在设备间共享配对信息的方法、设备及系统的制作方法

专利名称：：在设备间共享配对信息的方法、设备及系统的制作方法
技术领域：
：本发明涉及数字版权管理
技术领域：
，尤其涉及在设备间共享配对信息的方法、设备及系统。
背景技术：
：数字版权管理(DigitalRightsManagement,DRM)主要通过权利限制和内容保护方案控制数字内容的使用，保护内容所有者的合法权益。用户从网络或其他设备处获取数字内容，该数字内容一般是加密的，并和其他一些信息(如内容的加密算法)共同构成一个内容数据包。许可服务器(RightsIssuer,RI)负责为内容数据包发放对应的许可，许可中包括内容解密密钥及对应的权限。设备只有同时拥有内容数据包和许可，才能正常使用数字内容。DRM设备(DRMAgent)通过许可获取内容的解密密钥，进而解密数字内容。许可中包含有权利、限制等信息，权利指示设备可以干什么，比如说允许设备打印、浏览等，而限制则指示设备在什么条件下可以干，比如说最多允许浏览几次等。DRM设备必须根据许可证所要求的权限来执行相应的操作。域是一组DRM设备的集合，域中成员通常都共享一些域信息，如域id、域密钥等。域成员可以为域购买域许可，该域许可可以在域内成员之间分发共享。OMADRM2.0(OpenMobileAlliance,开放移动联盟)规范中定义了Rl为域管理实体，DRM设备可以向RI请求加入/离开域。在这种架构下，每个RI管理的域是相互独立的，为了在各个RI处购买域许可，设备必须加入多个域。为了进一步方便对域进行管理，DRM规范中又提出了一种新的DRM框架，如图1所示。其中域管理器(DomainAuthority/DomainEnforcementAgent,DA/DEA)用来对域进行管理，DRM设备可以向DA/DEA请求加入/离开域。DA/DEA可以和多个RI建立信任关系，从而使这些RI可以共享域信息，为同一个域发》文i或i午可。目前，OMADRM规范中允许DEA为两个设备发放配对信息，该配对信息中包括一些安全参数，从而使两个设备可以根据该安全参数来建立安全通道。配对信息绑定到参与配对的两个设备，其他设备因此无法获取配对信息中的安全参数。现有技术还公开了一种在域内进行配对的方法，其中，配对信息的格式为(DomainID,Kab，GDIa，LDIa,LDIb)，DomainID为配对信息所属域的域标识，Kab为域管理器分配的用于AB间安全通信的一个密钥参数，GDIa为设备A的一个公开的标识，LIDa为域管理器为设备A分配的一个域内的标识，LIDb为域管理器为设备B分配的一个域内的标识。如图2所示，i殳备A和B建立安全通信的过程如下步骤21、设备A向设备B发送一个消息，其中包括设备A的域内标识LIDa以及一个随积4tNa。步骤22、设备B向设备A返回响应消息，其中包括设备B的域内标识LIDb，一个随才几凄史Nb以及i殳备B的配对信息(authenticationTicketBA)。步骤23、设备A验证设备B的配对信息是否正确，如果正确，则根据设备B的配对信息中的信息生成对称密钥SK:SK=SHA-1(Kab,Kba，Na,Nb)。设备A将本设备的配对信息authenticationTicket^传送给设备B。步骤24、设备B验证设备A的配对信息是否正确，根据与设备A同样的SK生成算法生成相同的SK。发明人在实现本发明的过程中，发现上述现有技术存在如下不足设备A拥有的AB配对信息和设备B拥有的BA配对信息是不同的，域管理器必须为同一个配对(设备A,设备B)生成两份配对信息，而设备A和设备B都必须通过和域管理器联系来获取本设备的配对信息，从而使处理流程较为复杂、设备资源占用较大
发明内容本发明实施例提供一种在设备间共享配对信息的方法、设备及系统，用以在设备之间利用同一配对信息进行安全通信，简化处理流程，节省设备资源。本发明实施例提供一种在设备间共享配对信息的方法，该方法包括第一设备向第二设备发送获取配对信息的请求消息，所述配对信息用于第一设备与第二设备之间的安全通信；第二设备#4居所述请求消息，确定本设备上存在所述配对信息时，将所述配对信息返回给第一设备。本发明实施例还才是供一种在设备间共享配对信息的方法，该方法包括第三设备确定第四设备上不存在有效的配对信息，所述配对信息用于第三设备与第四设备之间的安全通信；第三设备确定本设备上存在所述配对信息时，向第四设备提供所述配对信自本发明实施例还提供一种通信设备，包括第一接收模块，用于接收其它设备发送的获取配对信息的请求消息，所述配对信息用于与所述其它设备之间的安全通信；第一确定模块，用于根据所述请求消息，确定本设备上是否存在所述配对信息；第一发送模块，用于在确定本设备上存在所述配对信息时，向所述其它设备发送所述配对信息。本发明实施例还提供一种通信设备，包括第二确定模块，用于确定其它设备上是否存在有效的配对信息，所述配对信息用于与所述其它设备之间的安全通信；第三确定模块，用于在所述第二确定模块确定所述其它设备上不存在配对信息时，确定本设备上是否存在所述配对信息；第二发送模块，用于在所述第三确定模块确定本设备上存在所述配对信息时，向所述其它设备提供所述配对信息。本发明实施例还提供一种通信系统，包括第一设备，用于发送获取配对信息的请求消息，所述配对信息用于第一设备与第二设备之间的安全通信；以及，用于接收所述配对信息；第二设备，用于接收所述请求消息，并在根据所述请求消息确定本设备上存在所述配对信息时，将所述配对信息返回给第一设备。本发明实施例还提供一种通信系统，包括第三设备和第四设备，其中第三设备，用于在确定第四设备上不存在有效的配对信息，所述配对信息用于与第四设备之间的安全通信；并且，确定本设备上存在所述配对信息时，向第四设备提供所述配对信息；第四设备，用于接收所述配对信息。本发明实施例中，第一设备向第二设备发送获取配对信息的请求消息，所述配对信息用于第一设备与第二设备之间的安全通信；第二设备根据所述请求消息，确定本设备上存在所述配对信息时，将所述配对信息返回给第一设备。或者，在另一实施例中，第三设备确定第四设备上不存在有效的配对信息，所述配对信息用于第三设备与第四设备之间的安全通信；第三设备确定本设备上存在所述配对信息时，向第四设备提供所述配对信息。通过上述两个实施例可以使后续在设备之间可以利用同一配对信息进行安全通信，一方面保证了设备间通信的安全性，以及配对信息签发设备对设备间交互的可控性；另一方面与现有技术中设备之间需要利用各自不同的配对信息进行安全通信相比，简化了处理流程，降低了处理复杂度，节省了设备资源，因此本发明具有很强的实用性。图1为
背景技术：
中DRM系统结构示意图2为
背景技术：
中设备A和B建立安全通信的处理流程图；图3、图6为本发明实施例中在设备间共享配对信息的处理流程图；图4为本发明实施例中具体实例的设备1从设备2获取配对信息的处理流程图；图5为本发明实施例中具体实例的设备1向设备2查询配对信息的处理流程图；图7为本发明实施例中具体实例的设备1向设备2提供配对信息的处理流程图；图8为本发明实施例中具体实例的设备1与设备2共享配对信息的处理流程图；图9A、图9B、图IOA、图IOB、图10C为本发明实施例中通信设备的结构示意图；图11为本发明实施例中通信系统的结构示意图。具体实施方式下面结合说明书附图对本发明实施例进行详细说明。如图3所示，一个实施例中，在设备间共享配对信息的处理流程如下步骤31、第一设备向第二设备发送获取配对信息的请求消息，其中，配对信息用于第一设备与第二设备之间的安全通信。步骤32、第二设备根据接收的请求消息，确定本设备上存在该配对信息时，将该配对信息返回给第一设备。一个实施例中，配对信息可以包括配对信息标识、配对信息签发设备的标识、第一设备的标识、第二设备的标识、第一设备的公钥、第二设备的公钥、第一设备是否为域成员、第二设备是否为域成员、密钥参数、域标识、配对信息签发时间、配对信息有效时间、配对信息有效次数、配对信息代数、数字签名其中之一或任意组合。表l为配对信息的一个具体实例表l配对信息格式<table>tableseeoriginaldocumentpage12</column></row><table>如表1所示，配对设备可以用配对信息签发设备的标识和数字签名来验证配对信息是否可靠，所述配对信息签发设备一般为一个服务器，例如域管理器。配对设备可以根据配对信息签发设备的标识获取配对信息签发设备的相关信息，如服务器的证书，验证该配对信息签发设备是否是一个合法的设备。配对设备也可以用该配对信息签发设备的标识对应的公钥验证数字签名是否正确。如果无法通过上述验证，则该配对信息无效。设备信息用于描述参与配对的设备，设备信息可以包括设备的标识、设备公钥、设备的注册信息(如设备是否是域成员)等。如果配对信息中包含域标识，则后续该配对信息只能用于配对双方传递对应域的域许可或域许可中的秘密信息。配对双方后续可以根据密钥参数进行安全通信。密钥参数需要用配对设备相关的信息进行加密，从而保证只有配对双方可以获取到该密钥参数。一个实施例中，分别用配对双方的公钥对密钥参数进行加密，并将加密后的值串联在一起。例如，分别用第一设备的公钥和第二设备的公钥对密钥参数进行加密，后续第一设备和第二设备可以分别用本设备的私钥解密得到密钥参数。当存在多个配对信息都绑定到同样的设备时(如果配对信息中包含域标识和/或配对信息签发设备的标识，则这多个配对信息中的域标识和/或签发设备的标识符都相同)，则签发时间最晚的配对信息为有效的配对信息。当然，也可通过判断有效时间达到该目的，有效时间最晚的配对信息为有效的配对信息。由于某些设备可能没有获取当前时间的能力，因此也可通过在配对信息中包含代数参数的方法达到该目的，当配对信息签发设备要更新某个配对信息时，可以增加相应的代数值，代数值最大的配对信息为有效的配对信息。一个实施例中，超过配对信息有效时间，配对信息即为无效的配对信息。同样考虑到某些设备可能没有获取当前时间的能力，因此配对信息签发设备也可在配对信息中定义该配对信息的可用次数，设备在本地维护剩余的可用次数。上述实施例中，配对信息只包含两个参与配对的设备信息，当然，另一实施例中，配对信息也可以扩展到有大于2个的设备参与配对。只要交互双方的信息都包含在该配对信息中，即可认为该配对信息对双方是有效的。一个实施例中，第一设备发送的获取配对信息的请求消息可以包括第一设备的标识；第二设备可以根据接收的请求消息中第一设备的标识，确定本设备上存在的包含第一设备的标识的配对信息即为第一设备请求的配对信息。另一实施例中，获取配对信息的请求消息还可以包括域标识和/或配对信息签发设备的标识；第二设备根据接收的请求消息中域标识和/或配对信息签发设备的标识，确定本设备上存在的包该域标识和/或配对信息签发设备的标识的配对信息即为第一设备请求的配对信息。一个实施例中，获取配对信息的请求消息可以包括配对信息标识；第二设备根据接收的请求消息中配对信息标识，确定本设备上存在的包含所述配对信息标识的配对信息即为第一设备请求的配对信息。如图4所示，一个具体实例中，设备1从设备2获取配对信息的处理流程^口下步骤41、设备1向设备2发送获取配对信息的请求消息，该请求消息中包括设备l的标识，可选的可以包括域标识或配对信息发放设备的标识。消息中也可以包括具体的一个或多个配对信息的标识，例如设备l先通过配对情况查询消息获取了设备2上对应的配对信息的标识列表。步骤42、设备2向设备1返回响应消息，其中包括一个或多个相关的配对信息。如果获取消息中包括配对信息的标识，则设备2直接根据标识来获取配对信息，如果没有，则根据设备1的标识以及域标识或配对信息发放设备标识来获取对应的配对信息。一个实施例中，第一设备向第二设备发送获取配对信息的请求消息之前，可以向第二设备发起配对信息查询请求，第二设备向第一设备返回本设备上配对信息的存在状态和/或部分参数；第一设备后续可以^^艮据接收的配对信息的存在状态和/或部分参数，向第二设备发送获取配对信息的请求消息。如图5所示，一个具体实例中，设备1向设备2查询配对信息的处理流程如下:步骤51、设备1向设备2发送配对情况查询消息，该查询消息中包括设备1的标识，可选的可以包括域标识和/或配对信息发放设备的标识。消息中也可以包括具体的一个或多个配对信息的标识，例如设备1在本地有对应的配对信息，设备l想要知道设备2上是否有这些配对信息，于是设备l可以直接在请求消息中包含这些配对信息的标识。步骤52、设备2检查本地是否有和设备1对应的有效配对信息，如果查询消息中包含具体的配对信息标识，则设备2直接#^居该标识来查找对应的配对信息；如果没有，则设备2检查配对信息中是否包含设备1的信息，所述有效的配对信息中需要包含和设备l相同的设备信息，如设备标识。如果查询消息中包含域标识和/或配对信息发放设备标识，则所述有效的配对信息需要包含同样的域标识和/或配对信息发放设备标识。设备2返回配对情况，所述配对情况可以是标识配对信息存在状态的标识位或布尔值参数，用来指示设备2上是否存在有效的配对信息，也可以是一个参数列表，用来指示有效的配对信息的对应情况，包括配对信息标识、签发配对信息的配对信息发放设备标识、配对信息的代数、配对信息签发的时间、配对信息的有效时间和/或配对信息所属域。所述有效的配对信息可以是多个，例如如果设备1在查询消息中仅包括设备标识，而设备2中保存有多个和设备1绑定的有效配对信息(如多个属于不同域的配对信息)，则在响应消息中应该将所有配对情况返回给设备1;或者查询消息中包括多个配对信息的标识，则响应消息中包含对应数目的布尔值参数用来分别标识对应的配对信息是否存在。图5所示流程可以与图4所示流程结合实施，即设备1先通过查询消息获取设备2上配对信息的情况，然后通过获取配对信息的请求消息来获取需要的配对信息。当然，获取配对信息的请求消息也可以单独使用。第二设备根据接收的获取配对信息的请求消息，确定本设备上不存在该配对信息时，一个实施例中，第二设备可以从配对信息签发设备获取该配对信息，并将获取到的配对信息发送给第一设备；另一实施例中，第二设备可以通知第一设备从配对信息签发设备获取该配对信息；第一设备在获取到该配对信息之后，将该配对信息发送给第二设备，或者第二设备从第一设备获取该配对信息；另一实施例中，第二设备还可以从配对信息签发设备获取该配对信息，并通知第一设备也从配对信息签发设备获取该配对信息。也就是说，需要安全交互的两个设备在交互前首先需要确定是否都保存了有效的配对信息，如果有一方没有有效的配对信息，则交互的另一方将自己保存的有效配对信息发送给对方，随后双方根据配对信息进行安全的通信。其中，配对信息是由配对信息签发设备发给交互双方中的至少一个设备的，例如当一个设备需要和另一个设备第一次交互时，该设备向配对信息签发设备请求一个配对信息，或者，设备确定交互双方都没有有效的配对信息，就向配对信息签发设备请求配对信息。配对信息签发设备通常是一个服务器，如域管理器。如图6所示，另一实施例中，在设备间共享配对信息的处理流程如下步骤61、第三设备确定第四设备上不存在有效的配对信息，该配对信息用于第三设备与第四设备之间的安全通信；步骤62、第三设备确定本设备上存在该配对信息时，向第四设备提供该配对信息。其中，配对信息可以包括配对信息标识、配对信息签发设备的标识、第三设备的标识、第四设备的标识、第三设备的公钥、第四设备的公钥、第三设备是否为域成员、第四设备是否为域成员、密钥参数、域标识、配对信息签发时间、配对信息有效时间、配对信息有效次数、配对信息代数、数字签名其中之一或任意组合。一个实施例中，密钥参数可以分别用第三设备的公钥和第四设备的公钥加密，后续第三设备和第四设备分别用本设备的私钥解密得到密钥参数。在步骤61中，第三设备可以根据第四设备提供的指示信息，确定第四设备上不存在该配对信息，其中，指示信息指示第四设备上是否存在该配对信息；或者，第三设备可以根据第四设备提供的配对信息的部分参数，判断第四设备上的配对信息是否有效，根据判断结果确定第四设备上的配对信息无效时，确定第四设备上不存在有效的配对信息，其中，部分参数包括有效时间、签发时间、代数其中之一或任意组合。在部分参数中的有效时间过期、有效时间早于第三设备上配对信息中的有效时间、签发时间早于第三设备上配对信息的签发时间、或代数值小于第三设备上配对信息的代数值时，可以确定配对信息无效。一个实施例中，第三设备可以向第四设备提供第三设备的标识；第四设备根据第三设备的标识，向第三设备提供该指示信息或该部分参数。另一实施例中，第三设备还可以向第四设备提供域标识和/或配对信息签发设备的标识；第四设备根据该域标识和/或配对信息签发设备的标识，向第三设备提供该指示信息或该部分参数。如图7所示，一个具体实施中，设备1向设备2提供配对信息的处理流程如下步骤71、设备1向设备2发送安装配对信息的消息，在此之前，设备1已经通过hello消息或其他消息获取了设备2的标识信息。安装消息中包括一个或多个和设备2相关的配对信息。步骤72、设备2收到安装信息后，验证配对信息的有效性，在本地保存配对信息，向设备l返回响应消息，通知设备l是否成功保存了所述配对信息。图7所示流程也可以与图5所示流程结合实施，即设备1可以先通过查询消息获取设备2上配对信息的情况，然后通过安装配对信息消息将设备2所需的配对信息传给设备2。当然，安装配对信息消息也可单独使用，例如设备1发起需要使用配对信息进行交互的消息时，收到设备2返回的错误码，指示设备2没有该配对信息，则设备1发送安装配对信息消息将对应的配对信息传给设备2。第三设备确定本设备上不存在该配对信息时，一个实施例中，第三设备可以从配对信息签发设备获取该配对信息，并将获取到的该配对信息发送给第四设备；另一实施例中，第三设备可以通知第四设备从配对信息签发设备获取该配对信息；第四设备在获取到该配对信息之后，将该配对信息发送给第三设备，或第三设备从第四设备获取该配对信息；另一实施例中，第三设备还可以从配对信息签发设备获取该配对信息，并通知第四设备从配对信息签发设备获取该配对信息。如图8所示，一个具体实例中，设备l与设备2共享配对信息的处理流程如下:步骤81、在设备1需要和设备2进行安全交互前，例如设备1和设备2需要交换许可或者交换密钥信息，双方首先交换一些设备相关信息以及配对信息。设备1向设备2发送Hello请求，请求中包括设备l的标识。如果所需进行的安全交互是和域相关的，则在请求消息中要包括域的标识。请求消息中可以包括指定的服务器的标识，用于指示后续使用哪个服务器发送的配对信息，当然，如果请求消息中已经包括了域标识，则服务器标识可以不需要。步骤82、设备2收到请求消息后，根据设备l的标识以及可能存在的域标识和/或域管理器标识来判断本地是否保存有对应的有效的配对信息。设备2向设备1发送Hello请求响应消息，响应消息中包括设备2的标识以及设备2的配对情况。所述设备2的配对情况可以是一个标识位或布尔值参数，用来指示设备2上是否存在有效的配对信息，也可以是一个参数列表，用来指示有效的配对信息的一些对应情况，包括配对信息标识、签发配对信息的服务器标识、配对信息的代数、配对信息的有效时间、配对信息签发的时间、配对信息所属域其中之一或任意组合。步骤83、设备1根据Hello请求响应消息，判断设备2是否保存有有效的配对信息。如果设备2没有配对信息，而设备l也没有有效的配对信息，则结束整个流程，设备l可以提示用户向服务器去获取配对信息；否则，设备l向设备2发送验证请求消息。如果设备2中没有对应的配对信息或者设备1根据Hello请求响应消息中的配对信息代数、配对信息有效时间、配对信息签发时间等参数判断自己拥有的对应的配对信息比设备2中的配对信息新，则设备1将本地保存的对应配对信息通过验证请求消息传给设备2。如果设备2有有效的配对信息，则在请求消息中包含参数用来表示设备1是否已经保存有对应的配对信息。步骤84、设备2向设备1返回验证请求响应消息，如果设备2有有效的配对信息，而且在验证请求消息中包含参数表示设备1没有对应的配对信息，则设备2将配对信息通过验证请求响应消息传给传给设备1。图8所示流程中，如果交互的一方收到有效的配对信息或者在本地查找到有效的配对信息，其中包括另一方的信息，例如设备标识或设备公钥，则认为另一方有效。交互双方还可以交换各自的证书链，通过—睑证对方的证书链是否有效，设备可以判断对方设备是否是一个合法的设备。双方也可以用各自的私钥对消息进行签名保护。一个实施例中，在配对设备都拥有对应配对信息的情况下，配对双方可以根据配对信息进行安全通信。例如，配对设备可以根据配对信息，获取安全通信所需的加密密钥和/或完整性密钥，一个实施例中，配对信息中的密钥参数包含了实际的加密密钥和/或完整性密钥，配对设备使用加密密钥对通信数据进行加密和/或使用完整性密钥对通信数据进行完整性保护。另一实施例中，配对设备根据密钥参数来进一步的推导出实际的加密密钥和/或完整性密钥，例如配对双方各自生成一随即数并将该随机数传给对方，双方将两个随机数串联在一起，然后用密钥参数加密串联后的值，将加密后的二进制串按密钥长度切割，从而得到实际的加密密钥和完整性密钥。基于同一发明构思，本发明实施例还提供一种通信设备，其结构如图9A所示，包括第一接收模块91、第一确定模块92、第一发送模块93;其中，第一接收模块91,用于接收其它设备发送的获取配对信息的请求消息，该配对信息用于与所述其它设备之间的安全通信；第一确定模块92，用于根据接收的请求消息，确定本设备上是否存在该配对信息；第一发送模块93,用于在确定本设备上存在该配对信息时，向所述其它设备发送该配对信息。一个实施例中，接收的请求消息包括其它设备的标识；此时，第一确定模块92还可以用于根据该请求消息中该其它设备的标识，确定本设备上存在包含该其它设备的标识的配对信息。一个实施例中，接收的请求消息包括域标识和/或配对信息签发设备的标识；此时，第一确定模块92还可以用于根据该请求消息中域标识和/或配对信息签发设备的标识，确定本设备上存在包含该域标识和/或配对信息签发设备的标识的配对卩言息。一个实施例中，接收的请求消息包括配对信息标识；此时，第一确定模块92还可以用于根据该请求消息中配对信息标识，确定本设备上存在包含该配对信息标识的配对信息。一个实施例中，第一接收模块91还可以用于接收该其它设备发起的配对信息查询请求，第一发送模块93还可以用于向该其它设备返回本设备上配对信息的存在状态和/或部分参数。如图9B所示，一个实施例中，图9A所示的通信设备还可以包括获取模块94，用于根据配对信息，获取安全通信所需的加密密钥和/或完整性密钥。基于同一发明构思，本发明实施例还提供一种通信设备，其结构如图10A所示，包括第二确定模块101、第三确定模块102、第二发送模块103;其中，第二确定^^莫块101，用于确定其它设备上是否存在配对信息，该配对信息为可用状态，用于与所述其它设备之间的安全通信；第三确定模块102,用于在第二确定模块101确定所述其它设备上不存在配对信息时，确定本设备上是否存在该配对信息；第二发送模块103,用于在第三确定模块102确定本设备上存在该配对信息时，向所述其它设备提供该配对信息。如图10B所示，一个实施例中，图10A所示的通信设备还可以包括第二接收模块104,用于接收所述其它设备提供的指示信息或配对信息的部分参数，指示信息指示第四设备上是否存在该配对信息，部分参数包括签发时间和/或代数；此时，第二确定模块101还可以用于根据指示信息或部分参数，确定所述其它设备上是否存在该配对信息。如图IOC所示，一个实施例中，图10A所示的通信设备还可以包括获取模块94，用于根据配对信息，获取安全通信所需的加密密钥和/或完整性密钥。基于同一发明构思，本发明实施例还提供一种通信系统，其结构如图11所示，包括多个设备，在一个实施例中包括第一设备和第二设备；第一设备，用于发送获取配对信息的请求消息，该配对信息用于第一设备与第二设备之间的安全通信；以及，用于接收该配对信息；第二设备，用于接收该请求消息，并在根据该请求消息确定本设备上存在该配对信息时，将该配对信息返回给第一设备。在另一实施例中包括第三设备和第四设备；第三设备，用于在确定第四设备上不存在有效的配对信息，该配对信息用于与第四设备之间的安全通信；并且，确定本设备上存在该配对信息时，向第四设备提供该配对信息；第四设备，用于接收该配对信息。在图11中还示出了配对信息签发设备，用于向配对设备提供配对信息。本领域普通技术人员可以理解上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括ROM、RAM、磁盘或光盘等。本发明实施例中，第一设备向第二设备发送获取配对信息的请求消息，所述配对信息用于第一设备与第二设备之间的安全通信；第二设备根据所述请求消息，确定本设备上存在所述配对信息时，将所述配对信息返回给第一设备。或者，在另一实施例中，第三设备确定第四设备上不存在有效的配对信息，所述配对信息用于第三设备与第四设备之间的安全通信；第三设备确定本设备上存在所述配对信息时，向第四设备提供所述配对信息。通过上述两个实施例可以使后续在设备之间可以利用同一配对信息进行安全通信，一方面保证了设备间通信的安全性，以及配对信息签发设备对设备间交互的可控性；另一方面与现有技术中设备之间需要利用各自不同的配对信息进行安全通信相比，简化了处理流程，降低了处理复杂度，节省了设备资源，因此本发明具有很强的实用性。明的精神和范围。这样，倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。权利要求1、一种在设备间共享配对信息的方法，其特征在于，该方法包括第一设备向第二设备发送获取配对信息的请求消息，所述配对信息用于第一设备与第二设备之间的安全通信；第二设备根据所述请求消息，确定本设备上存在所述配对信息时，将所述配对信息返回给第一设备。2、如权利要求1所述的方法，其特征在于，所述请求消息包括第一设备的标识；第二设备根据所述请求消息，确定本设备上存在所述配对信息是指第二设备根据所述请求消息中第一设备的标识，确定本设备上存在包含第一设备的标识的配对信息。3、如权利要求2所述的方法，其特征在于，所述请求消息还包括域标识和/或配对信息签发设备的标识；第二设备根据所述请求消息，确定本设备上存在所述配对信息是指第二设备根据所述请求消息中域标识和/或配对信息签发设备的标识，确定本设备上存在包含所述域标识和/或配对信息签发设备的标识的配对信息。4、如权利要求1所述的方法，其特征在于，所述请求消息包括配对信息标识；第二设备根据所述请求消息，确定本设备上存在所述配对信息是指第二设备根据所述请求消息中配对信息标识，确定本设备上存在包含所述配对信息标识的配对信息。5、如权利要求1所述的方法，其特征在于，所述配对信息包括配对信息标识、配对信息签发设备的标识、第一设备的标识、第二设备的标识、第一设备的公钥、第二设备的公钥、第一设备是否为域成员、第二设备是否为域成员、密钥参数、域标识、配对信息签发时间、配对信息有效时间、配对信息有效次数、配对信息代数、数字签名其中之一或任意组合。6、如权利要求5所述的方法，其特征在于，所述密钥参数分别用第一设备的公钥和第二设备的公钥加密，所述第一设备和第二设备分别用本设备的私钥解密得到所述密钥参数。7、如权利要求1至6任一项所述的方法，其特征在于，第一设备向第二设备发送获取配对信息的请求消息之前，进一步包括第一设备向第二设备发起配对信息查询请求，第二设备向第一设备返回本设备上配对信息的存在状态和/或部分参数；第一设备进一步根据接收的配对信息的存在状态和/或部分参数，向第二设备发送获取配对信息的请求消息。8、如权利要求1所述的方法，其特征在于，该方法进一步包括第一设备和第二设备根据所述配对信息，获取安全通信所需的加密密钥和/或完整性密钥。9、一种在设备间共享配对信息的方法，其特征在于，该方法包括第三设备确定第四设备上不存在有效的配对信息，所述配对信息用于第三设备与第四设备之间的安全通信；第三设备确定本设备上存在所述配对信息时，向第四设备提供所述配对信自10、如权利要求9所述的方法，其特征在于，第三设备确定第四设备上不存在所述有效的配对信息包括第三设备根据第四设备提供的指示信息，确定第四设备上不存在所述有效的配对信息，所述指示信息指示第四设备上是否存在所述有效的配对信息；或，第三设备根据第四设备提供的配对信息的部分参数，确定第四设备上的配对信息无效，进一步确定第四设备上不存在所述有效的配对信息，所述部分参数包括有效时间、签发时间、代数其中之一或任意组合，第四设备上的配对信息无效是指所述部分参数中的有效时间过期、有效时间早于第三设备上配对信息中的有效时间、签发时间早于第三设备上配对信息的签发时间、或代数值小于第三设备上配对信息的代数值。11、如权利要求10所述的方法，其特征在于，该方法进一步包括第三设备向第四设备提供第三设备的标识；第四设备进一步根据第三设备的标识，向第三设备提供所述指示信息或所述部分参数。12、如权利要求11所述的方法，其特征在于，该方法进一步包括第三设备向第四设备提供域标识和/或配对信息签发设备的标识；第四设备进一步根据所述域标识和/或配对信息签发设备的标识，向第三设备提供所述指示信息或所述部分参数。13、如权利要求9所述的方法，其特征在于，所述配对信息包括配对信息标识、配对信息签发设备的标识、第三设备的标识、第四设备的标识、第三设备的公钥、第四设备的公钥、第三设备是否为域成员、第四设备是否为域成员、密钥参数、域标识、配对信息签发时间、配对信息有效时间、配对信息有效次数、配对信息代数、数字签名其中之一或任意组合。14、如权利要求13所述的方法，其特征在于，所述密钥参数分别用第三设备的公钥和第四设备的公钥加密，所述第三设备和第四设备分别用本设备的私钥解密得到所述密钥参数。15、如权利要求9所述的方法，其特征在于，该方法进一步包括第三设备和第四设备根据所述配对信息，获取安全通信所需的加密密钥和/或完整性密钥。16、一种通信设备，其特征在于，包括第一接收模块，用于接收其它设备发送的获取配对信息的请求消息，所述配对信息用于与所述其它设备之间的安全通信；第一确定模块，用于根据所述请求消息，确定本设备上是否存在所述配对信息；第一发送模块，用于在确定本设备上存在所述配对信息时，向所述其它设备发送所述配对信息。17、如权利要求16所述的设备，其特征在于，所述请求消息包括所述其它设备的标识；所述第一确定模块进一步用于根据所述请求消息中所述其它设备的标识，确定本设备上存在包含所述其它设备的标识的配对信息。18、如权利要求17所述的设备，其特征在于，所述请求消息包括域标识和/或配对信息签发设备的标识；所述第一确定模块进一步用于根据所述请求消息中域标识和/或配对信息签发设备的标识，确定本设备上存在包含所述域标识和/或配对信息签发设备的标识的配对信息。19、如权利要求16所述的设备，其特征在于，所述请求消息包括配对信息标识；所述第一确定模块进一步用于根据所述请求消息中配对信息标识，确定本设备上存在包含所述配对信息标识的配对信息。20、如权利要求16至19任一项所述的设备，其特征在于，所述第一接收模块进一步用于接收所述其它设备发起的配对信息查询请求，所述第一发送模块进一步用于向所述其它设备返回本设备上配对信息的存在状态和/或部分参数。21、如权利要求16所述的设备，其特征在于，所述设备还包括；获取模块，用于根据所述配对信息，获取安全通信所需的加密密钥和/或完整性密钥。22、一种通信设备，其特征在于，包括第二确定模块，用于确定其它设备上是否存在有效的配对信息，所述配对信息用于与所述其它设备之间的安全通信；第三确定模块，用于在所述第二确定模块确定所述其它设备上不存在配对信息时，确定本设备上是否存在所述配对信息；第二发送模块，用于在所述第三确定模块确定本设备上存在所述配对信息时，向所述其它设备提供所述配对信息。23、如权利要求22所述的设备，其特征在于，还包括第二接收模块，用于接收所述其它设备提供的指示信息或配对信息的部分参数，所述指示信息指示第四设备上是否存在所述配对信息，所述部分参数包括有效时间、签发时间、代数其中之一或任意组合；所述第二确定模块进一步用于根据所述指示信息或所述部分参数，确定所述其它设备上是否存在所述有效的配对信息。24、如权利要求22所述的设备，其特征在于，还包括获取模块，用于根据所述配对信息，获取安全通信所需的加密密钥和/或完整性密钥。25、一种通信系统，其特征在于，包括第一设备和第二设备，其中第一设备，用于发送获取配对信息的请求消息，所述配对信息用于第一设备与第二设备之间的安全通信；以及，用于接收所述配对信息；第二设备，用于接收所述请求消息，并在根据所述请求消息确定本设备上存在所述配对信息时，将所述配对信息返回给第一设备。26、一种通信系统，其特征在于，包括第三设备和第四设备，其中第三设备，用于在确定第四设备上不存在有效的配对信息，所述配对信息用于与第四设备之间的安全通信；并且，确定本设备上存在所述配对信息时，向第四设备提供所述配对信息；第四设备，用于接收所述配对信息。全文摘要本发明公开了一种在设备间共享配对信息的方法，该方法包括第一设备向第二设备发送获取配对信息的请求消息，所述配对信息用于第一设备与第二设备之间的安全通信；第二设备根据所述请求消息，确定本设备上存在所述配对信息时，将所述配对信息返回给第一设备。本发明同时公开一种通信设备和通信系统。采用本发明可以在设备之间利用同一配对信息进行安全通信，简化处理流程，节省设备资源。文档编号H04L29/06GK101399825SQ200710161579公开日2009年4月1日申请日期2007年9月29日优先权日2007年9月29日发明者沛党,周志鹏,周皓隽,张仁宙,袁卫忠,晨黄申请人:华为技术有限公司