采用该预设算法,获得该UE的会话密钥。
[0250]其中,该UE所在域的标识及该路由器的标识的具体解释说明,与上述实施例类似,分别可通过DomainID和DR ID表示。该UE的会话密钥Ksessim即为KDF (Kdev,,DomainID,DR ID)。
[0251]具体的,上述步骤602中的该UE所在域的标识可通过上述Registrat1nResponse消息携带,即该注册响应消息还包括:该UE所在域的标识。
[0252]上述步骤602中的该UE所在域的标识还可以是通过接收该位置服务器所发送的其他消息,如Authenticat1n Request消息来携带。也就是说,在上述步骤602该路由器根据该UE的临时设备密钥、该UE所在域的标识、该路由器的标识,采用该预设算法,获得该UE的会话密钥之前,还包括:
[0253]该路由器接收该位置服务器发送的第一认证请求消息;该第一认证请求消息为该位置服务器在接收到该路由器发送的该第一注册请求消息之后所发送的消息,包括:该UE所在域的标识。
[0254]本实施例方案在上述实施例四的基础上,使得该路由器获取该UE的多级密钥,从低到高依次为根密钥、设备密钥、临时设备密钥及会话密钥。其中,每级密钥根据不同的参数采用该预设算法获得,同时将低优先级的密钥作为与相邻高优先级密钥的其中一个获取参数,继而得到该UE的多级密钥。该UE的多级密钥使得该UE的密钥具有多层防护机制,使得攻击者获取密钥的难度加大,从而更好地保证业务数据信息的安全性和完整性。
[0255]实施例六
[0256]本实施例还提供了上述实施例五方案的五种可替代方案。
[0257]其中,可替代方案一:如上所述实施例方案中步骤601中该路由器根据该UE的设备密钥采用该预设算法,获得该UE的临时设备密钥,具体包括:
[0258]该路由器根据该UE的设备密钥、该路由器与该UE之间计数器的计数值、该UE所在域的标识、该路由器的标识,采用该预设算法,获得该UE的临时设备密钥。
[0259]其中,该注册响应消息还包括:该UE所在域的标识。
[0260]可选的,在该路由器根据该UE的设备密钥、该路由器与该UE之间计数器的计数值、该UE所在域的标识、该路由器的标识,采用该预设算法,获得该UE的临时设备密钥之前,还包括:
[0261]该路由器接收该位置服务器发送的第二认证请求消息;该第二认证请求消息包括:该UE所在域的标识。
[0262]具体地,该第二认证请求消息与该第一认证请求消息相同,也可以为Authenticat1n Request 消息。
[0263]该设备密钥、该路由器与该UE之间计数器的计数值、该UE所在域的标识、及该路由器的标识的具体解释说明如上所述,在此不再赘述。通过该步骤301获取到的该UE的临时设备密钥可以通过如下表示,Kdev,=KDF(Kdev, Counter, DomainID, DR ID)。
[0264]对应的,在该场景下,该UE的设备密钥与上述根据根密钥、该UE的设备标识及该第一随机值获取的该UE的设备密钥相同,可通过如下表示,Kdev=KDF(K,DeviceID,NonCel);该UE的会话密钥与上述根据该UE的临时设备密钥所获得该UE的会话密钥相同,可通过如下表示 Ksessim=KDF (Kdev,)。
[0265]图7为本发明实施例六所提供的一种密钥协商方法的流程图。
[0266]可替代方案二:如上所述实施例方案中步骤601中该路由器根据该UE的设备密钥采用该预设算法,获得该UE的临时设备密钥,具体包括:
[0267]步骤701、路由器根据该UE的设备密钥、该UE所在域的标识、该路由器的标识,采用该预设算法,获得该UE的临时设备密钥。
[0268]在该场景下,该UE的设备密钥与上述根据根密钥、该UE的设备标识及该第一随机值获取的该UE的设备密钥相同,可通过如下表示,Kdev=KDF (K,DeviceID,Noncel);该UE的临时会话密钥为 Kdev, =KDF (Kdev, DomainID, DR ID)。
[0269]其中,该注册响应消息还包括:该UE所在域的标识。
[0270]可选的,在该步骤701路由器根据该UE的设备密钥、该UE所在域的标识、该路由器的标识,采用该预设算法,获得该UE的临时设备密钥之前,还包括:
[0271]步骤701a、该路由器接收该位置服务器发送的第三认证请求消息;该第三认证请求消息包括:该UE所在域的标识。
[0272]具体地,该第三认证请求消息与该第一及第二认证请求消息相同,也可以为Authenticat1n Request 消息。
[0273]进一步地,上述实施例方案步骤502中该UE根据该UE的临时设备密钥采用预设算法,获得该UE的会话密钥,具体包括:
[0274]步骤702、该路由器根据该UE的临时设备密钥、该路由器与该UE之间计数器的计数值,采用该预设算法,获得该UE的会话密钥。
[0275]那么,该UE 的会话密钥则为 Ksess1n=KDF (Kdev,,Counter)。
[0276]可替代方案三:进一步地,在如上所述实施例方案中步骤502中该路由器根据该UE的临时设备密钥采用预设算法,获得该UE的会话密钥,具体包括:
[0277]该路由器根据该UE的临时设备密钥、该路由器与该UE之间计数器的计数值、该UE所在域的标识、该路由器的标识,采用该预设算法,获得该UE的会话密钥。
[0278]对应的,该注册响应消息还包括:该UE所在域的标识。
[0279]可选的,在该路由器执行根据该UE的临时设备密钥、该路由器与该UE之间计数器的计数值、该UE所在域的标识、该路由器的标识,采用该预设算法,获得该UE的会话密钥之前,还包括:
[0280]该路由器接收该位置服务器发送的第四认证请求消息;该第四认证请求消息包括:该UE所在域的标识。
[0281]对应的,该第三认证请求消息与上述第一认证请求消息相同,可为Authenticat1n Request 消息。
[0282]图8为本发明实施例六所提供的另一种密钥协商方法的流程图。
[0283]可替代方案四:进一步地,在如上述实施例中步骤601a该路由器接收位置服务器发送的注册响应消息之前,还包括:
[0284]步骤801、该路由器接收该UE发送的第二注册请求消息,并向该位置服务器发送该第二注册请求消息,以使该位置服务器根据该第二注册请求消息获得该UE的设备标识,并使该位置服务器根据根密钥、该UE的设备标识、第二随机值、该UE所在域的标识及该路由器的标识,采用该预设算法,获得该UE的设备密钥。
[0285]该UE 的设备密钥为 Kdev=KDF (K, DeviceID, Nonce2, DomainID, DR ID),在本实施例中该UE的设备密钥为位置服务器产生获取的。
[0286]其中,该注册请求消息包括该UE的设备标识;该第二随机值为该UE进行注册时,该位置服务器所产生的随机的数值。
[0287]步骤802、该路由器接收位置服务器发送的注册响应消息;其中,该注册响应消息包括:该UE的设备密钥。
[0288]如上所述实施例中步骤502该路由器根据该UE的设备密钥采用该预设算法,获得该UE的临时设备密钥,具体包括:
[0289]步骤803、该路由器根据该UE的设备密钥、该路由器与该UE之间计数器的计数值,采用该预设算法,获得该UE的临时设备密钥。
[0290]那么,该UE的临时设备密钥即为Kdev,=KDF(Kdev,Counter);对应的,该UE的会话密钥为 Ksessim=KDF (Kdev,)。
[0291]可替代方案五:在上述可替代方案四中步骤801的基础上,步骤502中该路由器根据该UE的临时设备密钥采用预设算法,获得该UE的会话密钥,具体包括:
[0292]该路由器根据该UE的临时设备密钥、该路由器与该UE之间计数器的计数值,采用该预设算法,获得该UE的会话密钥。
[0293]具体地,该UE的会话密钥为Ksessim=KDF (Kdev,,Counter),对应的,该UE的临时设备密钥即为 Kdev,=KDF (Kdev)。
[0294]本实施例六提供了多种由该路由器实施的密钥协商方案,使得同一用户的不同UE可根据不同的密钥生成规则形成相应密钥,密钥灵活多变,其密钥的不定性增加,安全性更高,从而难以被攻击者所破解,更好地保证业务数据信息的安全性和机密性。
[0295]实施例七
[0296]本实施例还提供一种密钥协商方法,该方法由位置服务器执行。图9为本发明实施例七所提供的密钥协商方法的流程图。如图9所示,该方法,具体包括如下:
[0297]步骤901、位置服务器获取UE的设备密钥。
[0298]步骤902、该位置服务器向路由器发送注册响应消息,以使该路由器根据该UE的设备密钥采用预设算法,获得该UE的临时设备密钥,并使路由器根据该UE的临时设备密钥采用该预设算法,获得该UE的会话密钥;其中,该注册响应消息包括:该UE的设备密钥。
[0299]本实施例方案提供一种与上述实施例所对应的由网络侧设备,位置服务器所执行的密钥协商方法,该方法将该位置服务器获取的设备密钥通过注册请求消息发送至该路由器,使得该路由器可执行上述该路由器为执行主体的密钥协商方法,从而可获得当前UE的会话密钥,可降低同一用户不同UE会话密钥的相关性,提高密钥的安全性,有效保证该用户业务数据信息的安全机密性及完整性。
[0300]进一步地,在该实施例中该预设算法优选为单向加密算法。
[0301]在如上所述方案中,步骤901位置服务器获取UE的设备密钥,具体包括:
[0302]该位置服务器根据根密钥、UE的设备标识及随机值,采用该预设算法,获得该设备密钥;该根密钥为该位置服务器与该UE所属用户的共享密钥;该随机值为该UE进行注册时,该位置服务器所产生的随机的数值。
[0303]进一步地,如上所述该位置服务器根据根密钥、UE的设备标识及随机值,采用该预设算法,获得该UE的设备密钥,包括:
[0304]该位置服务器根据该根密钥、该UE的设备标识、该随机值、该UE所在域的标识及该路由器的标识,采用该预设算法,获得该UE的设备密钥。
[0305]在如上所述方案的基础上,在该位置服务器根据根密钥、UE的设备标识及随机值,采用该预设算法,获得该UE的设备密钥之前,还包括:
[0306]该位置服务器接收该路由器发送的注册请求消息;该注册请求消息为该路由器在接收到该UE发送的该注册请求消息之后发送的消息,包括该UE的设备标识;
[0307]该位置服务器根据该注册请求消息获得该UE的设备标识。
[0308]实施例八
[0309]本实施例还提供一种密钥协商方法。该实施例通过UE、路由器及位置服务器交互执行进行实例说明。图10为本发明实施例八所提供的密钥协商方法的交互流程图。如图10所示,该方法具体如下所示:
[0310]步骤1001、UE 将 Registrat1n Request 消息发送至路由器,该 Registrat1nRequest 消息包括 UserID, DevicelD。
[0311]该路由器可以为ΠΡ网络中的DR。该UserID为该UE的用户标识,如该用户身份标识,该DeviceID为该UE的设备标识。
[0312]步骤1002、路由器将Registrat1n Request消息发送至位置服务器,该Registrat1n Request 消息包括 UserID, DevicelD。
[0313]该位置服务器可以为ΠΡ网络中的SLS。
[0314]步骤1003、位置服务器生成Nonce。
[0315]该位置服务器所生成的该Nonce为接收到Registrat1n Request消息之后,生成的用于进行UE注册的Nonce。
[0316]步骤1004、位置服务器将Authenticat1n Request消息发送至路由器,该Authenticat1n Request 消息包括 Nonce, DomainID。
[0317]该DomainID为该ΠΡ网络中该UE所在域的标识。
[0318]步骤1005、路由器将 Authenticat1n Request 消息发送至 UE,该 Authenticat1nRequest 消息包括 Nonce, DomainID, DR ID。
[0319]该DR ID为该路由器所对应的标识。
[0320]步骤1006、UE 将 Authenticat1n Response 消息发送至路由器。
[0321]步骤1007、路由器将Authenticat1n Response消息发送至位置服务器。
[0322]步骤1008、位置服务器根据UserID获得UE与位置服务器的共享密钥K。
[0323]在ΠΡ网络中,每个用户对应一个K,该K为UE与该ΠΡ网络中该位置服务器所共享的密钥。
[0324]步骤1009、位置服务器根据K,DevicelD, Nonce采用预设算法KDF,获得Kdev。
[0325]根据该步骤所获得的Kdev可表示为KDF (K,DevicelD, Nonce)。
[0326]步骤1010、位置服务器将 Registrat1n Response 消息,该 Registrat1nResponse 消息包括 Kdev。
[0327]步骤1011、路由器根据Kdev,Counter采用预设算法KDF,获得Kdev,。
[0328]根据该步骤所获得的Kdev,可表示为KDF (Kdev, Counter)。
[0329]步骤1012、路由器根据Kdev,,DomainID, DR ID采用预设算法KDF,获得Ksessim。
[0330]根据该步骤所获得的Ksessim可表示为KDF (Kdev,,DomainID, DR ID)。
[0331]步骤1013、UE 根据 K,DevicelD, Nonce 采用预设算法 KDF,获得 Kdev。
[0332]该UE所采用的预设算法与上述位置服务器及路由器所采用的预设算法相同,也就是说,该 Kdev 即为 KDF (K, DevicelD, Nonce)。
[0333]步骤1014、UE根据Kdev,Counter采用预设算法KDF,获得Kdev,。
[0334]对应的,Kdev,即为KDF (Kdev,Counter)。
[0335]步骤1015、UE 根据 Kdev,,DomainID, DR ID 采用预设算法 KDF,获得 Ksessim。
[0336]那么该Ksess1n 即为 KDF (Kdev,,DomainID, DR ID)。
[0337]步骤1016、路由器保存User ID与定位符Locator的对应关系。
[0338]该Locator可以为该UE所在的位置信息。
[0339]步骤1017、路由器向位置服务器发送Routing Registrat1n消息,通知该位置服务器进行路由信息的更新。
[0340]由于在ΠΡ网络中,可能存在多个路由器,因此,该路由信息的更新指的是,将该位置服务器所存储的路由器的信息,更新为该UE当前进行注册所选用的路由器的信息。
[0341]步骤1018、位置服务器保存UserID, DevicelD, Locator三者的对应的关系。
[0342]该位置服务器在更新完路由信息之后,将该UE的用户信息UserID,该UE的设备标识DevicelD,及位置标识Locator进行--对应,并保存。
[0343]步骤1019、位置服务器向路由器发送Routing Registrat1n确认消息,通知路由器已进行路由信息的更新。
[0344]步骤1020、路由器将Registrat1n Response消息发送至UE,通知UE注册过程完成。
[0345]该路由器接收到该位置服务器所发送的Routing Registrat1n确认消息,也就是说,该位置服务器已完成路由信息的更新,并对该路由器的信息进行路由登记注册完成。若该路由器获知该位置服务器完成路由更新,便告知UE注册过程完成,即可根据获取的会话密钥Ksessim与该路由器进行业务数据传输。
[0346]需要说明的是,本实施例并未限定上述步骤1013?1015与步骤1008-1012的时序对应的关系,该步骤1013可以与该步骤1008同时进行,也可以在该步骤1008之前或之后执行,也可以是与步骤1011同步进行均可,然本发明实施例并不以此为限。
[0347]上述步骤1004 中 Authenticat1n Request 消息也可以不携带 DomainID, DRID,而是在上述步骤10中的Registrat1n Response消息携带,那么步骤1005中Authenticat1n Request消息也可以不携带DomainID, DR ID,而是通过步骤20中的Registrat1n Response消息携。对应的,步骤1013、步骤1014和步骤1015可以在上述步骤20之后执行。
[0348]本实施例通过具体的实例对上述实施例中的方案进行解释说明,其具体的实现过程及解释说明与上述实施例类似,在此不再赘述。
[0349]实施例九
[0350]本实施例还提供一种UE。图11为本发明实施例九所提供的UE的结构示意图。如图11所示,该UEllOl包括获取模块1102。
[0351]获取模块1102,用于获取临时设备密钥,并根据该临时设备密钥采用预设算法,获得会话密钥。
[0352]上述方