CN114338065A - 安全通讯方法、装置、服务器及存储介质 - Google Patents
安全通讯方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN114338065A CN114338065A CN202011060319.5A CN202011060319A CN114338065A CN 114338065 A CN114338065 A CN 114338065A CN 202011060319 A CN202011060319 A CN 202011060319A CN 114338065 A CN114338065 A CN 114338065A
- Authority
- CN
- China
- Prior art keywords
- terminal
- service request
- establishing
- key
- communication method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 69
- 238000004891 communication Methods 0.000 title claims abstract description 68
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000006870 function Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 4
- 239000000126 substance Substances 0.000 claims 1
- 230000002452 interceptive effect Effects 0.000 abstract 1
- 230000003993 interaction Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000002457 bidirectional effect Effects 0.000 description 7
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000009795 derivation Methods 0.000 description 5
- 239000013598 vector Substances 0.000 description 4
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004846 x-ray emission Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及通信技术领域,公开了一种安全通讯方法、装置、服务器及存储介质。本发明中,安全通讯方法包括:获取终端提交的业务请求,对终端进行认证;在认证成功后,在业务请求中添加用于建立安全通道的标识字段;将业务请求转发至应用服务器供所述应用服务器与终端建立安全通道。通过上述技术手段,实现了终端与应用服务器之间的安全通讯,使得终端与应用服务器之间的交互数据得到保护,降低了用户和服务器受到网络攻击的风险。
Description
技术领域
本申请实施例涉及通信技术领域,特别涉及一种安全通讯方法、装置、服务器及存储介质。
背景技术
随着5G时代的来临,由于5G网络具备高带宽和低时延的特点,在垂直行业的应用中,比如物联网、电网、交通基础设施等得到了很大的发展机会。
然而,目前的行业应用越来越容易受到恶意攻击,传统上用于攻击的漏洞、工具与手段都能够直接作用于垂直行业的实体并产生威胁。即,在目前的相关技术中,无法保证在垂直行业应用进行通讯的实体,比如终端与服务器之间的通讯安全,致使垂直行业用户需要面对这些安全风险。
发明内容
本申请实施例的主要目的在于提出一种安全通讯方法,建立安全通道来对终端与应用服务器之间的通讯进行保护,提高通讯过程的安全性。
为实现上述目的,本申请实施例提供了一种安全通讯方法,包括:获取终端提交的业务请求,对终端进行认证;在认证成功后,在业务请求中添加用于建立安全通道的标识字段;将业务请求转发至应用服务器供所述应用服务器与终端建立安全通道。
为实现上述目的,本申请实施例还提供了一种安全通讯方法,包括:接收认证代理功能网元转发的由终端发起的业务请求;其中,业务请求中携带用于建立安全通道的标识字段;根据业务请求中携带的标识字段与终端建立安全通道。
为实现上述目的,本申请实施例还提供了一种安全通讯装置,包括:终端认证模块,用于获取终端提交的业务请求,对终端进行认证;字段添加模块,用于在认证成功后,在业务请求中添加用于建立安全通道的标识字段;请求转发模块,用于将业务请求转发至应用服务器供应用服务器与终端建立安全通道。
为实现上述目的,本申请实施例还提供了一种安全通讯装置,包括:请求接收模块,用于获取认证代理功能网元转发的由终端发起的业务请求;其中,业务请求中携带用于建立安全通道的标识字段;通道建立模块,根据业务请求中携带的标识字段与终端建立安全通道。
为实现上述目的,本申请实施例还提供了一种服务器,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述的安全通讯方法。
为实现上述目的,本申请实施例还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述的安全通讯方法。
本申请提出的安全通讯方法,认证代理功能网元在对终端提交的业务请求进行认证后,在转发至应用服务器的业务请求中添加用于建立安全通道的标识字段,使得应用服务器能够根据标识字段中携带的信息与终端之间建立安全通道,在与终端的通讯中对数据进行保护,保证了终端与服务器之间通讯的安全性。
附图说明
图1是根据本发明第一实施例中安全通讯方法的流程图;
图2是根据本发明第一实施例中GBA架构的结构示意图;
图3是根据本发明第一实施例中GBA架构的交互流程图;
图4是根据本发明第二实施例中安全通讯方法的流程图;
图5是根据本发明第二实施例中安全通讯方法的交互流程图;
图6是根据本发明第三实施例中安全通讯方法的交互流程图;
图7是根据本发明第四实施例中安全通讯方法的流程图;
图8是根据本发明第五实施例中安全通讯方法的交互流程图;
图9是根据本发明第六实施例中安全通讯装置的结构示意图;
图10是根据本发明第七实施例中安全通讯装置的结构示意图;
图11是根据本发明第八实施例中电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的各实施例进行详细的阐述。然而,本领域的普通技术人员可以理解,在本申请各实施例中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施例的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本申请的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
本发明的第一实施例涉及一种安全通讯方法,包括:获取终端提交的业务请求,对终端进行认证;在认证成功后,在业务请求中添加用于建立安全通道的标识字段;将业务请求转发至应用服务器供应用服务器与终端建立安全通道。本实施例的执行主体为通用引导认证 GBA架构中,部署在用户终端设备与应用服务器之间的认证代理功能网元AP/NAF。
下面结合附图对本实施例作进一步阐述,本实施例中的安全通讯方法如图1所示,包括:
步骤101,获取终端提交的业务请求,对终端进行认证。
具体地说,本实施例中的通过GBA来进行用户终端设备UE进行认证,GBA的具体结构如图2所示,该架构中包括以下部分:
引导服务功能BSF网元,BSF处于用户的归属网络中,通过Zh接口从归属用户服务器 (UDM/HSS)获得GBA的用户安全设置和AKA认证向量,并完成对用户终端设备UE的认证,并生成共享密钥Ks。其中,认证向量包括AKA鉴权的五元组向量RAND、AUTN、XRES、 CK、IK。
认证代理功能AP/NAF网元,该网元一般部署在用户终端设备UE与应用服务器AS之间。AP/NAF完成对UE的认证,然后将UE的业务请求转发至AS进行处理。
用户终端设备UE,即本实施例中提到的终端,支持密钥协商AKA/摘要认证HTTPDigest 协议,能够与引导服务功能双向认证产生Ks,进而根据Ks,产生衍生密钥Ks_NAF/Ks_int_NAF,该衍生密钥则用于UE和NAF/AP之间所进行的双向认证。
应用服务器AS,AS支持与AP/NAF交互,能够对AP/NAF所转发的业务请求进行响应,并为UE提供应用服务。
进一步地,对UE的认证流程如图3所示,包括:
步骤301,用户通过终端发起业务请求。
具体地说,这里的业务请求除了可以是UE和基本补充业务服务器(MMTelAS)之间进行补充业务的激活、去激活,例如前转类、限制类、显示类业务设置操作的请求外,还可以是物联网IOT的相关应用或者V2X应用等业务请求。
步骤302,NAF/AP向终端发送业务鉴权请求,在业务鉴权请求消息里表明网络侧支持的 GBA认证方法,即GBA-ME或者GBA-U。
步骤303,NAF/AP需要对终端进行鉴权,回复挑战信息,指示UE进行GBA鉴权。
步骤304,UE向BSF发起引导请求,其Authorization认证参数中的username用户名参数携带用户标识。
步骤305,BSF发送MAR消息,用于从HSS取用户的AV(鉴权向量)及GUSS(用户权限信息)。
步骤306,HSS根据签约信息生成鉴权信息。
步骤307,HSS在MAA消息中,发送用户的AV与GUSS给BSF。
步骤308,BSF发送挑战消息给UE,携带AKA鉴权的相关参数,如随机数RAND,鉴证令牌AUTN等。
步骤309,UE计算出相应结果,再发起挑战响应,协带相关参数。
步骤310,BSF对终端进行鉴权,BSF鉴权通过后,生成终端用户的临时标识B-TID,回送200OK给UE,携带B-TID及B-TID的生命周期lifetime。
步骤311,终端根据从BSF获取的B-TID信息,发送业务请求消息到NAF/AP。
步骤312,NAF/AP携带B-TID以及NAF-ID等信息向BSF获取密钥信息。
步骤313,NAF/AP对终端进行鉴权。
通过以上步骤,GBA完成对终端的认证。
步骤102,在认证成功后,在业务请求中添加用于建立安全通道的标识字段。
具体地说,在完成对终端的认证后,AP/NAF在转发至应用服务器的业务请求中添加标识字段,标识字段中携带有供应用服务器与终端建立安全通道的信息。这一信息可以是UE 与AP/NAF之间进行双向认证所需的Ks_NAF/Ks_int_NAF,也能够是根据 Ks_NAF/Ks_int_NAF衍生得到的密钥,此外,标识字段中携带的信息还能够是发起业务请求的终端的终端用户的临时标识B-TID,用于供应用服务器向AP/NAF请求第一衍生密钥。此外,Ks_NAF/Ks_int_NAF生成的基础是BSF对终端进行认证后得到的共享密钥Ks,因此终端能够根据Ks推导出业务请求中携带的标识字段。
步骤103,将业务请求转发至应用服务器,供应用服务器与终端建立安全通道。
具体地说,在业务请求转发至应用服务器后,应用服务器根据其中携带的标识字段,与终端建立用于对通讯进行保护的安全通道,从而实现了终端与应用服务器之间的安全通讯。
需要说明的是,本实施例中的上述各示例均为方便理解进行的举例说明,并不对本发明的技术方案构成限定。
相较于本领域的相关技术,本实施例中的安全通讯方法实现了终端与应用服务器之间直接建立安全通道的目的,对终端与应用服务器之间传输的数据进行加密和解密,从而提高了终端与应用服务器之间通讯的安全性。
本发明的第二实施例涉及一种安全通讯方法,第二实施例与第一实施例大致相同,主要的区别在于:在第二实施例中,AP/NAF在转发至应用服务器的业务请求中,添加的标识字段为根据共享密钥Ks衍生得到的Ks_NAF或者Ks_int_NAF。
下面结合附图对本实施例作进一步阐述,本实施例中的安全通讯方法如图4所示,包括:
步骤401,获取终端提交的业务请求,对终端进行认证。
步骤402,在认证成功后,在业务请求中添加用于建立安全通道的标识字段。
具体地说,本实施例中的终端在进行BSF的双向认证时,将生成共享密钥Ks,同时为了保证终端与AP/NAF之间通讯的安全性,进一步地衍生出第一衍生密钥,即 Ks_NAF/Ks_int_NAF密钥,用于终端和NAF/AP之间所进行的双向认证。
步骤403,将业务请求转发至应用服务器供应用服务器与终端建立安全通道。
具体地说,本实施例中应用服务器优先根据业务请求中的Ks_NAF/Ks_int_NAF密钥与终端建立安全通道,通常不会再向AP/NAF请求第一或第二衍生密钥。
在实际的应用中,本实施例中基于GBA架构的安全通讯方法中,各个部分的交互关系如图5所示,包括:
步骤501,终端向AP/NAF发起业务请求。
步骤502,AP/NAF在接收到终端发送的业务请求后与AS建立安全传输层协议TLS连接。
步骤503,向业务请求中添加Ks_NAF/Ks_int_NAF密钥后,将业务请求转发至AS。
步骤504,AS对业务请求进行响应。
步骤505,AP/NAF将AS对业务请求的响应转发给终端。
步骤506,AS与终端采用相同的密钥建立安全通道。
相较于本领域的相关技术,本实施例中的安全通讯方法实现了终端与应用服务器之间直接建立安全通道的目的,对终端与应用服务器之间传输的数据进行保护,从而提高了终端与应用服务器之间通讯的安全性。
本发明的第三实施例涉及一种安全通讯方法,第三实施例与第一实施例大致相同,主要的区别在于:第三实施例中标识字段中携带的信息为第二衍生密钥,其中,第二衍生密钥由第一衍生密钥衍生得到。
具体地说,在本实施例中,AP/NAF与终端双向认证完成后,基于用于双向认证的第一衍生密钥Ks_NAF/Ks_int_NAF,采用密钥派生函数KDF基于衍生出第二衍生密钥。此外,还可以根据第一衍生密钥进行多次衍生,得到多个第二衍生密钥,多个第二衍生密钥分别对终端与AS之间的不同层面的数据交互进行加密。将第二衍生密钥添加到转发至应用服务器的业务请求中,供应用服务器与终端采用相同的第二衍生密钥建立安全通道。
在实际的应用中,本实施例中基于GBA架构的安全通讯方法中,各个部分的交互关系如图6所示,包括:
步骤601,终端向AP/NAF发起业务请求。
步骤602,AP/NAF在接收到终端发送的业务请求后,根据Ks_NAF/Ks_int_NAF密钥再次衍生生成第二衍生密钥。
步骤603,与AS建立安全传输层协议TLS连接。
步骤604,AP/NAF在业务请求中添加第二衍生密钥后,将业务请求转发至AS。
步骤605,AS对业务请求进行响应。
步骤606,AP/NAF将AS对业务请求的响应转发给终端。
步骤607,AS与终端建立安全通道。
相较于本领域的相关技术,本实施例中,基于第一衍生密钥Ks_NAF/Ks_int_NAF再次衍生得到第二衍生密钥,即使在受到恶意攻击导致第一衍生密钥泄露时,也能够保证第二衍生密钥未泄露,终端与应用服务器之间通过第二衍生密钥建立的安全通道依然能够保证安全性。
本发明的第四实施例涉及一种安全通讯方法,包括:接收认证代理功能网元转发的由终端发起的业务请求;其中,业务请求中携带用于建立安全通道的标识字段;根据业务请求中携带的标识字段与终端建立安全通道。本实施例的执行主体为应用服务器。
下面结合附图对本实施例作进一步阐述,本实施例中的安全通讯方法如图7所示,包括:
步骤701,接收认证代理功能网元转发的由终端发起的业务请求。
具体地说,业务请求中携带了用于建立安全通道的标识字段。标识字段中携带的信息为以下其中之一:第一衍生密钥Ks_NAF/Ks_int_NAF、基于第一衍生密钥再次衍生得到的第二衍生密钥、B-TID。
步骤702,根据业务请求中携带的标识字段与终端建立安全通道。
具体地说,应用服务器在接收到业务请求后,应用服务器根据其中携带的标识字段,与终端建立对通讯进行保护的安全通道,从而实现了终端与应用服务器之间的安全通讯。
在一个例子中,当应用服务器接收到的业务请求中携带的标识字段中的信息为第一衍生密钥Ks_NAF/Ks_int_NAF或基于第一衍生密钥再次衍生得到的第二衍生密钥,则根据第一衍生密钥或第二衍生密钥直接与终端建立安全通道。
可以发现,本实施例是与第一实施例对应的,应用于应用服务器的安全通讯方法实施例,本实施例可与第一实施例互相配合实施。第一实施例中提到的相关技术细节在本实施例中依然有效,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在第一实施例中。
本发明的第五实施例涉及一种安全通讯方法,第五实施例与第四实施例大致相同,主要的区别在于:本实施例中,当应用服务器接收端到的业务请求中携带的是B-TID时,应用服务器根据B-TID向AP/NAF发送请求查询对应的密钥。然后根据查询到的密钥与终端建立安全通道。
具体地说,B-TID是用于区分终端的用户标识,应用服务器将B-TID发送至AP/NAF后, AP/NAF将与B-TID对应的密钥同时发送给应用服务器和终端,然后应用服务器和终端采用相同的密钥建立安全通道。
在一个例子中,若应用服务器请求查询得到的密钥为第一衍生密钥,可以根据第一衍生密钥直接与终端建立安全通道。也可以根据第一衍生密钥采用KDF算法继续生成第二衍生密钥,并根据第二衍生密钥与终端建立安全通道。
在实际的应用中,本实施例中基于GBA架构的安全通讯方法中,各个部分的交互关系如图8所示,包括:
步骤801,终端向AP/NAF发起业务请求。
步骤802,AP/NAF在接收到终端发送的业务请求后与AS建立安全传输层协议TLS连接。
步骤803,AP/NAF在业务请求中添加B-TID后,将业务请求转发至AS。
步骤804,AS向AP/NAF查询密钥。
步骤805,AP/NAF返回对应的密钥。
步骤806,AS与终端建立安全通道。
相较于本领域的相关技术,本实施例中,基于第一衍生密钥Ks_NAF/Ks_int_NAF再次衍生得到第二衍生密钥,即使在受到恶意攻击导致第一衍生密钥泄露时,也能够保证第二衍生密钥未泄露,终端与应用服务器之间通过第二衍生密钥建立的安全通道依然能够保证安全性。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明的第六实施例涉及一种安全通讯装置,如图9所示,包括:
终端认证模块901,用于获取终端提交的业务请求,对终端进行认证;
字段添加模块902,用于在认证成功后,在业务请求中添加用于建立安全通道的标识字段;
请求转发模块903,用于将业务请求转发至应用服务器供应用服务器与终端建立安全通道。
在一个例子中,请求转发模块903还用于在将业务请求转发至应用服务器之后,向应用服务器发送用于建立安全通道的衍生密钥。
在另一个例子中,标识字段可以为衍生密钥。衍生密钥是根据共享密钥Ks采用KDF算法衍生得到的第一衍生密钥密钥Ks_NAF/Ks_int_NAF,或,根据Ks_NAF/Ks_int_NAF进一步衍生得到的第二衍生密钥。
不难发现,本实施例为与第一、第二、第三实施例相对应的虚拟装置实施例,本实施例可与第一、第二、第三实施例互相配合实施。第一、第二、第三实施例中提到的相关技术细节在本实施例中依然有效,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在第一、第二、第三实施例中。
本发明的第七实施例涉及一种安全通讯装置,如图10所示,包括:
请求接收模块1001,用于获取认证代理功能网元转发的由终端发起的业务请求;其中,业务请求中携带用于建立安全通道的标识字段;
通道建立模块1002,根据业务请求中携带的标识字段与终端建立安全通道。
在一个例子中,通道建立模块1002还用于根据用户标识向认证代理功能网元请求与终端对应的衍生密钥;基于从认证代理功能网元获取的衍生密钥与终端建立安全通道。
在另一个例子中,通道建立模块1002还用于基于衍生算法根据第一衍生密钥生成第二衍生密钥;根据第二衍生密钥与终端建立安全通道。
不难发现,本实施例为与第四、第五实施例相对应的虚拟装置实施例,本实施例可与第四、第五实施例互相配合实施。第四、第五实施例中提到的相关技术细节在本实施例中依然有效,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在第四、第五实施例中。
值得一提的是,第六、第七实施例中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,第六、第七实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明第六、第七实施例中不存在其它的单元。
本发明的第八实施例涉及一种电子设备,如图11所示,包括:至少一个处理器1101;以及,与至少一个处理器1101通信连接的存储器1102;其中,存储器1102存储有可被至少一个处理器1101执行的指令,指令被至少一个处理器1101执行,以使至少一个处理器1101 能够执行第一、第二、第三、第四、第五实施例中的安全通讯方法。其中,存储器1102和处理器1101采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器1101和存储器1102的各种电路连接在一起。总线还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器1101处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器1101。处理器1101负责管理总线和通常的处理,还可以提供各种功能,包括定时,***接口,电压调节、电源管理以及其他控制功能。而存储器1102可以被用于存储处理器1101在执行操作时所使用的数据。
本发明第九实施例涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。本领域的普通技术人员可以理解,上述各实施例是实现本发明的具体实施例,而在实际10应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (12)
1.一种安全通讯方法,应用于认证代理功能网元,其特征在于,包括:
获取终端提交的业务请求,对所述终端进行认证;
在认证成功后,在所述业务请求中添加用于建立安全通道的标识字段;
将所述业务请求转发至应用服务器供所述应用服务器与所述终端建立安全通道。
2.根据权利要求1所述的安全通讯方法,其特征在于,所述标识字段为用户标识;
在所述将所述业务请求转发至应用服务器之后,还包括:
响应于所述应用服务器的密钥请求,向所述应用服务器发送用于建立安全通道的衍生密钥。
3.根据权利要求1所述的安全通讯方法,其特征在于,所述标识字段为衍生密钥。
4.根据权利要求2或3所述的安全通讯方法,其特征在于,
所述衍生密钥包括:基于共享密钥生成的第一衍生密钥或由所述第一衍生密钥衍生成的第二衍生密钥。
5.一种安全通讯方法,应用于应用服务器AS,其特征在于,包括:
接收认证代理功能网元转发的由终端发起的业务请求;其中,所述业务请求中携带用于建立安全通道的标识字段;
根据所述业务请求中携带的所述标识字段与所述终端建立安全通道。
6.根据权利要求5所述的安全通讯方法,其特征在于,所述标识字段为用户标识;
所述根据所述业务请求中携带的所述标识字段与所述终端建立安全通道,包括:
根据所述用户标识向所述认证代理功能网元请求与所述终端对应的衍生密钥;
基于从所述认证代理功能网元获取的所述衍生密钥与所述终端建立安全通道。
7.根据权利要求5所述的安全通讯方法,其特征在于,所述标识字段包括:基于共享密钥生成的第一衍生密钥或由所述第一衍生密钥衍生成的第二衍生密钥。
8.根据权利要求7所述的安全通讯方法,其特征在于,所述衍生密钥为第一衍生密钥;
所述根据所述业务请求中携带的标识字段与所述终端建立安全通道,包括:
基于衍生算法根据所述第一衍生密钥生成所述第二衍生密钥;
根据所述第二衍生密钥与所述终端建立安全通道。
9.一种安全通讯装置,其特征在于,包括:
终端认证模块,用于获取终端提交的业务请求,对所述终端进行认证;
字段添加模块,用于在认证成功后,在所述业务请求中添加用于建立安全通道的标识字段;
请求转发模块,用于将所述业务请求转发至应用服务器供所述应用服务器与所述终端建立安全通道。
10.一种安全通讯装置,其特征在于,包括:
请求接收模块,用于获取认证代理功能网元转发的由终端发起的业务请求;其中,所述业务请求中携带用于建立安全通道的标识字段;
通道建立模块,根据所述业务请求中携带的所述标识字段与所述终端建立安全通道。
11.一种服务器,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至4中任一项所述的安全通讯方法,或,执行如权利要求5至8中任一项所述安全通讯方法。
12.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的安全通讯方法,或,实现如权利要求5至8中任一项所述安全通讯方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011060319.5A CN114338065A (zh) | 2020-09-30 | 2020-09-30 | 安全通讯方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011060319.5A CN114338065A (zh) | 2020-09-30 | 2020-09-30 | 安全通讯方法、装置、服务器及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114338065A true CN114338065A (zh) | 2022-04-12 |
Family
ID=81010871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011060319.5A Pending CN114338065A (zh) | 2020-09-30 | 2020-09-30 | 安全通讯方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338065A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642079A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种网络应用实体获取用户身份标识信息的方法 |
| US20120204231A1 (en) * | 2009-10-19 | 2012-08-09 | Nokia Corporation | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service |
| CN103051594A (zh) * | 2011-10-13 | 2013-04-17 | 中兴通讯股份有限公司 | 一种标识网端到端安全建立的方法、网络侧设备及*** |
| CN109905350A (zh) * | 2017-12-08 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 一种数据传输方法及*** |
-
2020
- 2020-09-30 CN CN202011060319.5A patent/CN114338065A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642079A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种网络应用实体获取用户身份标识信息的方法 |
| US20120204231A1 (en) * | 2009-10-19 | 2012-08-09 | Nokia Corporation | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service |
| CN103051594A (zh) * | 2011-10-13 | 2013-04-17 | 中兴通讯股份有限公司 | 一种标识网端到端安全建立的方法、网络侧设备及*** |
| CN109905350A (zh) * | 2017-12-08 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 一种数据传输方法及*** |
Non-Patent Citations (1)
| Title |
|---|
| 任亚梅;李炜;: "基于GBA的认证鉴权流程", 计算机***应用, no. 02, 15 February 2011 (2011-02-15) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2522100B1 (en) | Secure multi-uim authentication and key exchange | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| US20190068591A1 (en) | Key Distribution And Authentication Method And System, And Apparatus | |
| CN111147231B (zh) | 一种密钥协商的方法、相关装置及*** | |
| CN107005927B (zh) | 用户设备ue的接入方法、设备及*** | |
| EP3700124B1 (en) | Security authentication method, configuration method, and related device | |
| KR20190099066A (ko) | 디지털 인증서 관리 방법 및 장치 | |
| CN105471974A (zh) | 实现远程控制的智能设备、终端设备及方法 | |
| CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及*** | |
| CN109314693B (zh) | 验证密钥请求方的方法和设备 | |
| WO2022100356A1 (zh) | 身份认证***、方法、装置、设备及计算机可读存储介质 | |
| CN109995739B (zh) | 一种信息传输方法、客户端、服务器及存储介质 | |
| US20210165885A1 (en) | Extended Authentication Method And Apparatus For Generic Bootstrapping Architecture, And Storage Medium | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| WO2022041151A1 (zh) | 设备验证方法、设备和云端 | |
| CN111132143B (zh) | 一体化多媒体智能设备安全保护***及方法 | |
| US8666073B2 (en) | Safe handover method and system | |
| CN112637169B (zh) | 一种无源nfc云锁加密方法 | |
| CN111541642B (zh) | 基于动态秘钥的蓝牙加密通信方法和装置 | |
| CN114338065A (zh) | 安全通讯方法、装置、服务器及存储介质 | |
| WO2023011702A1 (en) | Establishment of forward secrecy during digest authentication | |
| CN116438822A (zh) | 应用于WiFi的安全认证的方法和装置 | |
| CN113132338A (zh) | 一种认证处理方法、装置及设备 | |
| WO2022262962A1 (en) | Digest access authentication for a client device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |