一种信息传输的方法和设备与流程

本发明涉及通信技术领域，特别涉及一种信息传输的方法和设备。

背景技术：

认证协议是一种用于实时验证通信实体身份真实性的密码学协议，它除了身份认证外常附带有会话密钥建立的功能，由此也常称为认证密钥建立协议。

eap-aka'(扩展认证密钥协商协议)作为5g网中对3gpp(第三代合作伙伴计划)用户和非3gpp用户接入网络的认证协议，对网络对用户认证的终结点是在归属网络的ausf(authenticationserverfunction,认证服务器功能)。eap-aka'在进行认证过程中，ue(终端)和ausf先进行双向认证，ausf在完成了对ue的认证后，ausf把会话根密钥msk发给漫游网络的seaf(securityanchorfunction，安全锚点功能)，完成对会话根密钥的传输。

eap-aka'在进行传输的过程中是将ausf与seaf之间的链路假定为安全的，但根据一些其他链路遭受到的攻击情况，ausf与seaf之间的链路并非是安全的，通过ausf与seaf之间的链路攻击者可能会通过取得会话根密钥msk监听漫游网络通信，获取通信内容。

综上所述，现有技术中在对会话根密钥进行传输的方式存在安全隐患

技术实现要素：

本发明提供特别涉及一种根密钥传输的方法和设备，用以解决现有技术中存在对会话根密钥进行传输的方式存在安全隐患问题。

本发明实施例提供一种信息传输的方法，包括：

ausf在收到seaf的终端验证成功消息后，确定加密会话根密钥，其中所述加密会话根密钥是根据网络信息对会话根密钥进行加密后得到的；

所述ausf将所述加密会话根密钥和eap(extensibleauthenticationprotocol,可扩展性认证协议)成功信息一起发送给seaf。

本发明实施例提供一种信息传输的方法，包括：

seaf在对终端验证成功后，向ausf发送终端验证成功消息；

所述seaf在接收到所述ausf发送的加密会话根密钥和eap成功信息后，向所述终端发送所述eap成功信息，其中所述加密会话根密钥是根据网络信息进行加密后得到的；

所述seaf根据收到的来自所述终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥，其中所述解密信息是根据网络信息进行加密后得到的。

本发明实施例提供一种信息传输的方法，包括：

终端接收seaf发送的eap成功信息；

所述终端向所述seaf发送根据网络信息进行加密后得到的解密信息，以使所述seaf根据所述解密信息对收到的来自ausf的加密会话根密钥进行解密。

本发明实施例提供一种信息传输的方法，包括：

arpf(authenticationcredentialrepositoryandprocessingfunction，认证凭证存储和处理功能)在收到来自ausf的认证矢量请求消息后，根据网络信息生成加密信息；

所述arpf将所述加密信息发送给ausf，以使所述ausf根据所述加密信息对会话根密钥进行加密后发送给seaf。

本发明实施例提供一种进行信息传输的设备，包括：至少一个处理单元、以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

在收到seaf的终端验证成功消息后，确定加密会话根密钥，其中所述加密会话根密钥是根据网络信息进行加密后得到的；

将所述加密会话根密钥和eap成功信息一起发送给seaf。

本发明实施例提供一种进行信息传输的设备，包括：至少一个处理单元、以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

seaf在对终端验证成功后，向ausf发送终端验证成功消息；

在接收到所述ausf发送的加密会话根密钥和eap成功信息后，向所述终端发送所述eap成功信息，其中所述加密会话根密钥是根据网络信息进行加密后得到的；

根据收到的来自所述终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥，其中所述解密信息是根据网络信息进行加密后得到的。

本发明实施例提供一种进行信息传输的设备，包括：至少一个处理单元、以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

接收seaf发送的eap成功信息；并向所述seaf发送根据网络信息进行加密后得到的解密信息，以使所述seaf根据所述解密信息对收到的来自ausf的加密会话根密钥进行解密。

本发明实施例提供一种进行信息传输的设备，包括：至少一个处理单元、以及至少一个存储单元，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

在收到来自ausf的认证矢量请求消息后，根据网络信息生成加密信息，并将所述加密信息发送给ausf，以使所述ausf根据所述加密信息对会话根密钥进行加密后发送给seaf。

本发明实施例提供一种进行信息传输的设备，包括：

第一接收模块，用于收到seaf的终端验证成功消息；

第一执行模块，用于确定加密会话根密钥；

第一发送模块，用于将所述加密会话根密钥和eap成功信息一起发送给seaf。

本发明实施例提供一种进行信息传输的设备，包括：

第二接收模块，用于接收到所述ausf发送的加密会话根密钥和eap成功信息；

第二执行模块，用于根据收到的来自所述终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥，其中所述解密信息是根据网络信息进行加密后得到的；

第二发送模块，用于向所述终端发送所述eap成功信息。

本发明实施例提供一种进行信息传输的设备，包括：

第三接收模块，用于接收seaf发送的eap成功信息；

第三执行模块，用于根据网络信息进行加密后得到的解密信息；

第三发送模块，用于向seaf发送根据网络信息进行加密后得到的解密信息。

本发明实施例提供一种进行信息传输的设备，包括：

第四接收模块，用于接收来自ausf的认证矢量请求消息；

第四执行模块，用于根据网络信息生成加密信息；

第四发送模块，用于向ausf发送根据网络信息生成的加密信息。

本发明实施例提供一种进行信息传输方法和设备，在进行会话根密钥传输时，ausf在接收到终端验证成功消息后会确定加密会话根密钥，并将加密会话根密钥返回给seaf，由seaf进行解密得到会话根密钥。由于本发明实施例ausf在接收到验证消息后产生加密会话根密钥，并将加密会话根密钥返回给seaf，由seaf进行解密得到会话根密钥，从而增加了会话根密钥进行传输时的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例系统的结构示意图；

图2为本发明实例第一种进行信息传输的设备的结构图；

图3为本发明实例第二种进行信息传输的设备的结构图；

图4为本发明实例第三种进行信息传输的设备的结构图；

图5为本发明实例第四种进行信息传输的设备的结构图

图6为本发明实例的第一种的设备结构示意图；

图7为本发明实例的第二种的设备结构示意图；

图8为本发明实例的第三种的设备结构示意图；

图9为本发明实例的第四种的设备结构示意图；

图10为本发明实施例信息传输的方法的流程示意图；

图11为本发明实施例信息传输的方法的流程示意图；

图12为本发明实施例信息传输的方法的流程示意图；

图13为本发明实施例信息传输的方法的流程示意图；

图14为本发明实施例第一种信息传输的完整方法流程示意图；

图15为本发明实施例第二种信息传输的完整方法流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所述，本发明实施例进行根密钥传输的系统包括：ausf10、seaf20和终端30。

ausf10，用于在收到seaf的终端验证成功消息后，确定加密会话根密钥，其中所述加密会话根密钥是根据网络信息对会话根密钥进行加密后得到的；将所述加密会话根密钥和eap成功信息一起发送给seaf。

seaf20，用于在对终端验证成功之后，向ausf发送终端验证成功消息；在接收到ausf发送的加密会话根密钥和eap成功信息后，向所述终端发送所述eap成功信息；并根据收到的来自所述终端根据网络信息进行加密的解密信息和加密会话根密钥，进行解密得到会话根密钥。

终端30，用于接收seaf发送的eap成功信息；并向所述seaf发送根据网络信息进行加密后得到的解密信息，以使所述seaf根据所述解密信息对收到的来自ausf的加密会话根密钥进行解密。

本发明实施例在进行会话根密钥传输时，ausf在接收到终端验证成功消息后会确定加密会话根密钥，并将加密会话根密钥返回给seaf，由seaf进行解密得到会话根密钥。由于本发明实施例ausf在接收到验证消息后产生加密会话根密钥，并将加密会话根密钥返回给seaf，由seaf进行解密得到会话根密钥，从而增加了会话根密钥进行传输时的安全性。

其中，本发明实施例ausf根据网络信息对会话根密钥进行加密后得到加密会话根密钥。在实施中，ausf可以在收到来自arpf的认证矢量响应消息后得到加密会话根密钥，也可以在收到seaf的终端验证成功消息后得到加密会话根密钥，也可以在需要发送加密会话根密钥之前的任何时候得到加密会话根密钥。

可选的，本发明实施例ausf根据网络信息对会话根密钥进行加密后得到加密会话根密钥的方式有很多，下面列举一种。需要说明的是，下面的方式只是举例说明，任何能够对会话根密钥进行加密后得到加密会话根密钥的方式都适用本发明实施例。

ausf对加密信息和会话根密钥进行异或运算得到加密会话根密钥。

一种可行的表达为：

msk*＝msk⊕mask。

其中，⊕表示异或；msk表示会话根密钥；msk*表示加密会话根密钥；mask(掩盖值)表示加密信息。

其中，所述的加密信息具有两种生成方式：

生成方式1、ausf对网络信息进行哈希运算得到所述加密信息。

具体的，ausf对网络信息进行哈希运算得到所述的加密信息。

其中，网络信息包括但不限于以下的部分或全部信息：

ik'，ck'，res，rand和漫游网络名。

其中，ik'是完整性检测秘钥；ck'是加密密钥；res是预期响应；rand是随机数。

如果网络信息包括ik',ck'，res，rand和漫游网络名，则一种可行的表达为：

mask＝prf(ik',ck'，res，rand，漫游网络名)，其中prf为哈希函数，可以为sha-512、sha-3-512等函数。

ausf可以在需要确定加密会话根密钥之前的任何时候确定加密信息。比如在接收到来自arpf的认证矢量响应消息后；还比如在收到seaf的终端验证成功消息后。

生成方式2、ausf接收所述arpf对网络信息进行哈希运算得到的所述加密信息。

对于生成方式2，arpf生成加密信息的方式与生成方式1中ausf生成加密信息的方式类似，在此不再赘述。

arpf在形成加密信息之后，arpf把认证矢量av和加密信息放在认证矢量响应消息av-res中，并将av-res发送给ausf。

可选的，ausf将所述加密会话根密钥和eap成功信息一起发送给seaf；

相应的，seaf在接收到ausf发送的加密会话根密钥和eap成功信息后，将eap成功信息保留，把加密会话根密钥发送给终端；

终端在收到eap成功信息后，根据网络信息生成解密信息mask*并发送给seaf；

seaf将接收到的解密信息与保留的加密会话根密钥进行异或运算，恢复会话根密钥。

一种可行的表达为：msk＝msk*⊕mask*。

其中，⊕表示异或；mask*表示解密信息。

终端生成解密信息mask*的方法与上述生成加密信息的方式类似，在此不再赘述。

为了进一步提高传输会话根密钥的可靠性，本发明实施例还提供一种对会话根密钥进行完整性验证的方案。

具体的，ausf将用于验证会话根密钥完整性的消息验证码、所述加密会话根密钥和所述eap成功信息一起发送给seaf。

可选的，所述ausf根据下列方式生成所述消息验证码：

所述ausf根据会话根密钥、所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成所述消息验证码。

一种可行的表达为：

mac*＝kdf(msk，msk*‖“eap-成功”)。

其中，‖表示连接。

其中，kdf为消息验证运算，可以根据需要进行设定，例如设为hmac。

相应的，所述seaf接收到所述ausf发送的消息验证码、加密会话根密钥和eap成功信息，把接收到的消息验证码和所述加密会话根密钥保留，将所述eap成功信息发送给终端；

相应的，终端在收到eap成功信息将根据网络信息生成的解密信息mask*并发送给seaf；

seaf将接收到的解密信息与上述中保留的加密会话根密钥进行异或运算，恢复会话根密钥。

在对会话根密钥进行完整性验证时，seaf恢复会话根密钥的方法与上文中不对会话根密钥进行完整性验证时，对seaf恢复会话根密钥的方法一样，在此不再赘述。

终端生成解密信息mask*的方法与上述生成加密信息的方式类似，在此不再赘述。

可选的，所述seaf得到会话根密钥后就可以根据所述消息验证算法对得到的会话根密钥的完整性进行验证，具体的：

所述seaf根据得到会话根密钥、收到的所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成待验证消息验证码；

所述seaf判断所述待验证消息验证码和收到的所述消息验证码是否相同，如果是，则确定验证通过，否则确定验证失败。

其中，seaf根据恢复的会话根密钥与收到的消息验证码mac*进行消息验证运算得到新的待验证消息验证码smac，一种可行的表达为：

smac＝kdf(msk，msk*‖“eap-成功”)。

其中，smac表示待验证消息验证码；kdf表示消息验证运算。

seaf将待验证消息验证码smac和收到的所述消息验证码mac*进行比对是否相同，如果相同，则确定验证通过，会话根密钥在传输过程中没有被篡改；否则确定验证失败，确定会话根密钥在传输过程中被篡改。

如图2所示，本发明实例第一种进行信息传输的设备的结构，包括：至少一个处理单元200、以及至少一个存储单元201，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

在收到seaf的终端验证成功消息后，确定加密会话根密钥，其中所述加密会话根密钥是根据网络信息进行加密后得到的；

所述ausf将所述加密会话根密钥和eap成功信息一起发送给seaf。

可选的，所述处理单元具体用于，根据下列方式生成所述加密会话根密钥：

ausf对加密信息和会话根密钥进行异或运算，得到所述加密会话根密钥。

可选的，所述处理单元还用于：

在所述ausf对网络信息进行哈希运算得到的加密信息和会话根密钥进行异或运算，得到所述加密会话根密钥之前，所述ausf对网络信息进行哈希运算得到所述加密信息；或

接收所述arpf对网络信息进行哈希运算得到的所述加密信息。

可选的，所述处理单元具体还用于：

将验证会话根密钥完整性的消息验证码、所述加密会话根密钥和所述eap成功信息一起发送给seaf。

可选的，所述处理单元用于：

根据会话根密钥、所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成所述消息验证码。

如图3所示，本发明实例第二种进行信息传输的设备的结构，包括：至少一个存储单元300、以及至少一个处理单元301，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

seaf在对终端验证成功后，向ausf发送终端验证成功消息；

在接收到所述ausf发送的加密会话根密钥和eap成功信息后，向所述终端发送所述eap成功信息，其中所述加密会话根密钥是根据网络信息进行加密后得到的；

根据收到的来自所述终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥，其中所述解密信息是根据网络信息进行加密后得到的。

可选的，所述处理单元具体用于：

对收到的来自终端的解密信息和所述加密会话根密钥进行异或运算得到会话根密钥。

可选的，所述处理单元还用于：

在向所述终端发送eap成功信息之前，接收所述ausf发送的消息验证码、加密会话根密钥和eap成功信息；

在收到的来自终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥之后，根据所述消息验证码对得到的会话根密钥的完整性进行验证。

可选的，所述处理单元用于：

根据得到的会话根密钥、收到的所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成待验证消息验证码；

判断所述待验证消息验证码和收到的所述消息验证码是否相同，如果是，则确定验证通过，否则确定验证失败。

如图4所示，本发明实例第三种进行信息传输的设备的结构，包括：至少一个存储单元400、以及至少一个处理单元401，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

接收seaf发送的eap成功信息；并向所述seaf发送根据网络信息进行加密后得到的解密信息，以使所述seaf根据所述解密信息对收到的来自ausf的加密会话根密钥进行解密。

如图5所示，本发明实例第四种进行信息传输的设备的结构，包括：至少一个存储单元500、以及至少一个处理单元501，其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行下列过程：

在收到来自ausf的认证矢量请求消息后，根据网络信息生成加密信息，并将所述加密信息发送给ausf，以使所述ausf根据所述加密信息对会话根密钥进行加密后发送给seaf。

如图6所示，本发明实例的第一种的设备，包括：

第一接收模块600，用于收到seaf的终端验证成功消息；

第一执行模块601，用于确定加密会话根密钥；

第一发送模块602，用于将所述加密会话根密钥和eap成功信息一起发送给seaf。

可选的，所述的第一执行模块601用于：

对加密信息和会话根密钥进行异或运算，得到所述加密会话根密钥。

可选的，所述的第一执行模块601还用于：

在对网络信息进行哈希运算得到的加密信息和会话根密钥进行异或运算，得到所述加密会话根密钥之前，对网络信息进行哈希运算得到所述加密信息；或接收所述arpf对网络信息进行哈希运算得到的所述加密信息。

可选的，所述的第一执行模块601用于：

根据会话根密钥、所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成所述消息验证码。

可选的，第一发送模块602还用于：

将验证会话根密钥完整性的消息验证码、所述加密会话根密钥和所述eap成功信息一起发送给seaf。

如图7所示，本发明实例的第二种的设备，包括：

第二接收模块700，用于接收到所述ausf发送的加密会话根密钥和eap成功信息；

第二执行模块701，用于根据收到的来自所述终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥，其中所述解密信息是根据网络信息进行加密后得到的；

第二发送模块702，用于向所述终端发送所述eap成功信息。

可选的，所述的第二接收模块700用于：

在向所述终端发送eap成功信息之前，接收所述ausf发送的消息验证码、加密会话根密钥和eap成功信息。

在收到的来自终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥之后，根据所述消息验证码对得到的会话根密钥的完整性进行验证。

可选的，所述的执行模块第二701用于：

对收到的来自终端的解密信息和所述加密会话根密钥进行异或运算得到会话根密钥。

可选的，所述的第二执行模块701还用于：

根据得到的会话根密钥、收到的所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成待验证消息验证码；

判断所述待验证消息验证码和收到的所述消息验证码是否相同，如果是，则确定验证通过，否则确定验证失败。

如图8所示，本发明实例的第三种的设备，包括：

第三接收模块800，用于接收seaf发送的eap成功信息；

第三执行模块801，用于根据网络信息进行加密后得到的解密信息；

第三发送模块802，用于向seaf发送根据网络信息进行加密后得到的解密信息。

如图9所示，本发明实例的第四种的设备，包括：

第四接收模块900，用于接收来自ausf的认证矢量请求消息；

第四执行模块901，用于根据网络信息生成加密信息；

第四发送模块902，用于向ausf发送根据网络信息生成的加密信息。

基于同一发明构思，本发明实施例中还提供了一种信息传输的方法，由于该方法对应的设备是本发明实施例进行信息传输的系统中的第一网元，并且该方法解决问题的原理与该设备相似，因此该方法的实施可以参见系统的实施，重复之处不再赘述。

在一些可能的实施方式中，本发明实施例提供的信息传输的方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序代码在计算机设备上运行时，所述程序代码用于使所述计算机设备执行本说明书中描述的根据本发明各种示例性实施方式的进行信息传输方法中的步骤。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

根据本发明的实施方式的用于数据转发控制的程序产品，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在服务器设备上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被信息传输、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由周期网络动作系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算设备，或者，可以连接到外部计算设备。

如图10所述，本发明实施例信息传输的方法，包括：

步骤1000，ausf在收到seaf的终端验证成功消息后，确定加密会话根密钥，其中所述加密会话根密钥是根据网络信息对会话根密钥进行加密后得到的；

步骤1001，所述ausf将所述加密会话根密钥和eap成功信息一起发送给seaf。

可选的，所述ausf根据下列方式生成所述加密会话根密钥：

所述ausf对加密信息和会话根密钥进行异或运算，得到所述加密会话根密钥。

可选的，所述ausf对由网络信息进行哈希运算得到的加密信息和会话根密钥进行异或运算，得到所述加密会话根密钥之前，还包括：

所述ausf对网络信息进行哈希运算得到所述加密信息；或

所述ausf接收所述arpf对网络信息进行哈希运算得到的所述加密信息。

可选的，所述ausf将所述加密会话根密钥发送给seaf，还包括：

所述ausf将用于验证会话根密钥完整性的消息验证码、所述加密会话根密钥和所述eap成功信息一起发送给seaf。

可选的，所述ausf根据下列方式生成所述消息验证码：

所述ausf根据会话根密钥、所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成所述消息验证码。

基于同一发明构思，本发明实施例中还提供了一种信息传输的方法，由于该方法对应的设备是本发明实施例进行信息传输的系统中的第一网元，并且该方法解决问题的原理与该设备相似，因此该方法的实施可以参见系统的实施，重复之处不再赘述。

如图11所述，本发明实施例信息传输的方法，包括：

步骤1100，seaf在对终端验证成功后，向ausf发送终端验证成功消息；

步骤1101，所述seaf在接收到所述ausf发送的加密会话根密钥和eap成功信息后，向所述终端发送所述eap成功信息，其中所述加密会话根密钥是根据网络信息进行加密后得到的；

步骤1102，所述seaf根据收到的来自所述终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥，其中所述解密信息是根据网络信息进行加密后得到的。

可选的，所述seaf根据收到的来自终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥，包括：

所述seaf对收到的来自终端的解密信息和所述加密会话根密钥进行异或运算得到会话根密钥。

可选的，所述seaf向所述终端发送eap成功信息之前，还包括：

所述seaf接收到所述ausf发送的消息验证码、加密会话根密钥和eap成功信息；

可选的，所述seaf根据收到的来自终端的解密信息对所述加密会话根密钥进行解密得到会话根密钥之后，还包括：

所述seaf根据所述消息验证码对得到的会话根密钥的完整性进行验证。

可选的，所述seaf根据所述消息验证算法对得到的会话根密钥的完整性进行验证，包括：

所述seaf根据得到会话根密钥、收到的所述加密会话根密钥和所述eap成功信息，通过消息验证算法生成待验证消息验证码；

可选的，所述seaf判断所述待验证消息验证码和收到的所述消息验证码是否相同，如果是，则确定验证通过，否则确定验证失败。

基于同一发明构思，本发明实施例中还提供了一种信息传输的方法，由于该方法对应的设备是本发明实施例进行信息传输的方法的系统中的第一网元，并且该方法解决问题的原理与该设备相似，因此该方法的实施可以参见系统的实施，重复之处不再赘述。

如图12所述，本发明实施例信息传输的方法，包括：

步骤1200，终端接收seaf发送的eap成功信息；

步骤1201，所述终端向所述seaf发送根据网络信息进行加密后得到的解密信息，以使所述seaf根据所述解密信息对收到的来自ausf的加密会话根密钥进行解密。

基于同一发明构思，本发明实施例中还提供了一种信息传输的方法，由于该方法对应的设备是本发明实施例进行信息传输的系统中的第一网元，并且该方法解决问题的原理与该设备相似，因此该方法的实施可以参见系统的实施，重复之处不再赘述。

如图13所述，本发明实施例信息传输的方法，包括：

步骤1300，arpf在收到来自ausf的认证矢量请求消息后，根据网络信息生成加密信息；

步骤1301，所述arpf将所述加密信息发送给ausf，以使所述ausf根据所述加密信息对会话根密钥进行加密后发送给seaf。

本发明实施例提供两种完整的信息传输方式。

如图14所示，本发明实施例第一种信息传输的方法包括：

步骤1401，ausf向arpf发起认证矢量请求消息av-req；

步骤1402，arpf接收到该请求后，生成认证矢量av及ik，ck，并结合漫游网络名，把ik，ck转化为ik'和ck'之后，arpf把认证矢量av以及ik'和ck'放在认证矢量响应消息av-res中发给ausf。

步骤1403，ausf收到消息av-res后，生成会话根密钥msk，并对ik',ck'，res，rand，和漫游网络名进行哈希运算生成加密信息mask；

步骤1404，seaf向终端发送认证请求；

步骤1405，终端响应认证请求，并向seaf发送；

步骤1406，seaf接收认证响应，并向ausf发送；

步骤1407，ausf接收认证响应，完成ausf与终端的双向认证，把加密的会话根密钥msk*与“eap-成功”传递给seaf；

步骤1408，seaf收到加密的会话根密钥msk*与“eap-成功”后，把加密的会话根密钥msk*留下，把“eap-成功”发送给终端；

步骤1409，终端收到“eap-成功”消息后，生成mask*，并发送给seaf，seaf恢复会话根密钥msk。

如图15所示，本发明实施例第二种信息传输的方法包括：

步骤1501，ausf向arpf发起认证矢量请求消息av-req；

步骤1502，arpf接收到该请求后，生成认证矢量av及ik，ck，并结合漫游网络名，把ik，ck转化为ik'和ck'之后，arpf把认证矢量av以及ik'和ck'放在认证矢量响应消息av-res中发给ausf。

步骤1503，ausf收到消息av-res后，生成会话根密钥msk，并对ik',ck'，res，rand，和漫游网络名进行哈希运算生成加密信息mask；

步骤1504，seaf向终端发送认证请求；

步骤1505，终端响应认证请求，并向seaf发送；

步骤1506，seaf接收认证响应，并向ausf发送；

步骤1507，ausf接收认证响应，完成ausf与终端的双向认证，把加密的会话根密钥msk*、消息验证值码mac*与“eap-成功”传递给seaf；

步骤1508，seaf收到加密的会话根密钥msk*与“eap-成功”后，把加密的会话根密钥msk*和mac*留下，把“eap-成功”发送给终端；

步骤1509，终端收到“eap-成功”消息后，生成mask*，并发送给seaf，seaf接收mask*后恢复会话根密钥msk。并生成待验证消息验证码smac与mac*对比。

以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解，可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置，以产生机器，使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。

相应地，还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地，本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式，其具有在介质中实现的计算机可使用或计算机可读程序代码，以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中，计算机可使用或计算机可读介质可以是任意介质，其可以包含、存储、通信、传输、或传送程序，以由指令执行系统、装置或设备使用，或结合指令执行系统、装置或设备使用。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。