Locator; 所述用户设备的用户标识符, 所述用户设备的设备 标识符以及定位符可以在 UE与源路由器进行数据通信的初始化过程中保 存在源路由器中; 例如, 图 3为 UIP网络的 ID模型的示意图, 如图 3所 示, 对于一个用户多台设备的场景, UIP网络的 ID可以分为一个用户标识 符 ( User ID ) , 多个设备标识符 ( Device ID ) 以及多个定位符 ( Locator ) 。 所述通信单元 2303, 还用于在接收到切换请求消息时, 向位置服务 器发送接入请求消息, 其中, 所述接入请求消息包含所述用户设备的用户 标识符, 所述用户设备的设备标识符和所述目的路由器的标识符。 其中, 所述目的路由器的标识符保存在所述目的路由器中, 用于标识 所述目的路由器。
所述位置服务器为所述用户设备的归属位置服务器和 /或拜访位置
服务器; 所述用户设备的归属位置服务器为归属域内的位置服务器, 所 述拜访位置服务器为拜访域内的位置服务器; 其中, 所述归属域为用户 与运营商签约时约定的用户所属的 UIP 域, 在用户设备的通信过程中归 属域是唯一不变的; 所述拜访域为 UE处于漫游状态时所处的域; 所述漫 游状态是指 UE当前所处的 UIP域不是归属域; 例如, 如图 2所示, 假设 UE的归属域为 UIP域 -1, 则位置服务器 SLS-1为归属位置服务器, 当 UE 移动到 UIP域 -2内的路由器 3的覆盖区域, 即离开归属域时, UE处于漫 游状态, UIP域 -2为拜访域, 位置服务器 SLS-2为拜访位置服务器。 所述通信单元 2303, 还用于接收所述位置服务器发送的接入响应消 息, 其中, 所述接入响应消息包含设备相关密钥, 所述设备相关密钥所 述位置服务器根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户设备的设备标识符, 所述位置服务器所处域的域标识, 所述目 的路由器的标识符。 其中, 所述随机值由所述位置服务器生成, 用于认证所述用户设备 以及生成设备相关密钥; 所述根密钥为 UE与 UIP网络中所述 UE和所述 UE的归属位置服务 器的共享密钥, 保存在所述 UE和所述归属位置服务器中, 且所述根密钥 与所述 UE的用户标识符 ( User ID) 相对应, 每个 UE有唯一的根密钥, 由位置服务器根据所述用户标识符查询得到, 用于派生出设备相关密钥, 所述根密钥 K可以由运营商预先设定, 本发明实施例对此不进行限定。 所述位置服务器所处域的标识符为归属位置服务器所处域的标识 符, 保存在所述 UE的归属位置服务器中, 用于标识所述 UE的归属域; 在本发明的一个实施例中, 所述位置服务器所处域的标识符可以由所述 用户设备的归属位置服务器发送给所述目的路由器, 还可以由所述目的 路由器通过其他的配置方式获得, 本发明实施例对此不进行限定。 所述设备相关密钥( Kdev)可以由所述 UE的归属服务器根据随机值 ( nonce ) , 根密钥以及下述参数中的一种或几种派生: 所述用户设备的 设备标识符( Device ID) , 所述位置服务器所处域的标识符( Domain ID) , 所述目的路由器的标识符 (DR ID) , 实现在一个用户多设备的场景下, 不同的设备具有不同的设备相关密钥 Kdev。
在本发明的一个实施例中, 所述设备相关密钥 Kdev可以由所述归属 位置服务器根据随机值,根密钥以及所述用户设备的设备标识符( Domain ID) , 采用密钥派生函数 ( Key derivation function, KDF ) 派生, 列 ^口, Kdev=KDF(K, Device ID, nonce); 或者, 由所述归属位置服务器根据所述随机值 nonce, 根密钥 K, 所 述用户设备的设备标识符 ( Device ID ) , 位置服务器所处域的标识符 ( Domain ID )以及目的路由器的标识符( DR ID ) ,采用密钥派生函数( Key derivation function, KDF ) 派生, 列 ^口, Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID)。 处理器 2301, 用于在所述通信单元 2303接收到接入响应消息时, 根据所述设备相关密钥派生出会话密钥。
进一步的, 所述处理器 2301, 具体用于根据所述接入响应消息中的 设备相关密钥派生出临时密钥; 根据所述临时密钥派生出会话密钥。
示例性的, 所述设备相关密钥由所述位置服务器根据随机值, 根密 钥以及所述用户设备的设备标识符派生; 例如, 所述设备相关密钥 Kdev=KDF(K, Device ID, nonce); 所述处理器 2301 具体用于, 通过下述 ( 1 ) - ( 4) 四种方法派生出 会话密钥, 下面对这四种方法分别进行说明:
( 1 ) 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter); 其中, 计数值 counter为 UIP系统网络中路由 器与用户设备维护的一个计数器产生的计数值;
根据所述临时密钥, 所述位置服务器所处域的标识符以及所述目的 路由器的标识符派生出会话密钥, 例如, Ksession = KDF(Kdev', Domain ID, DR ID)。
( 2)根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标 识符以及所述目 的路由器的标识符派生 出 临时密钥, 例如, Kdev'=KDF(Kdev, counter, Domain ID, DR ID); 根据所述临时密钥派生出会话密钥, 例如, Ksession=KDF(Kdev')。
( 3)根据所述设备相关密钥, 所述位置服务器所处域的标识符以及
所述目的路由器的标识符派生出临时密钥,例如, Kdev'=KDF(Kdev, Domain ID, DR ID); 根据所述临时密钥以及计数值派生 出会话密钥, 例如, Ksession = KDF(Kdev', counter);
( 4 ) 根据所述设备相关密钥派生 出 临时密钥 , 例如, Kdev'=KDF(Kdev ); 根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出会话密钥, 例如, Ksession=KDF(Kdev', counter, Domain ID, DR ID)。 示例性的, 所述设备相关密钥由所述位置服务器根据随机值, 根密 钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生; 例如, 所述设备相关密钥 Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 所述处理器 2301 具体用于, 通过下述 (1 ) - ( 2) 两种方法派生出 会话密钥, 下面对这两种方法分别进行说明:
( 1 ) 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter); 根据所述临时密钥派生出会话密钥, 例如, Ksession = KDF(Kdev');
( 2 ) 根据所述设备相关密钥派生 出 临时密钥 , 例如, Kdev'=KDF(Kdev); 根据所述临时密钥 以及计数值派生出会话密钥, 例如, Ksession = KDF(Kdev', counter)。 进一步的, 所述通信单元 2303还用于, 接收所述位置服务器发送的 认证请求消息; 其中认证请求消息包含所述随机值和所述位置服务器所 处域的标识符; 所述通信单元 2303还用于, 在所述通信单元 2303接收到认证请求 消息时, 向所述用户设备发送认证请求消息, 其中, 认证请求消息包含 所述随机值、 所述位置服务器所处域的标识符以及所述目的路由器的标 识符, 以使得所述用户设备返回认证响应消息及生成设备相关密钥以及
会话密钥。 由上可知, 本发明实施例提供另一种目的路由器 230 , 接收源路由 器发送的切换请求消息, 其中, 所述切换请求消息包含用户设备的用户 标识符, 所述用户设备的设备标识符; 向位置服务器发送接入请求消息, 其中, 所述接入请求中包含所述用户设备的用户标识符, 所述用户设备 的设备标识符和所述目的路由器的标识符; 接收所述位置服务器发送的 接入响应消息, 其中, 所述接入响应消息包含设备相关密钥, 所述设备 相关密钥由位置服务器根据所述随机值, 根密钥以及下述参数中的一种 或几种派生: 所述用户设备的设备标识符, 所述位置服务器所处域的标 识符, 所述目的路由器的标识符; 根据所述接入响应消息中的设备相关 密钥派生出会话密钥。 如此, 逐级派生出会话密钥, 为 U I P 网络中用户 设备与路由器之间的数据传输提供机密性、 完整性; 避免了现有 U I P 网 络不能为用户设备与路由器之间的数据传输提供机密性, 完整性的缺陷。
实施例二十 图 24为本发明实施例提供的另一种位置服务器 240 , 如图 24所示, 该设备包括: 处理器 2401、 存储器 2402、 通信单元 2403 , 至少一个通信 总线 2404, 用于实现这些装置之间的连接和相互通信; 处理器 2401可能是一个中央处理器 (英文: central processing unit, 简称为 CPU ) ; 存储器 2402 , 可以是易失性存储器(英文: volatile memory ) , 例如 随机存取存储器 (英文: random-access memory, 缩写: RAM ) ; 或者非 易失性存储器 (英文: non-volatile memory ) , 例如只读存储器 (英文: read-only memory, 缩写: ROM ) , 快闪存储器 (英文: flash memory ) , 硬盘(英文: hard disk drive , 缩写: H DD )或固态硬盘(英文: solid-state drive , 缩写: SSD ) ; 或者上述种类的存储器的组合, 并向处理器 1001提 供指令和数据; 所述通信单元 2403 , 用于接收目的路由器发送的接入请求消息, 其 中, 所述接入请求消息包含用户设备的用户标识符, 用户设备的设备标识 符和所述目的路由器的标识符。 所述通信单元 2403 , 还用于在接收到接入请求消息时, 向所述目的
路由器发送认证请求消息, 其中, 所述认证请求消息包含随机值和所述位 置服务器所处域的标识符; 所述随机值由所述位置服务器生成, 用于认证 所述用户设备及生成设备相关密钥。 所述通信单元 2403, 还用于接收所述目的路由器发送的认证响应消 息。 所述处理器 2401, 用于在通信单元 2403接收到认证响应消息时, 根据根密钥, 所述随机值以及下述参数中的一种或几种派生出所述设备 相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识 符以及所述目的路由器的标识符。 所述通信单元 2403, 还用于在所述处理器 2401生成设备相关密钥 时, 向所述目的路由器发送接入响应消息, 其中, 所述接入响应消息包 含所述设备相关密钥。 进一步的, 所述处理器 2401 具体用于, 通过下述 (1 ) - ( 2) 两种 方式派生设备相关密钥, 下面对这两种方式分别进行说明:
( 1)根据根密钥, 所述随机值以及所述用户设备的设备标识符派生 出所述设备相关密钥,例如,设备相关密钥 Kdev=KDF(K, Device ID, nonce)。
( 2)根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述 位置服务器所处域的标识符以及所述目的路由器的标识符派生出所述设 备相关密钥,例如,设备相关密钥 Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID)。 由上可知, 本发明实施例提供另一种位置服务器 240, 接收目的路由 器发送的接入请求, 其中, 所述接入请求中包含用户设备的用户标识符, 用户设备的设备标识符和所述目的路由器的标识符, 向所述目的路由器发 送认证请求, 其中, 所述认证请求中包含随机值和所述位置服务器所处域 的标识符, 所述随机值由所述位置服务器生成, 用于认证所述用户设备及 生成设备相关密钥; 接收所述目的路由器发送的认证响应消息, 根据根密 钥, 所述随机值以及下述参数中的一种或几种派生出所述设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符。 如此, 逐级派生出会话密钥, 为 UIP网络中用户设备 与路由器之间的数据传输提供机密性、 完整性; 避免了现有 UIP网络不能
为用户设备与路由器之间的数据传输提供机密性, 完整性的缺陷。
实施例二十一 图 25为本发明实施例提供的另一种用户设备 250, 如图 25所示, 该 设备包括: 处理器 2501、 存储器 2502、 通信单元 2503, 至少一个通信总 线 2504, 用于实现这些装置之间的连接和相互通信; 处理器 2501可能是一个中央处理器(英文: central processing unit, 简称为 CPU ) ; 存储器 2502, 可以是易失性存储器 (英文: volatile memory) , 例 如随机存取存储器 (英文: random-access memory, 缩写: RAM ) ; 或者 非易失性存储器(英文: non-volatile memory) , 例如只读存储器(英文: read-only memory, 缩写: ROM ) , 快闪存储器 (英文: flash memory ) , 硬盘(英文: hard disk DRive, 缩写: HDD )或固态硬盘(英文: solid-state DRive, 缩写: SSD) ; 或者上述种类的存储器的组合, 并向处理器 1001 提供指令和数据;
所述通信单元 2503, 用于接收目的路由器发送的认证请求消息, 其 中, 所述认证请求消息中包含所述随机值, 所述位置服务器所处域的标 识符以及所述目的路由器的标识符。 所述处理器 2501, 用于在所述通信单元 2503接收到认证请求消息 时, 根据根密钥, 所述随机值以及下述参数中的一种或几种派生出设备 相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识 符以及所述目的路由器的标识符, 根据所述设备相关密钥派生出会话密 钥。
进一步的, 所述处理器 2501具体用于: 根据所述设备相关密钥派生 出临时密钥, 根据所述临时密钥派生出会话密钥。 示例性的, 所述处理器 2501 通过下述 (1) - ( 6) 六种方式派生出 会话密钥, 下面对这六种方式分别进行说明:
( 1) 根据随机值, 根密钥以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥以及计数值派生出临时密钥, 例如,
Kdev'=KDF(Kdev, counter); 根据所述临时密钥, 所述位置服务器所处域的标识符以及所述目的 路由器的标识符派生出会话密钥, 例如, Ksession = KDF(Kdev', Domain ID, DR ID);
( 2)根据随机值,根密钥, 以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标识符 以 及所述 目 的路由 器 的 标识符派生 出 临 时 密钥 , 例 如 , Kdev'=KDF(Kdev , counter, DomainlD, DR ID); 根据所述临时密钥派生出会话密钥, 例如, Ksession=KDF(Kdev');
( 3)根据随机值,根密钥, 以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥, 所述位置服务器所处域的标识符以及所述 目的路由器的标识符派生出临时密钥,例如, Kdev'=KDF(Kdev, Domain ID, DR ID); 根据所述临时密钥以及计数值派生 出会话密钥, 例如, Ksession = KDF(Kdev', counter);
(4)根据随机值,根密钥, 以及的设备标识符派生出设备相关密钥, 例如, Kdev=KDF(K, DevicelD, nonce); 根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev); 根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及 所述目的路由器的标识符派生出会话密钥, 例如, Ksession=KDF(Kdev', counter, Domain ID, DR ID);
( 5)根据随机值, 根密钥, 的设备标识符, 所述位置服务器所处域 的标识符以及所述目的路由器的标识符派生出设备相关密钥, 例如, Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 根据所述设备相关密钥以及计数值派生出临时密钥, 例如, Kdev'=KDF(Kdev, counter);
根据所述临时密钥派生出会话密钥, 例如, Ksession=KDF(Kdev');
( 6)根据随机值, 根密钥, 的设备标识符, 所述位置服务器所处域 的标识符以及所述目的路由器的标识符派生出设备相关密钥, 例如, Kdev=KDF(K, Device ID, nonce, Domain ID, DR ID); 根据所述设备相关密钥派生出临时密钥, 例如, Kdev'=KDF(Kdev); 根据所述临时密钥以及计数值派生 出会话密钥, 例如, Ksession = KDF(Kdev', counter)。 由上可知, 本发明实施例提供另一种用户设备 250, 接收目的路由 器发送的认证请求消息, 其中, 所述认证请求消息中包含所述随机值, 所述位置服务器所处域的标识符以及所述目的路由器的标识符; 根据根 密钥, 所述随机值以及下述参数中的一种或几种派生出设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述 目的路由器的标识符, 根据所述设备相关密钥派生出临时密钥, 根据所 述临时密钥派生出会话密钥。 如此, 逐级派生出会话密钥, 为 UIP 网络 中用户设备与路由器之间的数据传输提供机密性、 完整性; 避免了现有 UIP网络不能为用户设备与路由器之间的数据传输提供机密性, 完整性的 缺陷。
实施例二十二 图 26为本发明实施例提供的一种密钥生成系统 26, 如图 26所示, 包括:用户设备 261,源路由器 262,目的路由器 263以及位置服务器 264。 其中, 源路由器 262和目的路由器 263具有相同的功能, 用户设备 261, 目的路由器 263以及位置服务器 264的功能如前面用户设备 250, 目的路由器 230以及位置服务器 240所述, 在此不再赘述。 由上可知, 本发明实施例提供一种密钥生成系统 26, 目的路由器接 收源路由器发送的切换请求消息, 其中, 所述切换请求消息包含用户设备 的用户标识符, 所述用户设备的设备标识符; 所述目的路由器向位置服务 器发送接入请求消息, 其中, 所述接入请求中包含所述用户设备的用户标 识符, 所述用户设备的设备标识符和所述目的路由器的标识符; 所述目的 路由器接收所述位置服务器发送的接入响应消息, 其中, 所述接入响应消 息包含设备相关密钥, 所述设备相关密钥所述位置服务器根据随机值, 根
密钥以及下述参数中的一种或几种派生: 所述用户设备的设备标识符, 所 述位置服务器所处域的域标识, 所述目的路由器的标识符; 所述目的路由 器根据所述接入响应消息中的设备相关密钥派生出派生出会话密钥。 如 此, 逐级派生出会话密钥, 为 U I P网络中用户设备与路由器之间的数据传 输提供机密性、 完整性; 避免了现有 U I P网络不能为用户设备与路由器之 间的数据传输提供机密性, 完整性的缺陷。 所属领域的技术人员可以清楚地了解到, 为描述的方便和简 洁, 上述描述的单元和系统的具体工作过程, 可以参考前述方法实 施例中的对应过程, 在此不再赘述。 在本申请所提供的几个实施例中, 应该理解到, 所揭露的系统, 设备和方法, 可以通过其它的方式实现。 例如, 以上所描述的设备 实施例仅仅是示意性的, 例如, 所述单元的划分, 仅仅为一种逻辑 功能划分, 实际实现时可以有另外的划分方式, 例如多个单元或组 件可以结合或者可以集成到另一个系统, 或一些特征可以忽略, 或 不执行。 另一点, 所显示或讨论的相互之间的耦合或直接耦合或通 信连接可以是通过一些接口, 装置或单元的间接耦合或通信连接, 可以是电性, 机械或其它的形式。 所述作为分离部件说明的单元可以是或者也可以不是物理上 分开的, 作为单元显示的部件可以是或者也可以不是物理单元, 即 可以位于一个地方, 或者也可以分布到多个网络单元上。 可以根据 实际的需要选择其中的部分或者全部单元来实现本实施例方案的 目的。 另外, 在本发明各个实施例中的各功能单元可以集成在一个处 理单元中, 也可以是各个单元单独物理包括, 也可以两个或两个以 上单元集成在一个单元中。 上述集成的单元既可以采用硬件的形式 实现, 也可以采用硬件加软件功能单元的形式实现。 上述以软件功能单元的形式实现的集成的单元, 可以存储在一 个计算机可读取存储介质中。 上述软件功能单元存储在一个存储介
质中, 包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器, 或者网络设备等) 执行本发明各个实施例所述方法的部分 步骤。 而前述的存储介质包括: U 盘、 移动硬盘、 只读存储器 ( Read-Only Memory, 简称 ROM )、 随机存取存储器( Random Access Memory, 简称 RAM )、 磁碟或者光盘等各种可以存储程序代码的介
本领域普通技术人员可以理解上述实施例的各种方法中的全 部或部分步骤是可以通过程序来指令相关的硬件 (例如处理器) 来 完成, 该程序可以存储于一计算机可读存储介质中, 存储介质可以 包括: 只读存储器、 随机存储器、 磁盘或光盘等。 最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对其限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领域的普通技术人员应当理解: 其依然可以对前述各实施例所记 载的技术方案进行修改, 或者对其中部分技术特征进行等同替换; 而这些修改或者替换, 并不使相应技术方案的本质脱离本发明各实 施例技术方案的精神和范围。
Claims
1、 一种密钥生成的方法, 其特征在于, 包括:
目的路由器接收源路由器发送的切换请求消息, 其中, 所述切换请 求消息包含用户设备的用户标识符, 所述用户设备的设备标识符;
所述目的路由器向位置服务器发送接入请求消息, 其中, 所述接入请 求消息包含所述用户设备的用户标识符, 所述用户设备的设备标识符和所 述目的路由器的标识符;
所述目的路由器接收所述位置服务器发送的接入响应消息, 其中, 所 述接入响应消息包含设备相关密钥, 所述设备相关密钥由所述位置服务器 根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户设备的 设备标识符,所述位置服务器所处域的标识符,所述目的路由器的标识符; 所述随机值由所述位置服务器生成, 用于认证所述用户设备以及生成设备 相关密钥; 所述根密钥由位置服务器根据所述用户标识符获取;
所述目的路由器根据所述接入响应消息中的设备相关密钥派生出会 话密钥。
2、 根据权利要求 1所述的方法, 其特征在于, 所述目的路由器根据 所述接入响应消息中的设备相关密钥派生出会话密钥, 包括:
所述目的路由器根据所述接入响应消息中的设备相关密钥派生出临 时密钥;
所述目的路由器根据所述临时密钥派生出会话密钥。
3、 根据权利要求 1或 2所述的方法, 其特征在于, 所述设备相关密 钥由所述位置服务器根据随机值,根密钥以及所述用户设备的设备标识符 派生;
所述目的路由器根据所述接入响应消息中的设备相关密钥派生出会 话密钥包括:
所述目的路由器根据所述设备相关密钥以及计数值派生出临时密钥; 其中, 所述计数值有所述目的路由器获取;
根据所述临时密钥,所述位置服务器所处域的标识符以及所述目的路 由器的标识符派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥, 计数值, 所述位置服务器所 处域的标识符以及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥,所述位置服务器所处域的标 识符以及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥 以及计数值派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及所 述目的路由器的标识符派生出会话密钥。
4、 根据权利要求 1或 2所述的方法, 其特征在于, 所述设备相关密 钥由所述位置服务器根据随机值, 根密钥, 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生;
所述目的路由器根据所述接入响应消息中的设备相关密钥派生出会 话密钥包括:
所述目的路由器根据所述设备相关密钥以及计数值派生出临时密钥; 根据所述临时密钥派生出会话密钥;
或者,
所述目的路由器根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥。
5、 根据权利要求 1-4任一项所述的方法, 其特征在于, 所述方法还 包括:
所述目的路由器接收所述位置服务器发送的认证请求消息; 其中, 所 述认证请求消息包含所述随机值和所述位置服务器所处域的标识符;
所述目的路由器向所述用户设备发送认证请求消息, 其中, 所述认证 请求消息包含所述随机值、 所述位置服务器所处域的标识符以及所述目的 路由器的标识符, 以使得所述用户设备返回认证响应消息及生成设备相关 密钥以及会话密钥。
6、 一种密钥生成的方法, 其特征在于, 包括:
位置服务器接收目的路由器发送的接入请求消息, 其中, 所述接入请 求消息包含用户设备的用户标识符, 用户设备的设备标识符和所述目的路 由器的标识符;
所述位置服务器向所述目的路由器发送认证请求消息, 其中, 所述认
证请求消息包含随机值和所述位置服务器所处域的标识符; 所述随机值由 所述位置服务器生成, 用于认证所述用户设备以及生成设备相关密钥; 所述位置服务器接收所述目的路由器发送的认证响应消息,根据根密 钥, 所述随机值以及下述参数中的一种或几种派生出所述设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符; 所述根密钥由位置服务器根据所述用户标识符获取; 所述位置服务器向所述目的路由器发送接入响应消息, 其中, 所述接 入响应消息包含所述设备相关密钥。
7、 根据权利要求 6所述的方法, 其特征在于, 所述位置服务器根据 根密钥, 所述随机值以及下述参数中的一种或几种派生出所述设备相关密 钥: 所述用户设备的设备标识符,所述位置服务器所处域的标识符以及所 述目的路由器的标识符, 包括:
所述位置服务器根据根密钥,所述随机值以及所述用户设备的设备标 识符派生出所述设备相关密钥;
或者,
所述位置服务器根据根密钥, 所述随机值, 所述用户设备的设备标识 符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出 所述设备相关密钥。
8、 一种密钥生成的方法, 其特征在于, 包括:
用户设备接收目的路由器发送的认证请求消息, 其中, 所述认证请求 消息包含所述随机值, 所述位置服务器所处域的标识符以及所述目的路由 器的标识符;
所述用户设备根据根密钥,所述随机值以及下述参数中的一种或几种 派生出设备相关密钥: 所述用户设备的设备标识符, 所述位置服务器所处 域的标识符以及所述目的路由器的标识符,根据所述设备相关密钥派生出 会话密钥。
9、 根据权利要求 8所述的方法, 其特征在于, 所述用户设备根据根 密钥, 所述随机值以及下述参数中的一种或几种派生出设备相关密钥: 所 述用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的 路由器的标识符, 根据所述设备相关密钥派生出会话密钥, 包括:
所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥以及计数值派生出临时密钥; 所述用户设备根据所述临时密钥,所述位置服务器所处域的标识符以 及所述目的路由器的标识符派生出会话密钥;
或者,
所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥, 计数值, 所述位置服务器所处 域的标识符以及所述目的路由器的标识符派生出临时密钥;
所述用户设备根据所述临时密钥派生出会话密钥;
或者,
所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥,所述位置服务器所处域的标识 符以及所述目的路由器的标识符派生出临时密钥;
所述用户设备根据所述临时密钥以及计数值派生出会话密钥; 或者,
所述用户设备根据根密钥,所述随机值以及所述用户设备的设备标识 符派生出设备相关密钥;
所述用户设备根据所述设备相关密钥派生出临时密钥;
所述用户设备根据所述临时密钥, 计数值, 所述位置服务器所处域的 标识符以及所述目的路由器的标识符派生出会话密钥;
或者,
所述用户设备根据根密钥 ,所述随机值 ,所述用户设备的设备标识符 , 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出设 备相关密钥;
所述用户设备根据所述设备相关密钥以及计数值派生出临时密钥; 所述用户设备根据所述临时密钥派生出会话密钥;
或者,
所述用户设备根据根密钥 ,所述随机值 ,所述用户设备的设备标识符 , 所述位置服务器所处域的标识符以及所述目的路由器的标识符派生出设 备相关密钥;
所述用户设备根据所述设备相关密钥派生出临时密钥;
所述用户设备根据所述临时密钥以及计数值派生出会话密钥。
10、 一种目的路由器, 其特征在于, 包括:
接收模块, 用于接收源路由器发送的切换请求消息, 其中, 所述切换 请求消息包含用户设备的用户标识符, 所述用户设备的设备标识符;
发送模块, 用于在所述接收模块接收到切换请求消息时, 向位置服务 器发送接入请求消息, 其中, 所述接入请求消息包含所述用户设备的用户 标识符, 所述用户设备的设备标识符和所述目的路由器的标识符;
所述接收模块, 还用于接收所述位置服务器发送的接入响应消息, 其 中, 所述接入响应消息包含设备相关密钥, 所述设备相关密钥由所述位置 服务器根据随机值, 根密钥以及下述参数中的一种或几种派生: 所述用户 设备的设备标识符, 所述位置服务器所处域的标识符, 所述目的路由器的 标识符; 所述随机值由所述位置服务器生成, 用于认证所述用户设备以及 生成设备相关密钥; 所述根密钥由位置服务器根据所述用户标识符获取; 生成模块: 用于在所述接收模块接收到接入响应消息时, 根据所述设 备相关密钥派生出会话密钥。
11、 根据权利要求 10所述的目的路由器, 其特征在于, 所述生成模 块具体用于:
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥派生出会话密钥。
12、 根据权利要求 10或 11所述的目的路由器, 其特征在于, 所述设 备相关密钥由所述位置服务器根据随机值,根密钥以及所述用户设备的设 备标识符派生;
相应的, 所述生成模块具体用于:
根据所述设备相关密钥以及计数值派生出临时密钥; 其中, 所述计数 值有所述目的路由器获取;
根据所述临时密钥,所述位置服务器所处域的标识符以及所述目的路 由器的标识符派生出会话密钥;
或者,
根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标识符以 及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据所述设备相关密钥,所述位置服务器所处域的标识符以及所述目 的路由器的标识符派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥;
或者,
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及所 述目的路由器的标识符派生出会话密钥。
13、 根据权利要求 10或 11所述的目的路由器, 其特征在于, 所述设 备相关密钥由所述位置服务器根据随机值, 根密钥, 所述用户设备的设备 标识符, 所述位置服务器所处域的标识符以及所述目的路由器的标识符派 生,
相应的, 所述生成模块具体用于:
根据所述设备相关密钥以及计数值派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥。
14、 根据权利要求 10-13任一项所述的目的路由器, 其特征在于, 所述接收模块还用于: 接收所述位置服务器发送的认证请求消息; 其 中, 所述认证请求消息包含所述随机值和所述位置服务器所处域的标识 付;
所述发送模块还用于: 在所述接收模块接收到认证请求消息时, 向所 述用户设备发送认证请求消息,其中,所述认证请求消息包含所述随机值、 所述位置服务器所处域的标识符以及所述目的路由器的标识符, 以使得所 述用户设备返回认证响应消息及生成设备相关密钥以及会话密钥。
15、 一种位置服务器, 其特征在于, 包括:
接收模块, 用于接收目的路由器发送的接入请求消息, 其中, 所述接 入请求消息包含用户设备的用户标识符, 用户设备的设备标识符和所述目 的路由器的标识符;
发送模块, 用于在所述接收模块接收到接入请求消息时, 向所述目的 路由器发送认证请求消息, 其中, 所述认证请求消息包含随机值和所述位 置服务器所处域的标识符; 所述随机值由所述位置服务器生成, 用于认证
所述用户设备及生成设备相关密钥;
所述接收模块, 还用于接收所述目的路由器发送的认证响应消息; 生成模块,用于在所述接收模块接收到认证响应消息时,根据根密钥 , 所述随机值以及下述参数中的一种或几种派生出所述设备相关密钥: 所述 用户设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路 由器的标识符; 所述根密钥由位置服务器根据所述用户标识符获取;
所述发送模块, 还用于在所述生成模块生成设备相关密钥时, 向所述 目的路由器发送接入响应消息, 其中, 所述接入响应消息包含所述设备相 关密钥。
16、 根据权利要求 15所述的位置服务器, 其特征在于,
所述生成模块具体用于:
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出所述 设备相关密钥;
或者,
根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符派生出所述设备相关 密钥。
17、 一种用户设备, 其特征在于, 包括:
接收模块: 用于接收目的路由器发送的认证请求消息, 其中, 所述认 证请求消息包含所述随机值, 所述位置服务器所处域的标识符以及所述目 的路由器的标识符;
生成模块:用于在所述接收模块接收到认证请求消息时,根据根密钥 , 所述随机值以及下述参数中的一种或几种派生出设备相关密钥: 所述用户 设备的设备标识符, 所述位置服务器所处域的标识符以及所述目的路由器 的标识符, 根据所述设备相关密钥派生出会话密钥。
18、 根据权利要求 17所述的用户设备, 其特征在于,
所述生成模块具体用于:
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出设备 相关密钥;
根据所述设备相关密钥以及计数值派生出临时密钥;
根据所述临时密钥,所述位置服务器所处域的标识符以及所述目的路 由器的标识符派生出会话密钥;
或者,
根据根密钥, 所述随机值, 以及所述用户设备的设备标识符派生出设 备相关密钥;
根据所述设备相关密钥, 计数值, 所述位置服务器所处域的标识符以 及所述目的路由器的标识符派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出设备 相关密钥;
根据所述设备相关密钥,所述位置服务器所处域的标识符以及所述目 的路由器的标识符派生出临时密钥;
根据所述临时密钥以及计数值派生出会话密钥;
或者,
根据根密钥,所述随机值以及所述用户设备的设备标识符派生出设备 相关密钥;
根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥, 计数值, 所述位置服务器所处域的标识符以及所 述目的路由器的标识符派生出会话密钥;
或者,
根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符派生出设备相关密钥; 根据所述设备相关密钥以及计数值派生出临时密钥;
根据所述临时密钥派生出会话密钥;
或者,
根据根密钥, 所述随机值, 所述用户设备的设备标识符, 所述位置服 务器所处域的标识符以及所述目的路由器的标识符派生出设备相关密钥; 根据所述设备相关密钥派生出临时密钥;
根据所述临时密钥 以及计数值派生出会话密钥。
19、 一种密钥生成系统, 其特征在于, 包括: 源路由器, 如权利要求 10-14任一项所述的目的路由器, 如权利要求 15-16任一项所述的位置服 务器以及如权利要求 17-18任一项所述的用户设备。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410057184.5 | 2014-02-19 | ||
CN201410057184.5A CN104852891B (zh) | 2014-02-19 | 2014-02-19 | 一种密钥生成的方法、设备及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015123953A1 true WO2015123953A1 (zh) | 2015-08-27 |
Family
ID=53852251
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2014/080987 WO2015123953A1 (zh) | 2014-02-19 | 2014-06-27 | 一种密钥生成的方法、设备及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104852891B (zh) |
WO (1) | WO2015123953A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917605B (zh) * | 2014-03-14 | 2018-06-19 | 华为技术有限公司 | 一种终端设备切换时密钥协商的方法和设备 |
WO2017054843A1 (en) * | 2015-09-29 | 2017-04-06 | Huawei Technologies Co., Ltd. | Server and method for transmitting a geo-encrypted message |
CN105426772B (zh) * | 2015-10-29 | 2019-07-02 | 厦门雅迅网络股份有限公司 | 一种在flash安全存储加密认证所需根密钥的方法 |
CN108418679B (zh) * | 2017-02-10 | 2021-06-29 | 阿里巴巴集团控股有限公司 | 一种多数据中心下处理密钥的方法、装置及电子设备 |
CN111008390A (zh) * | 2019-12-13 | 2020-04-14 | 江苏芯盛智能科技有限公司 | 根密钥生成保护方法、装置、固态硬盘及存储介质 |
CN111093193B (zh) * | 2019-12-31 | 2023-04-28 | 中科芯集成电路有限公司 | 一种适用于Lora网络的MAC层安全通信的方法 |
CN111460455B (zh) * | 2020-03-20 | 2022-01-28 | 北京智芯微电子科技有限公司 | 自加密固态硬盘的密钥协商方法、安全引导方法及系统 |
CN113766497B (zh) * | 2020-06-01 | 2023-03-21 | 中国电信股份有限公司 | 密钥分发方法、装置、计算机可读存储介质及基站 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
CN101499959A (zh) * | 2008-01-31 | 2009-08-05 | 华为技术有限公司 | 配置密钥的方法、装置及系统 |
US20100303238A1 (en) * | 2009-05-29 | 2010-12-02 | Violeta Cakulev | Session Key Generation and Distribution with Multiple Security Associations per Protocol Instance |
CN102833747A (zh) * | 2012-09-17 | 2012-12-19 | 北京交通大学 | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101552983A (zh) * | 2008-04-01 | 2009-10-07 | 华为技术有限公司 | 密钥生成方法、密钥生成装置、移动管理实体与用户设备 |
CN102036220A (zh) * | 2009-09-25 | 2011-04-27 | 华为技术有限公司 | 一种移动性管理方法及装置 |
CN103078834A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 一种安全连接的方法、系统及网元 |
FR2992811A1 (fr) * | 2012-07-02 | 2014-01-03 | France Telecom | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
-
2014
- 2014-02-19 CN CN201410057184.5A patent/CN104852891B/zh active Active
- 2014-06-27 WO PCT/CN2014/080987 patent/WO2015123953A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
CN101499959A (zh) * | 2008-01-31 | 2009-08-05 | 华为技术有限公司 | 配置密钥的方法、装置及系统 |
US20100303238A1 (en) * | 2009-05-29 | 2010-12-02 | Violeta Cakulev | Session Key Generation and Distribution with Multiple Security Associations per Protocol Instance |
CN102833747A (zh) * | 2012-09-17 | 2012-12-19 | 北京交通大学 | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104852891A (zh) | 2015-08-19 |
CN104852891B (zh) | 2018-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2015123953A1 (zh) | 一种密钥生成的方法、设备及系统 | |
US9253172B2 (en) | Changing group member reachability information | |
US9197615B2 (en) | Method and system for providing access-specific key | |
KR101396042B1 (ko) | 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증 | |
KR101167781B1 (ko) | 콘텍스트 전달을 인증하는 시스템 및 방법 | |
JP4965671B2 (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
US20170026896A1 (en) | Terminal device, relay terminal device, and communication control method | |
KR20180030023A (ko) | 셀룰러 사물 인터넷에 대한 네트워크 보안 아키텍처 | |
WO2018161639A1 (zh) | 一种互联网协议安全性隧道的维护方法、装置及系统 | |
CN110035037B (zh) | 安全认证方法、相关设备及系统 | |
JP2009515450A (ja) | モビリティキーを提供する方法とサーバ | |
EP3225071B1 (en) | Infrastructure-based d2d connection setup using ott services | |
CN114846764A (zh) | 为与服务应用的加密通信更新通信网络中锚密钥的方法、设备和系统 | |
WO2020088026A1 (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
WO2010000185A1 (zh) | 一种网络认证的方法、装置、系统及服务器 | |
WO2011140919A1 (zh) | 接入业务批发网络的方法、设备、服务器和系统 | |
WO2009152656A1 (zh) | 用户设备转移时密钥身份标识符的生成方法和生成系统 | |
WO2015127736A1 (zh) | 一种用户隐私保护的方法、设备和系统 | |
WO2011035667A1 (zh) | 实现网间漫游的方法、系统及查询和网络附着方法及系统 | |
JP2023514040A (ja) | サービスアプリケーションとの暗号化された通信のための通信ネットワーク内のアンカキー生成および管理のための方法、デバイス、ならびにシステム | |
WO2015101040A1 (zh) | 一种无线局域网中的切换方法及装置 | |
KR20230088627A (ko) | 가입 데이터 업데이트 방법과 장치, 노드, 및 저장 매체 | |
KR20180051621A (ko) | 전기통신 네트워크와 적어도 하나의 사용자 장비 간의 적어도 하나의 통신 교환의 개선된 핸들링을 위한 방법, 전기통신 네트워크, 사용자 장비, 시스템, 프로그램 및 컴퓨터 프로그램 제품 | |
JP2022501879A (ja) | アクセス認証 | |
WO2011032417A1 (zh) | 发起通信、信息/数据报文的转发及路由配置方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14883378 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 14883378 Country of ref document: EP Kind code of ref document: A1 |