生成会话密钥Ksess1n,第二参数包括第二计数值、位置服务器所在域的标识符Domain ID和路由器的标识符DR ID中至少一个参数,第二计数值从DR的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0119]其中counter是UIP协议内置的计数器,是DR与用户间由UIP协议维护的一个计数器,DR与用户总能保持该计数器同步;所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器自身获取。
[0120]具体可以对上述情况分别说明,可以是路由器根据临时设备密钥Kdev’、域的标识符Domain ID以及DR ID推导会话密钥Ksess1n,其中临时设备密钥Kdev’是路由器根据设备密钥Kdev以及计数器counter推导出来的;
[0121]可替换的,SLS和终端设备Device〗推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kess1n的参数就可以只有Kdev’,不包括Domain ID以及DR ID ;
[0122]可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev和counter之外,还可以包括Domain ID以及DR ID,这样,DR和Device2推导会话密钥Kess1n的参数就可以只有Kdev’,不包括Domain ID以及DR ID ;
[0123]可替换的,SLS和终端设备Device〗推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID和DR ID,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,不包括counter, DR和Device2推导会话密钥Kess1n的参数除了 Kdev’之外,还可以包括counter ;
[0124]可替换的,DR和Device2推导临时设备密钥Kdev’的参数除了设备密钥Kdev之夕卜,还可以包括Domain ID以及DR ID,但不包括counter,这样,DR和Device2推导会话密钥Kess1n的参数除了 Kdev’之外,还可以包括counter,但不包括Domain ID以及DR ID ;
[0125]可替换的,DR和Device2推导临时设备密钥Kdev’的参数只有设备密钥Kdev,这样,在DR和Device2推导会话密钥Kess1n的参数除了 Kdev’、Domain ID以及DR ID之夕卜,还可以包括counter。
[0126]当Device2也通过类似的算法得出会话密钥时,当Devicel上的业务状态传递给了 Device2后,使得Devicel上承载的业务切换到了 Device2上,Device2就可以通过会话密钥Ksess1n与DR进行会话了。
[0127]这样,当用户发生设备切换时,新切换的终端设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
[0128]本发明实施例提供一种终端设备切换时密钥协商的方法,通过向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备的标识符,接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,而后接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥,进而根据设备密钥生成会话密钥,以便于通过绘画密钥与终端设备交互,其中在生成会话密钥过程中,还可以包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,这样当用户发生设备切换时,新切换的终端设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与DomainID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,能够提高用户身份协议网络架构中设备之间进行通信的安全性。
[0129]本发明实施例提供一种终端设备切换时密钥协商的方法,如图5所示,包括:
[0130]301、终端设备接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值。
[0131]示例性的,当用户与两台用户设备关联,当前用户与Devicel关联,如果用户将要发生设备切换,例如将要切换至Device〗,首先,Device〗要先将新的状态注册到SLS,SLS再去通知用户所属DR可以进行设备切换,当DR接收到另一与该用户进行通信的用户发送的新的报文时,就可以先向SLS或者逐个向各个Device查询接收新报文的Device,例如查询得到为这里的Device2。
[0132]而后,DR就可以向SLS发送接入请求消息,消息中携带发生设备切换的用户的User ID和新的终端设备的Device ID (Device2), SLS生成一个随机值nonce,用于认证终端设备Device2以及生成密钥。SLS再向DR发送认证请求消息并携带随机值,DR再将该随机值携带在发送给Device2的第一认证请求消息中。
[0133]其中,DR发送给DeviCe2的第一认证请求消息中还可以携带SLS所在域的标识符Domain ID和DR ID。这里的Domain ID和DR ID可以是SLS通过发送给DR的,也可以是预先配置在DR中的。
[0134]302、终端设备根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取。
[0135]具体的,Device2在接收到DR发送的认证请求消息后,可以向DR返回认证响应Authenticat1n Response 消息,而后,Device2 根据共享密钥 K、Device ID (Device2)、随机值推导出设备密钥Kdev。其中,在推导设备密钥Kdev的过程中还也可以包括Domain ID和 DRID。
[0136]其中,共享密钥K是用户与ΠΡ网络共享的,这里就可以为User与SLS共享的,每个User有唯一的共享密钥K。
[0137]303、终端设备根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互。
[0138]具体的,终端设备Device2根据设备密钥Kdev生成会话密钥Ksess1n的具体实现方式可以为:DeViCe2根据设备密钥Kdev生成临时设备密钥Kdev’,再根据临时设备密钥Kdev’生成会话密钥Ksess1n。
[0139]示例性的,终端设备Device〗根据设备密钥Kdev生成临时设备密钥Kdev’的具体实现方式为:DeViCe2根据设备密钥Kdev和第三参数生成临时设备密钥Kdev’,第三参数包括第一计数值、位置服务器所在域的标识符Domain ID以及DR的标识符DR ID中至少一个参数,第一计数值从Device的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。其中,终端设备DeviCe2生成的临时设备密钥所使用的参数与路由器生成临时设备密钥所使用的参数保持一致;终端设备Device2生成会话密钥所使用的参数与路由器生成会话密钥所使用的参数保持一致,以使得终端设备DeviCe2可以与路由器通过会话密钥进行交互。
[0140]对于终端设备Device2根据临时设备密钥Kdev’生成会话密钥Ksess1n的具体实现方式可以为:DeViCe2根据临时设备密钥Kdev’和第四参数生成会话密钥Ksess1n,第四参数包括计数值、位置服务器所在域的标识符Domain ID以及DR的标识符DR ID中至少一个参数,第二计数值从所述路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
[0141]其中,计数器counter是ΠΡ协议内置的计数器,DR与UE总是能保持该计数器同步,这里就是Device2的计数器与DR的计数器保持同步。
[0142]具体从步骤302和步骤303的说明可以知道,位置服务器所在域的标识符DomainID和DR的标识符DR ID可以在步骤302中推导设备密钥Kdev的过程中,也可以在步骤303中DeviCe2根据设备密钥Kdev生成临时设备密钥Kdev’的过程中,也可以在步骤303中Device2根据临时设备密钥Kdev’生成会话密钥Ksess1n的过程中。计数器counter的计数值可以是应用在DeviCe2根据设备密钥Kdev生成临时设备密钥Kdev’的过程中,也可以应用在evice2根据临时设备密钥Kdev’生成会话密钥Ksess1n的过程中。
[0143]进而,Devicel上的业务状态就可以传递给新的设备Device2,使得Devicel上承载的业务切换至Device〗上,这样在发生用户设备切换后,DR就可以将从另一用户接收到的新的报文转发给Device2,以使Device2与DR进行通信。
[0144]这样一来,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DRID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
[0145]本发明实施例提供一种终端设备切换时密钥协商的方法,通过接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值,根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,再根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互,其中,在生成会话密钥的过程中可以还可以包括位置服务器所在域的标识符和路由器的标识符,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,这样能够提高用户身份协议网络架构中设备之间进行通信的安全性。
[0146]本发明实施例提供一种终端切换时密钥协商的方法,如图6所示,包括:
[0147]401、终端设备向位置服务器发送注册消息。
[0148]示例性的,在ΠΡ网络中,当用户与至少两个终端设备关联,也就是一个用户多台设备,可以发生在业务流量在多台设备间无缝切换的场景,也即用户的业务不中断,业务从一台用户设备无缝切换至另一台用户设备,这两台设备为同一个用户。当其中关联的一个终端设备的状态发生变化,例如与ΠΡ网络间的通信优先级变高了,这里可以理解为与ΠΡ网络间的通讯成本变的更低,也可以为其它状态的变化,这里不做限定,终端设备就可以将新的状态注册到用户所属的位置服务器SLS,发送给SLS的注册消息可以包括新的终端设备的设备标识符Device ID。假设用户当前关联的终端设备的用户标识符为Devicel,待切换后的终端设备的标识符为Device〗,这里的终端设备的标识符就可以理解为这里的Device2。
[0149]402、位置服务器向路由器发送通知消息,以使路由器进行设备切换。
[0150]具体的,当SLS接收到Device〗的注册消息后,可以向用户所属的路由器DR发送通知消息,以使DR获知可以进行设备切换。该通知消息中可以包括将发生设备切换的用户的标识符User ID。
[0151]403、当路由器接收到源终端设备发送的报文时,确定接收报文的终端设备。
[0152]其中,这里的源终端设备是指与Device〗的第二用户进行通信的第一用户的终端设备。当第一用户的终端设备向第二用户发送新的报文时,报文会首先转发至第二用户的DR,这时,DR就需要确定接收报文的第一用户的终端设备。
[0153]具体的,DR可以向第二用户所属的SLS进行查询,查询新注册到SLS的终端设备的Device ID,或者可以逐个向与第二用户关联的终端设备进行查询,查询通信优先级最高的终端设备的Device ID,这里的通信优先级可以按照通信信号质量来衡量,通信质量最好的用户设备就为将接收报文的用户设备。这里,查询得到的终端设备就为终端设备的标识符为Device〗的终端设备。
[0154]404、路由器向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备标识符。
[0155]具体的,在确定了将要接收报文的用户设备为Device2后,DR就可以向SLS发送接入请求Access Request消息,消息中可以携带将要发生设备切换的用户的标识符User ID以及接收报文的终端设备的标识符Device ID,这里的Device ID就为Device2。
[0156]405、位置服务器生成随机值,随机值用于认证终端设备和生成密钥,而后向路由器发送第一认证请求消息,第一认证请求消息包括随机值。
[0157]具体的,SLS在接收到接入请求消息后,可以生成一个随机值nonce,用于后续认证用户以及生成密钥等。而后,SLS向DR发送第一认证请求Authenticat1n Request消息,该第一认证请求消息就包括SLS生成的随机值nonce。
[0158]406、路由器向终端设备发送第二认证请求消息,第二认证请求消息包括随机值、位置服务器所在域的标识符以及路由器的标识符。
[0159]具体的,DR可以将从SLS接收到的随机值通过第二认证请求消息发送至DeviCe2,该第二认证请求消息还可以包括SLS所在域的标识符Domain ID以及DR的标识符DR ID,其中Domain ID以及DR ID可以是SLS在向DR发送第一认证请求消息后携带在第一认证请求消息中的,而后DR再将Domain ID以及DR ID携带在第二认证请求消息中发送给Device2,也可以是预先配置在DR中的,也可以通过其它方式发送给Device,这里不做限定。
[0160]407、终端设备向路由器发送认证响应消息,而后进入步骤408和步骤411,其中步骤408?410与步骤411?413是并列关系。
[0161]具体的,当Device2在向DR返回认证响应消息后,DR与Device2就开始推导发生设备切换后,Device2与DR进行通信的会话密钥。其中下述步骤408?410为DR推导会话密钥的过程,步骤411?413为Device〗推导会话密钥的过程,在进入步骤408时同时进入步骤411。
[0162]408、路由器向位置服务器发送认证响应消息,以使位置服务器根据用户标识符获取与用户标识符对应的共享密钥。
[0163]具体的,DR接收到Device2的认证响应消息后,便向SLS返回认证响应消息,SLS就可