一种终端设备切换时密钥协商的方法和设备的制造方法
【技术领域】
[0001]本发明涉及通信领域,尤其涉及一种终端设备切换时密钥协商的方法和设备。
【背景技术】
[0002]长期以来,网际协议(Internet Protocol,IP)地址既是标识符,即主机身份标识,又是定位符,即网络位置标识,使得传输层与网络层的分离不够彻底,同一主机的多个网卡同时接入网络,切换网卡会导致IP变化、业务中断,而在移动网中,终端移动时可能引起IP地址重分配,导致连接中断并重建,对于未来将出现的一个用户多台设备的场景,要求业务流量在多台设备间无缝切换时,传统的传输控制协议/因特网互联协议(Transmiss1nControl Protocol/Internet Protocol, TCP/IP)网络就无法支持,因此需要将IP地址的主机身份标识功能剥离出来,引入新的标识符承担主机身份标识的功能,而用户身份协议(User Identity Protocol,UIP)中引入的用户标识符(User ID)可以承担主机身份标识的功能。
[0003]其中,UIP网络由一个或多个ΠΡ域组成,一个UIP域由一个位置服务器(Subscriber Locat1n Server, SLS)、一个或多个路由器(Domain Router,DR)以及一个或多个网关(Gateway, GW)组成,对于一个用户多台设备的情况,UserID由运营商分配而保持不变,一个UserID可以关联多个设备标识符(DevicelD),但是在这种网络架构中,攻击者在攻破了同一用户的某一设备的密钥之后,可以使用该设备的密钥再去攻击用户的其它设备;若用户与DR间的当前会话密钥遭到攻破,使得切换后的终端设备可能会遭到攻击,使得UIP域的安全性降低。
【发明内容】
[0004]本发明的实施例提供一种终端设备切换时密钥协商的方法和设备,能够提高用户身份协议网络架构中设备之间进行通信的安全性。
[0005]为达到上述目的,本发明的实施例采用如下技术方案:
[0006]第一方面,提供一种终端设备切换时密钥协商的方法,包括:
[0007]位置服务器接收路由器发送的接入请求消息,所述接入请求消息包括用户标识符和终端设备标识符;
[0008]所述位置服务器在接收到所述接入请求消息后生成随机值,并向所述路由器发送第一认证请求消息,以使得在所述路由器接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包含所述位置服务器生成的随机值;
[0009]所述位置服务器根据所述随机值、共享密钥以及所述终端设备标识符生成设备密钥,所述共享密钥与所述用户标识符对应;
[0010]所述位置服务器向所述路由器发送接入响应消息,其中,所述接入响应消息包括所述设备密钥,以使所述路由器根据所述设备密钥生成会话密钥。
[0011]结合第一方面,在第一方面的第一种可能实现的方式中,所述位置服务器根据所述随机值、所述共享密钥以及所述终端设备的标识符生成设备密钥包括:
[0012]所述位置服务器根据所述随机值、所述共享密钥、所述终端设备的标识符、所述位置服务器所在域的标识符以及所述路由器的标识符生成设备密钥。
[0013]第二方面,提供一种终端设备切换时密钥协商的方法,包括:
[0014]路由器向位置服务器发送接入请求消息所述接入请求消息包括用户标识符和终端设备标识符;
[0015]所述路由器接收所述位置服务器发送的第一认证请求消息,在接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包括所述位置服务器在接收到所述接入请求消息后生成的随机值;
[0016]所述路由器接收所述位置服务器发送的接入响应消息,所述接入响应消息包括所述设备密钥;
[0017]所述路由器根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述终端设备交互。
[0018]结合第二方面,在第二方面的第一种可能实现的方式中,所述路由器根据所述设备密钥生成会话密钥包括:
[0019]所述路由器根据所述设备密钥生成临时设备密钥;
[0020]所述路由器根据所述临时设备密钥生成会话密钥。
[0021]结合第二方面的第一种可能实现的方式,在第二方面的第二种可能实现的方式中,所述路由器根据所述设备密钥生成临时设备密钥包括:
[0022]所述路由器根据所述设备密钥和第一参数生成临时设备密钥,所述第一参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0023]结合第二方面的第一种可能实现的方式或第二种可能实现的方式,在第二方面的第三种可能实现的方式中,所述路由器根据所述临时设备密钥生成会话密钥包括:
[0024]所述路由器根据所述临时设备密钥和第二参数生成会话密钥,所述第二参数包括第二计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0025]第三方面,提供一种终端设备切换时密钥协商的方法,包括:
[0026]终端设备接收路由器发送的第一认证请求消息,所述第一认证请求消息包括位置服务器生成的随机值;
[0027]所述终端设备根据共享密钥、终端设备标识符、所述随机值生成设备密钥,所述共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
[0028]所述终端设备根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述路由器交互。
[0029]结合第三方面,在第三方面的第一种可能实现的方式中,所述终端设备根据所述设备密钥生成会话密钥包括:
[0030]所述终端设备根据所述设备密钥生成临时设备密钥;
[0031]所述终端设备根据所述临时设备密钥生成会话密钥。
[0032]结合第三方面的第一种可能实现的方式,在第三方面的第二种可能实现的方式中,所述终端设备根据所述设备密钥生成临时设备密钥包括:
[0033]所述终端设备根据所述设备密钥和第三参数生成临时设备密钥,所述第三参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
[0034]结合第三方面的第一种可能实现的方式或第二种可能实现的方式,在第三方面的第三种可能实现的方式中,所述终端设备据所述临时设备密钥生成会话密钥包括:
[0035]所述终端设备根据所述临时设备密钥和第四参数生成会话密钥,所述第四参数包括计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
[0036]第四方面,提供一种位置服务器,包括:
[0037]接收单元,用于接收路由器发送的接入请求消息,所述接入请求消息包括用户标识符和终端设备的标识符;
[0038]发送单元,用于在所述接收单元接收所述接入请求消息完成时生成随机值,并向所述路由器发送第一认证请求消息,以使得在所述路由器接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包含位置服务器生成的随机值;
[0039]生成单元,用于根据所述随机值、共享密钥、以及所述终端设备标识符生成设备密钥,所述共享密钥与所述用户标识符对应;
[0040]发送单元,还用于向路由器发送接入响应消息,其中,所述接入响应消息包括所述设备密钥,以使所述路由器根据所述设备密钥生成会话密钥。
[0041]结合第四方面,在第四方面的第一种可能实现的方式中,所述生成单元具体为:
[0042]根据所述随机值、所述共享密钥、所述终端设备的标识符、所述位置服务器所在域的标识符以及所述路由器的标识符生成设备密钥。
[0043]第五方面,提供一种路由器,包括:
[0044]发送单元,用于向位置服务器发送接入请求消息,所述接入请求消息包括用户标识符和终端设备标识符;
[0045]接收单元,用于接收所述位置服务器发送的第一认证请求消息,在接收到所述第一认证请求消息后,向终端设备发送第二认证请求消息,其中所述第一认证请求消息、所述第二认证请求消息均包括所述位置服务器在接收到所述接入请求消息后生成的随机值;
[0046]所述接收单元,还用于接收所述位置服务器发送的接入响应消息,其中,所述接入响应消息包括所述设备密钥;
[0047]生成单元,用于根据所述设备密钥生成会话会话密钥,以便于通过所述会话密钥和所述终端设备交互。
[0048]结合第五方面,在第五方面的第一种可能实现的方式中,所述生成单元具体为:
[0049]根据所述设备密钥生成临时设备密钥;
[0050]根据所述临时设备密钥生成会话密钥。
[0051]结合第五方面的第一种可能实现的方式,在第五方面的第二种可能实现的方式中,所述生成单元具体为:
[0052]根据所述设备密钥和第一参数生成临时设备密钥,所述第一参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0053]结合第五方面的第一种可能实现的方式或第二种可能实现的方式,在第五方面的第三种可能实现的方式中,所述生成单元具体为:
[0054]根据所述临时设备密钥和第二参数生成会话密钥,所述第二参数包括第二计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0055]第六方面,提供一种终端设备,包括:
[0056]接收单元,用于接收路由器发送的第一认证请求消息,所述第一认证请求消息包括位置服务器生成的随机值;
[0057]生成单元,用于根据共享密钥、终端设备标识符、所述随机值生成设备密钥,所述共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
[0058]生成单元,用于根据所述设备密钥生成会话密钥,以便于通过所述会话密钥与所述路由器交互。
[0059]结合第六方面,在第六方面的第一种可能实现的方式中,所述生成单元具体用于:
[0060]根据所述设备密钥生成临时设备密钥;
[0061]根据所述临时设备密钥生成会话密钥。
[0062]结合第六方面的第一种可能实现的方式,在第六方面的第二种可能实现的方式中,所述生成单元具体用于:
[0063]根据所述设备密钥和第三参数生成临时设备密钥,所述第三参数包括第一计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第一计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
[0064]结合第六方面的第一种可能实现的方式,在第六方面的第二种可能实现的方式中,所述生成单元具体用于:
[0065]根据所述临时设备密钥和第四参数生成会话密钥,所述第四参数包括计数值、所述位置服务器所在域的标识符以及所述路由器的标识符中至少一个参数,所述第二计数值从所述终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
[0066]第七方面,提供一种通信系统,所述通信系统包括:
[0067]如第四方面提供的位置服务器,如第五方面提供的路由器以及如第六方面提供的终端设备。
[0068]本发明实施例提供一种终端设备切换时密钥协商的方法和设备,位置服务器通过接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符,向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应,进而向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥,其中,在生成会话密钥时还包括位置服务器所在域的标识符以及路由器的标识符,这样,在将密钥协商所生成的会话密钥和终端设备标识符、域标识符以及路由器的标识符进行绑定后,当用户发生设备切换时能够提高用户身份协议网络架构中设备之间进行通信的安全性。
【附图说明】
[0069]为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0070]图1为本发明实施例提供的一种UIP (User Identity Protocol,户身份协议)网络架构示意图;
[0071]图2为本发明实施例提供的一种ΠΡ的ID模型示意图;
[0072]图3为本发明实施例提供的一种密钥协商方法流程示意图;
[0073]图4为本发明实施例提供的一种密钥协商方法流程示意图;
[0074]图5为本发明实施例提供的一种密钥协商方法流程示意图;
[0075]图6为本发明实施例提供的一种密钥协商方法流程示意图;
[0076]图7为本发明实施例提供的一种ΠΡ网络架构中各个设备间的通信交互图;
[0077]图8为本发明实施例提供的一种位置服务器结构示意图;
[0078]图9为本发明实施例提供的一种路由器结构示意图;
[0079]图10为本发明实施例提供的一种用户设备结构示意图;
[0080]图11为本发明实施例提供的一种位置服务器结构示意图;
[0081]图12为本发明实施例提供的一种路由器结构示意图;
[0082]图13为本发明实施例提供的一种用户设备结构示意图。
【具体实施方式】
[0083]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例