所在域的标识、所述路由器的标识。
[0094]根据第四方面的第四种可能实现的方式,在第七种可能实现的方式中,所述获取模块,还用于根据所述设备密钥、所述路由器与所述UE之间计数器的计数值、所述UE所在域的标识、及所述路由器的标识,采用所述预设算法,获得所述临时设备密钥;所述第一通知消息还包括:所述UE所在域的标识、所述路由器的标识。
[0095]根据第四方面的第四种可能实现的方式,在第八种可能实现的方式中,所述获取模块,还用于根据所述设备密钥、所述UE所在域的标识及所述路由器标识,采用所述预设算法,获得所述临时设备密钥;所述第一通知消息还包括:所述UE所在域的标识、所述路由器的标识。
[0096]根据第四方面的第八种可能实现的方式,在第九种可能实现的方式中,所述获取模块,还用于根据所述临时设备密钥,所述路由器与所述UE之间计数器的计数值,采用所述预设算法,获得所述会话密钥。
[0097]根据第四方面的第四种可能实现的方式,在第十种可能实现的方式中,所述获取模块,还用于根据所述临时设备密钥,所述路由器与所述UE之间计数器的计数值、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述会话密钥;所述第一通知消息还包括:所述UE所在域的标识、所述路由器的标识。
[0098]根据第四方面的第二种可能实现的方式,在第十一种可能实现的方式中,所述获取模块,还用于在根据所述设备密钥采用所述预设算法,获得所述临时设备密钥之前,根据根密钥、所述UE的设备标识、第二随机值、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述设备密钥。
[0099]根据第四方面的第十一种可能实现的方式,在第十二种可能实现的方式中,所述UE还包括:第二接收模块;
[0100]所述第二接收模块,还用于根据所述根密钥、所述UE的设备标识、所述随机值、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述设备密钥之前,接收所述位置服务器通过所述路由器发送的第二通知消息;所述第二通知消息为认证请求消息或注册响应消息;所述第二通知消息包括:所述第二随机值、所述UE所在域的标识及所述路由器标识;其中,所述第二随机值为所述UE进行注册时,所述位置服务器所产生的随机的数值。
[0101]根据第四方面的第十二种可能实现的方式,在第十三种可能实现的方式中,所述获取模块,还用于根据所述设备密钥,及所述路由器与所述UE之间计数器的计数值,采用所述预设算法,获得所述临时设备密钥。
[0102]根据第四方面的第十二种可能实现的方式,在第十四种可能实现的方式中,所述获取模块,还用于根据所述临时设备密钥,及所述路由器与所述UE之间计数器的计数值,采用所述预设算法,获得所述会话密钥。
[0103]第五方面,本发明实施例提供一种路由器,包括:
[0104]获取模块,用于获取UE的临时设备密钥,并根据所述UE的临时设备密钥采用预设算法,获得所述UE的会话密钥。
[0105]根据第五方面,在第五方面的第一种可能实现的方式中,所述预设算法为单向加密算法。
[0106]根据第五方面或第五方面的第一种可能实现的方式,在第二种可能实现的方式中,所述获取模块,还用于根据所述UE的设备密钥采用所述预设算法,获得所述UE的临时设备密钥。
[0107]根据第五方面的第二种可能实现的方式,在第三种可能实现的方式中,所述路由器还包括:接收模块;
[0108]所述接收模块,用于在所述获取模块根据所述UE的设备密钥采用所述预设算法,获得所述UE的临时设备密钥之前,接收位置服务器发送的注册响应消息;其中,所述注册响应消息包括:所述UE的设备密钥。
[0109]根据第五方面的第三种可能实现的方式,在第四种可能实现的方式中,所述接收模块,还用于在接收所述位置服务器发送的所述注册响应消息之前,接收所述UE发送的第一注册请求消息;
[0110]所述路由器,还包括:
[0111]第一发送模块,用于将所述第一注册请求消息发送给所述位置服务器,以使所述位置服务器根据所述第一注册请求消息获得所述UE的设备标识,并使所述位置服务器根据根密钥、所述UE的设备标识及随机值,采用所述预设算法,获得所述UE的设备密钥;其中,所述第一注册请求消息包括所述UE的设备标识;所述第一随机值为所述UE进行注册时,所述位置服务器所产生的随机的数值;所述根密钥为所述UE所属用户与位置服务器的共享密钥。
[0112]根据第五方面的第四种可能实现的方式,在第五种可能实现的方式中,所述获取模块,还用于根据所述UE的设备密钥,及所述路由器与所述UE之间计数器的计数值,采用所述预设算法,获得所述UE的临时设备密钥。
[0113]根据第五方面的第五种可能实现的方式,在第六种可能实现的方式中,所述获取模块,还用于根据所述UE的临时设备密钥、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的会话密钥;
[0114]所述注册响应消息还包括:所述UE所在域的标识;或者,
[0115]所述接收模块,还用于在所述获取模块根据所述UE的临时设备密钥、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的会话密钥之前,接收所述位置服务器发送的第一认证请求消息;其中,所述第一认证请求消息为所述位置服务器在接收到所述路由器发送的所述第一注册请求消息之后所发送的消息,包括:所述UE所在域的标识。
[0116]根据第五方面的第四种可能实现的方式,在第七种可能实现的方式中,所述获取模块,还用于根据所述UE的设备密钥、所述路由器与所述UE之间计数器的计数值、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的临时设备密钥;
[0117]所述注册响应消息还包括:所述UE所在域的标识;或者,
[0118]所述接收模块,还用于在所述获取模块根据所述UE的设备密钥、所述路由器与所述UE之间计数器的计数值、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的临时设备密钥之前,接收所述位置服务器发送的第二认证请求消息;其中,所述第二认证请求消息包括:所述UE所在域的标识。
[0119]根据第五方面的第四种可能实现的方式,在第八种可能实现的方式中,所述获取模块,还用于根据所述UE的设备密钥、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的临时设备密钥;
[0120]所述注册响应消息还包括:所述UE所在域的标识;或者,
[0121]所述接收模块,还用于在所述获取模块根据所述UE的设备密钥、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的临时设备密钥之前,接收所述位置服务器发送的第三认证请求消息;其中,所述第三认证请求消息包括:所述UE域的标识。
[0122]根据第五方面的第八种可能实现的方式,在第九种可能实现的方式中,所述获取模块,还用于根据所述UE的临时设备密钥、所述路由器与所述UE之间计数器的计数值,采用所述预设算法,获得所述UE的会话密钥。
[0123]根据第五方面的第四种可能实现的方式,在第十种可能实现的方式中,所述获取模块,还用于根据所述临时设备密钥、所述路由器与所述UE之间计数器的计数值、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的会话密钥;
[0124]所述注册响应消息还包括:所述UE所在域的标识;或者,
[0125]所述接收模块,还用于在所述获取模块根据所述UE的临时设备密钥、所述路由器与所述UE之间计数器的计数值、所述UE所在域的标识、所述路由器的标识,采用所述预设算法,获得所述UE的会话密钥之前,接收所述位置服务器发送的第四认证请求消息;其中,所述第四认证请求消息包括:所述UE所在域的标识。
[0126]根据第五方面的第三种可能实现的方式,在第i^一种可能实现的方式中,所述接收模块,还用于在接收所述位置服务器发送的注册响应消息之前,接收所述UE发送的第二注册请求消息;
[0127]所述路由器,还包括:
[0128]第二发送模块,用于向所述位置服务器发送所述第二注册请求消息,以使所述位置服务器根据所述第二注册请求消息获得所述UE的设备标识,并使所述位置服务器根据根密钥、所述UE的设备标识、第二随机值、所述UE所在域的标识及所述路由器的标识,采用所述预设算法,获得所述UE的设备密钥;其中,所述第二注册请求消息包括所述UE的设备标识;所述第二随机值为所述UE进行注册时,所述位置服务器所产生的随机的数值。
[0129]根据第五方面的第i^一种可能实现的方式,在第十二种可能实现的方式中,所述获取模块,还用于根据所述UE的设备密钥、所述路由器与所述UE之间计数器的计数值,采用所述预设算法,获得所述UE的临时设备密钥。
[0130]根据第五方面的第i^一种可能实现的方式,在第十三种可能实现的方式中,所述获取模块,还用于根据所述UE的临时设备密钥、所述路由器与所述UE之间计数器的计数值,采用所述预设算法,获得所述UE的会话密钥。
[0131]第六方面,本发明实施例提供一种位置服务器,包括:
[0132]获取模块,用于获取UE的设备密钥;
[0133]发送模块,用于向路由器发送注册响应消息,以使所述路由器根据所述UE的设备密钥采用预设算法,获得所述UE的临时设备密钥,并使所述路由器根据所述UE的临时设备密钥采用所述预设算法,获得所述UE的会话密钥;其中,所述注册响应消息包括:所述UE的设备密钥。
[0134]根据第六方面,在第六方面的第一种可能实现的方式中,所述预设算法为单向加密算法。
[0135]根据第六方面或第六方面的第一种可能实现的方式,在第二种可能实现的方式中,所述获取模块,还用于根据根密钥、UE的设备标识及随机值,采用所述预设算法,获得所述UE的设备密钥;所述根密钥为所述位置服务器与所述UE所属用户的共享密钥;所述随机值为所述UE进行注册时,所述位置服务器所产生的随机的数值。
[0136]根据第六方面的第二种可能实现的方式,在第三种可能实现的方式中,所述获取模块,还用于根据所述根密钥、所述UE的设备标识、所述随机值、所述UE所在域的标识及所述路由器的标识,采用所述预设算法,获得所述UE的设备密钥。
[0137]根据第六方面的第二种或第三种可能实现的方式,在第四种可能实现的方式中,所述位置服务器,还包括:
[0138]接收模块,用于在所述获取模块根据所述根密钥、所述UE的设备标识、所述随机值,采用所述预设算法,获得所述UE的设备密钥之前,接收所述路由器发送的注册请求消息;所述注册请求消息为所述路由器在接收到所述UE发送的所述注册请求消息之后发送的消息,包括所述UE的设备标识;
[0139]所述获取模块,还用于根据所述注册请求消息获得所述UE的设备标识。
[0140]本发明实施例的密钥协商方法、用户设备、路由器及位置服务器,UE根据其获取到的临时设备密钥采用预设算法,获得会话密钥,使得同一用户的不同UE具有不同的会话密钥,因此,即便攻击者攻破用户的某一 UE的会话密钥,也难以攻破该用户的其他UE的会话密钥,从而提高会话密钥的安全性,有效的保证当前用户业务会话信息的安全性及完整性。
【附图说明】
[0141]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0142]图1为本发明实施例一所提供的密钥协商方法的流程图;
[0143]图2为本发明实施例二所提供的密钥协商方法的流程图;
[0144]图3为本发明实施例三所提供的一种密钥协商方法的流程图;
[0145]图4为本发明实施例三所提供的另一种密钥协商方法的流程图;
[0146]图5为本发明实施例四所提供的密钥协商方法的流程图;
[0147]图6为本发明实施例五所提供的密钥协商方法的流程图;
[0148]图7为本发明实施例六所提供的一种密钥协商方法的流程图;
[0149]图8为本发明实施例六所提供的另一种密钥协商方法的流程图;
[0150]图9为本发明实施例七所提供的密钥协商方法的流程图;
[0151]图10为本发明实施例八所提供的密钥协商方法的交互流程图;
[0152]图11为本发明实施例九所提供的UE的结构示意图;
[0153]图12为本发明实施例十所提供的路由器的结构示意图;
[0154]图13为本发明实施例十一所提供的位置服务器的结构示意图。
【具体实施方式】
[0155]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0156]实施例一
[0157]图1为本发明实施例一所提供的密钥协商方法的流程图。本实施例的方法适用于UE在ΠΡ网络中传输业务数据的情况。该方法由UE执行,该装置通常以硬件和/或软件的方式来实现。本实施例的方法包括如下步骤:
[0158]步骤101、用户设备UE获取临时设备密钥。
[0159]步骤102、该UE根据该临时设备密钥采用预设算法,获得会话密钥。
[0160]其中,该临时设备密钥为该UE所对应的临时设备密钥。具体地,该UE获取该临时设备密钥,可以是接收网络设备所发送的预先存储的该UE所对应的临时设备密钥,还可以是根据该UE的位置信息从预先存储的密钥数据库中获取对应的临时设备密钥,还可以是根据该UE区别于当前用户的其他UE的任一标识信息,如设备标识等采用相应的密钥生成算法,获得该临时设备密钥。该密钥生成算法可以是该UE生成会话密钥的类似算法,还可以是其他算法。
[0161]在ΠΡ网络中,根据位置的不同,包括至少一个ΠΡ域,在一个ΠΡ域中包括一个位置服务器,如用户位置服务器(Subscriber Locat1n Server,简称SLS)及至少一个路由器,该路由器可以为域路由器(Domain Router,简称DR)。该UIP域指的是按照预先设定的区域划分将该ΠΡ网络进行的划分。该DR即为该UIP域所在区域,也就是位置的路由器。该UE通过其所在位置的UIP域中的SLS及对应的DR相互交互消息来完成注册的过程。在注册完成之后,该UE通过该路由器,如DR传输业务数据信息,此时采用该UE所获取到的会话密钥对该业务数据信息进行加密传输。
[0162]由于该UE在注册完成之后,采用该会话密钥进行该业务数据信息的传输,也就是说,该实施例方案至少应该在该用户设备传输业务数据信息之前进行。为减少不必要的信令传输,可在进行注册的过程中实现该方案,协商确定该用户设备所需的该会话密钥。
[0163]同一用户的不同UE具有各自所对应的临时设备密钥,且该不同UE各自所对应的临时设备密钥不同,该不同UE分别根据各自所对应的临时设备密钥获取会话密钥,使得不同UE的会话密钥之间相关性降低。即便,攻击者破解该用户的一个UE的会话密钥,也无法根据该用户的各个UE之间的相关性,如用户信息UerID破解该用户其他UE的会话密钥。该用户通过该UE与网络侧设备传输业务数据信息时,通过携带该会话密钥以保证业务数据信息的完整性和机密性。因此,本实施例所提供的会话密钥安全性较高,降低同一用户不同UE的会话密钥之间的相关性,避免攻击者破解一个UE的会话密钥后可能破解该用户的其他UE的会话密钥,从而造成业务数据信息的泄露或恶意篡改。
[0164]本实施例方案中,UE的会话密钥为该UE根据其所获取到的各自对应的临时设备密钥采用预设算法获得,使得同一用户的不同UE具有不同的会话密钥,即便攻击者攻破用户的某一 UE的会话密钥,也难以攻破该用户的其他UE的会话密钥,从而提高会话密钥的安全性,有效的保证该用户业务会话信息的安全性及完整性。
[0165]优选的,如上所述方案中,该预设算法,为单向加密算法。
[0166]该单向加密算法实际指的是非可逆的加密算法,即不可解密的加密算法,也就是说,攻击者无法根据偶然获知的一个UE的会话密钥,通过逆运算得到该UE获取该会话密钥所使用的各参数信息,从而更好地保证该用户的其他UE的会话密钥的安全性。需要说明的是,该单向加密算法可以是哈希算法、安全散列算法(Secure Hash Algorithm,简称SHA)
坐寸ο
[0167]实施例二
[0168]本实施例二还提供一种密钥协商方法。图2为本发明实施例二所提供的密钥协商方法的流程图。如图2所示,如上所述方案中步骤101中UE获取临时设备密钥,具体包括:
[0169]步骤201、该UE根据设备密钥采用该预设算法,获得该临时设备密钥。
[0170]如上所述该设备密钥可通过Kdev表示,该临时设备密钥可通过Kdev,表示,根据该预设算法获取会话密钥,那么该预设算法可为密钥衍生函数(Key Derivat1n Funct1n,简称KDF)。具体地,该KDF可以为哈希运算消息认证码(Hash-based Message Authenticat1nCode,简称HMAC)与SHA-256相结合的算法,即HMAC_HSA_256算法。根据设备密钥采用该预设算法,获得该临时设备密钥实际是将Kdev作为函数KDF的输入信息,继而通过信息处理获得 Kdev,,该 Kdev, =KDF(Kdev)0
[0171]进一步地,在步骤201中该用户设备根据设备密钥采用该预设算法,获得该临时设备密钥之前,还包括:
[0172]步骤201a、UE根据根密钥、该UE的设备标识及第一随机值,采用该预设算