安全能力協商方法和系統、業務服務器、用戶終端的制作方法
【專利摘要】本發明公開一種安全能力協商方法和系統、業務服務器、用戶終端。其中在安全能力協商方法中,通過將用戶終端的安全能力信息發送給業務服務器,由業務服務器產生與用戶終端的安全能力信息相匹配的安全配置參數,并將安全配置參數發送給用戶終端,從而用戶終端利用安全配置參數進行安全配置。由于通過用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。
【專利說明】安全能力協商方法和系統、業務服務器、用戶終端
【技術領域】
[0001]本發明涉及通信領域,特別是涉及一種安全能力協商方法和系統、業務服務器、用戶終端。
【背景技術】
[0002]物聯網被普遍認可的定義是:它是一個由感知層、網絡層、應用層共同構成的龐大的社會信息系統。感知層負責感知收集信息,而網絡層負責將信息傳輸到應用層,應用層通過感知和傳輸來的信息進行分析和處理,實現物與物、人與物之間的感知。物聯網將各種信息傳感設備,如射頻識別(Radio Frequency Identif ication,簡稱:RFID)裝置、紅外感應器、全球定位系統、激光掃描器、家用電器、安防設備等與互聯網結合起來形成的一個巨大網絡,讓所有物品與網絡連接在一起,方便識別、管理和監控,在此基礎上實現融合的應用,最終為人們提供無所不在的全方位服務。
[0003]目前物聯網行業應用中使用的普通M2M (Machine toMachine,機器到機器)終端,數據以明文傳輸,部分敏感數據定義了應用層加密的方案,但其密鑰的分發是在注冊流程中通過短信方式完成。而涉及金融、電力、安防等領域的物聯網行業應用對數據傳輸的安全性要求高,上述方案不能滿足要求。
[0004]對于安全性要求高的行業應用,目前的做法是按照每個項目的應用場景定制加密方案和M2M終端,終端廠商需花費大量人力成本用于專門實現密鑰管理和數據的加解密算法,開發門檻高、難度大。
【發明內容】
[0005]本發明要解決的技術問題是提供一種安全能力協商方法和系統、業務服務器、用戶終端。通過分別在用戶終端和業務服務器設置安全模塊,用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。
[0006]根據本發明的一個方面,提供一種安全能力協商方法,包括:
[0007]生成第一注冊請求信息;
[0008]在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息;
[0009]利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息;
[0010]將安全能力注冊請求信息發送給業務服務器;
[0011]接收業務服務器發送的安全能力注冊響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力注冊請求信息進行解密,在解密成功后從解密的安全能力注冊請求信息中獲取用戶終端的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數,并利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息;[0012]利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數;
[0013]利用安全配置參數進行安全配置。
[0014]根據本發明的另一方面,提供一種安全能力協商方法,包括:
[0015]接收用戶終端發送的安全能力注冊請求消息;
[0016]利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密;
[0017]在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息;
[0018]驗證用戶終端的身份認證信息是否合法;
[0019]在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數;
[0020]利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息;
[0021]將安全能力注冊響應信息發送給用戶終端,以便用戶終端利用身份密鑰對安全能力注冊響應信息進行解密以得到安全配置參數,并利用安全配置參數進行安全配置。
[0022]根據本發明的另一方面,提供一種安全能力協商的用戶終端,包括:
[0023]業務模塊,用于生成第一注冊請求信息,接收第一安全模塊發送的注冊響應信息;
[0024]第一安全模塊,用于在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息;利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息;利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數;利用安全配置參數進行安全配置;向業務模塊發送注冊響應信息;
[0025]網絡接入模塊,用于將安全能力注冊請求信息發送給業務服務器;接收業務服務器發送的安全能力注冊響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力注冊請求信息進行解密,在解密成功后從解密的安全能力注冊請求信息中獲取用戶終端的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數,并利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息;
[0026]用戶識別模塊,用于提供用戶終端的身份密鑰。
[0027]根據本發明的另一方面,提供一種安全能力協商的業務服務器,包括:
[0028]網絡通信模塊,用于接收用戶終端發送的安全能力注冊請求消息;將安全能力注冊響應信息發送給用戶終端,以便用戶終端利用身份密鑰對安全能力注冊響應信息進行解密以得到安全配置參數,并利用安全配置參數進行安全配置;
[0029]第二安全模塊,用于利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密;在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數;利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息。
[0030]根據本發明的另一方面,提供一種安全能力協商系統,包括用戶終端和業務服務器,其中:[0031]用戶終端,用于生成第一注冊請求信息;在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息;利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息;將安全能力注冊請求信息發送給業務服務器;接收業務服務器發送的安全能力注冊響應信息;利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數;利用安全配置參數進行安全配置;
[0032]業務服務器,用于接收用戶終端發送的安全能力注冊請求消息;利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密;在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數;利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息;將安全能力注冊響應信息發送給用戶終端。
[0033]本發明通過將用戶終端的安全能力信息發送給業務服務器,由業務服務器產生與用戶終端的安全能力信息相匹配的安全配置參數,并將安全配置參數發送給用戶終端,從而用戶終端利用安全配置參數進行安全配置。由于通過用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。
【專利附圖】
【附圖說明】
[0034]圖1為本發明安全能力協商方法一個實施例的示意圖。
[0035]圖2為本發明更新會話密鑰一個實施例的示意圖。
[0036]圖3為本發明變更安全能力一個實施例的示意圖。
[0037]圖4為本發明安全能力協商方法另一實施例的示意圖。
[0038]圖5為本發明更新會話密鑰另一實施例的示意圖。
[0039]圖6為本發明變更安全能力另一實施例的示意圖。
[0040]圖7為本發明用戶終端一個實施例的實體圖。
[0041]圖8為本發明業務服務器一個實施例的示意圖。
[0042]圖9為本發明安全能力協商系統一個實施例的示意圖
[0043]圖10為本發明安全配置參數匹配方法一個實施例的示意圖。
【具體實施方式】
[0044]下面參照附圖對本發明進行更全面的描述,其中說明本發明的示例性實施例。
[0045]圖1為本發明安全能力協商方法一個實施例的示意圖。如圖1所示:
[0046]步驟101,生成第一注冊請求信息。
[0047]步驟102,在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息。
[0048]步驟103,利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息。
[0049]步驟104,將安全能力注冊請求信息發送給業務服務器。
[0050]步驟105,接收業務服務器發送的安全能力注冊響應信息。[0051]其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力注冊請求信息進行解密,在解密成功后從解密的安全能力注冊請求信息中獲取用戶終端的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數,并利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息。
[0052]步驟106,利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數。
[0053]步驟107,利用安全配置參數進行安全配置。
[0054]基于本發明上述實施例提供的安全能力協商方法,通過將用戶終端的安全能力信息發送給業務服務器,由業務服務器產生與用戶終端的安全能力信息相匹配的安全配置參數,并將安全配置參數發送給用戶終端,從而用戶終端利用安全配置參數進行安全配置。由于通過用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。
[0055]優選的,安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
[0056]優選的,安全能力包括所能支持的安全處理能力,例如支持的加密算法、加密解密數據處理能力等,以及應用配置信息,例如安全級別、數據率、時延、優先級等要求。
[0057]通過安全能力協商,用戶終端可與業務服務器利用協商得到的安全能力信息進行交互。
[0058]圖2為本發明更新會話密鑰一個實施例的示意圖。如圖2所示:
[0059]步驟201,根據會話密鑰更新周期判斷是否需要對會話密鑰進行更新。
[0060]步驟202,若判斷需要對會話密鑰進行更新,則生成第一更新請求信息,其中第一更新請求信息包括會話密鑰標識信息。
[0061]步驟203,利用身份密鑰對第一更新請求信息進行加密,以得到會話密鑰更新請求信息。
[0062]步驟204,將會話密鑰更新請求信息發送給業務服務器。
[0063]步驟205,接收業務服務器發送的會話更新響應信息。
[0064]其中業務服務器利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密,在解密成功后從解密的會話密鑰更新請求信息中獲取會話密鑰標識信息,對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰,利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息。
[0065]步驟206,利用身份密鑰對會話更新響應信息進行解密,以獲得更新后的會話密鑰,從而利用更新后的會話密鑰進行信息交互。
[0066]從而,當超過預定時間,對會話密鑰進行更新,因此提高了系統的安全性。
[0067]圖3為本發明變更安全能力一個實施例的示意圖。如圖3所示:
[0068]步驟301,當用戶終端變更安全能力時,生成第一變更請求信息,其中第一變更請求信息包括用戶終端的身份認證信息以及用戶終端變更后的安全能力信息。
[0069]步驟302,利用身份密鑰對第一變更請求信息進行加密,以生成安全能力變更請求信息。[0070]步驟303,將安全能力變更請求信息發送給業務服務器。
[0071]步驟304,接收業務服務器發送的安全能力變更響應信息。
[0072]其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密,在解密成功后從解密的安全能力變更請求信息中獲取用戶終端變更后的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端變更后的安全能力信息相匹配的變更安全配置參數,并利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息。
[0073]步驟305,利用身份密鑰對安全能力變更響應信息進行解密,以得到變更安全配置參數。
[0074]步驟306,利用變更安全配置參數進行安全配置。
[0075]當安全能力變化時,用戶終端與業務服務器重新進行安全能力協商,從而能夠為用戶提供適當的安全能力,提高了用戶體驗。
[0076]圖4為本發明安全能力協商方法另一實施例的示意圖。如圖4所示:
[0077]步驟401,接收用戶終端發送的安全能力注冊請求消息。
[0078]步驟402,利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密。
[0079]步驟403,在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息。
[0080]步驟404,驗證用戶終端的身份認證信息是否合法。
[0081]步驟405,在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數。
[0082]步驟406,利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息。
[0083]步驟407,將安全能力注冊響應信息發送給用戶終端,以便用戶終端利用身份密鑰對安全能力注冊響應信息進行解密以得到安全配置參數,并利用安全配置參數進行安全配置。
[0084]基于本發明上述實施例提供的安全能力協商方法,通過將用戶終端的安全能力信息發送給業務服務器,由業務服務器產生與用戶終端的安全能力信息相匹配的安全配置參數,并將安全配置參數發送給用戶終端,從而用戶終端利用安全配置參數進行安全配置。由于通過用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。
[0085]優選的,安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
[0086]圖5為本發明更新會話密鑰另一實施例的不意圖。如圖5所不:
[0087]步驟501,接收用戶終端發送的會話密鑰更新請求信息。
[0088]步驟502,利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密。
[0089]步驟503,在解密成功后,從解密后的會話密鑰更新請求信息中獲得會話密鑰標識信息。
[0090]步驟504,對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰。[0091]步驟505,利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息。
[0092]步驟506,將會話更新響應信息發送給用戶終端,以便用戶終端利用更新后的會話密鑰進行信息交互。
[0093]從而,當超過預定時間,對會話密鑰進行更新,因此提高了系統的安全性。
[0094]圖6為本發明變更安全能力另一實施例的示意圖。如圖6所示:
[0095]步驟601,接收用戶終端發送的安全能力變更請求信息。
[0096]步驟602,利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密。
[0097]步驟603,在解密成功后,從解密的安全能力變更請求信息中獲取用戶終端的身份認證信息以及用戶終端變更后的安全能力信息。
[0098]步驟604,驗證用戶終端的身份認證信息是否合法。
[0099]步驟605,在驗證用戶終端的身份認證信息合法時,產生與用戶終端變更的安全能力信息相匹配的變更安全配置參數。
[0100]步驟606,利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息。
[0101]步驟607,將安全能力變更響應信息發送給用戶終端,以便用戶終端利用變更安全配置參數進行安全配置。
[0102]當安全能力變化時,用戶終端與業務服務器重新進行安全能力協商,從而能夠為用戶提供適當的安全能力,提高了用戶體驗。
[0103]圖7為本發明用戶終端一個實施例的實體圖。如圖7所示,用戶終端包括:
[0104]業務模塊701,用于生成第一注冊請求信息,接收第一安全模塊702發送的注冊響
應信息。
[0105]第一安全模塊702,用于在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息;利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息;利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數;利用安全配置參數進行安全配置;向業務模塊701發送注冊響應信息。
[0106]網絡接入模塊703,用于將安全能力注冊請求信息發送給業務服務器;接收業務服務器發送的安全能力注冊響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力注冊請求信息進行解密,在解密成功后從解密的安全能力注冊請求信息中獲取用戶終端的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數,并利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息。
[0107]用戶識別模塊704,用于提供用戶終端的身份密鑰。
[0108]基于本發明上述實施例提供的用戶終端,通過將用戶終端的安全能力信息發送給業務服務器,由業務服務器產生與用戶終端的安全能力信息相匹配的安全配置參數,并將安全配置參數發送給用戶終端,從而用戶終端利用安全配置參數進行安全配置。由于通過用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。
[0109]優選的,安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
[0110]優選的,用戶識別模塊704為HM(User Identity Model,用戶識別模塊)卡。ΠΜ卡中的身份密鑰由業務服務器統一分發。
[0111]優選的,第一安全模塊702還用于根據會話密鑰更新周期判斷是否需要對會話密鑰進行更新,若判斷需要對會話密鑰進行更新,則生成第一更新請求信息,其中第一更新請求信息包括會話密鑰標識信息;利用身份密鑰對第一更新請求信息進行加密,以得到會話密鑰更新請求信息;利用身份密鑰對會話更新響應信息進行解密,以獲得更新后的會話密鑰,從而利用更新后的會話密鑰進行信息交互;
[0112]網絡接入模塊703還用于將會話密鑰更新請求信息發送給業務服務器;接收業務服務器發送的會話更新響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密,在解密成功后從解密的會話密鑰更新請求信息中獲取會話密鑰標識信息,對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰,利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息。
[0113]優選的,第一安全模塊702還用于在當用戶終端變更安全能力時,生成第一變更請求信息,其中第一變更請求信息包括用戶終端的身份認證信息以及用戶終端變更后的安全能力信息;利用身份密鑰對第一變更請求信息進行加密,以生成安全能力變更請求信息;利用身份密鑰對安全能力變更響應信息進行解密,以得到變更安全配置參數;利用變更安全配置參數進行安全配置。
[0114]網絡接入模塊703還用于將安全能力變更請求信息發送給業務服務器;接收業務服務器發送的安全能力變更響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密,在解密成功后從解密的安全能力變更請求信息中獲取用戶終端變更后的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端變更后的安全能力信息相匹配的變更安全配置參數,并利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息。
[0115]圖8為本發明業務服務器一個實施例的示意圖。如圖8所示,業務服務器包括:
[0116]網絡通信模塊801,用于接收用戶終端發送的安全能力注冊請求消息;將安全能力注冊響應信息發送給用戶終端,以便用戶終端利用身份密鑰對安全能力注冊響應信息進行解密以得到安全配置參數,并利用安全配置參數進行安全配置。
[0117]第二安全模塊802,用于利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密;在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數;利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息。
[0118]基于本發明上述實施例提供的業務服務器,通過將用戶終端的安全能力信息發送給業務服務器,由業務服務器產生與用戶終端的安全能力信息相匹配的安全配置參數,并將安全配置參數發送給用戶終端,從而用戶終端利用安全配置參數進行安全配置。由于通過用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。[0119]優選的,安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
[0120]優選的,網絡通信模塊801還用于接收用戶終端發送的會話密鑰更新請求信息;將會話更新響應信息發送給用戶終端,以便用戶終端利用更新后的會話密鑰進行信息交互。
[0121]第二安全模塊802還利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密;在解密成功后,從解密后的會話密鑰更新請求信息中獲得會話密鑰標識信息;對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰;利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息。
[0122]優選的,網絡通信模塊801還用于接收用戶終端發送的安全能力變更請求信息;將安全能力變更響應信息發送給用戶終端,以便用戶終端利用變更安全配置參數進行安全配置。
[0123]第二安全模塊802還利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密;在解密成功后,從解密的安全能力變更請求信息中獲取用戶終端的身份認證信息以及用戶終端變更后的安全能力信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端變更的安全能力信息相匹配的變更安全配置參數;利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息。
[0124]圖9為本發明安全能力協商系統一個實施例的示意圖。如圖9所示,安全能力協商系統包括用戶終端901和業務服務器902,其中:
[0125]用戶終端901,用于生成第一注冊請求信息;在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息;利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息;將安全能力注冊請求信息發送給業務服務器;接收業務服務器發送的安全能力注冊響應信息;利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數;利用安全配置參數進行安全配置。
[0126]業務服務器902,用于接收用戶終端發送的安全能力注冊請求消息;利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密;在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數;利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息;將安全能力注冊響應信息發送給用戶終端。
[0127]基于本發明上述實施例提供的安全能力協商系統,通過將用戶終端的安全能力信息發送給業務服務器,由業務服務器產生與用戶終端的安全能力信息相匹配的安全配置參數,并將安全配置參數發送給用戶終端,從而用戶終端利用安全配置參數進行安全配置。由于通過用戶終端與業務服務器協商安全傳輸所需要的安全配置參數,從而將業務邏輯與安全配置相分離,降低了用戶安全應用的開發和部署成本。
[0128]為了簡明起見,在圖9所示實施例中僅示出了一個用戶終端,本領域技術人員可以了解的是,該系統中可設有多個用戶終端。
[0129]優選的,用戶終端901為圖7所示任一實施例涉及的用戶終端,業務服務器為圖8所示任一實施例涉及的業務服務器。
[0130]通過用戶終端901與業務服務器902的安全能力協商,用戶終端901中的業務模塊可與業務服務器902中的業務模塊(在圖中沒有示出)進行交互。
[0131]圖10為本發明安全配置參數匹配方法一個實施例的示意圖。如圖10所示:
[0132]步驟1001,采集用戶終端上報的安全能力信息和應用配置信息。
[0133]安全能力信息包括用戶終端支持的加密算法、各算法的性能指標等信息。應用配置信息包括安全級別、數據率、時延、優先級別等要求。
[0134]步驟1002,根據安全級別需求篩選合格的加密算法。
[0135]步驟1003,根據合格的加密算法的性能指標和業務數據類型計算不同組合方案的安全性能指標。
[0136]步驟1004,篩選滿足性能要求的方案。
[0137]步驟1005,根據性能優先或安全優先確定安全方案。
[0138]所確定的安全方案包括會話密鑰、會話密鑰長度、更新周期、加密算法等信息。
[0139]通過應用本發明,可具有以下優點:
[0140]1、通過用戶識別模塊以及用戶終端和業務服務器上的安全模塊可全面控制安全傳輸通道;
[0141]2、同樣的平臺可使用不同的安全應用,可根據安全需求適配不同的加密方案;
[0142]3、用戶終端和業務服務器上的安全模塊通過會話協商確定安全方案,并可進行動態調整;
[0143]4、用戶終端不用關心安全功能的具體實現方式,只需專注于業務邏輯本身;
[0144]5、用戶終端只需加載安全模塊和用戶識別模塊即可用于安全應用,并可通過遠程配置適應不同的安全應用需求。
[0145]本發明的描述是為了示例和描述起見而給出的,而并不是無遺漏的或者將本發明限于所公開的形式。很多修改和變化對于本領域的普通技術人員而言是顯然的。選擇和描述實施例是為了更好說明本發明的原理和實際應用,并且使本領域的普通技術人員能夠理解本發明從而設計適于特定用途的帶有各種修改的各種實施例。
【權利要求】
1.一種安全能力協商方法,其特征在于,包括: 生成第一注冊請求信息; 在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息; 利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息; 將安全能力注冊請求信息發送給業務服務器; 接收業務服務器發送的安全能力注冊響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力注冊請求信息進行解密,在解密成功后從解密的安全能力注冊請求信息中獲取用戶終端的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數,并利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息; 利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數; 利用安全配置參數進行安全配置。
2.根據權利要求1所述的方法,其特征在于: 安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
3.根據權利要求2所述的方法,其特征在于: 根據會話密鑰更新周期判斷是否需要對會話密鑰進行更新,若判斷需要對會話密鑰進行更新,則生成第一更新請求信息,其中第一更新請求信息包括會話密鑰標識信息; 利用身份密鑰對第一更新請求信息進行加密,以得到會話密鑰更新請求信息; 將會話密鑰更新請求信息發送給業務服務器; 接收業務服務器發送的會話更新響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密,在解密成功后從解密的會話密鑰更新請求信息中獲取會話密鑰標識信息,對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰,利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息; 利用身份密鑰對會話更新響應信息進行解密,以獲得更新后的會話密鑰,從而利用更新后的會話密鑰進行信息交互。
4.根據權利要求2或3所述的方法,其特征在于: 當用戶終端變更安全能力時,生成第一變更請求信息,其中第一變更請求信息包括用戶終端的身份認證信息以及用戶終端變更后的安全能力信息; 利用身份密鑰對第一變更請求信息進行加密,以生成安全能力變更請求信息; 將安全能力變更請求信息發送給業務服務器; 接收業務服務器發送的安全能力變更響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密,在解密成功后從解密的安全能力變更請求信息中獲取用戶終端變更后的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端變更后的安全能力信息相匹配的變更安全配置參數,并利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息; 利用身份密鑰對安全能力變更響應信息進行解密,以得到變更安全配置參數;利用變更安全配置參數進行安全配置。
5.一種安全能力協商方法,其特征在于,包括: 接收用戶終端發送的安全能力注冊請求消息; 利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密; 在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息; 驗證用戶終端的身份認證信息是否合法; 在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數; 利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息; 將安全能力注冊響應信息發送給用戶終端,以便用戶終端利用身份密鑰對安全能力注冊響應信息進行解密以得到安全配置參數,并利用安全配置參數進行安全配置。
6.根據權利要求5所述的方法,其特征在于: 安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
7.根據權利要求6所述的方法,其特征在于: 接收用戶終端發送的會話密鑰更新請求信息; 利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密; 在解密成功后,從解密后的會話密鑰更新請求信息中獲得會話密鑰標識信息; 對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰; 利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息; 將會話更新響應信息發送給用戶終端,以便用戶終端利用更新后的會話密鑰進行信息交互。
8.根據權利要求6或7所述的方法,其特征在于: 接收用戶終端發送的安全能力變更請求信息; 利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密; 在解密成功后,從解密的安全能力變更請求信息中獲取用戶終端的身份認證信息以及用戶終端變更后的安全能力信息; 驗證用戶終端的身份認證信息是否合法; 在驗證用戶終端的身份認證信息合法時,產生與用戶終端變更的安全能力信息相匹配的變更安全配置參數; 利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息; 將安全能力變更響應信息發送給用戶終端,以便用戶終端利用變更安全配置參數進行安全配置。
9.一種安全能力協商的用戶終端,其特征在于,包括: 業務模塊,用于生成第一注冊請求信息,接收第一安全模塊發送的注冊響應信息;第一安全模塊,用于在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息;利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息;利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數;利用安全配置參數進行安全配置;向業務模塊發送注冊響應信息; 網絡接入模塊,用于將安全能力注冊請求信息發送給業務服務器;接收業務服務器發送的安全能力注冊響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力注冊請求信息進行解密,在解密成功后從解密的安全能力注冊請求信息中獲取用戶終端的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數,并利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息; 用戶識別模塊,用于提供用戶終端的身份密鑰。
10.根據權利要求9所述的用戶終端,其特征在于: 安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
11.根據權利要求10所述的用戶終端,其特征在于: 第一安全模塊還用于根據會話密鑰更新周期判斷是否需要對會話密鑰進行更新,若判斷需要對會話密鑰進行更新,則生成第一更新請求信息,其中第一更新請求信息包括會話密鑰標識信息;利用身份密鑰對第一更新請求信息進行加密,以得到會話密鑰更新請求信息;利用身份密鑰對會話更新響應信息進行解密,以獲得更新后的會話密鑰,從而利用更新后的會話密鑰進行信息交互; 網絡接入模塊還用于將會話密鑰更新請求信息發送給業務服務器;接收業務服務器發送的會話更新響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密,在解密成功后從解密的會話密鑰更新請求信息中獲取會話密鑰標識信息,對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰,利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息。
12.根據權利要求10或11所述的用戶終端,其特征在于: 第一安全模塊還用于在當用戶終端變更安全能力時,生成第一變更請求信息,其中第一變更請求信息包括用戶終端的身份認證信息以及用戶終端變更后的安全能力信息;利用身份密鑰對第一變更請求信息進行加密,以生成安全能力變更請求信息;利用身份密鑰對安全能力變更響應信息進行解密,以得到變更安全配置參數;利用變更安全配置參數進行安全配置; 網絡接入模塊還用于將安全能力變更請求信息發送給業務服務器;接收業務服務器發送的安全能力變更響應信息,其中業務服務器利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密,在解密成功后從解密的安全能力變更請求信息中獲取用戶終端變更后的安全能力信息和身份認證信息,在驗證身份認證信息合法時,產生與用戶終端變更后的安全能力信息相匹配的變更安全配置參數,并利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息。
13.一種安全能力協商的業務服務器,其特征在于,包括: 網絡通信模塊,用于接收用戶終端發送的安全能力注冊請求消息;將安全能力注冊響應信息發送給用戶終端,以便用戶終端利用身份密鑰對安全能力注冊響應信息進行解密以得到安全配置參數,并利用安全配置參數進行安全配置; 第二安全模塊,用于利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密;在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數;利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息。
14.根據權利要求13所述的業務服務器,其特征在于: 安全配置參數包括會話密鑰、會話密鑰長度、會話密鑰更新周期、加密算法、數據類型和加密算法綁定關系。
15.根據權利要求12所述的業務服務器,其特征在于: 網絡通信模塊還用于接收用戶終端發送的會話密鑰更新請求信息;將會話更新響應信息發送給用戶終端,以便用戶終端利用更新后的會話密鑰進行信息交互; 第二安全模塊還利用與用戶終端相關聯的身份密鑰對會話密鑰更新請求信息進行解密;在解密成功后,從解密后的會話密鑰更新請求信息中獲得會話密鑰標識信息;對與會話密鑰標識信息相關聯的會話密鑰進行更新,以獲得更新后的會話密鑰;利用與用戶終端相關聯的身份密鑰對更新后的會話密鑰進行加密,以生成會話更新響應信息。
16.根據權利要求14或15所述的業務服務器,其特征在于: 網絡通信模塊還用于接收用戶終端發送的安全能力變更請求信息;將安全能力變更響應信息發送給用戶終端,以便用戶終端利用變更安全配置參數進行安全配置; 第二安全模塊還利用與用戶終端相關聯的身份密鑰對安全能力變更請求信息進行解密;在解密成功后,從解密的安全能力變更請求信息中獲取用戶終端的身份認證信息以及用戶終端變更后的安全能力信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端變更的安全能力信息相匹配的變更安全配置參數;利用與用戶終端相關聯的身份密鑰對變更安全配置參數進行加密,以得到安全能力變更響應信息。
17.一種安全能力協商系統,其特征在于,包括用戶終端和業務服務器,其中: 用戶終端,用于生成第一注冊請求信息;在第一注冊請求信息中加入用戶終端的安全能力信息和身份認證信息,以生成第二注冊請求信息;利用身份密鑰對第二注冊請求信息進行加密,以生成安全能力注冊請求信息;將安全能力注冊請求信息發送給業務服務器;接收業務服務器發送的安全能力注冊響應信息;利用身份密鑰對安全能力注冊響應信息進行解密,以得到安全配置參數;利用安全配置參數進行安全配置; 業務服務器,用于接收用戶終端發送的安全能力注冊請求消息;利用與用戶終端相關聯的身份密鑰對安全能力注冊請求消息進行解密;在解密成功后,從解密的用戶終端注冊請求消息中獲得用戶終端的安全能力信息和身份認證信息;驗證用戶終端的身份認證信息是否合法;在驗證用戶終端的身份認證信息合法時,產生與用戶終端的安全能力信息相匹配的安全配置參數;利用與用戶終端相關聯的身份密鑰對安全配置參數進行加密,以得到安全能力注冊響應信息;將安全能力注冊響應信息發送給用戶終端。
18.根據權利要求17所述的安全能力協商系統,其特征在于:用戶終端為權利要求9-12中任一項所述的用戶終端;業務服務器為權利 要求13-16中任一項所述的業務服務器。
【文檔編號】H04L29/06GK103841082SQ201210478607
【公開日】2014年6月4日 申請日期:2012年11月22日 優先權日:2012年11月22日
【發明者】黃海昆, 成建波, 夏艷 申請人:中國電信股份有限公司