由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0215]可选的,生成单元023可以具体用于:
[0216]根据临时设备密钥和第二参数生成会话密钥,第二参数包括第二计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第二计数值从路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0217]具体而言,SLS在接收到DR发送的接入请求消息后,可以生成一个随机值nonce,用于后续认证该用户以及生成密钥。而后,SLS向DR发送第一认证请求消息,该第一认证请求消息中就包括SLS生成的随机值,DR在接收到第一认证请求消息后,将随机值携带在第二认证请求消息中发送至Device2,其中,第二认证请求消息还可以包括SLS所在域的标识符Domain ID和DR的DR ID,这里的Domain ID和DR的DR ID可以是通过SLS发送第一认证请求消息给DR时携带在第一认证请求消息中的,也可以是通过预先配置在DR中的。
[0218]示例性的,SLS在得到设备密钥K时,可以认为该用户认证通过,其认证过程为本领域公知常识。SLS向DR发送接入响应Access Response消息,该消息中携带SLS推导出的设备密钥Kdev。DR便可以根据Kdev和计数器counter的计数信息推导出临时设备密钥Kdev’。其中counter是ΠΡ协议内置的计数器,是DR与用户间由UIP协议维护的一个计数器,DR与用户总能保持该计数器同步。而后,DR可以根据得到的KdeV’、Domain ID以及DR ID推导出会话密钥Ksess1n,该会话密钥为DR与Device2用户设备进行业务交互所使用的会话密钥。当Device〗也通过类似的算法得出会话密钥时,当Devicel上的业务状态传递给了 Device2后,使得Devicel上承载的业务切换到了 Device2上,Device2就可以通过会话密钥Ksess1n与DR进行会话了。
[0219]这样,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
[0220]可选的,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器的;
[0221]可选的,域的标识符和路由器的标识符是预先配置在路由器中的。
[0222]本发明实施例提供一种路由器,通过向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备的标识符,接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,而后接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥,进而根据设备密钥生成会话密钥,以便于通过绘画密钥与终端设备交互,其中在生成会话密钥过程中,还可以包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,这样当用户发生设备切换时,新切换的终端设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,能够提高用户身份协议网络架构中设备之间进行通信的安全性。
[0223]本发明实施例提供一种终端设备03,如图10所示,包括:
[0224]接收单元031,用于接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值。
[0225]举例来说,当用户与两台用户设备关联,当前用户与Devicel关联,如果用户将要发生设备切换,例如将要切换至Device〗,首先,Device〗要先将新的状态注册到SLS,SLS再去通知用户所属DR可以进行设备切换,当DR接收到另一与该用户进行通信的用户发送的新的报文时,就可以先向SLS或者逐个向各个Device查询接收新报文的Device,例如查询得到为这里的Device2。
[0226]而后,DR就可以向SLS发送接入请求消息,消息中携带发生设备切换的用户的User ID和新的用户设备的Device ID (Device2), SLS生成一个随机值nonce,用于认证用户设备Device2以及生成密钥。SLS再向DR发送认证请求消息并携带随机值,DR再将该随机值携带在发送给Device2的认证请求消息中。
[0227]其中,DR发送给Device2的认证请求消息中还可以携带SLS所在域的标识符Domain ID和DR ID。这里的Domain ID和DR ID可以是SLS通过发送给DR的,也可以是预先配置在DR中的。
[0228]生成单元032,用于根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,所述终端设备标识符从所述终端设备获取,所述用户标识符从所述终端设备获取;
[0229]生成单元032,还用于根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互。
[0230]可选的,生成单元032可以具体用于:
[0231]根据设备密钥生成临时设备密钥;
[0232]根据临时设备密钥生成会话密钥。
[0233]可选的,生成单元032可以具体用于:
[0234]根据设备密钥和第三参数生成临时设备密钥,第三参数包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
[0235]可选的,生成单元032可以具体用于:
[0236]根据临时设备密钥和第四参数生成会话密钥,第四参数包括计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第二计数值从终端设备的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取,所述路由器的标识符从所述路由器获取。
[0237]示例性的,Device2在得到设备密钥Kdev后,可以根据Kdev与计数器counter的计数信息推导得出临时设备密钥Kdev’,而后,DeviCe2可以根据临时设备密钥Kdev’、Domain ID以及DR ID推导得出会话密钥Ksess1n。
[0238]进而,Devicel上的业务状态就可以传递给新的设备Device2,使得Devicel上承载的业务切换至Device〗上,这样在发生用户设备切换后,DR就可以将从另一用户接收到的新的报文转发给Device2,以使Device2与DR进行通信。
[0239]这样一来,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与Domain ID和DRID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全。
[0240]可选的,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器,路由器通过第二认证请求消息发送至用户设备的;
[0241]可选的,域的标识符和路由器的标识符是预先配置在路由器中的。
[0242]本发明实施例提供一种终端设备,通过接收路由器发送的第一认证请求消息,第一认证请求消息包括位置服务器生成的随机值,根据共享密钥、终端设备标识符、随机值生成设备密钥,共享密钥与用户标识符对应,再根据设备密钥生成会话密钥,以便于通过会话密钥与路由器交互,其中,在生成会话密钥的过程中可以还可以包括位置服务器所在域的标识符和路由器的标识符,当用户发生设备切换时,新切换的用户设备与DR之间的会话密钥就会重新推导一次,能够保证新的Device与DR之间的安全,也使得会话密钥与DomainID和DR ID绑定,当一个domain或者一个DR被攻破时,不会影响到其它domain或DR的安全,这样能够提高用户身份协议网络架构中设备之间进行通信的安全性。
[0243]本发明实施例提供一种位置服务器04,如图11所示为位置服务器的结构示意图,可以包括:总线041、处理器042、发射器043、接收器044以及存储器045,其中,该存储器045用于存储指令,接收器044执行该指令用于路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符;发射器043执行该指令用于在接收所述接入请求消息完成时生成随机值,并向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包含位置服务器生成的随机值;处理器042执行该指令还用于根据随机值、共享密钥以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应;发射器043执行该指令用于向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥。
[0244]可选的,在本发明实施例中,处理器042用于根据随机值、共享密钥以及终端设备的标识符生成设备密钥时包括:
[0245]根据随机值、共享密钥、终端设备的标识符、位置服务器所在域的标识符以及路由器的标识符生成设备密钥。
[0246]可选的,在本发明实施例中,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器的;
[0247]可选的,在本发明实施例中,域的标识符和路由器的标识符是预先配置在路由器中的。
[0248]可替换的,位置服务器SLS和终端设备推导设备密钥Kdev的参数除了共享密钥K、终端设备标识符Device ID以及随机值外,还可以包括域的标识符Domain ID以及路由器的标识符DR ID,这样,路由器DR和终端设备推导会话密钥Kess1n的参数就可以只有临时设备密钥Kdev’,不包括Domain ID以及DR ID ;
[0249]可替换的,DR和终端设备推导临时设备密钥Kdev’的参数除了设备密钥Kdev和计数器counter之外,还可以包括域的标识符Domain ID以及路由器的标识符DR ID,这样,DR和终端设备推导会话密钥Kess1n的参数就可以只有Kdev’,不包括Domain ID以及DRID ;
[0250]可替换的,SLS和终端设备推导设备密钥Kdev的参数除了共享密钥K、Device ID以及随机值外,还可以包括Domain ID和DR ID7DR和终端设备推导临时设备密钥Kdev’的参数只有设备密钥Kdev,不包括counter, DR和终端设备推导会话密钥Kess1n的参数除了 Kdev’之外,还可以包括counter ;
[0251]可替换的,DR和终端设备推导临时设备密钥Kdev’的参数除了设备密钥Kdev之夕卜,还可以包括Domain ID以及DR ID,但不包括counter,这样,DR和终端设备推导会话密钥Kess1n的参数除了 Kdev’之外,还可以包括counter,但不包括Domain ID以及DR ID ;
[0252]可替换的,DR和终端设备推导临时设备密钥Kdev’的参数只有设备密钥Kdev,这样,在DR和终端设备推导会话密钥Kess1n的参数除了 Kdev’、Domain ID以及DR ID之夕卜,还可以包括counter。
[0253]本发明实施例提供一种位置服务器,位置服务器通过接收路由器发送的接入请求消息,接入请求消息包括用户标识符和终端设备标识符,向路由器发送第一认证请求消息,以使得在路由器接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值,根据随机值、共享密钥、以及终端设备标识符生成设备密钥,共享密钥与用户标识符对应,进而向路由器发送接入响应消息,其中,接入响应消息包括设备密钥,以使路由器根据设备密钥生成会话密钥,其中,在生成会话密钥时还包括位置服务器所在域的标识符以及路由器的标识符,这样,在将密钥协商所生成的会话密钥和终端设备标识符、域标识符以及路由器的标识符进行绑定后,当用户发生设备切换时能够提高用户身份协议网络架构中设备之间进行通信的安全性。
[0254]本发明实施例提供一种路由器05,如图12所示,为路由器05的结构示意图,可以包括:总线051、处理器052、发射器053、接收器054以及存储器055,其中,该存储器055用于存储指令,发射器053执行该指令用于向位置服务器发送接入请求消息,以使得所述位置服务器在接收所述接入请求消息完成时生成随机值,接入请求消息包括用户标识符和终端设备标识符;接收器054执行该指令用于位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器生成的随机值;接收器054执行该指令还用于接收位置服务器发送的接入响应消息,接入响应消息包括设备密钥,处理器052执行该指令用于根据设备密钥生成会话密钥,以便于通过会话密钥与终端设备交互。
[0255]可选的,在本发明实施例中,处理器052执行该指令根据设备密钥生成会话密钥包括:
[0256]根据设备密钥生成临时设备密钥;
[0257]根据临时设备密钥生成会话密钥。
[0258]可选的,在本发明实施例中,处理器052执行该指令根据设备密钥生成临时设备密钥包括:
[0259]根据设备密钥和第一参数生成临时设备密钥,第一参数包括第一计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第一计数值从路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0260]可选的,在本发明实施例中,处理器052执行该指令根据临时设备密钥生成会话密钥包括:
[0261]根据临时设备密钥和第二参数生成会话密钥,第二参数包括第二计数值、位置服务器所在域的标识符以及路由器的标识符中至少一个参数,第二计数值从路由器的计数器中获取,所述位置服务器所在域的标识符从所述位置服务器获取或预先设置在所述路由器中,所述路由器的标识符从所述路由器获取。
[0262]可选的,在本发明实施例中,域的标识符和路由器的标识符是位置服务器通过第一认证请求消息发送至路由器的;
[0263]可选的,在本发明实施例中,域的标识符和路由器的标识符是预先配置在路由器中的。
[0264]本发明实施例提供一种路由器,通过向位置服务器发送接入请求消息,接入请求消息包括用户标识符和终端设备的标识符,接收位置服务器发送的第一认证请求消息,在接收到第一认证请求消息后,向终端设备发送第二认证请求消息,其中第一认证请求消息、第二认证请求消息均包括位置服务器在接收到所述接入请求消息后生成的随机值,而后接收位置