CN110830240A - 一种终端与服务器的通信方法和装置 - Google Patents
一种终端与服务器的通信方法和装置 Download PDFInfo
- Publication number
- CN110830240A CN110830240A CN201810908310.1A CN201810908310A CN110830240A CN 110830240 A CN110830240 A CN 110830240A CN 201810908310 A CN201810908310 A CN 201810908310A CN 110830240 A CN110830240 A CN 110830240A
- Authority
- CN
- China
- Prior art keywords
- server
- key
- request
- terminal
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种终端与服务器的通信方法和装置,所述方法包括:第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;所述第一服务器向所述终端发送第二请求应答消息。终端通过空中下载,从服务器获得鉴权和密钥,使得密钥的生成和使用更加灵活。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种终端与服务器的通信方法、一种终端与服务器的通信装置。
背景技术
物联网技术是继计算机和互联网之后的第三次信息技术革命,具有实时性和交互性的特点,已经被广泛应用于城市管理、数字家庭、定位导航、物流管理、安保***等多个领域。物联网安全课题变得越来越重要。物联网设备需要通过一套安全机制来与应用服务器之间进行通信,保障服务以及用户隐私数据的安全。
为了解决应用服务器和物联网设备之间的鉴权以及安全通道建立等问题,3GPP(第三代移动通信标准化组织)定义了一种通用认证机制(General BootstrappingArchitecture,GBA)。GBA提供了一种在UE和服务器之间建立共享密钥的通用机制,它基于AKA鉴权机制来实现。AKA鉴权机制是2G/3G网络中使用的一种相互鉴权和密钥协商的机制,GBA充分利用了AKA鉴权机制的优点来完成业务的安全引导过程。
在GBA中,引导服务功能BSF(Bootstrapping Service Function)为GBA机制引入的网元。BSF可以通过Zh接口与归属位置寄存器HLR(Home Location Register)或者归属签约服务器HSS(Home Subscriber Server)获取相关的用户数据,例如国际移动用户识别码IMSI(International Mobile Subscriber Identification Number)以及Ki。BSF可以通过Ub接口与用户设备(UE,User Equipment)通过认证与密钥协商AKA(Authentication andKey Agreement)协议进行双向鉴权,并且在成功鉴权后,生成共享密钥。BSF会通过Zn接口将该共享密钥以及相关密钥参数、用户数据等传递给网络应用功能NAF(NetworkApplication Function)。共享密钥将用于UE和NAF之间信息的安全传输。
GBA方案虽然能够为UE和NAF之间建立一条安全的通信管道,但是共享密钥的生成和AKA协议强耦合,使得建立安全通路的成本以及维护费用过高。
发明内容
鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种终端与服务器的通信方法、一种终端与服务器的通信装置。
为了解决上述问题,本申请实施例公开了一种终端与服务器的通信方法,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息,所述第二请求消息由第一密钥加密;
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
所述第一服务器向所述终端发送第二请求应答消息;
所述第一服务器删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
所述终端向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述终端接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
所述终端向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
优选的,还包括:
所述第二请求消息由第一密钥加密;
优选的,还包括:
所述第一请求应答消息包括第二密钥标识;
优选的,还包括:
所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
优选的,还包括:
所述终端删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
所述第一服务器向所述终端发送第二请求应答消息。
优选的,还包括:
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
优选的,还包括:
所述第二请求消息由第一密钥加密。
优选的,还包括:
所述第一请求应答消息包括第二密钥标识;
优选的,还包括:
所述第一服务器接收终端发送的第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
优选的,还包括:
所述第一服务器删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
所述终端向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
所述终端向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
所述终端接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
优选的,还包括:
所述第四请求消息由第四密钥加密。
优选的,还包括:
所述第三请求应答消息包括第四密钥标识;
优选的,还包括:
所述终端向第三服务器发送第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
优选的,还包括:
所述终端删除所述第三密钥以及第四密钥。
本申请实施例还公开了一种终端与服务器的通信方法,包括:
第三服务器接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
所述第三服务器向终端发送所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
优选的,还包括:
所述第四请求消息由第四密钥加密。
优选的,还包括:
所述第三请求应答消息包括第四密钥标识;
优选的,还包括:
所述第三服务器接收所述终端发送的第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
优选的,还包括:
所述第三服务器删除所述第三密钥以及第四密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息,所述第二请求消息由第一密钥加密;
位于所述第一服务器的处理模块,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的处理模块,用于根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
位于所述第一服务器的发送模块,用于向所述终端发送第二请求应答消息;
位于所述第一服务器的处理模块,用于删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述终端的接收模块,用于接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述终端的发送模块,用于向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
位于所述终端的接收模块,用于接收所述第一服务器发送的所述第二请求应答消息。
优选的,还包括:
所述第二请求消息由第一密钥加密。
优选的,还包括:
所述第一请求应答消息包括第二密钥标识;
优选的,还包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
优选的,还包括:
所述终端删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
位于所述第一服务器的发送模块,用于向所述终端发送第二请求应答消息。
优选的,还包括:
位于所述第一服务器的处理模块,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的处理模块,用于根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
优选的,还包括:
所述第二请求消息由第一密钥加密。
优选的,还包括:
所述第一请求应答消息包括第二密钥标识;
优选的,还包括:
位于所述第一服务器的接收装置,用于接收终端发送的第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
优选的,还包括:
位于所述第一服务器的处理模块,用于删除所述第一密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述终端的接收模块,用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
位于所述终端的发送模块,用于向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
位于所述所述终端的接收模块,用于接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
优选的,还包括:
所述第四请求消息由第四密钥加密。
优选的,还包括:
所述第三请求应答消息包括第四密钥标识;
优选的,还包括:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
优选的,还包括:
位于所述终端的处理模块,用于删除所述第三密钥以及第四密钥。
本申请实施例还公开了一种终端与服务器的通信装置,包括:
位于第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述第三服务器的发送模块,用于向所述终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
位于所述第三服务器的接收模块,用于接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
位于所述第三服务器的发送模块,用于向终端发送所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
优选的,还包括:
所述第四请求消息由第四密钥加密。
优选的,还包括:
所述第三请求应答消息包括第四密钥标识;
优选的,还包括:
位于所述第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
优选的,还包括:
位于所述第三服务器的处理模块,用于删除所述第三密钥以及第四密钥。
本申请实施例还公开了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如上所述的一个或多个的方法。
本申请实施例还公开了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得装置执行如权上所述的一个或多个的方法。
本申请实施例包括以下优点:
在本申请实施例中,终端可以用空中下载的方式,从应用服务器获得鉴权以及加密密钥,解决了终端和应用服务器之间密钥的生成和运营商AKA协议强耦合的问题,使得密钥的生成和使用更加灵活。
附图说明
图1是本申请的一种终端与服务器的通信方法实施例1的步骤流程图;
图2是本申请的一种终端与服务器的通信方法实施例2的步骤流程图;
图3是本申请的一种终端与服务器的通信方法实施例2的步骤流程图;
图4是本申请的一种终端与服务器的通信方法实施例3的步骤流程图;
图5是本申请的一种终端与服务器的通信方法实施例3的***架构图;
图6是本申请的一种终端与服务器的通信方法实施例3的步骤流程图;
图7是本申请的一种终端与服务器的通信装置实施例2,3的步骤流程图;
图8是本申请的一种终端与服务器的通信装置实施例1,2,3的步骤流程图;
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
本申请实施例的核心构思之一在于,终端通过AKA的方式和BSF生成共享密钥。共享密钥用于建立终端、运营商网络以及应用服务器之间的安全通道。应用服务器通过空中下载的方式将应用层和终端之间的鉴权以及加密密钥发送至终端。
以下,首先从服务器的角度介绍终端与服务器的通信流程。
参照图1,示出了本申请的一种终端与服务器的通信方法实施例1的步骤流程图,具体可以包括如下步骤:
步骤101,第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
具体地,第一服务器为应用服务器,也可以叫做NAF。第一请求消息可以是应用请求(Application Request)。应用请求中携带引导会话标识(B-TID)。可选的,应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前,终端可以根据AKA协议生成的共享密钥Ks来衍生出共享密钥Ks_NAF。并且通过共享密钥Ks_NAF来加密第一请求消息。第一请求消息中的引导会话标识(B-TID)可以不做为加密部分。第二服务器可以是BSF。第一密钥可以是共享密钥Ks_NAF。NAF在收到第一请求消息后,向BSF发送认证请求(AuthenticationRequest),认证请求包括引导会话标识以及可选的,NAF标识(NAF-Id)。BSF根据引导会话标识找到在与终端进行AKA协商中生成的共享密钥Ks。并且根据共享密钥Ks衍生出共享密钥Ks_NAF。之后BSF向第一服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥Ks_NAF。可选的,认证响应消息中还可以包括Ks_NAF使用期限(key_lifetime)。当试用期到期后,终端需要和BSF之间重新通过共享密钥Ks衍生出新的共享密钥Ks_NAF。第一服务器在收到共享密钥Ks_NAF后,会存储共享密钥Ks_NAF。并且在终端和第一服务器之间利用利用共享密钥Ks_NAF来加解密空口消息。
步骤102,所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。第二密钥可以是应用层共享密钥K2。共享密钥K2可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥K2。并且通过第一请求应答消息将共享密钥K2发送至终端。同时,第一服务器也会存储共享密钥K2。可选的,第一请求应答消息可以由第一密钥,即共享密钥Ks_NAF加密。由于NAF和终端都拥有共享密钥Ks_NAF,第一请求应答消息可以由共享密钥Ks_NAF加密并且发送至终端,并且由终端解密。
步骤103,所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息,所述第二请求消息由第一密钥加密;
具体地,第二请求消息可以是应用请求消息。第二密钥标识可以是应用层共享密钥K2的唯一标识。第二请求消息可以由共享密钥Ks_NAF加密。可选的,第二请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第二密钥标识可以不加密。第二密钥标识可以作为指示来使得服务器用第二密钥标识对应的共享密钥K2来解密第二请求消息。
步骤104,所述第一服务器根据所述第一密钥解密所述第二请求消息;
具体地,第二请求消息可以是应用请求消息。第一密钥为共享密钥Ks_NAF。第二请求消息可以由共享密钥Ks_NAF加密。可选的,第二请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第二密钥标识可以不加密。第二密钥标识可以作为指示来使得服务器用第二密钥标识对应的共享密钥K2来解密第二请求消息。
步骤105,所述第一服务器根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
具体地,第二密钥标识可以是应用层共享密钥K2的唯一标识。第二密钥为应用层共享密钥K2。第一服务器获取应用请求消息中的应用层共享密钥K2的唯一标识,用应用层共享密钥K2的唯一标识对应的应用层共享密钥K2加密应用请求消息对应的应用应答消息。
步骤106,所述第一服务器向所述终端发送第二请求应答消息;
具体地,第一服务器可以是应用服务器,也可以叫做NAF。第一服务器向终端发送的第二请求应答消息可以由应用层共享密钥K2加密。可选的,第二请求应答消息中可以包括第二密钥标识。第二密钥标识部分可以不加密。终端可以根据第二密钥标识来用对应的应用层共享密钥K2解密第二请求应答消息;
步骤107,所述第一服务器删除所述第一密钥。
具体地,第一服务器可以是应用服务器,也可以叫做NAF。第一密钥可以是共享密钥Ks_NAF。当终端和第一服务器都拥有应用层共享密钥K2后,没有必要再存储共享密钥Ks_NAF。因此,第一服务器可以在发送第二请求应答消息后,删除共享密钥Ks_NAF。可选的,如果在第一应用请求消息中就开始使用应用层共享密钥K2加密,则第一服务器可以在发送第一请求应答消息后,删除共享密钥Ks_NAF。
参照图2,示出了本申请的一种终端与服务器的通信方法实施例2的步骤流程图,具体可以包括如下步骤:
步骤201,所述终端向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
具体地,第一服务器为应用服务器,也可以叫做NAF。第一请求消息可以是应用请求(application request)。应用请求中携带引导会话标识(B-TID)。可选的,应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前,终端可以根据AKA协议生成的共享密钥Ks来衍生出共享密钥Ks_NAF。并且通过共享密钥Ks_NAF来加密第一请求消息。第一请求消息中的引导会话标识(B-TID)可以不做为加密部分。第二服务器可以是BSF。第一密钥可以是共享密钥Ks_NAF。NAF在收到第一请求消息后,向BSF发送认证请求(AuthenticationRequest),认证请求包括引导会话标识以及可选的,NAF标识(NAF-Id)。BSF根据引导会话标识找到在与终端进行AKA协商中生成的共享密钥Ks。并且根据共享密钥Ks衍生出共享密钥Ks_NAF。之后BSF向第一服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥Ks_NAF。可选的,认证响应消息中还可以包括Ks_NAF使用期限(key_lifetime)。当试用期到期后,终端需要和BSF之间重新通过共享密钥Ks衍生出新的共享密钥Ks_NAF。第一服务器在收到共享密钥Ks_NAF后,会存储共享密钥Ks_NAF。并且在终端和第一服务器之间利用利用共享密钥Ks_NAF来加解密空口消息。
在本申请实施例中,所述步骤201可以包括如下子步骤:
子步骤S2011,所述终端向第一服务器发送第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
具体地,第二密钥标识可以是应用层共享密钥K2的标识。第二密钥标识可以预置在终端上。第二密钥标识可以包括在终端发送给第一服务器的第一请求消息中。并且可以指示第一服务器将第二密钥标识对应的第二密钥通过第一请求消息对应的第一请求应答消息发送给终端。可选的,第一服务器也可以先从应用层密钥管理服务器获取共享密钥K2。并且通过第一请求应答消息将共享密钥K2发送至终端。
步骤202,所述终端接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。第二密钥可以是应用层共享密钥K2。共享密钥K2可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥K2。并且通过第一请求应答消息将共享密钥K2发送至终端。同时,第一服务器也会存储共享密钥K2。可选的,第一请求应答消息可以由第一密钥,即共享密钥Ks_NAF加密。由于NAF和终端都拥有共享密钥Ks_NAF,第一请求应答消息可以由共享密钥Ks_NAF加密并且发送至终端,并且由终端解密。
在本申请实施例中,所述步骤202可以包括如下子步骤:
子步骤S2021,所述第一请求应答消息包括第二密钥标识;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。第二密钥标识可以是应用层共享密钥K2的标识。第二密钥标识可以作为指示来使得第一服务器用第二密钥标识对应的共享密钥K2来解密第二请求消息。可选的,第二密钥标识可以指示第一服务器用第二密钥来加密第二请求应答消息。
步骤203,所述终端向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
具体地,第二请求消息可以是应用请求消息。第二密钥标识可以是应用层共享密钥K2的唯一标识。第二请求消息可以由共享密钥Ks_NAF加密。可选的,第二请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第二密钥标识可以不加密。第二密钥标识可以作为指示来使得服务器用第二密钥标识对应的共享密钥K2来解密第二请求消息。可选的,第二请求消息中也可以不包括第二密钥标识,第一服务器可以尝试使用第一密钥或者第二密钥对第二请求消息进行解密。第一服务器可以根据引导会话标识判断是否已经衍生出第二密钥,如果存在,第一服务器用第二密钥来加密第二请求应答消息,并且发送给终端。终端可以通过第二密钥来解密第二请求应答消息。
在本申请实施例中,所述步骤203可以包括如下子步骤:
子步骤S2031,所述第二请求消息由第一密钥加密;
具体地,第一密钥为共享密钥Ks_NAF。第二请求消息可以由共享密钥Ks_NAF加密。
步骤204,所述终端接收所述第一服务器发送的所述第二请求应答消息。
具体地,第一服务器可以是应用服务器,也可以叫做NAF。第一服务器向终端发送的第二请求应答消息可以由应用层共享密钥K2加密。可选的,第二请求应答消息中可以包括第二密钥标识。第二密钥标识部分可以不加密。终端可以根据第二密钥标识来用对应的应用层共享密钥K2解密第二请求应答消息;
在本申请实施例中,所述步骤204可以包括如下子步骤:
子步骤S2041,所述终端删除所述第一密钥;
具体地,第一服务器可以是应用服务器,也可以叫做NAF。第一密钥可以是共享密钥Ks_NAF。当终端和第一服务器都拥有应用层共享密钥K2后,没有必要再存储共享密钥Ks_NAF。因此,终端可以在接收到第二请求应答消息后,删除共享密钥Ks_NAF。可选的,如果在第一应用请求消息中就开始使用应用层共享密钥K2加密,则终端可以在接收到第一请求应答消息后,删除共享密钥Ks_NAF。
参照图3,示出了本申请的一种终端与服务器的通信方法实施例2的步骤流程图,具体可以包括如下步骤:
步骤301,第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
具体地,第一服务器为应用服务器,也可以叫做NAF。第一请求消息可以是应用请求(application request)。应用请求中携带引导会话标识(B-TID)。可选的,应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前,终端可以根据AKA协议生成的共享密钥Ks来衍生出共享密钥Ks_NAF。并且通过共享密钥Ks_NAF来加密第一请求消息。第一请求消息中的引导会话标识(B-TID)可以不做为加密部分。第二服务器可以是BSF。第一密钥可以是共享密钥Ks_NAF。NAF在收到第一请求消息后,向BSF发送认证请求(AuthenticationRequest),认证请求包括引导会话标识以及可选的,NAF标识(NAF-Id)。BSF根据引导会话标识找到在与终端进行AKA协商中生成的共享密钥Ks。并且根据共享密钥Ks衍生出共享密钥Ks_NAF。之后BSF向第一服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥Ks_NAF。可选的,认证响应消息中还可以包括Ks_NAF使用期限(key_lifetime)。当试用期到期后,终端需要和BSF之间重新通过共享密钥Ks衍生出新的共享密钥Ks_NAF。第一服务器在收到共享密钥Ks_NAF后,会存储共享密钥Ks_NAF。并且在终端和第一服务器之间利用利用共享密钥Ks_NAF来加解密空口消息。
在本申请实施例中,所述步骤301可以包括如下子步骤:
子步骤S3011,所述第一服务器接收终端发送的第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
具体地,第二密钥标识可以是应用层共享密钥K2的标识。第二密钥标识可以预置在终端上。第二密钥标识可以包括在终端发送给第一服务器的第一请求消息中。并且可以指示第一服务器将第二密钥标识对应的第二密钥通过第一请求消息对应的第一请求应答消息发送给终端。可选的,第一服务器也可以先从应用层密钥管理服务器获取共享密钥K2。并且通过第一请求应答消息将共享密钥K2发送至终端。
步骤302,所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。第二密钥可以是应用层共享密钥K2。共享密钥K2可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时,第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥K2。并且通过第一请求应答消息将共享密钥K2发送至终端。同时,第一服务器也会存储共享密钥K2。可选的,第一请求应答消息可以由第一密钥,即共享密钥Ks_NAF加密。由于NAF和终端都拥有共享密钥Ks_NAF,第一请求应答消息可以由共享密钥Ks_NAF加密并且发送至终端,并且由终端解密。
在本申请实施例中,所述步骤302可以包括如下子步骤:
子步骤S3021,所述第一请求应答消息包括第二密钥标识;
具体地,第一请求应答消息可以是应用应答(Application Answer)消息。第二密钥标识可以是应用层共享密钥K2的标识。第二密钥标识可以作为指示来使得第一服务器用第二密钥标识对应的共享密钥K2来解密第二请求消息。可选的,第二密钥标识可以指示第一服务器用第二密钥来加密第二请求应答消息。
步骤303,所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
具体地,第二请求消息可以是应用请求消息。第二密钥标识可以是应用层共享密钥K2的唯一标识。第二请求消息可以由共享密钥Ks_NAF加密。可选的,第二请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第二密钥标识可以不加密。第二密钥标识可以作为指示来使得服务器用第二密钥标识对应的共享密钥K2来解密第二请求消息。可选的,第二请求消息中也可以不包括第二密钥标识,第一服务器可以尝试使用第一密钥或者第二密钥对第二请求消息进行解密。第一服务器可以根据引导会话标识判断是否已经衍生出第二密钥,如果存在,第一服务器用第二密钥来加密第二请求应答消息,并且发送给终端。终端可以通过第二密钥来解密第二请求应答消息。
在本申请实施例中,所述步骤303之后,所述步骤304之前可以包括如下子步骤:
子步骤S3031,所述第一服务器根据所述第一密钥解密所述第二请求消息;
具体地,第二请求消息可以是应用请求消息。第一密钥为共享密钥Ks_NAF。第二请求消息可以由共享密钥Ks_NAF加密。可选的,第二请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第二密钥标识可以不加密。第二密钥标识可以作为指示来使得服务器用第二密钥标识对应的共享密钥K2来解密第二请求消息。
子步骤S3032,所述第一服务器根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
具体地,第二密钥标识可以是应用层共享密钥K2的唯一标识。第二密钥为应用层共享密钥K2。第一服务器获取应用请求消息中的应用层共享密钥K2的唯一标识,用应用层共享密钥K2的唯一标识对应的应用层共享密钥K2加密应用请求消息对应的应用应答消息。
在本申请实施例中,所述步骤203可以包括如下子步骤:
子步骤S3033,所述第二请求消息有第一密钥加密;
具体地,第二请求信息可以是应用请求消息。第一密钥可以是共享密钥Ks_NAF。第二请求消息可以由共享密钥Ks_NAF加密。可选的,第二请求消息也可以由应用层共享密钥K2加密。
步骤304,所述第一服务器向所述终端发送第二请求应答消息。
具体地,第一服务器可以是应用服务器,也可以叫做NAF。第一服务器向终端发送的第二请求应答消息可以由应用层共享密钥K2加密。可选的,第二请求应答消息中可以包括第二密钥标识。第二密钥标识部分可以不加密。终端可以根据第二密钥标识来用对应的应用层共享密钥K2解密第二请求应答消息。
在本申请实施例中,所述步骤304可以包括如下子步骤:
子步骤S3041,所述第一服务器删除所述第一密钥;
具体地,第一服务器可以是应用服务器,也可以叫做NAF。第一密钥可以是共享密钥Ks_NAF。当终端和第一服务器都拥有应用层共享密钥K2后,没有必要再存储共享密钥Ks_NAF。因此,第一服务器可以在发送第二请求应答消息后,删除共享密钥Ks_NAF。可选的,如果在第一应用请求消息中就开始使用应用层共享密钥K2加密,则第一服务器可以在发送第一请求应答消息后,删除共享密钥Ks_NAF。
参照图4,示出了本申请的一种终端与服务器的通信方法实施例3的步骤流程图,具体可以包括如下步骤:
步骤401,所述终端向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
具体地,第三服务器为应用层密钥管理服务器。图5展示了实施例3的***架构。终端可以首先通过AKA协议来生成共享密钥Ks。之后可以通过Ks衍生出的共享密钥Ks_NAF建立终端和应用层密钥管理服务器之间的安全通道。应用层密钥管理服务器可以用来管理多个应用服务器的密钥分发。应用服务器的密钥也可以是根密钥。应用层密钥管理服务器可以用应用层共享密钥K2来替换共享密钥Ks_NAF来建立终端和应用层密钥管理服务器之间的安全通路。之后,应用层密钥管理服务器可以将应用服务器的密钥或者根密钥通过安全通路下发给终端,使得终端可以和多个应用服务器之间建立安全连接。
第三请求消息可以是应用请求(application request)。应用请求中携带引导会话标识(B-TID)。可选的,应用请求中还可以包括应用层数据载荷。在发送第三请求消息之前,终端可以根据AKA协议生成的共享密钥Ks来衍生出共享密钥Ks_NAF。并且通过共享密钥Ks_NAF来加密第三请求消息。第三请求消息中的引导会话标识(B-TID)可以不做为加密部分。第四服务器可以是BSF。第三密钥可以是共享密钥Ks_NAF。应用层密钥管理服务器在收到第三请求消息后,向BSF发送认证请求(Authentication Request),认证请求包括引导会话标识以及可选的,应用层密钥管理服务器标识。BSF根据引导会话标识找到在与终端进行AKA协商中生成的共享密钥Ks。并且根据共享密钥Ks衍生出共享密钥Ks_NAF。之后BSF向第三服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥Ks_NAF。可选的,认证响应消息中还可以包括Ks_NAF使用期限(key_lifetime)。当试用期到期后,终端需要和BSF之间重新通过共享密钥Ks衍生出新的共享密钥Ks_NAF。第三服务器在收到共享密钥Ks_NAF后,会存储共享密钥Ks_NAF。并且在终端和第三服务器之间利用利用共享密钥Ks_NAF来加解密空口消息。
在本申请实施例中,所述步骤401可以包括如下子步骤:
子步骤S4011,所述终端向第三服务器发送第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
具体地,第四密钥标识可以是应用层共享密钥K2的标识。第四密钥标识可以预置在终端上。第四密钥标识可以包括在终端发送给第三服务器的第三请求消息中。并且可以指示第三服务器将第四密钥标识对应的第四密钥通过第三请求消息对应的第三请求应答消息发送给终端。可选的,第三服务器也可以先从应用层密钥管理服务器获取共享密钥K2。并且通过第三请求应答消息将共享密钥K2发送至终端。
步骤402,所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
具体地,第三服务器为应用层密钥管理服务器。第三请求应答消息可以是应用应答(Application Answer)消息。第四密钥可以是应用层共享密钥K2。应用层共享密钥K2可以由应用层密钥管理服务器管理。应用密钥管理服务器可以将应用层共享密钥K2下发给终端,以使得终端和应用层密钥管理服务器之间可以通过应用层共享密钥K2建立安全通路。
在本申请实施例中,所述步骤402可以包括如下子步骤:
子步骤S4021,所述第三请求应答消息包括第四密钥标识;
具体地,第三请求应答消息可以是应用应答(Application Answer)消息。第四密钥标识可以是应用层共享密钥K2的标识。终端可以在发送第四请求消息时,通过携带第四密钥标识来使得应用层密钥管理服务器通过第四密钥标识所对应的第四密钥来解密第四请求消息。可选的,第四密钥标识也可以用来指示应用层密钥管理服务器用第四密钥标识所对应的第四密钥来加密第四请求应答消息。
步骤403,所述终端向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
具体地,第四请求消息可以是应用请求消息。第四密钥标识可以是应用层共享密钥K2的唯一标识。第四请求消息可以由共享密钥Ks_NAF加密。可选的,第四请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第四密钥标识可以不加密。第四密钥标识可以作为指示来使得服务器用第四密钥标识对应的共享密钥K2来解密第四请求消息。可选的,第四请求消息中可以包括应用服务器标识。应用服务器标识用于指示应用层密钥管理服务器从应用服务器标识所对应的应用服务器获取应用服务器密钥(AppKey)。应用层密钥管理服务器可以在接收到第四应用请求消息后,向所述应用服务器发送请求消息,并且根据请求消息对应的应答消息来获取应用服务器密钥(AppKey)。可选的,应用服务器密钥也可以叫做应用密钥。应用服务器标识也可以叫做应用标识。应用层密钥管理服务器可以根据应用标识与应用服务器标识的映射关系确定应用服务器标识以及对应的地址,并且向应用服务器发送请求消息。请求消息可以是密钥请求消息。
在本申请实施例中,所述步骤403可以包括如下子步骤:
子步骤S4031,所述第四请求消息由第四密钥加密;
具体地,第四请求消息可以是应用请求消息。第四密钥可以是应用层共享密钥K2。应用请求消息可以由应用层共享密钥K2加密。可选的,应用请求消息也可以由共享密钥Ks_NAF加密。
步骤404,所述终端接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
具体地,第三服务器可以是应用层密钥管理服务器。第五服务器可以是应用服务器。第五密钥可以是应用层服务器的密钥或者根密钥。应用层密钥管理服务器可以在接收到第四应用请求消息后,向所述应用服务器发送请求消息,并且根据请求消息对应的应答消息来获取应用服务器密钥(AppKey)。可选的,应用服务器密钥也可以叫做应用密钥。应用服务器标识也可以叫做应用标识。应用层密钥管理服务器可以根据应用标识与应用服务器标识的映射关系确定应用服务器标识以及对应的地址,并且向应用服务器发送请求消息。请求消息可以是密钥请求消息。第三服务器向终端发送的第四请求应答消息可以由应用层共享密钥K2加密。可选的,第二请求应答消息中可以包括第四密钥标识。第四密钥标识部分可以不加密。终端可以根据第二密钥标识来用对应的应用层共享密钥K2解密第二请求应答消息。
在本申请实施例中,所述步骤404可以包括如下子步骤:
子步骤S4041,所述终端删除所述第三密钥以及第四密钥;
具体地,第三密钥可以是共享密钥Ks_NAF。当终端和应用服务器都拥有应用服务器密钥Appkey后,没有必要再存储共享密钥Ks_NAF和应用层共享密钥K2。因此,终端可以在接收到第四请求应答消息后,删除共享密钥Ks_NAF以及应用层共享密钥K2。可选的,如果在第三应用请求消息中就开始使用应用层共享密钥K2加密,则终端可以在接收到第一请求应答消息后,删除共享密钥Ks_NAF。并且在接收到第四请求应答消息后,删除应用层共享密钥K2。
参照图6,示出了本申请的一种终端与服务器的通信方法实施例3的步骤流程图,具体可以包括如下步骤:
步骤501,第三服务器接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
具体地,第三服务器为应用层密钥管理服务器。图5展示了实施例3的***架构。终端可以首先通过AKA协议来生成共享密钥Ks。之后可以通过Ks衍生出的共享密钥Ks_NAF建立终端和应用层密钥管理服务器之间的安全通道。应用层密钥管理服务器可以用来管理多个应用服务器的密钥分发。应用服务器的密钥也可以是根密钥。应用层密钥管理服务器可以用应用层共享密钥K2来替换共享密钥Ks_NAF来建立终端和应用层密钥管理服务器之间的安全通路。之后,应用层密钥管理服务器可以将应用服务器的密钥或者根密钥通过安全通路下发给终端,使得终端可以和多个应用服务器之间建立安全连接。
第三请求消息可以是应用请求(application request)。应用请求中携带引导会话标识(Bootstrapping Transaction Identifier,B-TID)。引导会话标识用于绑定签约身份以及密钥材料(keying material)。可选的,应用请求中还可以包括应用层数据载荷。在发送第三请求消息之前,终端可以根据AKA协议生成的共享密钥Ks来衍生出共享密钥Ks_NAF。并且通过共享密钥Ks_NAF来加密第三请求消息。第三请求消息中的引导会话标识(B-TID)可以不做为加密部分。第四服务器可以是BSF。第三密钥可以是共享密钥Ks_NAF。应用层密钥管理服务器在收到第三请求消息后,向BSF发送认证请求(AuthenticationRequest),认证请求包括引导会话标识以及可选的,应用层密钥管理服务器标识。BSF根据引导会话标识找到在与终端进行AKA协商中生成的共享密钥Ks。并且根据共享密钥Ks衍生出共享密钥Ks_NAF。之后BSF向第三服务器发送认证响应消息(Authentication Answer),响应消息中包括共享密钥Ks_NAF。可选的,认证响应消息中还可以包括Ks_NAF使用期限(key_lifetime)。当试用期到期后,终端需要和BSF之间重新通过共享密钥Ks衍生出新的共享密钥Ks_NAF。第三服务器在收到共享密钥Ks_NAF后,会存储共享密钥Ks_NAF。并且在终端和第三服务器之间利用利用共享密钥Ks_NAF来加解密空口消息。
在本申请实施例中,所述步骤501可以包括如下子步骤:
子步骤S5011,所述第三服务器接收所述终端发送的第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
具体地,第四密钥标识可以是应用层共享密钥K2的标识。第四密钥标识可以预置在终端上。第四密钥标识可以包括在终端发送给第三服务器的第三请求消息中。并且可以指示第三服务器将第四密钥标识对应的第四密钥通过第三请求消息对应的第三请求应答消息发送给终端。可选的,第三服务器也可以先从应用层密钥管理服务器获取共享密钥K2。并且通过第三请求应答消息将共享密钥K2发送至终端。
步骤502,所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
具体地,第三服务器为应用层密钥管理服务器。第三请求应答消息可以是应用应答(Application Answer)消息。第四密钥可以是应用层共享密钥K2。应用层共享密钥K2可以由应用层密钥管理服务器管理。应用密钥管理服务器可以将应用层共享密钥K2下发给终端,以使得终端和应用层密钥管理服务器之间可以通过应用层共享密钥K2建立安全通路。
在本申请实施例中,所述步骤502可以包括如下子步骤:
子步骤S5021,所述第三请求应答消息包括第四密钥标识;
具体地,第三请求应答消息可以是应用应答(Application Answer)消息。第四密钥标识可以是应用层共享密钥K2的标识。终端可以在发送第四请求消息时,通过携带第四密钥标识来使得应用层密钥管理服务器通过第四密钥标识所对应的第四密钥来解密第四请求消息。可选的,第四密钥标识也可以用来指示应用层密钥管理服务器用第四密钥标识所对应的第四密钥来加密第四请求应答消息。
步骤503,所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
具体地,第四请求消息可以是应用请求消息。第四密钥标识可以是应用层共享密钥K2的唯一标识。第四请求消息可以由共享密钥Ks_NAF加密。可选的,第四请求消息也可以由共享密钥K2加密。当用共享密钥K2来加密时,第四密钥标识可以不加密。第四密钥标识可以作为指示来使得服务器用第四密钥标识对应的共享密钥K2来解密第四请求消息。可选的,第四请求消息中可以包括应用服务器标识。应用服务器标识用于指示应用层密钥管理服务器从应用服务器标识所对应的应用服务器获取应用服务器密钥(AppKey)。应用层密钥管理服务器可以在接收到第四应用请求消息后,向所述应用服务器发送请求消息,并且根据请求消息对应的应答消息来获取应用服务器密钥(AppKey)。可选的,应用服务器密钥也可以叫做应用密钥。应用服务器标识也可以叫做应用标识。应用层密钥管理服务器可以根据应用标识与应用服务器标识的映射关系确定应用服务器标识以及对应的地址,并且向应用服务器发送请求消息。请求消息可以是密钥请求消息。
在本申请实施例中,所述步骤403可以包括如下子步骤:
子步骤S4031,所述第四请求消息由第四密钥加密;
具体地,第四请求消息可以是应用请求消息。第四密钥可以是应用层共享密钥K2。应用请求消息可以由应用层共享密钥K2加密。可选的,应用请求消息也可以由共享密钥Ks_NAF加密。
步骤504,所述第三服务器向终端发送所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
具体地,第三服务器可以是应用层密钥管理服务器。第五服务器可以是应用服务器。第五密钥可以是应用层服务器的密钥或者根密钥。应用层密钥管理服务器可以在接收到第四应用请求消息后,向所述应用服务器发送请求消息,并且根据请求消息对应的应答消息来获取应用服务器密钥(AppKey)。可选的,应用服务器密钥也可以叫做应用密钥。应用服务器标识也可以叫做应用标识。应用层密钥管理服务器可以根据应用标识与应用服务器标识的映射关系确定应用服务器标识以及对应的地址,并且向应用服务器发送请求消息。请求消息可以是密钥请求消息。第三服务器向终端发送的第四请求应答消息可以由应用层共享密钥K2加密。可选的,第二请求应答消息中可以包括第四密钥标识。第四密钥标识部分可以不加密。终端可以根据第二密钥标识来用对应的应用层共享密钥K2解密第二请求应答消息。
在本申请实施例中,所述步骤504可以包括如下子步骤:
子步骤S5041,所述第三服务器删除所述第三密钥以及第四密钥;
具体地,第三密钥可以是共享密钥Ks_NAF。当终端和应用服务器都拥有应用服务器密钥AppKey后,没有必要再存储共享密钥Ks_NAF和应用层共享密钥K2。因此,第三服务器可以在发送第四请求应答消息后,删除共享密钥Ks_NAF以及应用层共享密钥K2。可选的,如果在第三应用请求消息中就开始使用应用层共享密钥K2加密,则第三服务器可以在发送第一请求应答消息后,删除共享密钥Ks_NAF。并且在发送到第四请求应答消息后,删除应用层共享密钥K2。
参照图8,示出了本申请的一种终端与服务器的通信装置实施例1的结构框图,具体可以包括如下模块:
位于第一服务器的接收模块2002,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述第一服务器的发送模块2001,用于向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述第一服务器的接收模块2002,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息,所述第二请求消息由第一密钥加密;
位于所述第一服务器的处理模块2003,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的处理模块2003,用于根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
位于所述第一服务器的发送模块2001,用于向所述终端发送第二请求应答消息;
位于所述第一服务器的处理模块2003,用于删除所述第一密钥。
参照图7,示出了本申请的一种终端与服务器的通信装置实施例2的结构框图,具体可以包括如下模块:
位于所述终端的发送模块1001,用于向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述终端的接收模块1002,用于接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述终端的发送模块1001,用于向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
位于所述终端的接收模块1002,用于接收所述第一服务器发送的所述第二请求应答消息。
在本申请实施例中,所述的装置还可以包括:
所述第二请求消息由第一密钥加密。
在本申请实施例中,所述的装置还可以包括:
所述第一请求应答消息包括第二密钥标识;
在本申请实施例中,所述的装置还可以包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
在本申请实施例中,所述的装置还可以包括:
所述终端删除所述第一密钥。
参照图8,示出了本申请的一种终端与服务器的通信装置实施例2的结构框图,具体可以包括如下模块:
位于第一服务器的接收模块2002,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述第一服务器的发送模块2001,用于向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述第一服务器的接收模块2002,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
位于所述第一服务器的发送模块2001,用于向所述终端发送第二请求应答消息。
在本申请实施例中,所述的装置还可以包括:
位于所述第一服务器的处理模块,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的处理模块,用于根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
在本申请实施例中,所述的装置还可以包括:
所述第二请求消息由第一密钥加密。
在本申请实施例中,所述的装置还可以包括:
所述第一请求应答消息包括第二密钥标识;
在本申请实施例中,所述的装置还可以包括:
位于所述第一服务器的接收装置,用于接收终端发送的第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥;
在本申请实施例中,所述的装置还可以包括:
位于所述第一服务器的处理模块,用于删除所述第一密钥。
参照图7,示出了本申请的一种终端与服务器的通信装置实施例3的结构框图,具体可以包括如下模块:
位于所述终端的发送模块1001,用于向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述终端的接收模块1002,用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
位于所述终端的发送模块1001,用于向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
位于所述所述终端的接收模块1002,用于接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
在本申请实施例中,所述的装置还可以包括:
所述第四请求消息由第四密钥加密。
在本申请实施例中,所述的装置还可以包括:
所述第三请求应答消息包括第四密钥标识;
在本申请实施例中,所述的装置还可以包括:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
在本申请实施例中,所述的装置还可以包括:
位于所述终端的处理模块,用于删除所述第三密钥以及第四密钥。
参照图8,示出了本申请的一种终端与服务器的通信装置实施例3的结构框图,具体可以包括如下模块:
位于第三服务器的接收模块2002,用于接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述第三服务器的发送模块2001,用于向所述终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
位于所述第三服务器的接收模块2002,用于接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
位于所述第三服务器的发送模块2001,用于向终端发送所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
在本申请实施例中,所述的装置还可以包括:
所述第四请求消息由第四密钥加密。
在本申请实施例中,所述的装置还可以包括:
所述第三请求应答消息包括第四密钥标识;
在本申请实施例中,所述的装置还可以包括:
位于所述第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥;
在本申请实施例中,所述的装置还可以包括:
位于所述第三服务器的处理模块,用于删除所述第三密钥以及第四密钥。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例还提供了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行本申请实施例所述的方法。
本申请实施例还提供了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得装置执行本申请实施例所述的方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种终端与基站的通信方法、一种终端与基站的通信装置、一种终端的入网方法和一种终端的入网装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (44)
1.一种终端与服务器的通信方法,其特征在于,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息,所述第二请求消息由第一密钥加密;
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
所述第一服务器向所述终端发送第二请求应答消息;
所述第一服务器删除所述第一密钥。
2.一种终端与服务器的通信方法,其特征在于,包括:
所述终端向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述终端接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
所述终端向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
所述终端接收所述第一服务器发送的所述第二请求应答消息。
3.根据权利要求2所述的方法,其特征在于,所述终端向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,还包括:
所述第二请求消息由第一密钥加密。
4.根据权利要求2所述的方法,其特征在于,所述终端接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥,还包括:
所述第一请求应答消息包括第二密钥标识。
5.根据权利要求2所述的方法,其特征在于,所述第一请求消息还包括第二密钥标识,所述终端向第一服务器发送第一请求消息的步骤包括:
所述终端向第一服务器发送第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥。
6.根据权利要求2所述的方法,其特征在于,在所述终端接收所述第一服务器发送的所述第二请求应答消息之后,还包括:
所述终端删除所述第一密钥。
7.一种终端与服务器的通信方法,其特征在于,包括:
第一服务器接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
所述第一服务器向所述终端发送第二请求应答消息。
8.根据权利要求7所述的方法,其特征在于,在所述第一服务器接收所述终端发送的第二请求消息之后,在所述第一服务器向所述终端发送第二请求应答消息之前,还包括:
所述第一服务器根据所述第一密钥解密所述第二请求消息;
所述第一服务器根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息。
9.根据权利要求7所述的方法,其特征在于,所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,还包括:
所述第二请求消息由第一密钥加密。
10.根据权利要求7所述的方法,其特征在于,所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥,还包括:
所述第一请求应答消息包括第二密钥标识。
11.根据权利要求7所述的方法,其特征在于,所述第一请求消息还包括第二密钥标识,所述第一服务器接收所述终端发送的第一请求消息的步骤包括:
所述第一服务器接收终端发送的第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥。
12.根据权利要求7所述的方法,其特征在于,在所述第一服务器向所述终端发送第二请求应答消息之后,还包括:
所述第一服务器删除所述第一密钥。
13.一种终端与服务器的通信方法,其特征在于,包括:
所述终端向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
所述终端向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
所述终端接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
14.根据权利要求13所述的方法,其特征在于,所述终端向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,还包括:
所述第四请求消息由第四密钥加密。
15.根据权利要求13所述的方法,其特征在于,所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥,还包括:
所述第三请求应答消息包括第四密钥标识。
16.根据权利要求13所述的方法,其特征在于,所述第三请求消息还包括第四密钥标识,所述终端向第三服务器发送第三请求消息的步骤包括:
所述终端向第三服务器发送第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥。
17.根据权利要求13所述的方法,其特征在于,在所述终端接收所述第三服务器发送的所述第四请求应答消息之后,还包括:
所述终端删除所述第三密钥以及第四密钥。
18.一种终端与服务器的通信方法,其特征在于,包括:
第三服务器接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
所述第三服务器向终端发送所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
19.根据权利要求18所述的方法,其特征在于,所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,还包括:
所述第四请求消息由第四密钥加密。
20.根据权利要求18所述的方法,其特征在于,所述第三服务器向终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥,还包括:
所述第三请求应答消息包括第四密钥标识。
21.根据权利要求18所述的方法,其特征在于,所述第三请求消息还包括第四密钥标识,所述第三服务器接收所述终端发送的第三请求消息的步骤包括:
所述第三服务器接收所述终端发送的第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥。
22.根据权利要求18所述的方法,其特征在于,在所述第三服务器向所述终端发送所述第四请求应答消息之后,还包括:
所述第三服务器删除所述第三密钥以及第四密钥。
23.一种终端与服务器的通信装置,其特征在于,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息,所述第二请求消息由第一密钥加密;
位于所述第一服务器的处理模块,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的处理模块,用于根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息;
位于所述第一服务器的发送模块,用于向所述终端发送第二请求应答消息;
位于所述第一服务器的处理模块,用于删除所述第一密钥。
24.一种终端与服务器的通信装置,其特征在于,包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述终端的接收模块,用于接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述终端的发送模块,用于向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
位于所述终端的接收模块,用于接收所述第一服务器发送的所述第二请求应答消息。
25.根据权利要求24所述的装置,其特征在于,所述终端向第一服务器发送第二请求消息,所述第二请求消息包括第二密钥标识,还包括:
所述第二请求消息由第一密钥加密。
26.根据权利要求24所述的装置,其特征在于,所述终端接收所述第一服务器发送的第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥,还包括:
所述第一请求应答消息包括第二密钥标识。
27.根据权利要求24所述的装置,其特征在于,所述第一请求消息还包括第二密钥标识,所述终端向第一服务器发送第一请求消息的步骤包括:
位于所述终端的发送模块,用于向第一服务器发送第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥。
28.根据权利要求24所述的装置,其特征在于,在所述终端接收所述第一服务器发送的所述第二请求应答消息之后,还包括:
所述终端删除所述第一密钥。
29.一种终端与服务器的通信装置,其特征在于,包括:
位于第一服务器的接收模块,用于接收所述终端发送的第一请求消息,所述第一请求消息用于使得第一服务器向第二服务器发送认证请求,并且从第二服务器获取第一密钥;
位于所述第一服务器的发送模块,用于向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥;
位于所述第一服务器的接收模块,用于接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器根据所述第二密钥标识对应的第二密钥生成第二请求消息对应的第二请求应答消息;
位于所述第一服务器的发送模块,用于向所述终端发送第二请求应答消息。
30.根据权利要求29所述的装置,其特征在于,在所述第一服务器接收所述终端发送的第二请求消息之后,在所述第一服务器向所述终端发送第二请求应答消息之前,还包括:
位于所述第一服务器的处理模块,用于根据所述第一密钥解密所述第二请求消息;
位于所述第一服务器的处理模块,用于根据所述第二请求消息中的第二密钥标识对应的第二密钥加密所述第二请求应答消息。
31.根据权利要求29所述的装置,其特征在于,所述第一服务器接收所述终端发送的第二请求消息,所述第二请求消息包括第二密钥标识,还包括:
所述第二请求消息由第一密钥加密。
32.根据权利要求29所述的装置,其特征在于,所述第一服务器向终端发送第一请求消息对应的第一请求应答消息,所述第一请求应答消息包括第二密钥,还包括:
所述第一请求应答消息包括第二密钥标识。
33.根据权利要求29所述的装置,其特征在于,所述第一请求消息还包括第二密钥标识,所述第一服务器接收所述终端发送的第一请求消息的步骤包括:
位于所述第一服务器的接收装置,用于接收终端发送的第一请求消息,所述第一请求消息包括第二密钥标识,所述第二密钥标识用于使得第一服务器通过所述第一请求应答消息向终端发送所述第二密钥。
34.根据权利要求29所述的装置,其特征在于,在所述第一服务器向所述终端发送第二请求应答消息之后,还包括:
位于所述第一服务器的处理模块,用于删除所述第一密钥。
35.一种终端与服务器的通信装置,其特征在于,包括:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述终端的接收模块,用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
位于所述终端的发送模块,用于向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
位于所述所述终端的接收模块,用于接收所述第三服务器发送的所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
36.根据权利要求35所述的装置,其特征在于,所述终端向第三服务器发送第四请求消息,所述第四请求消息包括第四密钥标识,还包括:
所述第四请求消息由第四密钥加密。
37.根据权利要求35所述的装置,其特征在于,所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥,还包括:
所述第三请求应答消息包括第四密钥标识。
38.根据权利要求35所述的装置,其特征在于,所述第三请求消息还包括第四密钥标识,所述终端向第三服务器发送第三请求消息的步骤包括:
位于所述终端的发送模块,用于向第三服务器发送第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥。
39.根据权利要求35所述的装置,其特征在于,在所述终端接收所述第三服务器发送的所述第四请求应答消息之后,还包括:
位于所述终端的处理模块,用于删除所述第三密钥以及第四密钥。
40.一种终端与服务器的通信装置,其特征在于,包括:
位于第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息用于使得第三服务器向第四服务器发送认证请求,并且从第四服务器获取第三密钥;
位于所述第三服务器的发送模块,用于向所述终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥;
位于所述第三服务器的接收模块,用于接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器根据所述第四密钥标识对应的第四密钥生成第四请求消息对应的第四请求应答消息;
位于所述第三服务器的发送模块,用于向终端发送所述第四请求应答消息,所述第四请求应答消息包括第五密钥,所述第五密钥为第三服务器接收所述终端发送的第四请求消息后,向第五服务器发送请求,并且从第五服务器获取的。
41.根据权利要求40所述的装置,其特征在于,所述第三服务器接收所述终端发送的第四请求消息,所述第四请求消息包括第四密钥标识,还包括:
所述第四请求消息由第四密钥加密。
42.根据权利要求40所述的装置,其特征在于,所述第三服务器向终端发送第三请求消息对应的第三请求应答消息,所述第三请求应答消息包括第四密钥,还包括:
所述第三请求应答消息包括第四密钥标识。
43.根据权利要求40所述的装置,其特征在于,所述第三请求消息还包括第四密钥标识,所述第三服务器接收所述终端发送的第三请求消息的步骤包括:
位于所述第三服务器的接收模块,用于接收所述终端发送的第三请求消息,所述第三请求消息包括第四密钥标识,所述第四密钥标识用于使得第三服务器通过所述第三请求应答消息向终端发送所述第四密钥。
44.根据权利要求40所述的装置,其特征在于,在所述第三服务器向所述终端发送所述第四请求应答消息之后,还包括:
位于所述第三服务器的处理模块,用于删除所述第三密钥以及第四密钥。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810908310.1A CN110830240B (zh) | 2018-08-09 | 2018-08-09 | 一种终端与服务器的通信方法和装置 |
TW108121638A TWI801615B (zh) | 2018-08-09 | 2019-06-21 | 終端與伺服器的通訊方法、與終端通訊的伺服器和與伺服器通訊的終端 |
PCT/CN2019/098821 WO2020029859A1 (zh) | 2018-08-09 | 2019-08-01 | 一种终端与服务器的通信方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810908310.1A CN110830240B (zh) | 2018-08-09 | 2018-08-09 | 一种终端与服务器的通信方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110830240A true CN110830240A (zh) | 2020-02-21 |
CN110830240B CN110830240B (zh) | 2023-02-24 |
Family
ID=69415369
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810908310.1A Active CN110830240B (zh) | 2018-08-09 | 2018-08-09 | 一种终端与服务器的通信方法和装置 |
Country Status (3)
Country | Link |
---|---|
CN (1) | CN110830240B (zh) |
TW (1) | TWI801615B (zh) |
WO (1) | WO2020029859A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113518348A (zh) * | 2020-06-30 | 2021-10-19 | ***通信有限公司研究院 | 业务处理方法、装置、***及存储介质 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11863665B2 (en) * | 2019-08-16 | 2024-01-02 | Lenovo (Singapore) Pte. Ltd. | Security capabilities in an encryption key request |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087261A (zh) * | 2006-06-05 | 2007-12-12 | 华为技术有限公司 | 基于通用引导构架实现推送功能的方法、设备和*** |
CN101141792A (zh) * | 2006-09-09 | 2008-03-12 | 华为技术有限公司 | 一种通用引导架构推送的方法 |
CN101218800A (zh) * | 2005-07-07 | 2008-07-09 | 艾利森电话股份有限公司 | 用于鉴权和隐私的方法与布置 |
CN101378313A (zh) * | 2007-08-31 | 2009-03-04 | 上海华为技术有限公司 | 建立安全关联的方法、用户设备和网络侧设备 |
CN101990771A (zh) * | 2008-04-09 | 2011-03-23 | 诺基亚西门子通信公司 | 服务报告 |
CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
CN104145465A (zh) * | 2012-02-02 | 2014-11-12 | 诺基亚通信公司 | 机器类型通信中基于群组的自举 |
CN104756458A (zh) * | 2012-10-29 | 2015-07-01 | 瑞典爱立信有限公司 | 用于保护通信网络中的连接的方法和设备 |
US20160294819A1 (en) * | 2013-11-15 | 2016-10-06 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and devices for bootstrapping of resource constrained devices |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100581104C (zh) * | 2005-01-07 | 2010-01-13 | 华为技术有限公司 | 一种在ip多媒体业务子***网络中协商密钥的方法 |
CN101047505A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 一种网络应用push业务中建立安全连接的方法及*** |
US11252572B2 (en) * | 2016-05-26 | 2022-02-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Network application function registration |
-
2018
- 2018-08-09 CN CN201810908310.1A patent/CN110830240B/zh active Active
-
2019
- 2019-06-21 TW TW108121638A patent/TWI801615B/zh active
- 2019-08-01 WO PCT/CN2019/098821 patent/WO2020029859A1/zh active Application Filing
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101218800A (zh) * | 2005-07-07 | 2008-07-09 | 艾利森电话股份有限公司 | 用于鉴权和隐私的方法与布置 |
CN101087261A (zh) * | 2006-06-05 | 2007-12-12 | 华为技术有限公司 | 基于通用引导构架实现推送功能的方法、设备和*** |
CN101141792A (zh) * | 2006-09-09 | 2008-03-12 | 华为技术有限公司 | 一种通用引导架构推送的方法 |
CN101378313A (zh) * | 2007-08-31 | 2009-03-04 | 上海华为技术有限公司 | 建立安全关联的方法、用户设备和网络侧设备 |
CN101990771A (zh) * | 2008-04-09 | 2011-03-23 | 诺基亚西门子通信公司 | 服务报告 |
CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
CN104145465A (zh) * | 2012-02-02 | 2014-11-12 | 诺基亚通信公司 | 机器类型通信中基于群组的自举 |
CN104756458A (zh) * | 2012-10-29 | 2015-07-01 | 瑞典爱立信有限公司 | 用于保护通信网络中的连接的方法和设备 |
US20160294819A1 (en) * | 2013-11-15 | 2016-10-06 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and devices for bootstrapping of resource constrained devices |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113518348A (zh) * | 2020-06-30 | 2021-10-19 | ***通信有限公司研究院 | 业务处理方法、装置、***及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
TW202010287A (zh) | 2020-03-01 |
TWI801615B (zh) | 2023-05-11 |
WO2020029859A1 (zh) | 2020-02-13 |
CN110830240B (zh) | 2023-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
US11240218B2 (en) | Key distribution and authentication method and system, and apparatus | |
EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
JP7014806B2 (ja) | デジタル証明書管理方法及び装置 | |
WO2017114123A1 (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
US10009760B2 (en) | Providing network credentials | |
JP7292263B2 (ja) | デジタル証明書を管理するための方法および装置 | |
CN108353279B (zh) | 一种认证方法和认证*** | |
CN107196919B (zh) | 一种匹配数据的方法和装置 | |
CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
WO2008006312A1 (en) | A realizing method for push service of gaa and a device | |
CN113497778A (zh) | 一种数据的传输方法和装置 | |
CN101500008A (zh) | 用于加入用户域的方法和用于在用户域中交换信息的方法 | |
US11652646B2 (en) | System and a method for securing and distributing keys in a 3GPP system | |
CN110830240B (zh) | 一种终端与服务器的通信方法和装置 | |
CN113163399B (zh) | 一种终端与服务器的通信方法和装置 | |
CN114553426B (zh) | 签名验证方法、密钥管理平台、安全终端及电子设备 | |
CN108933758B (zh) | 可分享云存储加解密方法、装置和*** | |
CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
CN109155913B (zh) | 网络连接方法、安全节点的确定方法及装置 | |
CN117914477A (zh) | 一种数据处理方法、装置及设备 | |
CN114765540A (zh) | 量子密码网络扩展设备的密钥分发和使用方法 | |
KR20080036731A (ko) | 이동통신망의 애플리케이션 실행을 위한 부트스트랩 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40024334 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |