WO2020037957A1

WO2020037957A1 - 客户端注册方法、装置及系统

Info

Publication number: WO2020037957A1
Application number: PCT/CN2019/074724
Authority: WO
Inventors: 刘高峰
Original assignee: 刘高峰
Priority date: 2018-08-23
Filing date: 2019-02-04
Publication date: 2020-02-27

Abstract

本发明公开了一种客户端注册方法、装置及系统。所述方法包括：用户终端基于用户识别模块SIM中的移动用户标识和密钥，以及注册服务器基于用户数据系统中相同的移动用户标识和密钥，经过用户终端和注册服务器间的认证与密钥协商，为用户终端及在用户终端中运行的第三方应用客户端的注册提供了安全认证，同时还为第三方应用客户端提供了第三方用户标识、用户密钥或用户令牌，从而可以为第三方应用客户端实现快捷、安全的身份认证、数据加密等操作，由于无需用户输入账号、口令或密钥等，极大提升了用户的使用体验。

Description

客户端注册方法、装置及系统

技术领域

本发明涉及通信技术领域和互联网技术领域，尤其涉及客户端注册方法、装置及系统。

背景技术

用于3G以上网络的全球用户识别模块（USIM，Universal Subscriber Identity Module）和用于IMS网络的IP多媒体服务识别模块（IP multimedia services identity module, ISIM），是通信运营商用于鉴别签约用户的身份、符合3GPP标准规范的IC集成电路设备。

eSIM作为一种嵌入式SIM卡，实质上是将SIM卡上的用户数据和加密信息由原来存储在物理SIM卡转移到用户终端设备本身的另一个硬件载体上；软SIM是通过纯软件方式代替物理SIM卡实现SIM的功能，同样安全地存储有用户数据和密钥信息。

无论是哪一种SIM卡类型，SIM卡里都存储有签约用户的用户标识和密钥信息，为了表述方便，对于上述存储有移动通信网络签约用户的身份标识和密钥信息的模块统称为“用户识别模块SIM”。相应地，归属用户服务器HSS（home subscriber server，归属用户服务器）和统一数据管理（unified data management，UDM）是移动通信网络的用户数据系统，里面存储了与用户识别模块SIM中对应的移动用户标识和密钥信息。

技术问题

随着智能终端（如移动智能手机）的广泛使用，用户在智能终端上会安装有大量的第三方应用客户端，而第三方应用客户端在使用时，往往需要获取终端用户的必要信息之后才能正常使用，而这些必要的信息通常是需要终端用户手工输入或预先配置的，例如输入账号及相应的口令、预先配置密钥等，但这些操作都较为烦琐和影响用户的使用体验。

技术解决方案

本发明的主要目的在于提供一种客户端注册的方法、装置及系统，旨在提供一种为用户终端中运行的第三方应用客户端能安全、自动地获取注册信息的方法、装置及系统，从而能为第三方应用客户端自动获取包括用户标识、用户密钥、用户令牌等在内的注册信息，进而解决现有第三方应用客户端在注册账号、协商共享密钥、获取用户令牌、用户身份认证等过程中使用较为烦琐从而影响用户使用体验的技术问题。

为达到上述目的，本发明提供了以下技术方案：

第一方面，提供了一种客户端注册方法，应用于运行有第三方应用客户端的用户终端中，所述方法包括：

基于用户识别模块SIM与注册服务器进行认证与密钥协商，其中包括向所述注册服务器发送移动用户标识和获得第一安全参数，所述第一安全参数包括安全令牌或/和第一根密钥，所述移动用户标识为所述用户识别模块SIM的标识；

基于所述第一安全参数与所述注册服务器进行安全认证；

在所述安全认证成功之后，接收所述注册服务器提供的注册信息和服务。

优选的，所述基于用户识别模块SIM与注册服务器进行认证与密钥协商包括：

从所述用户识别模块SIM获取所述移动用户标识；

向所述注册服务器发送认证与密钥协商请求，所述认证与密钥协商请求包括所述移动用户标识；

接收所述注册服务器发送的认证与密钥协商挑战消息，所述认证与密钥协商挑战消息包括随机数RAND和鉴权令牌AUTN；

向所述用户识别模块SIM发送鉴权请求，所述鉴权请求包括所述随机数RAND和所述鉴权令牌AUTN；

接收所述用户识别模块SIM的返回值，所述返回值包括期望响应值RES、第一加密密钥CK和第一完整性密钥IK；

向所述注册服务器发送认证与密钥协商挑战应答消息，所述认证与密钥协商挑战应答消息包括第一期望响应值，所述第一期望响应值是基于所述期望响应值RES生成的；

接收所述注册服务器发送的认证与密钥协商成功应答消息，所述认证与密钥协商成功应答消息是在所述注册服务器验证所述第一期望响应值有效之后发送的；

获得第一安全参数，所述第一安全参数包括安全令牌或/和第一根密钥，具体包括：

所述认证与密钥协商成功应答消息中包括所述安全令牌，从所述认证与密钥协商成功应答消息中获取所述安全令牌；或/和，

基于所述第一加密密钥CK或/和所述第一完整性密钥IK生成所述第一根密钥，并且所述第一根密钥的生成方式与所述注册服务器生成第二根密钥的生成方式一致。

优选的，所述基于用户识别模块SIM与注册服务器进行认证与密钥协商是基于3G/4G AKA机制的，则：

所述用户识别模块SIM为全球用户识别模块USIM，所述移动用户标识为国际移动用户识别码IMSI；或者，所述用户识别模块SIM为IP多媒体服务识别模块ISIM，所述移动用户标识为IP多媒体私有标识IMPI；

所述第一期望响应值为所述期望响应值RES；或者，所述第一期望响应值为对所述期望响应值RES哈希计算后所生成的哈希值。

优选的，所述基于用户识别模块SIM与注册服务器进行认证与密钥协商是基于5G AKA机制的，则：

所述用户识别模块SIM为全球用户识别模块USIM，所述移动用户标识为用户永久标识SUPI；

所述基于所述第一加密密钥CK或/和所述第一完整性密钥IK生成所述第一根密钥包括：基于所述第一加密密钥CK或/和所述第一完整性密钥IK生成第一密钥KAUSF，并且基于所述第一密钥KAUSF生成所述第一根密钥；

所述第一期望响应值为期望响应值RES*，所述期望响应值RES*是基于所述期望响应值RES生成的；或者，所述第一期望响应值为对所述期望响应值RES*哈希计算后所生成的哈希值。

优选的，所述向所述注册服务器发送认证与密钥协商请求包括：

将所述用户永久标识SUPI加密生成用户隐藏标识SUCI；

在所述向所述注册服务器发送的认证与密钥协商请求中，将所述用户隐藏标识SUCI作为所述移动用户标识。

优选的，若所述第一安全参数包括安全令牌，则所述基于所述第一安全参数与所述注册服务器进行安全认证包括：

向所述注册服务器发送安全认证请求，所述安全认证请求包括所述安全令牌；

若所述注册服务器验证所述安全令牌有效，则确定安全认证成功。

优选的，若所述第一安全参数包括第一根密钥，则所述基于所述第一安全参数与所述注册服务器进行安全认证包括：

基于所述第一根密钥生成第一认证密钥；

生成第一验证信息，并且使得所述第一验证信息与所述注册服务器生成的第二验证信息的值相同；

基于所述第一认证密钥和所述第一验证信息加密生成第一加密值；

将所述移动用户标识和所述第一加密值发送给所述注册服务器；

若所述注册服务器验证所述第一加密值有效，则确定安全认证成功。

优选的，若向所述注册服务器传递了第三方应用标识以及若所述安全认证成功，则所述接收所述注册服务器提供的注册信息和服务包括：

接收所述注册服务器发送的第三方用户标识，所述第三方用户标识用于在所述第三方应用客户端中标识用户身份；或者，

接收所述注册服务器发送的用户令牌，所述用户令牌用于所述第三方应用客户端访问对应第三方应用服务器的认证鉴权。

优选的，所述向所述注册服务器传递第三方应用标识包括：

在向所述注册服务器发送的安全认证请求中还包括所述第三方应用标识；或者，

若使用对称加密算法基于所述第一认证密钥对包括所述第一验证信息的信息对称加密生成所述第一加密值，则在生成所述第一验证信息的信息中还包括所述第三方应用标识，以使得所述注册服务器从对所述第一加密值解密后的明文中获取所述第三方应用标识。

优选的，若所述第一安全参数包括所述第一根密钥，并且若接收到所述注册服务器发送的第三方用户标识，则在所述接收所述注册服务器提供的注册信息和服务之后，还包括：

基于所述第一根密钥生成第一用户密钥，所述第一用户密钥的生成方式与所述注册服务器生成第二用户密钥的生成方式一致，所述第一用户密钥用于在所述第三方应用客户端中作为所述第三方用户标识的密钥。

优选的，在若向所述注册服务器传递了第三方应用标识以及若所述安全认证成功之后，以及在所述接收所述注册服务器提供的注册信息和服务之前，还包括：

接收所述注册服务器发送的应用授权请求消息；

显示应用授权验证界面；

接收终端用户在所述应用授权验证界面中输入的授权信息；

若所述授权信息表示确认授权，则向所述注册服务器发送应用授权应答消息，所述应用授权应答消息为应用授权确认消息。

第二方面，提供了一种客户端注册方法，应用于注册服务器中，所述方法包括：

接收用户终端（1）发起的认证与密钥协商，基于用户数据系统进行所述认证与密钥协商，其中包括生成第二安全参数并且建立所述第二安全参数与移动用户标识（1）的对应关系，所述第二安全参数包括安全令牌（1）或/和第二根密钥（1），所述移动用户标识（1）为所述用户终端（1）发送的；

接收用户终端（2）发起的安全认证，基于所述对应关系进行所述安全认证，其中包括获取所述用户终端（2）对应的移动用户标识（2）；

在所述安全认证成功之后，向所述用户终端（2）提供注册信息和服务。

优选的，所述基于用户数据系统进行所述认证与密钥协商包括：

接收所述用户终端（1）发送的认证与密钥协商请求，所述认证与密钥协商请求包括所述移动用户标识（1）；

向用户数据系统发送认证请求，所述认证请求包括所述移动用户标识（1）；

接收所述用户数据系统反馈的认证应答消息，所述认证应答消息包括随机数RAND、鉴权令牌AUTN、初始密钥及第二期望响应值；

向所述用户终端发送认证与密钥协商挑战消息，所述认证与密钥协商挑战消息包括所述随机数RAND和所述鉴权令牌AUTN；

接收所述用户终端发送的认证与密钥协商挑战应答消息，所述认证与密钥协商挑战应答消息包括第一期望响应值；

基于所述第二期望响应值验证所述第一期望响应值；

若验证所述第一期望响应值有效，则生成第二安全参数，并且建立所述第二安全参数与所述移动用户标识（1）的对应关系；

向所述用户终端（1）发送认证与密钥协商成功应答消息；

其中，所述第二安全参数包括安全令牌（1）或/和第二根密钥（1），具体包括：

生成所述安全令牌（1），在所述认证与密钥协商成功应答消息中包括所述安全令牌（1）；或/和，

基于所述初始密钥生成所述第二根密钥（1），并且所述第二根密钥（1）的生成方式与所述用户终端生成所述第一根密钥的生成方式一致。

优选的，所述基于所述第二期望响应值验证所述第一期望响应值包括：

所述第一期望响应值为明文，比较所述第二期望响应值与所述第一期望响应值是否一致，若一致则确定所述第一期望响应值有效；或者，

所述第一期望响应值为哈希计算后的哈希值，将所述第二期望响应值使用相同的哈希计算方式计算生成哈希值，并且比较两个哈希值是否一致，若一致则确定所述第一期望响应值有效。

优选的，所述生成所述安全令牌（1）包括：

使用随机生成的全局唯一字符串作为所述安全令牌（1），并且建立所述安全令牌（1）与所述移动用户标识（1）的对应关系；或者，

使用对称加密算法基于预置密钥将包括所述移动用户标识（1）的信息加密，将加密后得到的密文作为所述安全令牌（1）。

优选的，所述基于用户数据系统与用户终端进行认证与密钥协商是基于3G/4G AKA机制的，则：

所述移动用户标识（1）为国际移动用户识别码IMSI或者是IP多媒体私有标识IMPI；

所述用户数据系统为归属用户服务器HSS：

所述认证应答消息包括所述随机数RAND、所述鉴权令牌AUTN、第二加密密钥CK或/和第二完整性密钥IK以及期望响应值XRES；

所述初始密钥为所述第二加密密钥CK或/和所述第二完整性密钥IK；

所述第二期望响应值为所述期望响应值XRES；

所述认证与密钥协商挑战应答消息中包括的第一期望响应值为期望响应值RES；或者，所述认证与密钥协商挑战应答消息中包括的第一期望响应值为对所述期望响应值RES哈希计算后所生成的哈希值。

优选的，所述基于用户数据系统与用户终端进行认证与密钥协商是基于5G AKA机制的，则：

所述移动用户标识（1）为用户永久标识SUPI或用户隐藏标识SUCI；

所述用户数据系统为统一数据管理UDM；

所述认证应答消息包括所述随机数RAND、所述鉴权令牌AUTN、第二密钥KAUSF以及期望响应值XRES；

若所述移动用户标识（1）为用户隐藏标识SUCI，则所述认证应答消息中还包括对所述用户隐藏标识SUCI解密后得到的用户永久标识SUPI，并将所述解密后的用户永久标识SUPI作为所述移动用户标识（1）；

所述初始密钥为所述第二密钥KAUSF；

所述第二期望响应值为所述期望响应值XRES*；

所述认证与密钥协商挑战应答消息中包括的第一期望响应值为期望响应值RES*；或者，所述认证与密钥协商挑战应答消息中包括的第一期望响应值为对所述期望响应值RES*哈希计算后所生成的哈希值。

优选的，若所述第二安全参数包括安全令牌（1），则所述基于所述对应关系进行所述安全认证包括：

接收所述用户终端（2）发送的安全认证请求，所述安全认证请求包括安全令牌（2）；

若验证所述安全令牌（2）有效并获取到所述用户终端（2）对应的移动用户标识（2），则确定安全认证成功。

优选的，若所述第二安全参数包括第二根密钥（1），则所述基于所述第二安全参数与所述注册服务器进行安全认证包括：

接收所述用户终端（2）发送的移动用户标识（2）和第一加密值；

根据所述移动用户标识（2）获取对应的第二根密钥（2）；

基于所述第二根密钥（2）生成第二认证密钥；

生成第二验证信息，并且使得所述第二验证信息与所述用户终端生成的第一验证信息的值相同；

基于所述第二认证密钥和所述第二验证信息验证所述第一加密值；

若所述第一加密值验证成功，则确定安全认证成功。

优选的，若接收到所述用户终端（2）传递的第三方应用标识以及所述安全认证成功之后，则所述向所述用户终端（2）提供注册信息和服务包括：

获取所述第三方应用标识对应的第三方用户标识，向所述用户终端（2）提供注册信息和服务中包括所述第三方用户标识，以使得所述第三方用户标识用于在所述第三方应用标识对应的第三方应用客户端中标识用户身份；或者，

生成所述第三方应用标识对应的用户令牌，所述用户令牌为用于所述第三方应用客户端访问对应第三方应用服务器的认证鉴权，向所述用户终端（2）提供注册信息和服务中包括所述用户令牌，以使得所述用户令牌用于在所述第三方应用标识对应的第三方应用客户端中访问对应第三方应用服务器的认证鉴权。

优选的，所述获取所述第三方应用标识对应的第三方用户标识包括：

根据所述移动用户标识（2）和所述第三方应用标识查找对应的第三方用户标识；

若查找到对应的第三方用户标识，则确定所述第三方用户标识为所述查找到的对应的第三方用户标识；

若没有查找到对应的第三方用户标识，则创建一个唯一的第三方用户标识，并且建立和存储所述移动用户标识（2）和所述第三方应用标识与所述创建的第三方用户标识的对应关系，以使得根据所述移动用户标识和所述第三方应用标识能查找到所述创建的第三方用户标识，并确定所述第三方用户标识为所述创建的第三方用户标识。

优选的，若所述移动用户标识（2）有对应的第二根密钥（2），则所述获取所述第三方应用标识对应的第三方用户标识之后还包括：

基于所述第二根密钥（2）生成第二用户密钥，所述第二用户密钥的生成方式与所述用户终端生成第一用户密钥的生成方式一致；

建立所述第三方用户标识与所述第二用户密钥的对应关系。

优选的，在若接收到所述用户终端（2）传递的第三方应用标识以及所述安全认证成功之后，以及向所述用户终端（2）提供注册信息和服务之前，还包括：

向所述用户终端发送应用授权请求消息，所述应用授权请求消息包括第三方应用名称或/和移动用户名称，所述第三方应用名称是根据所述第三方应用标识获取的，所述移动用户名称是根据所述移动用户标识获取的；

接收所述用户终端发送的应用授权应答消息；

若所述应用授权应答消息为应用授权确认消息，则执行向所述用户终端（2）提供注册信息和服务的步骤。

第三方面，提供了一种客户端注册装置，其特征在于，所述客户端注册装置应用于运行有第三方应用客户端的用户终端中，包括：存储器、处理器，所述处理器用于运行所述存储器所存储的程序，所述程序运行时执行包括上述中应用于运行有第三方应用客户端的用户终端中任一项所述的方法。

提供一种客户端注册装置，其特征在于，所述客户端注册装置应用于注册服务器，包括：存储器、处理器，所述处理器用于运行所述存储器所存储的程序，所述程序运行时执行包括上述应用于注册服务器中任一项所述的方法。

提供一种客户端注册系统，其特征在于，所述客户端注册系统包括：用户终端以及注册服务器；所述用户终端包括上述应用于运行有第三方应用客户端的用户终端的客户端注册装置；所述注册服务器包括上述应用于注册服务器的客户端注册装置。

提供一种存储介质，其特征在于，所述存储介质中存储有程序，所述程序用于实现包括上述应用于运行有第三方应用客户端的用户终端中的任一项所述方法。

提供一种存储介质，其特征在于，所述存储介质中存储有程序，所述程序用于实现包括上述应用于注册服务器中的任一项所述方法。

有益效果

本发明实现了为在用户终端中运行的第三方应用客户端提供了安全的注册环境，进而能为第三方应用客户端自动获取包括用户标识、用户密钥或用户令牌等在内的注册信息，进而解决现有第三方应用客户端在注册账号、协商共享密钥、获取用户令牌、用户身份认证等过程中使用较为烦琐从而影响用户使用体验的技术问题，整个过程不需要用户输入或仅少量输入信息，提升了用户的使用体验。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是本发明实施例提供的一种实施环境结构示意图；

图2是本发明提供的客户端注册方法实施例的流程示意图；

图3是本发明提供的客户端安全认证过程实施例一的流程示意图；

图4是本发明提供的客户端安全认证过程实施例二的流程示意图；

图5是本发明提供的客户端注册信息提供过程实施例一的流程示意图；

图6是本发明提供的客户端注册信息提供过程实施例二的流程示意图；

图7是本发明提供的客户端注册信息提供过程实施例三的流程示意图；

图8是本发明提供的认证与密钥协商过程实施例一的流程示意图；

图9是本发明提供的认证与密钥协商过程实施例二的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

本发明的最佳实施方式

在此处键入本发明的最佳实施方式描述段落。

本发明的实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

一、相关名词术语

为了便于理解，对本文中涉及的一些名词作介绍和说明。

移动用户标识：用于唯一识别用户识别模块SIM的标识，移动用户标识包括：国际移动用户识别码（international mobile subscriber identification number，IMSI），或者IP多媒体私有标识（IP multimedia private identity, IMPI），或者用户永久标识（5G subscription permanent identifier，SUPI），或者对用户永久标识SUPI加密后的结果即用户隐藏标识（SUbscription concealed identifier, SUCI）。

第三方应用标识：第三方应用标识用于唯一地标识第三方应用客户端，以及用于标识该第三方应用客户端对应的第三方应用服务器。

签名加密算法：指用于加密地核实信息真实性的加密算法，只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明，例如消息认证码（诸如基于哈希的消息认证码HMAC、密码分组链接消息认证码CBC-MAC、伽罗瓦消息认证码GMAC等）、含密钥加密的哈希函数、基于RSA的数字方案（诸如RSA-PSS）、数字签名算法（DSA）和椭圆曲线数字签名算法等。

对称加密算法：指加密和解密使用相同密钥的加密算法，例如三重数据加密标准（Triple Data Encryption Standard，DES）、高级加密标准（Advanced Encryption Standard，AES）等。

认证与密钥协商机制：英文简称为AKA（authentication and key agreement，AKA），基于挑战应答机制，完成终端用户和移动通信网络间的身份认证，同时基于身份认证对通信加密密钥进行协商。当前，通常将用于3G/4G移动通信网络的认证与密钥协商机制称为AKA，而将用于5G移动通信网络的认证与密钥协商机制称为5G AKA，为了加以区分和避免混淆，在本发明实施例中，将用于3G/4G移动通信网络的认证与密钥协商机制称为3G/4G AKA，将用于5G移动通信网络的认证与密钥协商机制称为5G AKA，如无特别说明，认证与密钥协商机制包括3G/4G AKA和5G AKA。

用户数据系统：在移动通信网络中用于存储移动用户标识、移动用户密钥（K）、AKA相关算法并对终端用户进行身份认证等的系统，具体包括归属用户服务器（home subscriber server，HSS）和统一数据管理（unified data management，UDM）。

用户识别模块SIM：用于为终端用户存储包括移动用户标识、移动用户密钥（K）、归属网络、AKA相关算法等的应用，终端用户基于用户识别模块SIM实现向移动通信网络的身份认证，具体包括全球用户识别模块（universal subscriber identity module, USIM）和IP多媒体服务识别模块（IP multimedia services identity module, ISIM）。

令牌：用于安全认证或访问受保护资源的凭据，通常是一个字符串。基于令牌可用于安全认证或访问受保护资源的不同，在本发明各实施例中，将令牌区分为安全令牌、用户令牌等。

二、实施环境结构示意图

请参考图1，其示出了本发明实施例提供的客户端注册方法所涉及的一种实施环境的结构示意图。该实施环境包括注册服务器、用户终端、第三方应用客户端。

注册服务器：与用户终端通过网络相连，用于接收并执行用户终端的认证与密钥协商请求、以及接收并执行用户终端的客户端注册请求；与用户数据系统通过网络相连，用于向用户数据系统发送移动用户认证请求和获取请求结果，该用户数据系统包括归属用户服务器（home subscriber server，HSS）或/和统一数据管理（unified data management，UDM）。注册服务器通常由通信运营服务商提供。

用户终端：用户终端通过WLAN（包括wifi）、移动数据、LAN、固定宽带等有线或无线方式接入网络并与注册服务器进行数据连接。用户终端是可插入、内嵌或者外部连接有用户识别模块SIM并且支持对用户识别模块SIM读取的智能终端设备，通常是智能手机，也可以是智能电视、机顶盒、平板电脑、便携计算机、台式计算机、智能手表等。

第三方应用客户端：运行在用户终端的操作系统中的应用程序，由第三方应用服务商提供。

可以理解的是，在实际实施环境中，可以包括有多个或大量的用户终端，每个用户终端中可以运行多个由不同第三方应用服务商提供的第三方应用客户端，每个第三方应用客户端可以连接访问对应的第三方应用服务器，从而获取所需业务应用数据和服务。

需要说明的是，在实际实施环境中，还应当有第三方应用服务器。第三方应用服务器由第三方应用服务商提供，用于和对应的第三方应用客户端通过网络相连，向用户提供所需的应用服务，例如资讯、购物、社交等；用于和注册服务器通过网络相连，向注册服务器获取或验证第三方应用客户端的注册信息，例如第三方用户标识、用户密钥、用户令牌等信息。

本领域技术人员可以理解，图1中示出的实施环境结构并不构成对实施环境的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

三、客户端注册方法实施例

请参考图2，其示出了本发明提供的客户端注册方法实施例的流程图，该方法可用于图1所示的实施环境中。该方法可以包括如下几个步骤：

步骤201.用户终端与注册服务器进行认证与密钥协商。

用户终端连接的用户识别模块SIM中存储有移动用户标识、移动用户密钥（K）和AKA相关算法，相应的，在注册服务器连接的用户数据系统中存储有该移动用户标识、该移动用户标识对应的移动用户密钥（K）和AKA相关算法。

因此，用户终端基于用户识别模块SIM、注册服务器基于用户数据系统可以通过认证与密钥协商机制进行认证与密钥协商，其中，若认证与密钥协商成功，则可以协商相应的安全参数，并且建立该安全参数与该移动用户标识的对应关系，以用于后续过程中用户终端与注册服务器间的安全认证，为了区分，在这里将用户终端上的安全参数称为第一安全参数，将注册服务器上的安全参数称为第二安全参数。

安全参数可以包括安全令牌，安全令牌由注册服务器生成并发送给用户终端，根据生成安全令牌的实施方式，建立安全令牌与移动用户标识对应关系的实施方式，可以在注册服务器上建立安全令牌与移动用户标识的对应关系，也可以将移动用户标识加密生成安全令牌，从而都可以使得根据安全令牌能获取到对应的移动用户标识。

安全参数可以包括根密钥，根密钥由用户终端和注册服务器分别使用相同的密钥生成方式生成值相同的根密钥，为了区分，在这里将用户终端上生成的根密钥称为第一根密钥，将注册服务器上生成的根密钥称为第二根密钥。同时在注册服务器上建立移动用户标识与第二根密钥的对应关系，以使得根据移动用户标识能获取到对应的第二根密钥。

具体的，用户终端与注册服务器进行认证与密钥协商可以包括多种实施方式，在认证与密钥协商过程实施例一和认证与密钥协商过程实施例二中，提供了多种用以实现用户终端与注册服务器进行认证与密钥协商的实施方式。

步骤202.用户终端与注册服务器进行安全认证。

在用户终端与注册服务器成功进行了认证与密钥协商之后，基于协商得到的安全参数，用户终端可以向注册服务器进行安全认证。

例如，如果安全参数包括安全令牌，则用户终端以此安全令牌向注册服务器进行安全认证。

又例如，如果安全参数包括根密钥，则由于用户终端上生成了第一根密钥，在注册服务器上存储有值相同的第二根密钥，并且建立了移动用户标识与第二根密钥的对应关系，则用户终端与注册服务器可以基于值相同的根密钥进行安全认证。

具体的，用户终端与注册服务器进行安全认证可以包括多种实施方式，在客户端安全认证过程实施例一至客户端安全认证过程实施例三中，提供了多种用以实现用户终端与注册服务器进行安全认证的实施方式。

步骤203.在安全认证成功之后，注册服务器向用户终端提供注册信息和服务。

在安全认证成功之后，注册服务器可以根据需要向用户终端及运行在用户终端中的第三方应用客户端提供所需的数据和服务，例如可以向用户终端发送注册成功应答消息，或者向用户终端提供第三方应用客户端相关的注册信息和服务等。

相应地，在确定安全认证成功之后，用户终端可以根据需要接收注册服务器所提供的数据和服务，例如可以接收注册服务器发送的注册成功应答消息，或者接收注册服务器提供的第三方应用客户端相关的注册信息和服务等。

具体的，注册服务器向运行在用户终端中的第三方应用客户端提供注册信息可以包括多种实施方式，在客户端注册信息提供过程实施例一至客户端注册信息提供过程实施例三中，提供了多种用以实现为运行在用户终端中的第三方应用客户端提供注册信息的实施方式。

由上可知，本实施例提供的方法，经过用户终端与注册服务器之间的认证与密钥协商和安全认证，为用户终端及在用户终端中运行的第三方应用客户端的注册提供了安全注册环境，在安全认证成功之后，注册服务器向用户终端及运行在用户终端中的第三方应用客户端提供相应的注册信息和服务，整个过程不需要用户输入注册信息，提升了用户的使用体验。

四、客户端安全认证过程实施例一

请参考图3，其示出了本发明提供的客户端安全认证过程实施例一的流程图，该实施例可用于图1所示的实施环境中。该实施例包括：

步骤301.用户终端向注册服务器发送安全认证请求，该安全认证请求包括安全令牌。

在认证与密钥协商过程中，注册服务器为用户终端生成了安全令牌，并且将该安全令牌发送给了用户终端，用户终端获取了该安全令牌。

用户终端向注册服务器发送安全认证请求，并在该安全认证请求中包括该安全令牌，以使得注册服务器能对该安全令牌进行验证。

相应地，注册服务器接收用户终端发送的安全认证请求，以及获取该安全认证请求中的安全令牌。

步骤302.注册服务器验证该安全令牌是否有效，并且获取该用户终端对应的移动用户标识。

与注册服务器在认证与密钥协商过程中生成安全令牌可以包括的多种实施方式相对应的，注册服务器验证该安全令牌需使用相对应的实施方式，具体包括：

第一种实施方式，与注册服务器使用随机生成的全局唯一字符串作为安全令牌的实施方式相对应的，注册服务器在存储的所有安全令牌与移动用户标识的对应关系中查找是否存在该安全令牌，并且查找该安全令牌是否有对应的移动用户标识；若有，则确定该安全令牌有效，并获取该安全令牌对应的移动用户标识，该获取的对应的移动用户标识即为该用户终端对应的移动用户标识；若否，则确定该安全令牌无效。

第二种实施方式，与注册服务器使用对称加密算法基于预置密钥将包括该移动用户标识的信息加密得到的密文作为安全令牌的实施方式相对应的，注册服务器使用相同的对称加密算法和相同的预置密钥对该安全令牌解密，并获取该解密后的明文中的移动用户标识。若能成功解密并获取到移动用户标识，则确定该安全令牌有效，并获取该明文中的移动用户标识，该明文中的移动用户标识即为该用户终端对应的移动用户标识；若否，则确定该安全令牌无效。

例如，以生成安全令牌的对称加密算法为AES为例，解密方式可以表示为：m=AES_DENCRYPT(s,k)，其中m是解密后的结果值，即解密后的明文，k是解密密钥即在生成安全令牌时所使用的预置密钥，AES_DENCRYPT是解密算法，s是密文即该安全令牌。

步骤303.注册服务器根据对该安全令牌的验证结果确定安全认证是否成功。

注册服务器根据对安全令牌的验证结果确定安全认证是否成功，并执行相应的操作，包括：

若确定该安全令牌有效，则确定安全认证成功。在确定安全认证成功之后，注册服务器可以根据需要向用户终端提供所需的数据和服务，例如可以向用户终端发送注册成功应答消息，或者向用户终端提供注册信息和服务等。

相应地，在确定安全认证成功之后，用户终端可以根据需要获取注册服务器提供的数据和服务，例如接收注册服务器发送的注册成功应答消息，或者接收注册服务器提供的注册信息和服务等。

若确定该安全令牌无效，则确定安全认证失败。在确定安全认证失败之后，注册服务器则不向用户终端提供所需的数据和服务，以及向用户终端发送注册失败应答消息等。

相应地，在确定安全认证失败之后，用户终端接收注册服务器发送的注册失败应答消息等。

综上所述，本实施例提供的方法，主要是基于用户终端与注册服务器协商的安全令牌进行安全认证，在安全认证成功之后，可以为用户终端及用户终端上运行的第三方应用客户端安全地提供相应的注册信息和服务，并向用户终端返回注册成功应答消息。

五、客户端安全认证过程实施例二

请参考图4，其示出了本发明提供的客户端安全认证过程实施例二的流程图，该实施例可用于图1所示的实施环境中。该实施例包括：

用户终端在获取到用于启动客户端安全认证过程的操作指示之后启动客户端安全认证过程，该安全认证过程可以包括如下三个子过程和相应的步骤：

第一子过程：用户终端与注册服务器基于相同的移动用户标识和值相同的根密钥生成值相同的认证密钥。具体可以包括：

步骤401.用户终端获取移动用户标识和第一根密钥。

用户终端获取移动用户标识和第一根密钥，相对应的，在用户终端与注册服务器认证与密钥协商成功之后，在注册服务器上应当存储有该移动用户标识以及与该移动用户标识对应的第二根密钥。

步骤402.用户终端基于该第一根密钥生成第一认证密钥。

例如，可将该第一根密钥作为第一认证密钥。

又例如，基于包括该第一根密钥以及第一固定字符串（1）或/和第一随机字符串或/和第一时间戳或/和该移动用户标识或/和第三方应用标识的信息生成第一认证密钥；其中，该第一固定字符串（1）为预先配置的并且与注册服务器上预先配置的第一固定字符串（2）的值相同的字符串，该第一随机字符串为本地随机生成的字符串，该第一时间戳为通过获取用户终端的当前系统时间生成。具体地，以密钥派生算法公式为例，可以表示为：DK= PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第一认证密钥，PBKDF2是密钥派生算法，passphrase是该第一根密钥并且和第一固定字符串（1）或/和第一随机字符串或/和第一时间戳或/和该移动用户标识或/和第三方应用标识组合拼接的字符串；Salt是盐值，在本例中是一个固定字符串；c是迭代次数；dlLen是密钥输出长度，可以根据使用的加密算法生成符合要求的密钥长度。

第三方应用标识是用户终端中运行的第三方应用客户端的标识，例如，在第三方应用客户端软件安装包内已经内置存储并且在安装后存储在配置文件中，用户终端从该配置文件中获取该第三方应用标识；或者，由第三方应用客户端向对应的第三方应用服务器发送请求后获得，再由用户终端从该第三方应用客户端获取。

步骤403.用户终端将该移动用户标识以及生成第一认证密钥的信息发送给注册服务器。

用户终端将该移动用户标识发送给注册服务器，以使得注册服务器根据该移动用户标识能获取到对应的第二根密钥。

为了使得注册服务器生成与第一认证密钥的值相同的第二认证密钥，则如果生成第一认证密钥的信息还包括第一随机字符串或/和第一时间戳或/和第三方应用标识，则将该第一随机字符串或/和该第一时间戳或/和该第三方应用标识发送给注册服务器。

相应地，注册服务器接收用户终端发送的该移动用户标识以及该第一随机字符串或/和该第三方应用标识。

可以理解，如果上述生成第一认证密钥的信息还包括第一固定字符串（1），由于固定字符串在注册服务器上可以预先配置相同值的固定字符串，则可以不用将该第一固定字符串（1）发送给注册服务器。

步骤404.注册服务器根据该移动用户标识获取第二根密钥。

在注册服务器上存储有移动用户标识和第二根密钥的对应关系。

注册服务器根据该移动用户标识在该对应关系中查找和获取对应的第二根密钥。

步骤405.注册服务器基于该第二根密钥生成第二认证密钥。

注册服务器使用和用户终端相同的认证密钥生成方式，基于该第二根密钥生成第二认证密钥。

例如，以使用和步骤402用户终端相同的认证密钥生成方式为例，如果用户终端使用第一根密钥作为第一认证密钥，则注册服务器使用该第二根密钥作为第二认证密钥。

又例如，以使用和步骤402用户终端相同的认证密钥生成方式为例，如果用户终端基于包括该第一根密钥以及第一固定字符串（1）或/和第一随机字符串或/和第一时间戳或/和该移动用户标识或/和第三方应用标识生成第一认证密钥，则注册服务器基于包括该第二根密钥以及第一固定字符串（2）或/和第一随机字符串或/和第一时间戳或/和该移动用户标识或/和第三方应用标识的信息生成第一认证密钥，并且该第二认证密钥的生成方式与用户终端生成第一认证密钥的生成方式一致；其中，该第一固定字符串（2）为预先配置的并且与用户终端预先配置的第一固定字符串（1）的值相同的字符串，该第一随机字符串或/和第一时间戳或/和第三方应用标识为用户终端所发送的。

具体地，以步骤402相对应的示例为例，密钥派生算法公式为：DK = PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第二认证密钥，PBKDF2是与用户终端相同的密钥派生算法，passphrase是该第二根密钥并且和第一固定字符串（2）或/和第一随机字符串或/和第一时间戳或/和该移动用户标识或/和第三方应用标识组合拼接的字符串；Salt是盐值，是一个与用户终端相同的固定字符串；c是与用户终端中相同的迭代次数；dlLen是与用户终端中相同的密钥输出长度。

至此，由于同一移动用户标识在用户终端上对应的第一根密钥和在注册服务器上对应的第二根密钥的值是相同的，而由于第一认证密钥和第二认证密钥是使用相同的密钥生成方式、基于值相同的根密钥生成的，因此，第一认证密钥和第二认证密钥的值也是相同的。

第二子过程：用户终端与注册服务器生成值相同的验证信息。具体可以包括：

步骤406.用户终端生成第一验证信息。

用户终端生成第一验证信息，以使得该第一验证信息用于加密，并且要使得该第一验证信息与注册服务器生成的第二验证信息的值相同。

用户终端可以将第二固定字符串（1）或第二随机字符串或第二时间戳或该移动用户标识或该第三方应用标识中的一种作为第一验证信息；或者，用户终端根据包括第二固定字符串（1）或/和第二随机字符串或/和第二时间戳或/和该移动用户标识或/和该第三方应用标识的信息生成第一验证信息，例如，用户终端将第二固定字符串（1）或/和第二随机字符串或/和第二时间戳或/和该移动用户标识或/和该第三方应用标识组合拼接后生成第一验证信息。

其中，该第二固定字符串（1）为预先配置的与注册服务器上预先配置的第二固定字符串（2）的值相同的字符串，该第二随机字符串为本地随机生成的字符串，该第二时间戳为通过获取用户终端的当前系统时间生成。

步骤407.可选的，用户终端将生成第一验证信息的信息发送给注册服务器。

在用户终端生成第一验证信息之后，为了使得注册服务器生成与第一认证信息的值相同的第二认证信息，如果生成的第一验证信息还包括第二随机字符串或/和第二时间戳或/和该移动用户标识或/和该第三方应用标识，并且是使用签名加密算法对第一验证信息签名加密生成第一加密值，则将该第二随机字符串或/和该第二时间戳或/和该移动用户标识或/和该第三方应用标识发送给注册服务器。

相应地，注册服务器接收用户终端发送的该第二随机字符串或/和该第二时间戳或/和该移动用户标识或/和该第三方应用标识。

可以理解，如果上述生成第一验证信息的信息还包括第二固定字符串（1），由于固定字符串在注册服务器上可以预先配置相同值的固定字符串，则可以不用将该第二固定字符串（1）发送给注册服务器。

可以理解，如果生成的第一验证信息还包括该第二随机字符串或/和该第二时间戳或/和该移动用户标识或/和该第三方应用标识，并且是使用对称加密算法对第一验证信息对称加密生成第一加密值，由于对该第一加密值解密后可以获取到第一验证信息，因此，则可以不用将该第二随机字符串或/和该第二时间戳或/和该移动用户标识或/和该第三方应用标识发送给注册服务器。

可以理解，本步骤还可以与上述步骤403合并成一个步骤实施，即用户终端可以将该移动用户标识以及生成第一认证密钥的信息和生成第一验证信息的信息在一个发送请求中同时发送给注册服务器，相应地，则上述注册服务器生成第二认证密钥、生成第二验证信息的相应步骤也在该合并的步骤后实施。

可以理解，如果合并成一个步骤实施，则两个步骤中如果生成第一认证密钥的信息与生成第一验证信息的信息有相同的信息，则可以不用重复发送该相同的信息。

步骤408.注册服务器生成第二验证信息。

注册服务器生成第二验证信息，并且要使得该生成的第二验证信息的值与用户终端生成的第一验证信息的值相同。

以使用和步骤406相同的验证信息生成方式为例，如果用户终端将第二固定字符串（1）或第二随机字符串或第二时间戳或该移动用户标识或该第三方应用标识中的一种作为第一验证信息，将注册服务器将第二固定字符串（2）或第二随机字符串或第二时间戳或该移动用户标识或该第三方应用标识中的一种作为第二验证信息。

以使用和步骤406相同的验证信息生成方式为例，如果用户终端根据包括第二固定字符串（1）或/和第二随机字符串或/和第二时间戳或/和该移动用户标识或/和该第三方应用标识的信息生成第一验证信息，则注册服务器根据包括第二固定字符串（2）或/和第二随机字符串或/和第二时间戳或/和该移动用户标识或/和该第三方应用标识的信息生成第二验证信息。例如，与步骤406用户终端相对应的示例为例，注册服务器将第二固定字符串（2）或/和第二随机字符串或/和第二时间戳或/和该移动用户标识或/和该第三方应用标识组合拼接后生成第二验证信息。

其中，该第二固定字符串（2）为预先配置的并且与用户终端上预先配置的第二固定字符串（1）的值相同的字符串，该第二随机字符串或/和该第二时间戳或/和第三方应用标识为用户终端所发送的。

至此，由于第一验证信息和第二验证信息是使用相同的验证信息生成方式、基于相同值的信息生成的，因此，第一验证信息和第二验证信息的值也是相同的。

进一步地，如果生成第一验证信息的信息还包括第二时间戳，则注册服务器在接收到该第二时间戳之后，将该第二时间戳与注册服务器的当前系统时间进行比较，确定两者的时间差是否在预先设定的有效范围内：如果是在有效的范围内，则执行下述步骤；如果不是在有效的范围内，则不执行下述步骤，结束本次客户端安全认证过程。

第三子过程：用户终端与注册服务器基于值相同的认证密钥和值相同的验证信息实现安全认证。具体可以包括：

步骤409.用户终端基于该第一认证密钥和该第一验证信息加密生成第一加密值。

根据上述步骤中生成的第一认证密钥和第一验证信息，用户终端基于该第一认证密钥和该第一验证信息加密生成第一加密值。根据所使用的加密算法，可以包括多种实施方式，至少可以包括：

第一种实施方式，用户终端使用签名加密算法基于该第一认证密钥对该第一验证信息签名加密生成第一加密值。

用户终端使用签名加密算法基于该第一认证密钥对该第一验证信息签名加密计算生成的第一加密值，即为签名值，签名值可以唯一地识别第一验证信息，只有使用相同的签名加密算法、相同值的签名密钥、相同值的待签名信息才可以生成相同的签名值。

例如，以签名加密算法使用哈希消息认证码为例，签名方式可以表示为：Signature=HMAC_SHA256(k,m)，其中m是待签名信息即该第一验证信息，k是签名密钥即该第一认证密钥，HMAC_SHA256是签名加密算法，Signature是签名值即第一加密值。

又例如，以签名加密算法使用含密钥加密的哈希函数为例，签名方式可以表示为：Signature= SHA256(k||m)，其中m是待签名信息即该第一验证信息，k是签名密钥即该第一认证密钥，“k||m”表示将k和m组合拼接，SHA256是哈希函数，Signature是签名值即第一加密值。

第二种实施方式，用户终端使用对称加密算法基于该第一认证密钥对包括该第一验证信息的信息对称加密生成第一加密值。

用户终端使用对称加密算法基于该第一认证密钥对包括该第一验证信息的信息对称加密生成第一加密值，该第一加密值即为包括该第一验证信息的信息的密文，只有使用相同的对称加密算法、相同值的密钥才可以将该密文解密后得到原来的明文。

例如，以对称加密算法使用AES为例，加密方式可以表示为：s=AES_ENCRYPT(m,k)，其中m是明文，该明文为包括该第一验证信息的信息，k是加密密钥即该第一认证密钥，AES_ENCRYPT是加密算法，s是加密结果即第一加密值。

上述的包括该第一验证信息的信息，是指在生成的信息中还包括该第一验证信息和其他信息，例如将该第一验证信息和其他信息组合拼接后所生成的信息，对于该其他信息，如非特别说明，在本实施例中并不进行限定。

步骤410.用户终端向注册服务器发送安全认证请求，该安全认证请求包括该第一加密值。

用户终端向注册服务器发送安全认证请求，该安全认证请求包括该第一加密值，以使得注册服务器通过验证该第一加密值而实现对用户终端的安全认证。

相应地，注册服务器接收用户终端发送的安全认证请求，并且获取该安全认证请求中包括的该第一加密值。

可以理解，本步骤还可以与上述步骤403或/和步骤407合并成一个步骤实施，即用户终端可以将该安全认证请求与发送移动用户标识以及生成第一认证密钥的信息、或发送生成第一验证信息的信息的步骤在一个发送请求中同时发送给注册服务器，相应地，则上述注册服务器生成第二认证密钥、生成第二验证信息的相应步骤也在该合并的步骤后实施。

步骤411.注册服务器基于该第二认证密钥和该第二验证信息验证该第一加密值。

与用户终端中生成第一加密值可以包括的多种实施方式相对应的，注册服务器基于该第二认证密钥和该第二验证信息验证该第一加密值需使用相对应的实施方式，包括：

第一种实施方式，与用户终端使用签名加密算法生成第一加密值的实施方式相对应的，注册服务器使用和用户终端相同的签名加密算法，基于该第二认证密钥和该第二验证信息验证该第一加密值。具体可以包括：

步骤411a.注册服务器使用和用户终端相同的签名加密算法，基于该第二认证密钥对该第二验证信息签名加密生成第二加密值。

注册服务器使用和用户终端相同的签名加密算法基于该第二认证密钥对该第二验证信息签名加密生成签名值，该签名值也这里表述为是第二加密值。

例如，以签名加密算法使用和步骤409用户终端中相同的哈希消息认证码为例，签名方式可以表示为：Signature=HMAC_SHA256(k,m)，其中m是待签名信息即第二验证信息，k是签名密钥即第二认证密钥，HMAC_SHA256是与用户终端相同的哈希消息认证码，Signature是签名值即第二加密值。

又例如，以签名算法使用和步骤409用户终端中相同的含密钥加密的哈希函数为例，签名方式可以表示为：Signature= SHA256(k||m)，其中m是待签名信息即第二验证信息，k是签名密钥即第二认证密钥，SHA256是与用户终端相同的哈希函数，Signature是签名值即第二加密值。

至此，由于注册服务器使用的是和用户终端相同的签名算法，第二验证信息和第一验证信息是值相同的待签名信息，第二认证密钥和第一认证密钥是值相同的签名密钥，则生成的第二加密值和第一加密值应当相同。

步骤411b.注册服务器比较该第二加密值与该第一加密值是否一致；若一致，则确定安全验证成功。

注册服务器比较该第二加密值和该第一加密值是否一致，并根据比较结果执行相应的操作，包括：

如果比较结果是一致的，则确定该第一加密值验证成功。

如果比较结果是不一致的，则确定该第一加密值验证失败。

第二种实施方式，与用户终端使用对称加密算法生成第一加密值相对应的，注册服务器使用和用户终端相同的对称加密算法，基于该第二认证密钥和该第二验证信息验证该第二加密值。具体可以包括：

步骤411i.注册服务器使用和用户终端相同的对称加密算法，基于该第二认证密钥对该第一加密值解密获得明文，并从该明文中获取第一验证信息。

注册服务器使用和用户终端相同的对称加密算法基于该第二认证密钥对该第一加密值解密，从而获得解密后的明文。

例如，以对称加密算法使用和步骤409用户终端中相同的AES为例，解密方式可以表示为：m=AES_DENCRYPT(s,k)，其中m是解密后的结果值，即解密后的明文，k是解密密钥即该第二认证密钥，AES_DENCRYPT是解密算法，s是密文即第一加密值。

由于该明文是第一验证信息或者是包括该第一验证信息的信息，因此，可以从该明文中获取到第一验证信息。

步骤411ii.注册服务器比较该第二验证信息与该第一验证信息是否一致；若一致，则确定安全验证成功。

注册服务器比较该第二验证信息和该解密后获得的明文是否一致，并根据比较结果执行相应的操作，包括：

如果比较结果是一致的，则确定该第一加密值验证成功。

如果比较结果是不一致的，则确定该第一加密值验证失败。

步骤412.注册服务器根据对第一加密值的验证结果确定安全认证是否成功。

注册服务器根据对该第一加密值的验证结果确定安全认证是否成功，并执行相应的操作，包括：

若确定该第一加密值验证成功，则确定安全认证成功。在确定安全认证成功之后，注册服务器可以根据需要向用户终端提供所需的数据和服务，例如向用户终端发送注册成功应答消息，或者向用户终端提供注册信息和服务等。

相应地，在确定安全认证成功之后，用户终端可以根据需要接收注册服务器提供的数据和服务，例如接收注册服务器发送的注册成功应答消息，或者接收注册服务器提供的注册信息和服务等。

若确定该第一加密值验证失败，则确定安全认证失败。在确定安全认证失败之后，注册服务器可以根据不向用户终端提供所需的数据和服务，包括可以向用户终端发送注册失败应答消息等。

综上所述，本实施例提供的方法，主要是基于用户终端中的移动用户标识和第一根密钥，以及基于注册服务器中存储的相同的移动用户标识和对应的第二根密钥，注册服务器通过使用和用户终端相同的加密算法对用户终端进行安全认证，在安全认证成功之后，可以为用户终端及用户终端上运行的第三方应用客户端安全地提供相应的注册信息和服务，并向用户终端返回注册成功应答消息。

六、客户端注册信息提供过程实施例一

请参考图5，其示出了本发明提供的客户端注册信息提供过程实施例一的流程图，该方法可用于图1所示的实施环境中。本实施例进一步为用户终端中运行的第三方应用客户端提供了注册信息，该注册信息包括第三方用户标识和用户密钥。

为了让注册服务器为用户终端中运行的第三方应用客户端提供相应的注册信息和服务，则用户终端需将第三方应用客户端对应的第三方应用标识传递给注册服务器。

具体的，用户终端将第三方应用标识传递给注册服务器可以包括多种实施方式，例如可以包括：

第一种实施方式，用户终端将该第三方应用标识发送给注册服务器，注册服务器接收该第三方应用标识。

用户终端将该第三方应用标识发送给注册服务器，可以以一个单独的发送请求将该第三方应用标识发送给注册服务器，也可以合并在安全认证请求或其他的发送请求中将该第三方应用标识发送给注册服务器，例如合并在上述步骤301或步骤410的安全认证请求中，或者合并在上述步骤403或/和步骤407用户终端发送认证密钥或认证信息的相关步骤中。

相应地，注册服务器接收用户终端发送的第三方应用标识。

第二种实施方式，用户终端将该第三方应用标识加密，并将加密后的密文发送给注册服务器，注册服务器将该密文解密后获得该第三方应用标识。

例如，用户终端基于第一根密钥以及注册服务器基于第二根密钥使用相同的密钥生成方式生成值相同的加密密钥，用户终端使用对称加密算法和该加密密钥对该第三方应用标识加密，将加密后的密文发送给注册服务器，注册服务器使用值相同的加密密钥解密后获得该第三方应用标识。

又例如，与上述步骤409的第二种实施方式相对应的，用户终端使用对称加密算法基于该第一认证密钥对包括该第一验证信息的信息对称加密生成第一加密值，则在包括该第一验证信息的信息中包括该第三方应用标识。从而在步骤411的第二种实施方式中，注册服务器从解密获得的明文中获取该第三方应用标识。

在传递第三方应用标识以及安全认证成功以后，注册服务器可以为用户终端中运行的第三方应用客户端提供包括第三方用户标识和用户密钥的注册信息，即本实施例的下述步骤应用在客户端安全认证过程实施例一和客户端安全认证过程实施例二之后。具体可以包括：

步骤501.注册服务器根据用户终端对应的移动用户标识和该第三方应用标识获取对应的第三方用户标识。

与上述客户端安全认证过程实施例一相对应的，用户终端对应的移动用户标识为根据安全令牌所获取的对应的移动用户标识；与上述客户端安全认证过程实施例二相对应的，用户终端对应的移动用户标识为用户终端发送给注册服务器的认证密钥信息或安全验证信息或安全认证请求中所包括的移动用户标识。

在注册服务器上存储有移动用户标识和第三方应用标识与第三方用户标识的对应关系，根据移动用户标识和第三方应用标识在该对应关系中可获取对应的第三方用户标识。具体可以包括如下步骤：

步骤501a.注册服务器根据该移动用户标识和该第三方应用标识查找对应的第三方用户标识。

在注册服务器上存储有移动用户标识和第三方应用标识与第三方用户标识的账户对应关系，即根据第三方应用标识和移动用户标识在该账户对应关系中能够查找到对应的第三方用户标识。

注册服务器根据该移动用户标识和该第三方应用标识在该账户对应关系中查找对应的第三方用户标识。

如果查找到对应的第三方用户标识，则说明注册服务器已经为该移动用户标识创建了用于该第三方应用标识的第三方用户标识，则注册服务器获取对应的第三方用户标识，然后执行下述步骤502。

如果没有查找到对应的第三方用户标识，则说明注册服务器没有为该移动用户标识创建过用于该第三方应用标识的第三方用户标识，则执行下述步骤501b。

步骤501b.注册服务器创建一个唯一的第三方用户标识。

注册服务器创建一个新用户标识，该新用户标识是注册服务器上所有的第三方用户标识中唯一的标识，也可以是在步骤501a所述的账户对应关系中该第三方应用标识对应的所有第三方用户标识中唯一的标识，然后将该新用户标识作为第三方用户标识。

步骤501c.注册服务器建立和存储该移动用户标识和该第三方应用标识与该第三方用户标识的对应关系。

注册服务器在步骤501a所述的账户对应关系中新增该移动用户标识和该第三方应用标识与该第三方用户标识的对应关系，即根据该移动用户标识和该第三方应用标识在该账户对应关系中将能查找和获取到该第三方用户标识。

步骤501a、步骤501b和步骤501c，还可以是，注册服务器预先建立有用于该第三方应用标识的应用用户关系表，在该应用用户关系表中存储有移动用户标识和第三方用户标识的一一对应关系。注册服务器根据该移动用户标识在该应用用户关系表中查找第三方用户标识，如果没有查找到第三方用户标识，则创建一个唯一的第三方用户标识，并且在该应用用户关系表中新增该移动用户标识和该第三方用户标识的一一对应关系，如果查找到第三方用户标识，则获取该第三方用户标识。

步骤501a、步骤501b和步骤501c，还可以是，注册服务器预先建立有用于该移动用户标识的移动用户关系表，在该移动用户关系表中存储有第三方应用标识和第三方用户标识的一一对应关系。注册服务器根据该第三方应用标识在该移动用户关系表中查找第三方用户标识，如果没有查找到第三方用户标识，则创建一个唯一的第三方用户标识，并且在该移动用户关系表中新增该第三方应用标识和该第三方用户标识的一一对应关系，如果查找到第三方用户标识，则获取该第三方用户标识。

步骤502.可选的，注册服务器基于该第二根密钥生成该第三方用户标识对应的第二用户密钥。

注册服务器基于该第二根密钥生成第二用户密钥，并且建立该第三方用户标识与该第二用户密钥的对应关系。具体可以包括如下步骤：

步骤502a.注册服务器基于该第二根密钥生成第二用户密钥。

注册服务器基于该第二根密钥生成第二用户密钥。

进一步的，注册服务器基于包括该第二根密钥以及第三固定字符串（2）或/和第三随机字符串或/和第三时间戳或/和该移动用户标识或/和该第三方应用标识或/和该第三方用户标识的信息生成第二用户密钥；其中，该第三固定字符串（2）为预先配置的并且与用户终端上预先配置的第三固定字符串（1）的值相同的字符串，该第三随机字符串为本地随机生成的字符串，该第三时间戳为通过获取注册服务器的当前系统时间生成。具体地，以密钥派生算法公式为例，可以表示为：DK = PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第二用户密钥，PBKDF2是密钥派生算法，passphrase是该第二根密钥以及第三固定字符串或/和第三随机字符串或/和第三时间戳或/和该移动用户标识或/和第三方应用标识或/和该第三方用户标识组合拼接的字符串；Salt是盐值，在本例中是一个固定字符串；c是迭代次数；dlLen是密钥输出长度，可以根据需要生成符合要求的密钥长度。

步骤502b.注册服务器建立该第三方用户标识与该第二用户密钥的对应关系。

注册服务器建立该第三方用户标识与该第二用户密钥的对应关系，以使得根据该第三方用户标识在该对应关系中能获取到对应的第二用户密钥。

如果该第三方用户标识是注册服务器上所有的第三方用户标识中唯一的标识，则建立该第三方用户标识与该第二用户密钥的对应关系。

如果该第三方用户标识是该第三方应用标识对应的所有第三方用户标识中唯一的标识，则建立该第三方用户标识和该第三方应用标识与该第二用户密钥的对应关系。

至此，注册服务器建立了该第三方用户标识与该第二用户密钥的对应关系，注册服务器可以本地存储该对应关系，或者将该对应关系同步发送给第三方认证服务器，或者将该对应关系同步发送给对应该第三方应用标识的第三方应用服务器。然后，基于该对应关系，如果运行在用户终端的第三方应用客户端有相同的第三方用户标识和与该第二用户密钥的值相同的用户密钥，则将可以实现对第三方应用客户端的身份认证、数据加密等操作。

以注册服务器本地存储该对应关系为例，注册服务器预先建立有用于该第三方应用标识的账户密钥关系表，在该账户密钥关系表中存储有第三方用户标识与该第二用户密钥的一一对应关系。注册服务器根据该第三方用户标识在该账户密钥关系表中查找第二用户密钥，如果没有查找到第二用户密钥，则在该账户密钥关系表中新增该第三方用户标识与该第二用户密钥的一一对应关系，如果查找到用户密钥，则在该账户密钥关系表中使用本步骤新生成的该第二用户密钥替换该第三方用户标识已有的用户密钥。

以结合步骤501为例，如果在注册服务器上预先建立用于该第三方应用标识的应用用户关系表，或者如果在注册服务器上预先建立用于该移动用户标识的移动用户关系表，则也可以在该应用用户关系表或移动用户关系表中建立及更新该第三方用户标识和该第二用户密钥的一一对应关系，在此不再赘述。

需要说明的是，上述步骤502还可以在下述步骤503之后执行，本发明并不对此进行限定。

步骤503.注册服务器向用户终端发送注册应答消息，该注册应答消息是注册成功应答消息，并且包括该第三方用户标识。

与步骤502a相对应的，如果生成的第二用户密钥还包括第三随机字符串或/和第三时间戳，则向用户终端发送的该注册成功应答消息，还包括该第三随机字符串或/和该第三时间戳。

步骤504.用户终端接收注册服务器发送的注册应答消息并执行相应的操作。

用户终端接收注册服务器发送的注册应答消息，该注册应答消息是注册成功应答消息或者是注册失败应答消息。

用户终端根据该客户端注册应答消息执行相应的操作，包括：

如果该注册应答消息是注册成功应答消息，则获取该注册成功应答消息中的第三方用户标识，并且将该第三方用户标识发送给第三方应用标识对应的第三方应用客户端。如果实施了上述步骤502，则相对应的执行下述步骤505生成第一用户密钥，并将该生成的第一用户密钥同时发送给对应的第三方应用客户端。

如果该注册应答消息是注册失败应答消息，则结束本流程，或者用户终端将该注册失败应答消息发送给第三方应用客户端之后结束本流程。

步骤505.可选的，用户终端使用和注册服务器相同的用户密钥生成方式，基于该第一根密钥生成第一用户密钥。

用户终端使用和注册服务器相同的用户密钥生成方式，基于该第一根密钥生成第一用户密钥。

相应的，如果在步骤502中注册服务器基于包括该第二根密钥以及第三固定字符串（2）或/和第三随机字符串或/和第三时间戳或/和该移动用户标识或/和第三方应用标识或/和该第三方用户标识的信息生成第二用户密钥，则用户终端基于包括该第一根密钥以及第三固定字符串（1）或/和第三随机字符串或/和第三时间戳或/和该移动用户标识或/和第三方应用标识或/和该第三方用户标识的信息生成第一用户密钥；其中，该第三固定字符串（1）为预先配置的并且与注册服务器上预先配置的第三固定字符串（2）的值相同的字符串，该第三随机字符串或/和第三时间戳为注册成功应答消息中所包括的。具体地，以使用和步骤502注册服务器相同的密钥派生算法为例，密钥派生算法公式可以表示为DK = PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第一用户密钥；PBKDF2是与注册服务器相同的密钥派生算法；passphrase是该第一根密钥以及第三固定字符串（1）或/和第三随机字符串或/和第三时间戳或/和该移动用户标识或/和第三方应用标识或/和该第三方用户标识组合拼接的字符串，并且组合拼接方式与注册服务器一致；Salt是盐值，是一个与注册服务器相同的固定字符串；c是与注册服务器相同的迭代次数；dlLen是与注册服务器相同的密钥输出长度。

至此，由于用户终端上生成的第一根密钥和在注册服务器上生成的第二根密钥的值相同，并且由于第一用户密钥和第二用户密钥是使用相同的用户密钥生成方式、基于相同值的根密钥生成的，因此，第一用户密钥和第二用户密钥的值也是相同的。

用户终端将该第三方用户标识和该第一用户密钥发送给该第三方应用标识对应的第三方应用客户端，第三方应用客户端将可以根据该第三方用户标识和该第一用户密钥向第三方应用服务器进行身份认证、数据加密等操作。

如上实施例过程，为用户终端中运行的第三方应用客户端获取了第三方用户标识和生成了对应的用户密钥。带来的效果至少包括：第一方面，自动为第三方应用客户端获取第三方用户标识和对应的用户密钥，减少了终端用户的输入操作，提升了用户的使用体验；第二方面，只要是同一用户识别模块SIM，即使是更换到其他的用户终端上，只要是相同的第三方应用客户端，也能为其自动获取相同的第三方用户标识；第三方面，第三方应用客户端对应的第三方应用服务器，将只能获取与其有关的第三方用户标识，而不能获取移动用户标识，从而能够有效地保护用户的隐私不被泄露；第四方面，用户终端中运行的第三方应用客户端将可以根据获取的第三方用户标识以及生成的用户密钥实现快捷、安全的身份认证、数据加密等操作。

七、客户端注册信息提供过程实施例二

请参考图6，其示出了本发明提供的客户端注册信息提供过程实施例二的流程图，该方法可用于图1所示的实施环境中。本实施例进一步为用户终端中运行的第三方应用客户端提供了注册信息，该注册信息包括为用户终端中运行的第三方应用客户端生成用户令牌。

为了让注册服务器为用户终端中运行的第三方应用客户端提供相应的注册信息和服务，则用户终端需将第三方应用客户端对应的第三方应用标识传递给注册服务器。用户终端将第三方应用标识传递给注册服务器可以包括多种实施方式，具体实施方式可以参照上述客户端注册信息提供过程实施例一，在此不再赘述。

在传递第三方应用标识以及安全认证成功以后，注册服务器可以为用户终端中运行的第三方应用客户端提供包括用户令牌的注册信息，即本实施例的下述步骤应用在客户端安全认证过程实施例一和客户端安全认证过程实施例一之后。具体可以包括：

步骤601.注册服务器为该第三方应用标识生成用户令牌。

注册服务器为该第三方应用标识生成用户令牌，该用户令牌是唯一的，并且具有足够的长度和足够的随机性，使得难以被猜测破解。

步骤602.注册服务器建立该用户令牌与该第三方应用标识或/和该移动用户标识的关联关系。

注册服务器建立该用户令牌与该第三方应用标识的关联关系，注册服务器可以本地存储该关联关系，或者将该关联关系同步发送给第三方认证服务器，或者将该关联关系同步发送给该第三方应用标识对应的第三方应用服务器。然后，基于该关联关系，如果运行在用户终端的第三方应用客户端有相同的用户令牌，第三方应用服务器将可以根据该关联关系实现对第三方应用客户端的认证，例如，以将该用户令牌同步发送给该第三方应用标识对应的第三方应用服务器为例，该第三方应用服务器接收包括用户令牌的认证请求，在该关联关系中查找是否有对应的用户令牌，若有，则认证成功，从而可确定发送该认证请求的发送方是该第三方应用服务器对应的第三方应用客户端。

进一步的，为了使得第三方应用服务器给同一用户提供持续的应用服务，还应当建立该用户令牌与该第三方应用标识和该用户终端对应的移动用户标识的关联关系，以使得能根据该用户令牌能查找到同一用户终端对应的第三方应用标识和移动用户标识，从而为同一用户提供持续的服务。例如，以将该关联关系同步发送给该第三方应用标识对应的第三方应用服务器为例，该第三方应用服务器接收包括用户令牌的认证请求，根据该用户令牌在该关联关系中查找对应的移动用户标识，若查找到，则可以向该移动用户标识关联的用户提供持续的应用服务。

进一步的，为了不致于在第三方应用服务器上泄露移动用户标识，还可以创建一个与该移动用户标识对应的唯一用户标识，再建立该用户令牌与该第三方应用标识和该唯一用户标识的对应关系，从而避免用户的移动用户标识泄露给第三方应用服务器。

需要说明的是，还应当提供清理机制，对于已经失效的用户令牌应当及时清理相应的关联关系，例如在用户令牌验证一次后删除该用户令牌相应的关联关系，或者给用户令牌设定一个有效期，依据有效期及时删除已过有效期的用户令牌相应的关联关系。具体清理机制在此不赘述。

步骤603.注册服务器向用户终端发送注册应答消息，该注册应答消息是注册成功应答消息，并且包括该用户令牌。

步骤604.用户终端接收注册服务器发送的注册应答消息并执行相应的操作。

用户终端根据该注册应答消息执行相应的操作，包括：

如果该注册应答消息是注册成功应答消息，则获取该注册成功应答消息中的用户令牌，并且将该用户令牌传递给第三方应用标识对应的第三方应用客户端以用于认证鉴权，然后结束本流程。

如上实施例过程，为用户终端中运行的第三方应用客户端生成了用户令牌。带来的效果包括：第一方面，自动为第三方应用客户端获取用户令牌，减少了终端用户的输入操作，提升了用户的使用体验；第二方面，该用户令牌将可以用于第三方应用客户端向对应的第三方应用服务器的认证鉴权，从而提升用户的使用体验；第三方面，在用于认证鉴权时，该用户令牌由于不需要进行加密计算等操作，因此，更适用于一些轻量级的应用客户端（如基于浏览器的网页应用）。

八、客户端注册信息提供过程实施例三

请参考图7，其示出了本发明提供的客户端注册信息提供过程实施例三的流程图，该方法可用于图1所示的实施环境中。作为基于客户端注册信息提供过程实施例一提供的更为优选地实施例，本实施例还进一步实现了终端用户的授权确认过程。

该方法的下述步骤在客户端注册信息提供过程实施例一的基础上，应用在用户终端向注册服务器传递第三方应用标识以及安全认证成功以后，以及应用在注册服务器为用户终端中运行的第三方应用客户端提供包括第三方用户标识和用户密钥的注册信息的过程之前，具体包括如下几个步骤：

步骤a.注册服务器向用户终端发送应用授权请求消息。

该应用授权请求消息中可以包括：

或/和第三方应用名称，该名称是用于识别第三方应用客户端和第三方应用服务器的名称，在注册服务器上预先存储有第三方应用标识和第三方应用名称的对应关系，注册服务器根据第三方应用标识在该对应关系中查找和获取对应的第三方应用名称。

或/和移动用户名称，该名称是用于识别移动用户的名称，在注册服务器上预先存储有移动用户标识和移动用户名称的对应关系，注册服务器根据移动用户标识在该对应关系中查找和获取对应的移动用户名称。

相应地，用户终端接收注册服务器发送的应用授权请求消息。

步骤b.用户终端显示应用授权验证界面。

用户终端接收到注册服务器发送的应用授权请求消息之后，调用并显示应用授权验证界面，以询问终端用户是否同意向该第三方应用授权。

在显示的应用授权验证界面上，可以显示应用授权请求消息中所包括的第三方应用名称或/和移动用户名称，具体为：

第三方应用名称，即将要授权的第三方应用客户端和第三方应用服务器的名称；

移动用户名称，即将要授权的移动用户名称。

在显示应用授权验证界面之后，终端用户可以输入表示确认授权或者表示取消授权的授权信息。

可选地，在显示的应用授权验证界面上，还可以包括安全验证码输入框，以询问终端用户输入安全验证码。该安全验证码用于进一步地验证终端用户的授权，相应地，在注册服务器上预先存储有移动用户标识和安全验证码的对应关系。

步骤c.用户终端接收终端用户在应用授权验证界面中输入的授权信息。

步骤d.用户终端向注册服务器发送应用授权应答消息，该应用授权应答消息是应用授权确认消息或者是应用授权取消消息。

用户终端根据终端用户输入的授权信息执行相应的操作，包括：

如果授权信息是表示确认授权的授权信息，则用户终端向注册服务器发送的应用授权应答消息是应用授权确认消息。

可选地，如果在显示的应用授权验证界面上还包括安全验证码输入框，并且用户终端接收的终端用户输入的授权消息中包括安全验证码，则用户终端向注册服务器发送的应用授权确认消息中还包括该安全验证码。

如果授权信息是表示取消授权的授权信息，则用户终端向注册服务器发送的应用授权应答消息是应用授权取消消息。

步骤e.注册服务器接收用户终端发送的应用授权应答消息并执行相应的操作。

注册服务器接收用户终端发送的应用授权应答消息，该应用授权应答消息是表示确认授权或者是表示取消授权的应用授权应答消息。

注册服务器根据该应用授权应答消息执行相应的操作，包括：

如果该应用授权应答消息是应用授权确认消息，则继续执行后续步骤。

可选地，在注册服务器上预先存储有移动用户标识和安全验证码的对应关系，如果在注册服务器接收的应用授权确认消息中包括安全验证码，则注册服务器根据移动用户标识在该对应关系中查找和获取对应的安全验证码，并且比较两个安全验证码是否一致：如果一致，则继续执行后续步骤；如果不一致，则结束流程，不执行注册服务器为用户终端中运行的第三方应用客户端提供包括第三方用户标识和用户密钥的注册信息的过程

如果该应用授权应答消息是应用授权取消消息，则结束流程，不执行注册服务器为用户终端中运行的第三方应用客户端提供包括第三方用户标识和用户密钥的注册信息的过程。

本实施例提供的方法，在客户端注册信息提供过程实施例一的基础上，增加了让终端用户验证授权的过程，通过增加这一过程，可以更加确认客户端注册信息的提供得到了终端用户的授权许可，避免由于误操作等原因给非必要的第三方应用客户端进行了授权。

本实施例还可以与客户端注册信息提供过程实施例二组成一个新的实施例，即将本实施例的方法步骤应用在用户终端向注册服务器传递第三方应用标识以及安全认证成功以后，以及应用在注册服务器为用户终端中运行的第三方应用客户端提供包括用户令牌的过程之前，具体过程不赘述。

九、认证与密钥协商过程实施例一

请参考图8，其示出了本发明提供的认证与密钥协商过程实施例一的流程图，该过程是基于认证与密钥协商机制为3G/4G AKA机制而实现的，该过程可用于图1所示的实施环境中，其中用户数据系统为归属用户服务器HSS。该过程包括：

步骤801.用户终端启动认证与密钥协商过程。

在获取到用于认证与密钥协商的操作指示之后，用户终端启动认证与密钥协商过程。

步骤802.用户终端获取移动用户标识。

该移动用户标识是用于唯一识别用户识别模块SIM的标识，该移动用户标识是IMSI或者IMPI。该移动用户标识和客户端安全认证过程实施例的流程中获取的移动用户标识是同一标识。

例如，以使用的用户识别模块SIM是USIM为例，在USIM上获取的移动用户标识是IMSI，用户终端通过操作系统上的API获取IMSI（例如Android系统上使用getSubscriberId方法），或者用户终端通过APDU命令读取USIM的EFimsi值。

又例如，以使用的用户识别模块SIM是ISIM为例，在ISIM上获取的移动用户标识是IMPI，用户终端通过APDU命令读取ISIM的EFimpi值。

步骤803.用户终端向注册服务器发送认证与密钥协商请求，该认证与密钥协商请求包括该移动用户标识。

相应地，注册服务器接收用户终端发送的认证与密钥协商请求。

步骤804.注册服务器向归属用户服务器HSS发送认证请求，该认证请求包括该移动用户标识。

以移动用户标识是IMSI为例，可以通过向归属用户服务器HSS的SWx接口发送Multimedia-Auth-Request认证请求消息，该Multimedia-Auth-Request认证请求消息中包括该移动用户标识。

以移动用户标识是IMPI为例，可以通过向归属用户服务器HSS的Cx或SWx接口发送Multimedia-Auth-Request认证请求消息，该Multimedia-Auth-Request认证请求消息中包括该移动用户标识。

步骤805.注册服务器接收归属用户服务器HSS反馈的认证应答消息，该认证应答消息包括随机数RAND、鉴权令牌AUTN、期望响应值XRES、第二加密密钥CK和第二完整性密钥IK。

在归属用户服务器HSS接收注册服务器的认证请求之后，归属用户服务器HSS向注册服务器返回认证向量AV，该认证向量AV包括随机数RAND、鉴权令牌AUTN、期望响应值XRES、第二加密密钥CK和第二完整性密钥IK。

具体的，在注册服务器向归属用户服务器HSS发送Multimedia-Auth-Request认证请求消息之后，归属用户服务器HSS向注册服务器返回Multimedia-Auth-Answer认证应答消息。注册服务器对Multimedia-Auth-Answer认证应答消息进行解析，从中获取SIP-Auth-Data-Item属性值对（AVP：Attribute Value Pair），该SIP-Auth-Data-Item属性值对包括SIP-Authenticate、SIP-Authorization、Confidentiality-Key、Integrity-Key属性值对，注册服务器从该SIP-Authenticate属性值对中获取随机数RAND和鉴权令牌AUTN，从该SIP-Authorization属性值对中获取期望响应值XRES，从Confidentiality-Key属性值对获取第二加密密钥CK或/和从Integrity-Key属性值对获取第二完整性密钥IK。

步骤806.注册服务器向用户终端发送认证与密钥协商挑战消息，该认证与密钥协商挑战消息包括该随机数RAND和该鉴权令牌AUTN。

注册服务器保留期望响应值XRES、第二加密密钥CK或/和第二完整性密钥IK，并向用户终端发送认证与密钥协商挑战消息，该认证与密钥协商挑战消息包括该随机数RAND和该鉴权令牌AUTN。

相应地，用户终端接收注册服务器发送的认证与密钥协商挑战消息，并从中获取该随机数RAND和该鉴权令牌AUTN。

步骤807.用户终端向用户识别模块SIM发送鉴权请求，该鉴权请求包括该随机数RAND和该鉴权令牌AUTN。

用户终端向用户识别模块SIM发送鉴权请求（例如通过发送APDU命令AUTHENTICATE），传递参数为该随机数RAND和该鉴权令牌AUTN。

步骤808.用户终端接收用户识别模块SIM的返回值，该返回值包括期望响应值RES、第一加密密钥CK和第一完整性密钥IK。

在用户识别模块SIM接收到用户终端发送的鉴权请求之后，用户识别模块SIM经过鉴权计算后向用户终端发送返回值，该返回值包括期望响应值RES、第一加密密钥CK和第一完整性密钥IK，用户终端接收该返回值。

步骤809.用户终端向注册服务器发送认证与密钥协商挑战应答消息，该认证与密钥挑战应答消息包括该期望响应值RES。

进一步地，为了保护期望响应值RES的安全，避免在传输过程中被泄露，还可以使用哈希算法（例如SHA256）对期望响应值RES进行哈希计算，只发送期望响应值RES经哈希计算后所生成的哈希值，而不发送期望响应值RES的明文。

相应地，注册服务器接收用户终端发送的该期望响应值RES或该期望响应值RES的哈希值。

步骤810.注册服务器基于该期望响应值XRES验证该期望响应值RES；若验证有效，则执行步骤811。

注册服务器从接收的认证与密钥挑战应答消息中获取该期望响应值RES或期望响应值RES的哈希值，注册服务器将本地保留的期望响应值XRES对其进行验证。若验证有效，则执行下述步骤811；若验证无效，则向用户终端发送认证与密钥协商应答消息，该认证与密钥协商应答消息是认证与密钥协商失败应答消息，并执行下述步骤813。

相应的，若是将期望响应值RES的明文发送给注册服务器，则比较该期望响应值XRES和该期望响应值RES是否一致；若一致，则确定验证有效；若不一致则确定验证无效。

相应的，若是将期望响应值RES的哈希值发送给注册服务器，则将该期望响应值XRES使用相同的哈希计算方式计算生成哈希值，并且比较两个哈希值是否一致；若一致，则确定验证有效；若不一致则确定验证无效。

步骤811.注册服务器生成第二安全参数，该第二安全参数包括安全令牌或/和第二根密钥，并且建立该第二安全参数与该移动用户标识的对应关系。

注册服务器生成第二安全参数，该第二安全参数包括安全令牌或/和第二根密钥，并且建立该第二安全参数与该移动用户标识的对应关系。具体的，实施方式包括：

第一种实施方式，注册服务器生成安全令牌，并且建立该安全令牌与移动用户标识的对应关系。

注册服务器生成安全令牌，并且建立该安全令牌与该移动用户标识的对应关系，以使得根据该安全令牌可以获取到该移动用户标识。

例如，注册服务器生成安全令牌，该安全令牌是全局唯一的安全令牌，并且具有足够的长度和足够的随机性，使得难以被猜测破解。同时，建立该安全令牌与该移动用户标识的对应关系，以使得根据该安全令牌在该对应关系中能获取到该对应的移动用户标识。

又例如，注册服务器使用对称加密算法基于预置密钥将包括移动用户标识的信息加密，将加密后得到的密文作为安全令牌，以使得注册服务器在对该安全令牌解密后获得该移动用户标识。以生成安全令牌的对称加密算法为AES为例，加密方式可以表示为：s=AES_ENCRYPT(m,k)，其中m是明文，该明文为包括该移动用户标识的信息，k是加密密钥即预置密钥，AES_ENCRYPT是加密算法，s是加密结果即安全令牌。

第二种实施方式，注册服务器基于该第二加密密钥CK或/和该第二完整性密钥IK生成第二根密钥，并且建立该移动用户标识与该第二根密钥的对应关系。

例如，以该第二加密密钥CK或该第二完整性密钥IK作为第二根密钥。

又例如，将该第二加密密钥CK或/和该第二完整性密钥IK或/和第四固定字符串（2）组合拼接生成第二根密钥。

又例如，基于包括该第二加密密钥CK或/和所述第二完整性密钥IK以及包括第四固定字符串（2）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识的信息生成第二根密钥；其中，该第四固定字符串（2）为预先配置的并且与用户终端上预先配置第四固定字符串（1）的值相同的字符串，该第四随机字符串为本地随机生成的字符串，该第四时间戳为通过获取注册服务器的当前系统时间生成。具体地，以密钥派生算法公式为例，可以表示为：DK = PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第二根密钥，PBKDF2是密钥派生算法，passphrase是该第二加密密钥CK或/和所述第二完整性密钥IK以及第四固定字符串（2）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识组合拼接的字符串；Salt是盐值，在本例中是一个固定字符串；c是迭代次数；dlLen是密钥输出长度，可以根据需要生成符合要求的密钥长度。

在注册服务器上建立该移动用户标识与该第二根密钥的对应关系，以使得注册服务器将能够根据该移动用户标识在该对应关系中查找和获取到该第二根密钥。

如果注册服务器上已经存储有该移动用户标识和第二根密钥的对应关系，则使用本次生成的该第二根密钥替换该移动用户标识已经存储的对应的第二根密钥。

上述第一种实施方式和第二种实施方式可以分别应用，也可以同时应用。

需要说明的是，本步骤还可以在步骤812即注册服务器向用户终端发送认证与密钥协商成功应答消息之后执行，本发明实施例并不对此进行限定。

步骤812.注册服务器向用户终端发送认证与密钥协商应答消息，该认证与密钥协商应答消息是认证与密钥协商成功应答消息。

如果生成的第二安全参数中包括安全令牌，则在该认证与密钥协商成功应答消息中还包括该安全令牌。

如果在生成第二根密钥的信息中还包括第四随机字符串或/和第四时间戳，则在该认证与密钥协商成功应答消息中还包括该第四随机字符串或/和该第四时间戳。

步骤813.用户终端接收注册服务器发送的认证与密钥协商应答消息并执行相应的操作。

用户终端接收注册服务器发送的认证与密钥协商应答消息，该认证与密钥协商应答消息包括认证与密钥协商成功应答消息或认证与密钥协商失败应答消息。

用户终端根据该认证与密钥协商应答消息执行相应的操作，包括：

如果该认证与密钥协商应答消息是认证与密钥协商成功应答消息，则用户终端执行下述步骤814。

如果该认证与密钥协商应答消息是认证与密钥协商失败应答消息，则不执行下述步骤，结束本次认证与密钥协商流程。

步骤814.用户终端获得第一安全参数，该第一安全参数包括该安全令牌或/和第一根密钥。

与注册服务器生成第二安全参数的实施方式相对应的，用户终端获得第一安全参数，该第一安全参数包括该安全令牌或/和第一根密钥，具体实施方式包括：

第一种实施方式，在认证与密钥协商成功应答消息中还包括该安全令牌，用户终端获取该安全令牌。

第二种实施方式，用户终端使用和注册服务器相同的根密钥生成方式，基于该第一加密密钥CK或/和该第一完整性密钥IK生成第一根密钥。

例如，如果在步骤811注册服务器以该第二加密密钥CK或该第二完整性密钥IK作为第二根密钥，则用户终端以该第一加密密钥CK或该第一完整性密钥IK作为第一根密钥。

又例如，如果在步骤811注册服务器将该第二加密密钥CK或/和该第二完整性密钥IK或/和第四固定字符串（2）组合拼接生成第二根密钥，则用户终端将该第一加密密钥CK或/和该第一完整性密钥IK或/和第四固定字符串（1）组合拼接生成第一根密钥。

又例如，如果在步骤811中注册服务器基于包括该第二加密密钥CK或/和该第二完整性密钥IK以及包括第四固定字符串（2）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识的信息生成第二根密钥，则用户终端基于包括该第一加密密钥CK或/和该第一完整性密钥IK以及包括第四固定字符串（1）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识的信息生成第一根密钥；其中，该第四固定字符串（1）是在用户终端上预先配置的并且与注册服务器上生成第二根密钥时所使用的第四固定字符串（2）的值相同的字符串；第四随机字符串或/和第四时间戳是从注册服务器发送的认证与密钥协商成功应答消息中所获取的。具体地，以使用和步骤811注册服务器相同的密钥派生算法为例，密钥派生算法公式可以表示为DK = PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第一根密钥；PBKDF2是与注册服务器相同的密钥派生算法；passphrase是该第一加密密钥CK或/和该第一完整性密钥IK以及第四固定字符串（1）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识组合拼接的字符串，并且组合拼接方式与注册服务器一致；Salt是盐值，是一个与注册服务器相同的固定字符串；c是与注册服务器相同的迭代次数；dlLen是与注册服务器相同的密钥输出长度。

由于用户终端上获取的第一加密密钥CK、第一完整性密钥IK与注册服务器上获取的第二加密密钥CK、第二完整性密钥IK的值相同，又由于根密钥的生成方式一致，因此，在用户终端上生成的第一根密钥与注册服务器上生成的第二根密钥的值相同。

通过本实施例提供的方法，用户终端基于用户识别模块SIM中存储的移动用户标识、移动用户密钥（K）和相关AKA算法，以及注册服务器基于归属用户服务器HSS中存储的移动用户标识、移动用户密钥（K）和相关AKA算法，经过用户终端和注册服务器间的认证与密钥协商过程，分别得到了第一安全参数和第二安全参数，从而可用于后续过程中用户终端与注册服务器间的安全认证。

十、认证与密钥协商过程实施例二

请参考图9，其示出了本发明提供的认证与密钥协商过程实施例二的流程图，该过程是基于认证与密钥协商机制为5G AKA机制而实现的，该过程可用于图1所示的实施环境中，其中用户数据系统为统一数据管理UDM。该过程可以包括如下几个步骤：

步骤901.用户终端启动认证与密钥协商过程。

步骤902.用户终端获取移动用户标识。

使用的用户识别模块SIM是USIM卡，在USIM上获取的移动用户标识是SUPI。该移动用户标识和客户端安全认证过程实施例的流程中获取的移动用户标识是同一标识。

步骤903.用户终端向注册服务器发送认证与密钥协商请求，该认证与密钥协商请求中包括该移动用户标识。

用户终端向注册服务器发送认证与密钥协商请求，在该认证与密钥协商请求中包括该SUPI。

进一步地，将该SUPI加密生成SUCI，并将该SUCI作为该认证与密钥协商请求中的移动用户标识，即，用户终端向注册服务器发送认证与密钥协商请求，在该认证与密钥协商请求中包括该SUCI。

步骤904.注册服务器向统一数据管理UDM发送认证请求，该认证请求包括该移动用户标识。

注册服务器从用户终端发送的认证与密钥协商请求中获取移动用户标识，该移动用户标识是用户永久标识SUPI或用户隐藏标识SUCI。

注册服务器向统一数据管理UDM发送Nudm_Authentication_Get认证请求消息，该认证请求消息中包括该用户永久标识SUPI或用户隐藏标识SUCI以及服务网络名（SN name），该服务网络名是注册服务器的服务网络名。

需要说明的是，结合认证与密钥协商过程实施例一，如果注册服务器同时连接有归属用户服务器HSS和统一数据管理UDM，则注册服务器可以将认证请求消息发送给对应的归属用户服务器HSS或统一数据管理UDM，例如根据认证与密钥协商请求中移动用户标识的类型或范围确定认证请求消息是要发送给归属用户服务器HSS还是统一数据管理UDM。

步骤905.注册服务器接收统一数据管理UDM反馈的认证应答消息，该认证应答消息包括随机数RAND、鉴权令牌AUTN、期望响应值XRES*和第二密钥KAUSF。

在统一数据管理UDM接收注册服务器的认证请求之后，统一数据管理UDM向注册服务器返回认证向量AV*，该认证向量AV包括随机数RAND、鉴权令牌AUTN、期望响应值XRES*和第二密钥KAUSF。

具体的，在统一数据管理UDM接收注册服务器的认证请求消息之后，统一数据管理UDM向注册服务器返回Nudm_Authenticate_Get应答消息。在Nudm_Authenticate_Get应答消息中包括5G HE AV，该5G HE AV包括随机数RAND、鉴权令牌AUTN、期望响应值XRES*和第二密钥KAUSF。如果注册服务器向统一数据管理UDM发送的Nudm_Authentication_Get认证请求消息中包括用户隐藏标识SUCI，则返回的Nudm_Authenticate_Get应答消息中还包括经过对用户隐藏标识SUCI解密后得到的用户永久标识SUPI，并将该解密后的用户永久标识SUPI作为后续步骤中的移动用户标识。

相应地，注册服务器从该认证应答消息中获取随机数RAND、鉴权令牌AUTN、期望响应值XRES*和第二密钥KAUSF。

步骤906.注册服务器向用户终端发送认证与密钥协商挑战消息，该认证与密钥协商挑战消息包括该随机数RAND和该鉴权令牌AUTN。

注册服务器保留期望响应值XRES*和该密钥KAUSF，并向用户终端发送认证与密钥协商挑战消息，该认证与密钥协商挑战消息包括该随机数RAND和该鉴权令牌AUTN。

步骤907.用户终端向用户识别模块SIM发送鉴权请求，该鉴权请求包括该随机数RAND和该鉴权令牌AUTN。

步骤908.用户终端接收用户识别模块SIM的返回值，该返回值包括期望响应值RES、第一加密密钥CK和第一完整性密钥IK。

步骤909.用户终端向注册服务器发送认证与密钥协商挑战应答消息，该认证与密钥协商挑战应答消息包括期望响应值RES*，该期望响应值RES*是基于所述期望响应值RES生成的。

用户终端遵照TS33.501 Annex A.4中“RES*和XRES*派生函数”中使用的方式，即使用和统一数据管理UDM生成期望响应值XRES*相同的方式生成期望响应值RES*。

进一步地，为了保护期望响应值RES*的安全，避免在传输过程中被泄露，还可以使用哈希算法（例如SHA256）对期望响应值RES*进行哈希计算，只发送期望响应值RES*经哈希计算后所生成的哈希值，而不发送期望响应值RES*的明文。

相应地，注册服务器接收用户终端发送的该期望响应值RES*或该期望响应值RES*的哈希值。

步骤910.注册服务器基于该期望响应值XRES*验证该期望响应值RES*；若验证有效，则执行步骤911。

注册服务器从接收的认证与密钥挑战应答消息中获取该期望响应值RES*或期望响应值RES*的哈希值，注册服务器将本地保留的该期望响应值XRES*对其进行验证。若验证有效，则执行下述步骤911；若验证无效，则向用户终端发送认证与密钥协商应答消息，该认证与密钥协商应答消息是认证与密钥协商失败应答消息，并执行下述步骤913。

相应的，若是将期望响应值RES*的明文发送给注册服务器，则比较该期望响应值XRES*和该期望响应值RES*是否一致；若一致，则确定验证有效；若不一致则确定验证无效。

相应的，若是将期望响应值RES*的哈希值发送给注册服务器，则将该期望响应值XRES*使用相同的哈希计算方式计算生成哈希值，并且比较两个哈希值是否一致；若一致，则确定验证有效；若不一致则确定验证无效。

步骤911.注册服务器生成第二安全参数，该第二安全参数包括安全令牌或/和第二根密钥，并且建立该第二安全参数与该移动用户标识的对应关系。

第二种实施方式，注册服务器基于该第二密钥KAUSF生成第二根密钥，并且建立该移动用户标识与该第二根密钥的对应关系。

例如，以该第二密钥KAUSF作为第二根密钥。

又例如，基于包括该第二密钥KAUSF以及第四固定字符串（2）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识的信息生成第二根密钥；其中，该第四固定字符串（2）为预先配置的并且与用户终端上预先配置的第四固定字符串（1）的值相同的字符串，该第四随机字符串为本地随机生成的字符串，该第四时间戳为通过获取注册服务器的当前系统时间生成。具体地，以密钥派生算法公式为例，可以表示为：DK = PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第二根密钥，PBKDF2是密钥派生算法，passphrase是该第二密钥KAUSF以及第四固定字符串（2）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识组合拼接的字符串；Salt是盐值，在本例中是一个固定字符串；c是迭代次数；dlLen是密钥输出长度，可以根据需要生成符合要求的密钥长度。

需要说明的是，本步骤还可以在步骤912即注册服务器向用户终端发送认证与密钥协商成功应答消息之后执行，本发明实施例并不对此进行限定。

步骤912.注册服务器向用户终端发送认证与密钥协商应答消息，该认证与密钥协商应答消息是认证与密钥协商成功应答消息。

步骤913.用户终端接收注册服务器发送的认证与密钥协商应答消息并执行相应的操作。

如果该认证与密钥协商应答消息是认证与密钥协商成功应答消息，则用户终端执行下述步骤914。

步骤914.用户终端获得第一安全参数，该第一安全参数包括该安全令牌或/和第一根密钥。

与注册服务器生成第二安全参数相对应的，用户终端获得第一安全参数，该第一安全参数包括该安全令牌或/和第一根密钥，具体包括：

第二种实施方式，用户终端使用和注册服务器相同的根密钥生成方式，基于第一密钥KAUSF生成第一根密钥，该第一密钥KAUSF是基于所述第一加密密钥CK或/和所述第一完整性密钥IK生成第一密钥KAUSF的。

用户终端遵照TS33.501 Annex A.2中“KAUSF派生函数”中使用的方式，即使用和统一数据管理UDM生成第二密钥KAUSF相同的方式生成第一密钥KAUSF，再基于该第一密钥KAUSF生成第一根密钥。

相应地，如果在步骤911注册服务器以该第二密钥KAUSF作为第二根密钥，则用户终端以该第一密钥KAUSF作为第一根密钥。

相应地，如果在步骤911中注册服务器基于包括该第二密钥KAUSF以及第四固定字符串（2）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识的信息生成第二根密钥，则用户终端基于包括该第一密钥KAUSF以及第四固定字符串（1）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识的信息生成第一根密钥；其中，该第四固定字符串（1）是在用户终端上预先配置的并且与注册服务器上生成第二根密钥时所使用的第四固定字符串（2）的值相同的字符串；第四随机字符串或/和第四时间戳是从注册服务器发送的认证与密钥协商成功应答消息中所获取的。具体地，以使用和步骤911注册服务器相同的密钥派生算法为例，密钥派生算法公式可以表示为DK = PBKDF2(passphrase，Salt，c，dkLen)，其中：DK是生成的第一根密钥；PBKDF2是与注册服务器相同的密钥派生算法；passphrase是该第一密钥KAUSF以及第四固定字符串（1）或/和第四随机字符串或/和第四时间戳或/和该移动用户标识组合拼接的字符串，并且组合拼接方式与注册服务器一致；Salt是盐值，是一个与注册服务器相同的固定字符串；c是与注册服务器相同的迭代次数；dlLen是与注册服务器相同的密钥输出长度。

由于用户终端上生成的第一密钥KAUSF与注册服务器上获取的第二密钥KAUSF的值相同，又由于根密钥的生成方式一致，因此，在用户终端上生成的第一根密钥与注册服务器上生成的第二根密钥的值相同。

通过本实施例提供的方法，用户终端基于用户识别模块SIM中存储的移动用户标识、移动用户密钥（K）和相关AKA算法，以及注册服务器基于统一数据管理UDM中存储的移动用户标识、移动用户密钥（K）和相关AKA算法，经过用户终端和注册服务器间的认证与密钥协商过程，分别得到了第一安全参数和第二安全参数，从而可用于后续过程中用户终端与注册服务器间的安全认证。

此外，为实现上述目的，本发明还提供一种客户端注册装置，所述客户端注册装置应用于运行有第三方应用客户端的用户终端中，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的客户端注册程序，所述客户端注册程序被所述处理器执行时实现上述的客户端注册方法的步骤。

此外，为实现上述目的，本发明还提供一种客户端注册装置，所述客户端注册装置应用于注册服务器，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的客户端注册程序，所述客户端注册程序被所述处理器执行时实现上述的客户端注册方法的步骤。

此外，为实现上述目的，本发明还提供一种客户端注册系统，所述客户端注册系统包括：用户终端以及注册服务器；

所述用户终端包括上述应用于运行有第三方应用客户端的用户终端中的客户端注册装置；

所述注册服务器包括上述应用于注册服务器的客户端注册装置。

此外，为实现上述目的，本发明还提供一种用于客户端注册的存储介质，其特征在于，所述存储介质中存储有程序，所述程序用于实现包括上述应用于运行有第三方应用客户端的用户终端中的客户端注册方法。

此外，为实现上述目的，本发明还提供一种用于客户端注册的存储介质，其特征在于，所述存储介质中存储有程序，所述程序用于实现包括上述应用于注册服务器的客户端注册方法。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还可以包括没有明确列出的其他要素，或者是还可以包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

可以以许多方式来实现本发明的方法、装置和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

工业实用性

序列表自由内容

在此处键入序列表自由内容描述段落。

Claims

1.一种客户端注册方法，其特征在于，应用于运行有第三方应用客户端的用户终端中，所述方法包括：

基于所述第一安全参数与所述注册服务器进行安全认证；

2.根据权利要求1所述的方法，其特征在于，所述基于用户识别模块SIM与注册服务器进行认证与密钥协商包括：

从所述用户识别模块SIM获取所述移动用户标识；

3.根据权利要求2所述的方法，其特征在于，所述基于用户识别模块SIM与注册服务器进行认证与密钥协商是基于3G/4G AKA机制的，则：

4.根据权利要求2所述的方法，其特征在于，所述基于用户识别模块SIM与注册服务器进行认证与密钥协商是基于5G AKA机制的，则：

5.根据权利要求4所述的方法，其特征在于，所述向所述注册服务器发送认证与密钥协商请求包括：

将所述用户永久标识SUPI加密生成用户隐藏标识SUCI；

6.根据权利要求1所述的方法，其特征在于，若所述第一安全参数包括安全令牌，则所述基于所述第一安全参数与所述注册服务器进行安全认证包括：

7.根据权利要求1所述的方法，其特征在于，若所述第一安全参数包括第一根密钥，则所述基于所述第一安全参数与所述注册服务器进行安全认证包括：

基于所述第一根密钥生成第一认证密钥；

8.根据权利要求7所述的方法，其特征在于，所述基于所述第一根密钥生成第一认证密钥包括：

将所述第一根密钥作为所述第一认证密钥；或者，

基于包括所述第一根密钥以及第一固定字符串或/和第一随机字符串或/和第一时间戳或/和所述移动用户标识或/和第三方应用标识的信息生成第一认证密钥，并且所述第一认证密钥的生成方式与所述注册服务器生成第二认证密钥的生成方式一致，所述第一固定字符串为预先配置的并且与所述注册服务器预先配置的第一固定字符串的值相同的字符串，所述第一随机字符串为随机生成的字符串，所述第一时间戳为通过获取所述用户终端的当前系统时间生成，所述第三方应用标识是所述第三方应用客户端的标识；

若生成所述第一认证密钥的信息包括所述第一随机字符串或/和第一时间戳或/和所述第三方应用标识，则将所述第一随机字符串或/和所述第一时间戳或/和所述第三方应用标识发送给所述注册服务器。

9.根据权利要求7所述的方法，其特征在于，所述生成第一验证信息包括：

基于第二固定字符串或/和第二随机字符串或/和第二时间戳或/和所述移动用户标识或/和所述第三方应用标识生成所述第一验证信息，并且所述第一验证信息的生成方式与所述注册服务器生成第二验证信息的生成方式一致，所述第二固定字符串为预先配置的并且与所述注册服务器预先配置的第二固定字符串的值相同的字符串，所述第二随机字符串为随机生成的字符串，所述第二时间戳为通过获取所述用户终端的当前系统时间生成；

若生成所述第一验证信息包括基于所述第二随机字符串或/和第二时间戳或/和所述第三方应用标识，并且使用签名加密算法基于所述第一认证密钥对所述第一验证信息签名加密生成所述第一加密值，则将所述第二随机字符串或/和所述第二时间戳或/和所述第三方应用标识发送给所述注册服务器。

10.根据权利要求9所述的方法，其特征在于，所述基于第二固定字符串或/和第二随机字符串或/和第二时间戳或/和所述移动用户标识或/和所述第三方应用标识生成所述第一验证信息包括：

将所述第二固定字符串或所述第二随机字符串或所述第二时间戳或所述移动用户标识或所述第三方应用标识中的一种作为所述第一验证信息；或者，

根据包括所述第二固定字符串或/和所述第二随机字符串或/和所述第二时间戳或/和所述移动用户标识或/和所述第三方应用标识的信息生成所述第一验证信息。

11.根据权利要求7所述的方法，其特征在于，所述基于所述第一认证密钥和所述第一验证信息加密生成第一加密值包括：

使用签名加密算法基于所述第一认证密钥对所述第一验证信息签名加密生成所述第一加密值；或者，

使用对称加密算法基于所述第一认证密钥对包括所述第一验证信息的信息对称加密生成所述第一加密值。

12.根据权利要求1所述的方法，其特征在于，若向所述注册服务器传递了第三方应用标识以及若所述安全认证成功，则所述接收所述注册服务器提供的注册信息和服务包括：

13.根据权利要求12所述的方法，其特征在于，所述向所述注册服务器传递第三方应用标识包括：

14.根据权利要求12所述的方法，其特征在于，若所述第一安全参数包括所述第一根密钥，并且若接收到所述注册服务器发送的第三方用户标识，则在所述接收所述注册服务器提供的注册信息和服务之后，还包括：

15.根据权利要求14所述的方法，其特征在于，所述基于所述第一根密钥生成第一用户密钥包括：

基于包括所述第一根密钥以及第三固定字符串或/和第三随机字符串或/和第三时间戳或/和所述移动用户标识或/和第三方应用标识的信息生成第一用户密钥，所述第三固定字符串为预先配置的并且与所述注册服务器预先配置的第三固定字符串的值相同的字符串，所述第三随机字符串或/和所述第三时间戳为所述注册成功应答消息中所包括的。

16.根据权利要求12至15任一项所述的方法，其特征在于，在若向所述注册服务器传递了第三方应用标识以及若所述安全认证成功之后，以及在所述接收所述注册服务器提供的注册信息和服务之前，还包括：

接收所述注册服务器发送的应用授权请求消息；

显示应用授权验证界面；

接收终端用户在所述应用授权验证界面中输入的授权信息；

17.一种客户端注册方法，其特征在于，应用于注册服务器中，所述方法包括：

18.根据权利要求17所述的方法，其特征在于，所述基于用户数据系统进行所述认证与密钥协商包括：

基于所述第二期望响应值验证所述第一期望响应值；

向所述用户终端（1）发送认证与密钥协商成功应答消息；

19.根据权利要求18所述的方法，其特征在于，所述基于所述第二期望响应值验证所述第一期望响应值包括：

20.根据权利要求18所述的方法，其特征在于，所述生成所述安全令牌（1）包括：

21.根据权利要求18所述的方法，其特征在于，所述基于用户数据系统与用户终端进行认证与密钥协商是基于3G/4G AKA机制的，则：

所述用户数据系统为归属用户服务器HSS：

所述第二期望响应值为所述期望响应值XRES；

所述认证与密钥协商挑战应答消息中包括的第一期望响应值为期望响应值RES；或者，

所述认证与密钥协商挑战应答消息中包括的第一期望响应值为对所述期望响应值RES哈希计算后所生成的哈希值。

22.根据权利要求18所述的方法，其特征在于，所述基于用户数据系统与用户终端进行认证与密钥协商是基于5G AKA机制的，则：

所述用户数据系统为统一数据管理UDM；

所述初始密钥为所述第二密钥KAUSF；

所述第二期望响应值为所述期望响应值XRES*；所述认证与密钥协商挑战应答消息中包括的第一期望响应值为期望响应值RES*；或者，所述认证与密钥协商挑战应答消息中包括的第一期望响应值为对所述期望响应值RES*哈希计算后所生成的哈希值。

23.根据权利要求17所述的方法，其特征在于，若所述第二安全参数包括安全令牌（1），则所述基于所述对应关系进行所述安全认证包括：

24.根据权利要求23所述的方法，其特征在于，所述若验证所述安全令牌（2）有效并获取到所述用户终端（2）对应的移动用户标识（2）包括：

与使用随机生成的全局唯一字符串作为所述安全令牌（1）相对应的，在存储的所有安全令牌与移动用户标识的对应关系中查找所述安全令牌（2）及所述安全令牌（2）对应的移动用户标识；若查找到，则确定所述安全令牌（2）有效，并确定该对应的移动用户标识为所述移动用户标识（2）；若没查找到，则确定所述安全令牌（2）无效；或者，

与使用对称加密算法基于预置密钥将包括所述移动用户标识（1）的信息加密后得到的密文作为所述安全令牌（1）相对应的，使用相同的对称加密算法基于所述预置密钥将所述安全令牌（2）解密，并获取所述解密后的明文中的移动用户标识；若能成功解密并获取到移动用户标识，则确定所述安全令牌（2）有效，并确定该获取到的移动用户标识为所述移动用户标识（2）；若否，则确定所述安全令牌（2）无效。

25.根据权利要求17所述的方法，其特征在于，若所述第二安全参数包括第二根密钥（1），则所述基于所述第二安全参数与所述注册服务器进行安全认证包括：

根据所述移动用户标识（2）获取对应的第二根密钥（2）；

基于所述第二根密钥（2）生成第二认证密钥；

若所述第一加密值验证成功，则确定安全认证成功。

26.根据权利要求25所述的方法，其特征在于，所述基于所述第二根密钥（2）生成第二认证密钥包括：

将所述第二根密钥（2）作为所述第一认证密钥；或者，

基于包括所述第二根密钥以及第一固定字符串或/和第一随机字符串或/和第一时间戳或/和所述移动用户标识（2）或/和第三方应用标识的信息生成第一认证密钥，并且所述第二认证密钥的生成方式与所述用户终端生成第一认证密钥的生成方式一致，所述第一固定字符串为预先配置的并且与所述用户终端预先配置的第一固定字符串的值相同的字符串，所述第一随机字符串或/和所述第一时间戳或/和所述第三方应用标识为所述用户终端所发送的。

27.根据权利要求25所述的方法，其特征在于，所述生成第二验证信息包括：

基于第二固定字符串或/和第二随机字符串或/和第二时间戳或/和所述移动用户标识（2）或/和所述第三方应用标识生成所述第二验证信息，并且所述第二验证信息的生成方式与所述用户终端生成第一验证信息的生成方式一致，所述第二固定字符串为预先配置的并且与所述用户终端预先配置的第二固定字符串的值相同的字符串，所述第二随机字符串或/和所述第二时间戳或/和所述第三方应用标识为所述用户终端所发送的。

28.根据权利要求27所述的方法，其特征在于，所述基于第二固定字符串或/和第二随机字符串或/和所述移动用户标识或/和所述第三方应用标识生成所述第二验证信息包括：

将所述第二固定字符串或所述第二随机字符串或所述第二时间戳或所述移动用户标识（2）或所述第三方应用标识中的一种作为所述第二验证信息；或者，

根据包括所述第二固定字符串或/和所述第二随机字符串或/和第二时间戳或/和所述移动用户标识（2）或/和所述第三方应用标识的信息生成所述第二验证信息。

29.根据权利要求25所述的方法，其特征在于，所述基于所述第二认证密钥和所述第二验证信息验证所述第一加密值包括：

若所述用户终端（2）使用签名加密算法生成所述第一加密值，则使用相同的签名加密算法基于所述第二认证密钥和所述第二验证信息验证所述第一加密值；或者，

若所述用户终端（2）使用对称加密算法生成所述第一加密值，则使用相同的对称加密算法基于所述第二认证密钥和所述第二验证信息验证所述第一加密值。

30.根据权利要求29所述的方法，其特征在于，所述使用相同的签名加密算法基于所述第二认证密钥和所述第二验证信息验证所述第一加密值包括：

使用和所述用户终端（2）相同的签名加密算法，基于所述第二认证密钥对所述第二验证信息签名加密生成第二加密值；

比较所述第二加密值与所述第一加密值是否一致；

若一致，则确定所述第一加密值验证成功。

31.根据权利要求29所述的方法，其特征在于，所述使用相同的对称加密算法基于所述第二认证密钥和所述第二验证信息验证所述第一加密值包括：

使用和所述用户终端（2）相同的对称加密算法，基于所述第二认证密钥对所述第一加密值解密获得明文，并从所述解密获得的明文中获取第一验证信息；

比较所述第二验证信息与所述第一验证信息是否一致；

若一致，则确定所述第一加密值验证成功。

32.根据权利要求17所述的方法，其特征在于，若接收到所述用户终端（2）传递的第三方应用标识以及所述安全认证成功之后，则所述向所述用户终端（2）提供注册信息和服务包括：

33.根据权利要求32所述的方法，其特征在于，所述获取所述第三方应用标识对应的第三方用户标识包括：

34.根据权利要求32所述的方法，其特征在于，若所述移动用户标识（2）有对应的第二根密钥（2），则所述获取所述第三方应用标识对应的第三方用户标识之后还包括：

建立所述第三方用户标识与所述第二用户密钥的对应关系。

35.根据权利要求34所述的方法，其特征在于，所述基于所述第二根密钥（2）生成第二用户密钥包括：

基于包括所述第二根密钥以及第三固定字符串或/和第三随机字符串或/和第三时间戳或/和所述移动用户标识（2）或/和所述第三方应用标识的信息生成第二用户密钥，所述第三固定字符串为预先配置的并且与所述用户终端预先配置的第三固定字符串的值相同的字符串，所述第三随机字符串为随机生成的字符串，所述第三时间戳为通过获取所述注册服务器的当前系统时间生成。

36.根据权利要求32所述的方法，其特征在于，所述生成所述第三方应用标识对应的用户令牌包括：

使用随机生成的全局唯一字符串作为所述用户令牌；

建立所述用户令牌与所述第三方应用标识或/和所述移动用户标识（2）的关联关系。

37.根据权利要求32至36中任一项所述的方法，其特征在于，在若接收到所述用户终端（2）传递的第三方应用标识以及所述安全认证成功之后，以及向所述用户终端（2）提供注册信息和服务之前，还包括：

接收所述用户终端发送的应用授权应答消息；

38.一种客户端注册装置，其特征在于，所述客户端注册装置应用于运行有第三方应用客户端的用户终端中，包括：存储器、处理器，所述处理器用于运行所述存储器所存储的程序，所述程序运行时执行包括权利要求1至16中任一项所述的方法。

39.一种客户端注册装置，其特征在于，所述客户端注册装置应用于注册服务器，包括：存储器、处理器，所述处理器用于运行所述存储器所存储的程序，所述程序运行时执行包括权利要求17至37中任一项所述的方法。

40.一种客户端注册系统，其特征在于，所述客户端注册系统包括：

用户终端以及注册服务器；

所述用户终端包括如权利要求38所述的客户端注册装置；

所述注册服务器包括如权利要求39所述的客户端注册装置。

41.一种存储介质，其特征在于，所述存储介质中存储有程序，所述程序用于实现包括权利要求1至16中任一项所述的方法。

42.一种存储介质，其特征在于，所述存储介质中存储有程序，所述程序用于实现包括权利要求17至37中任一项所述的方法。