专利名称:基于通用自引导架构的密钥协商方法、装置及系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,尤其涉及一种基于通用自引导架构(Generic Bootstrapping Architecture, GBA)的密钥协商方法、装置及系统。
背景技术:
在3G移动网络中,终端通常需要与网络中的业务点建立安全连接。3GPP提出基于 GBA的GBA方法,该方法是一种3G终端和应用服务器之间协商与共享密钥的方法。GBA方法 的简要描述如下(1)终端向应用服务器(Network Access Facility,NAF)发送访问请求, 应用服务器要求用户首先和3G网络中的用户和自引导服务器(Bootstrapping Facility, BSF)之间协商共享密钥;(2)终端向自引导服务器发起请求,通过AKA的双向认证机制协商 出密钥Ks ; (3)终端根据一些参数计算得到密钥Ks_NAF,然后向应用服务器再次发起访问 请求;(4) NAF向BSF发起请求,BSF将相应的密钥Ks_NAF发送给NAF,终端和NAF均拥有共 享密钥Ks_NAF。终端和应用服务器拥有共享密钥Ks_NAF后,可以基于该共享密钥建立安全 联盟。在有些情况下,NAF需要主动与UE建立会话,这时可以通过GBA PUSH的方式实 现。GBA PUSH方法的简要描述如下=(I)NAF向BSF发送访问请求;(2) BSF运行AKA产生认 证向量、产生Ks,并根据一些参数推导出终端与NAF的共享密钥Ks_NAF ; (3)BSF将认证向 量、Ks_NAF等信息发送到NAF ; (4)NAF得到Ks_NAF,并发送认证向量等信息到终端;(5)终 端根据从NAF得到的信息运行AKA,验证收到的认证向量,并产生Ks,然后计算得到密钥Ks_ NAF ; (6) NAF向BSF发起请求,BSF将相应的密钥Ks_NAF发给NAF,使得终端和NAF均拥有 共享密钥Ks_NAF。相关技术中的基于通用自引导架构的密钥协商方法在应用服务器向终端发起密 钥协商,即,GBA PUSH时,为在第(4)步骤中将认证向量等信息发送到终端,应用服务器需 要到其他网元中查询终端的用户信息,然后再根据查询到的用户信息与终端进行密钥协 商,导致密钥协商过程花费时间较长,影响用户体验。
发明内容
本发明的目的在于提供一种基于通用自引导架构的密钥协商方法、装置及系统, 能够解决相关技术中在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导 致的密钥协商过程花费时间较长,影响用户体验的技术问题。根据本发明的一个方面,提供了一种基于通用自引导架构的密钥协商方法,包括 将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;应用服务器 接收并保存用户信息;应用服务器利用用户信息与终端进行密钥协商。优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服 务器具体包括终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和 自引导临时身份标识计算得到第二密钥;终端向应用服务器发送访问请求,其中携带自引导临时身份标识和利用第二密钥加密的用户信息。优选地,应用服务器接收并保存用户信息具体包括应用服务器向自引导服务器 发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自 引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计 算得到第二密钥,自引导服务器利用第二密钥对加密的用户信息进行解密;自引导服务器 向应用服务器发送认证请求的响应,其中携带解密的用户信息。优选地,应用服务器接收并保存用户信息具体包括应用服务器向自引导服务器 发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自 引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计 算得到第二密钥;自引导服务器向应用服务器发送认证请求的响应,其中携带第二密钥; 应用服务器利用第二密钥对加密的用户信息进行解密以得到解密的用户信息。优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服 务器具体包括终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和 自引导临时身份标识计算得到第二密钥;终端根据第二密钥计算得到第三密钥;终端向应 用服务器发送访问请求,其中携带自引导临时身份标识和利用第三密钥加密的用户信息。优选地,应用服务器接收并保存用户信息具体包括应用服务器向自引导服务器 发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自 引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计 算得到第二密钥,再根据第二密钥得到第三密钥,自引导服务器利用第三密钥对加密的用 户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户信息ο优选地,应用服务器根据用户信息与终端进行密钥协商具体包括应用服务器向 自引导服务器发送访问请求,其中携带应用服务器信息;自引导服务器根据应用服务器信 息得到认证向量和第四密钥,并根据第四密钥计算得到第五密钥,自引导服务器将认证向 量和第五密钥发送到应用服务器;应用服务器根据用户信息将第五密钥发送到终端。优选地,用户信息包括自引导临时身份标识、用户标识、通用自引导架构信息和 用户传输地址。根据本发明的另一个方面,提供了一种基于通用自引导架构的密钥协商装置,包 括发送模块,用于将终端的用户信息携带在访问请求中发送给接收模块;接收模块,位于 通用自引导架构的应用服务器上,用于接收并保存用户信息;协商模块,位于应用服务器 上,用于利用用户信息与终端进行密钥协商。根据本发明的又一个方面,提供了一种基于通用自引导架构的密钥协商系统,包 括发送模块,用于将终端的用户信息携带在访问请求中发送给第一应用服务器;第一应 用服务器,用于从终端接收加密的用户信息、将加密的用户信息发送给第一自引导服务器、 并从第一自引导服务器接收解密的用户信息;第一自引导服务器,用于对加密的用户信息 进行解密,并将解密后的用户信息发送给第一应用服务器。根据本发明的又一个方面,提供了一种基于通用自引导架构的密钥协商系统,包 括发送模块,用于将终端的用户信息携带在访问请求中发送给第二应用服务器;第二应 用服务器,用于从终端接收加密的用户信息,并从第二自引导服务器接收用于解密用户信息的密钥;第二自引导服务器,用于产生用于解密用户信息的密钥,并将密钥发送给第二应 用服务器。借助于本发明的上述至少一个技术方案,通过将终端的用户信息携带在终端对应 用服务器的访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,然后在应 用服务器需要时,利用保存的该用户信息与终端进行密钥协商,从而避免了在GBA PUSH时, 应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影 响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实 施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1是根据本发明第一实施例的基于通用自引导架构的密钥协商方法的流程图;图2是根据本发明第二实施例的基于通用自引导架构的密钥协商方法的流程图;图3是根据本发明第三实施例的基于通用自引导架构的密钥协商方法的流程图;图4是根据本发明第四实施例的基于通用自引导架构的密钥协商方法的流程图;图5是根据本发明第五实施例的基于通用自引导架构的密钥协商装置的方框图;图6是根据本发明第六实施例的基于通用自引导架构的密钥协商系统的方框图;图7是根据本发明第七实施例的基于通用自引导架构的密钥协商系统的方框图。
具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实 施例仅用于说明和解释本发明,并不用于限定本发明。在以下的描述中,为了解释的目的,描述了多个特定的细节,以提供对本发明的透 彻理解。然而,很显然,在没有这些特定细节的情况下,也可以实现本发明,此外,在不冲突 的情况下,即在不背离所附权利要求阐明的精神和范围的情况下,下述实施例以及实施例 中的各个细节可以进行各种组合。第一实施例图1是根据本发明第一实施例的基于通用自引导架构的密钥协商方法的流程图。 如图1所示,根据本发明第一实施例的基于通用自引导架构的密钥协商方法包括步骤S102,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用 服务器;步骤S104,应用服务器接收并保存用户信息;步骤S106,应用服务器利用用户信息与终端进行密钥协商。根据本发明第一实施例的基于GBA的密钥协商方法通过将终端的用户信息携带 在终端对应用服务器的访问请求中发送给应用服务器,应用服务器接收并保存该用户信 息,然后在应用服务器需要时,利用保存的该用户信息与终端进行密钥协商,从而避免了在 GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费 时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和 自引导临时身份标识计算得到第二密钥;终端向应用服务器发送访问请求,其中携带自引 导临时身份标识和利用第二密钥加密的用户信息。终端向应用服务器NAF发送访问请求时,应用服务器要求用户首先自引导服务器 (BSF)之间协商共享密钥;终端根据该指示向自引导服务器发起请求,自引导服务器通过 AKA过程的双向认证机制协商出密钥Ks发送给终端,终端再根据该Ks计算得到密钥Ks_ NAF ;然后终端向应用服务器再次发起访问请求,请求中携带用Ks或Ks推导出的密钥Ks_ NAF加密的用户信息,使得应用服务器得到加密后的用户信息。优选地,应用服务器接收并保存用户信息具体包括应用服务器向自引导服务器 发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自 引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计 算得到第二密钥,自引导服务器利用第二密钥对加密的用户信息进行解密;自引导服务器 向应用服务器发送认证请求的响应,其中携带解密的用户信息。应用服务器向自引导服务器发起请求,其中携带自引导临时身份标识、应用服务 器信息、以及加密的用户信息;自引导服务器用Ks或根据Ks推导出的密钥对加密的用户信 息进行解密以获得用户信息,自引导服务器将解密后的用户信息发送到应用服务器,以注 册或更新用户信息。可选地,自引导服务器也可以将解密后的用户信息发送给用户签约数 据库(HSS)以使得HSS可以对用户信息进行更新。优选地,应用服务器接收并保存用户信息具体包括应用服务器向自引导服务器 发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自 引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计 算得到第二密钥;自引导服务器向应用服务器发送认证请求的响应,其中携带第二密钥; 应用服务器利用第二密钥对加密的用户信息进行解密以得到解密的用户信息。如果不是用Ks加密的用户信息,应用服务器可以保存用Ks推导出的密钥加密的 用户信息,并向自引导服务器发起请求;自引导服务器用根据Ks推导出密钥,并将该密钥 发送给应用服务器;应用服务器使用从自引导服务器接收到的密钥对加密的用户信息进行 解密以获得用户信息,并更新应用服务器中的用户信息。优选地,将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服 务器具体包括终端向自引导服务器发起请求并协商得到第一密钥;终端根据第一密钥和 自引导临时身份标识计算得到第二密钥;终端根据第二密钥计算得到第三密钥;终端向应 用服务器发送访问请求,其中携带自引导临时身份标识和利用第三密钥加密的用户信息。 以将用户信息发送给应用服务器。优选地,应用服务器接收并保存用户信息具体包括应用服务器向自引导服务器 发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的用户信息;自 引导服务器根据自引导临时身份标识和应用服务器信息获取第一密钥,并根据第一密钥计 算得到第二密钥,再根据第二密钥得到第三密钥,自引导服务器利用第三密钥对加密的用 户信息进行解密;自引导服务器向应用服务器发送认证请求的响应,其中携带解密的用户 信息。以使得应用服务器获取解密后的用户信息。优选地,应用服务器根据用户信息与终端进行密钥协商具体包括应用服务器向自引导服务器发送访问请求,其中携带应用服务器信息;自引导服务器根据应用服务器信 息得到认证向量和第四密钥,并根据第四密钥计算得到第五密钥,自引导服务器将认证向 量和第五密钥发送到应用服务器;应用服务器根据用户信息将第五密钥发送到终端。以使 得终端和应用服务器均拥有第五密钥,使得密钥协商成功。 优选地,用户信息包括自引导临时身份标识、用户标识、通用自引导架构信息和 用户传输地址。用户信息可以用XML表示,其XML代码可以如下所示<xscomplexType name=" GBA_user_info“ ><xssequence)<xs: element name=" btid〃 type=" xs: string" /><xs: element name=" user_id〃 type=" xs: string" /><xs: element name=" gba_push_type" type=" xs: string" /><xs: element name=" gbl_type" type=" xs: string" /><xs:element name = " transport_addr" type =" gba:string" /></xs:sequence)</xs:complexType)当然,用户信息也可以用诸如C、C++的其他的计算语言形式表示。根据本发明第一实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服
务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户 体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。第二实施例图2是根据本发明第二实施例的基于通用自引导架构的密钥协商方法的流程图。 如图2所示,根据本发明第二实施例的基于通用自引导架构的密钥协商方法包括步骤202 终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证 流程;步骤204 终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生 成应用服务器密钥(Ks_NAF);步骤206 终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标 识和用应用服务器密钥加密的用户信息;步骤208 应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份 标识、应用服务器信息、加密的用户信息;步骤210 自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密 钥,并推导出应用服务器密钥(Ks_NAF),并用该应用服务器密钥解密用户信息;步骤212 自引导服务器发送用户信息到用户签约数据库,更新用户信息;步骤214:自引导服务器发送认证响应到应用服务器,该响应中包含用户安全策 略、应用服务器密钥(Ks_NAF)、用户信息等;步骤216 应用服务器根据收到的用户信息,更新/注册用户信息;步骤218 应用服务器利用该用户信息与终端进行密钥协商。根据本发明第二实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户 体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。第三实施例图3是根据本发明第三实施例的基于通用自引导架构的密钥协商方法的流程图。 如图3所示,根据本发明第三实施例的基于通用自引导架构的密钥协商方法包括步骤302 终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证 流程;步骤304 终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生 成应用服务器密钥(Ks_NAF);步骤306 终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标 识和用应用服务器密钥加密的用户信息;步骤308 应用服务器将加密的用户信息保存在本地;步骤310 应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份 标识、应用服务器信息、加密的用户信息;步骤312 自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密 钥,并推导出应用服务器密钥(Ks_NAF);步骤314 自引导服务器发送认证响应到应用服务器,该响应中包含应用服务器 密钥(Ks_NAF)等信息;步骤316 应用服务器根据收到的应用服务器密钥(Ks_NAF),解密用户信息,注册 /更新用户信息;步骤318 应用服务器利用该用户信息与终端进行密钥协商。根据本发明第三实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服 务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户 体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。第四实施例图4是根据本发明第四实施例的基于通用自引导架构的密钥协商方法的流程图。 如图4所示,根据本发明第四实施例的基于通用自引导架构的密钥协商方法包括步骤402 终端与自引导服务器进行自引导过程,归属签约服务器可以参与认证 流程;步骤404 终端产生共享密钥(Ks),共享密钥Ks与自引导临时身份标识等共同生 成应用服务器密钥(Ks_NAF),保护用户信息的密钥Ks_U,Ks_U可由应用服务器密钥Ks_NAF 生成,也可由共享密钥Ks生成;步骤406 终端发送请求消息到应用服务器,请求消息中包含自引导临时身份标 识和用密钥Ks_U加密的用户信息;步骤408 应用服务器发送认证请求消息到自引导服务器,包含自引导临时身份 标识、应用服务器信息、加密的用户信息;步骤410 自引导服务器根据自引导临时身份标志、应用服务器信息获取共享密 钥,并推导出应用服务器密钥(Ks_NAF),保护用户信息的密钥Ks_U,“』可由应用服务器 密钥Ks_NAF生成,也可由共享密钥Ks生成。用Ks_U解密用户信息;
步骤412 自引导服务器发送用户信息到用户签约数据库,更新用户信息;步骤414:自引导服务器发送认证响应到应用服务器,该响应中包含用户安全策 略、应用服务器密钥(Ks_NAF)、用户信息等;步骤416 应用服务器根据收到的用户信息,更新/注册用户信息;步骤418 应用服务器利用该用户信息与终端进行密钥协商。根据本发明第四实施例的基于GBA的密钥协商方法避免了在GBA PUSH时,应用服 务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间较长,影响用户 体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。第五实施例图5是根据本发明第五实施例的基于通用自引导架构的密钥协商装置的方框图。如图5所示,根据本发明第五实施例的基于通用自引导架构的密钥协商装置包 括发送模块502,用于将终端的用户信息携带在访问请求中发送给接收模块;接收模块 504,位于通用自引导架构的应用服务器上,用于接收并保存用户信息;协商模块506,位于 应用服务器上,用于利用用户信息与终端进行密钥协商。根据本发明第五实施例的基于GBA的密钥协商装置通过利用发送模块将终端的 用户信息携带在访问请求中发送给接收模块,并利用位于应用服务器上的接收模块接收并 保存该用户信息,使得应用服务器能够在GBA PUSH时,直接从本地查询到终端的用户信息, 从而避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥 协商过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验 的技术效果。第六实施例图6是根据本发明第六实施例的基于通用自引导架构的密钥协商系统的方框图。如图6所示,根据本发明第六实施例的基于通用自引导架构的密钥协商系统包 括发送模块502,用于将终端的用户信息携带在访问请求中发送给第一应用服务器;第一 应用服务器602,用于从终端接收加密的用户信息、将加密的用户信息发送给第一自引导服 务器、并从第一自引导服务器接收解密的用户信息;第一自引导服务器604,用于对加密的 用户信息进行解密,并将解密后的用户信息发送给第一应用服务器。根据本发明第六实施例的基于GBA的密钥协商系统通过利用发送模块将终端的 用户信息携带在访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,使得 应用服务器能够在GBAPUSH时,直接从本地查询到终端的用户信息以进行密钥协商,从而 避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商 过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技 术效果。第七实施例图7是根据本发明第七实施例的基于通用自引导架构的密钥协商系统的方框图。如图7所示,根据本发明第七实施例的基于通用自引导架构的密钥协商系统包 括发送模块502,用于将终端的用户信息携带在访问请求中发送给第二应用服务器;第二 应用服务器702,用于从终端接收加密的用户信息,并从第二自引导服务器接收用于解密用 户信息的密钥;第二自引导服务器704,用于产生用于解密用户信息的密钥,并将密钥发送给第二应用服务器。根据本发明第七实施例的基于GBA的密钥协商系统通过利用发送模块将终端的 用户信息携带在访问请求中发送给应用服务器,应用服务器接收并保存该用户信息,使得 应用服务器能够在GBAPUSH时,直接从本地查询到终端的用户信息以进行密钥协商,从而 避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商 过程花费时间较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技 术效果。总之,根据本发明实施例的基于GBA的密钥协商方法、装置及系统避免了在GBA PUSH时,应用服务器需要到其他网元中查询终端的用户信息导致的密钥协商过程花费时间 较长,影响用户体验的技术问题,达到提高密钥协商效率,改善用户体验的技术效果。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种基于通用自引导架构的密钥协商方法,其特征在于,包括将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;所述应用服务器接收并保存所述用户信息;所述应用服务器利用所述用户信息与所述终端进行密钥协商。
2.根据权利要求1所述的方法,其特征在于,将终端的用户信息携带在访问请求中发 送给通用自引导架构中的应用服务器具体包括终端向所述自引导服务器发起请求并协商得到第一密钥; 所述终端根据所述第一密钥和自引导临时身份标识计算得到第二密钥; 所述终端向所述应用服务器发送访问请求,其中携带所述自引导临时身份标识和利用 所述第二密钥加密的所述用户信息。
3.根据权利要求2所述的方法,其特征在于,所述应用服务器接收并保存所述用户信 息具体包括所述应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用 服务器信息、以及加密的所述用户信息;所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第 一密钥,并根据所述第一密钥计算得到所述第二密钥,所述自引导服务器利用所述第二密 钥对加密的所述用户信息进行解密;所述自引导服务器向所述应用服务器发送所述认证请求的响应,其中携带解密的所述 用户{曰息。
4.根据权利要求2所述的方法,其特征在于,所述应用服务器接收并保存所述用户信 息具体包括所述应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用 服务器信息、以及加密的所述用户信息;所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第 一密钥,并根据所述第一密钥计算得到所述第二密钥;所述自引导服务器向所述应用服务器发送所述认证请求的响应,其中携带所述第二密钥;所述应用服务器利用所述第二密钥对加密的所述用户信息进行解密以得到解密的所 述用户信息。
5.根据权利要求1所述的方法,其特征在于,将终端的用户信息携带在访问请求中发 送给通用自引导架构中的应用服务器具体包括终端向所述自引导服务器发起请求并协商得到第一密钥; 所述终端根据所述第一密钥和自引导临时身份标识计算得到第二密钥; 所述终端根据所述第二密钥计算得到第三密钥;所述终端向所述应用服务器发送访问请求,其中携带所述自引导临时身份标识和利用 所述第三密钥加密的所述用户信息。
6.根据权利要求5所述的方法,其特征在于,所述应用服务器接收并保存所述用户信 息具体包括所述应用服务器向自引导服务器发送认证请求,其中携带自引导临时身份标识、应用服务器信息、以及加密的所述用户信息;所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第 一密钥,并根据所述第一密钥计算得到所述第二密钥,再根据所述第二密钥得到所述第三 密钥,所述自引导服务器利用所述第三密钥对加密的所述用户信息进行解密;所述自引导服务器向所述应用服务器发送所述认证请求的响应,其中携带解密的所述 用户信息。
7.根据权利要求1所述的方法,其特征在于,所述应用服务器根据所述用户信息与所 述终端进行密钥协商具体包括所述应用服务器向自引导服务器发送访问请求,其中携带所述应用服务器信息; 所述自引导服务器根据所述应用服务器信息得到认证向量和第四密钥,并根据所述第 四密钥计算得到第五密钥,所述自引导服务器将所述认证向量和所述第五密钥发送到所述 应用服务器;所述应用服务器根据所述用户信息将所述第五密钥发送到所述终端。
8.根据权利要求1所述的方法,其特征在于,所述用户信息包括自引导临时身份标 识、用户标识、通用自引导架构信息和用户传输地址。
9.一种基于通用自引导架构的密钥协商装置,其特征在于,包括发送模块,用于将终端的用户信息携带在访问请求中发送给接收模块;所述接收模块,位于通用自引导架构的应用服务器上,用于接收并保存所述用户信息;协商模块,位于所述应用服务器上,用于利用所述用户信息与所述终端进行密钥协商。
10.一种基于通用自引导架构的密钥协商系统,其特征在于,包括发送模块,用于将终端的用户信息携带在访问请求中发送给第一应用服务器; 所述第一应用服务器,用于从终端接收加密的用户信息、将加密的所述用户信息发送 给第一自引导服务器、并从所述第一自弓I导服务器接收解密的所述用户信息;所述第一自引导服务器,用于对加密的所述用户信息进行解密,并将解密后的所述用 户信息发送给所述第一应用服务器。
11.一种基于通用自引导架构的密钥协商系统,其特征在于,包括发送模块,用于将终端的用户信息携带在访问请求中发送给第二应用服务器; 所述第二应用服务器,用于从终端接收加密的用户信息,并从第二自引导服务器接收 用于解密所述用户信息的密钥;所述第二自引导服务器,用于产生用于解密所述用户信息的密钥,并将所述密钥发送 给所述第二应用服务器。
全文摘要
本发明公开了一种基于通用自引导架构的密钥协商方法、装置及系统,该方法包括将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器;应用服务器获取并保存用户信息;应用服务器利用用户信息与终端进行密钥协商。本发明达到了提高密钥协商效率,改善用户体验的技术效果。
文档编号H04W12/04GK101990203SQ20091016403
公开日2011年3月23日 申请日期2009年8月5日 优先权日2009年8月5日
发明者王鸿彦 申请人:中兴通讯股份有限公司