專(zhuān)利名稱(chēng):一種更新密鑰的方法��、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,尤其涉及一種更新密鑰的方法�����、裝置和系統(tǒng)�����。
背景技術(shù):
隨著通信技術(shù)的發(fā)展��,通信系統(tǒng)對(duì)網(wǎng)絡(luò)安全的要求也越來(lái)越高���,使用共享密鑰是 確保網(wǎng)絡(luò)安全的一種重要手段。3GPP(3rd Generation PartnershipProject��,第三代合作 伙伴計(jì)劃)中定義的GBA(Generic BootstrappingArchitecture���,通用引導(dǎo)架構(gòu))提供了一 種在UE (User Equipment����,用戶(hù)設(shè)備)和服務(wù)器之間建立共享密鑰的通用機(jī)制����,該機(jī)制基于 AKA (Authentication andKey Agreement,認(rèn)證和密鑰協(xié)商)鑒權(quán)機(jī)制實(shí)現(xiàn)��。AKA鑒權(quán)機(jī)制 是2G (2ndGeneration,第二代移動(dòng)通信技術(shù))/3G (3rd Generation,第三代移動(dòng)通信技術(shù)) 網(wǎng)絡(luò)中使用的一種相互鑒權(quán)和密鑰協(xié)商的機(jī)制�,可以在GBA中完成業(yè)務(wù)的安全引導(dǎo)過(guò)程。GBA中還引入了一個(gè)新的網(wǎng)元BSF(Bootstrapping Server Function�,引導(dǎo)服務(wù)功 能),UE和HSS (Home Subscriber Server,歸屬簽約用戶(hù)服務(wù)器)之間通過(guò)BSF使用AKA 進(jìn)行密鑰協(xié)商。AKA完成后����,BSF和UE協(xié)商出一個(gè)會(huì)話(huà)密鑰,NAF(Network Application Function,網(wǎng)絡(luò)應(yīng)用功能)從BSF中取得會(huì)話(huà)密鑰和用戶(hù)相關(guān)信息�,與UE建立共享密鑰,并 利用該共享密鑰為應(yīng)用服務(wù)提供安全保護(hù)���,特別是在應(yīng)用服務(wù)會(huì)話(huà)開(kāi)始時(shí)為UE和NAF提供 相互鑒權(quán)���;此外,還可以利用該共享密鑰完成機(jī)密性保護(hù)或完整性驗(yàn)證��。UE和BSF之間�、NAF 和BSF之間以及BSF和HSS之間的通信是與具體的應(yīng)用無(wú)關(guān)的。由于在網(wǎng)絡(luò)中從HSS處獲 取認(rèn)證向量的網(wǎng)元的數(shù)量應(yīng)該越少越好�����,因此��,BSF的引入降低了從HSS獲取認(rèn)證向量的網(wǎng) 元的數(shù)量�。如圖1所示,為GBA的網(wǎng)絡(luò)模型示意圖�����,其中,BSF通過(guò)查詢(xún)SLF(Subscription Locator Function���,簽約定位功能)獲得存儲(chǔ)相關(guān)用戶(hù)數(shù)據(jù)的HSS名稱(chēng)�,在單一 HSS環(huán)境中 并不需要SLF�����。另外��,當(dāng)BSF配置成使用預(yù)先指定的HSS時(shí)���,也不要求使用SLF。在2G的網(wǎng) 絡(luò)中HSS即為HLR(Home LocationRegister,歸屬位置寄存器)����。3GPP中定義的3G GBA過(guò)程,同樣也適用于2G的基于SIM(SubscriberIdentity Module����,用戶(hù)身份識(shí)別模塊)卡的 GBA 過(guò)程?;?USIM(UniversalSubscriber Identity Module,全球用戶(hù)識(shí)別)卡的3G GBA過(guò)程包括GBA初始化流程和業(yè)務(wù)訪(fǎng)問(wèn)流程,如圖2所 示,為現(xiàn)有技術(shù)中的GBA初始化流程圖��,包括以下步驟步驟201���,UE發(fā)送GBA初始化請(qǐng)求給BSF�����。步驟202����,BSF通過(guò)參考點(diǎn) Si 從HSS取回 AV (Authentication Vector,認(rèn)證向量)�����。其中�����,AV = RAND (隨機(jī)數(shù))| |AUTN(認(rèn)證令牌)| XRES (期望響應(yīng)值)| CK (加密 密鑰)IIIK(完整性密鑰)��。步驟203����,HSS向BSF返回認(rèn)證向量AV���。步驟204,BSF 保存 CK��、IK 和 XRES����,以 401 unauthorized 消息發(fā)送 RAND 和 AUTN 給UE,要求UE對(duì)BSF進(jìn)行認(rèn)證�。步驟205,UE 將 RAND 和 AUTN 發(fā)送給 USIM(Universal SubscriberIdentityModule���,全球用戶(hù)識(shí)別)卡驗(yàn)證AUTN�,確認(rèn)接收到的401 unauthorized消息來(lái)自授權(quán)的網(wǎng) 絡(luò)����,同時(shí)����,UE計(jì)算CK、IK和RES�,并將計(jì)算結(jié)果返回給UE。步驟206�����,UE發(fā)送挑戰(zhàn)應(yīng)答RES給BSF。步驟207����,BSF驗(yàn)證RES是否等于XRES,并計(jì)算根密鑰Ks = CK IK,并生成 B-TID(Bootstrapping Transaction Identifier��,引導(dǎo)業(yè)務(wù)標(biāo)識(shí))的值���。B-TID 的格式為 base64encode (RAND) iBSF_servers_domain_name����。步驟208��,BSF發(fā)送包含B-TID的2000K消息給UE表示認(rèn)證成功����,同時(shí)在2000K消 息中,BSF提供Ks的生命期�����。步驟209����,UE計(jì)算并保存Ks = CK | | IK和Ks的生命期�。在完成GBA初始化后����,可以進(jìn)入業(yè)務(wù)訪(fǎng)問(wèn)階段,如圖3所示�,為現(xiàn)有技術(shù)中的業(yè)務(wù) 訪(fǎng)問(wèn)流程圖,包括以下步驟步驟301���,當(dāng)UE需要訪(fǎng)問(wèn)業(yè)務(wù)平臺(tái)NAF時(shí)�����,UE發(fā)送B-TID給NAF���。步驟302,NAF根據(jù)B-TID在本地查詢(xún)是否存在業(yè)務(wù)密鑰Ks_NAF����,如果本地不存在 Ks_NAF,則執(zhí)行步驟303 ��;如果本地存在Ks_NAF�,則執(zhí)行步驟308�。步驟303�����,NAF 根據(jù) B-TID 向 BSF 查詢(xún) Ks_NAF����。步驟304,BSF根據(jù)B-TID查詢(xún)Ks是否超過(guò)有效期����,如果Ks超過(guò)有效期,則執(zhí)行步 驟305 ���;如果Ks沒(méi)有超過(guò)有效期�����,則執(zhí)行步驟307��。步驟305��,BSF向NAF返回錯(cuò)誤消息�����。步驟306����,NAF向UE返回錯(cuò)誤消息,要求UE發(fā)起GBA初始化過(guò)程�。步驟307,BSF 計(jì)算 Ks_NAF����,返回 Ks_NAF 和 Ks_NAF 有效期給 NAF。具體地���,Ks_NAF= KDF (Ks, “ gba-me “�����,RAND, IMPI���,NAF_Id),其中���,KDF 為密鑰導(dǎo) 出函數(shù),IMPI (IP Multimedia Private Identity����,互聯(lián)網(wǎng)協(xié)議多媒體私有標(biāo)識(shí))% IMS (IP Multimedia Subsystem����,互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng))使用的身份����,NAF_Id為業(yè)務(wù)平臺(tái)的標(biāo) 識(shí)。步驟308�,NAF接收并保存Ks_NAF和有效期。步驟309��,NAF檢查Ks_NAF是否在有效期內(nèi)��,如果Ks_NAF不在有效期內(nèi)����,則執(zhí)行步 驟310 ;如果Ks_NAF在有效期內(nèi)��,則執(zhí)行步驟311�。步驟310,NAF返回錯(cuò)誤消息給UE�,要求UE執(zhí)行GBA初始化過(guò)程。步驟311,NAF向UE發(fā)送認(rèn)證挑戰(zhàn)�����。步驟312��,UE 計(jì)算 Ks_NAF�,并使用 Ks_NAF 與 NAF 執(zhí)行 HTTP Digest (Hypertext Transfer Protocol Digest,超文本傳輸協(xié)議分類(lèi))雙向鑒權(quán)流程�。其中,Ks_NAF = KDF (Ks, “ gba-me “���,RAND, IMPI����,NAF_Id)�,后續(xù)的業(yè)務(wù)消息都通 過(guò)HTTP Digest安全通道保護(hù)。 在上述流程中���,UE和BSF間協(xié)商并存儲(chǔ)GBA根密鑰Ks�,該Ks用于分別推導(dǎo)各業(yè)務(wù) 平臺(tái)NAF的Ks_NAF�,UE存儲(chǔ)多個(gè)Ks_NAF和有效期。一般來(lái)說(shuō)��,Ks密鑰的有效期相比Ks_ NAF 要長(zhǎng)。由于 Ks_NAF = KDF (Ks��,“ gba-me “���,RAND, IMPI,NAF_Id)���,因此當(dāng) Ks_NAF 不在 有效期內(nèi)需要更新時(shí)��,會(huì)導(dǎo)致Ks也必須更新��。一個(gè)UE可能上會(huì)運(yùn)行多個(gè)使用GBA的應(yīng)用 程序��,多個(gè)應(yīng)用程序都需要使用Ks推導(dǎo)各自的Ks_NAF�,并會(huì)分配相應(yīng)的Ks_NAF密鑰有效 期�����。
如圖4所示�,為現(xiàn)有技術(shù)中的更新密鑰示意圖,其中����,GBA初始化時(shí)協(xié)商的Ks和 B-TID有效期為0至7,即Ks_NAF有效期的2倍,NAFl�����、NAF2和NAF3分配的Ks_NAFl�����、Ks_ NAF2和Ks_NAF3的有效期分別為1至4�、2至5、4. 5至6�����。當(dāng)Ks_NAFl失效時(shí)����,會(huì)在時(shí)間點(diǎn)4觸發(fā)GBA初始化過(guò)程更新Ks和B-TID為Ksl和 B-TID1,由于B-TID的變化,會(huì)導(dǎo)致UE與NAF2的Ks_NAF2在時(shí)間點(diǎn)4也需要更新���,即根據(jù) Ksl推導(dǎo)新的Ks_NAF2_l����。而當(dāng)Ks_NAF3失效時(shí)�,會(huì)在時(shí)間點(diǎn)6觸發(fā)GBA初始化過(guò)程再次更 新為Ks_2和B-TID2�����,從而UE推導(dǎo)新的Ks_NAF3_l�。而當(dāng)Ks_NAF3_l失效時(shí)���,會(huì)在時(shí)間點(diǎn)8 觸發(fā)GBA初始化過(guò)程。發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中��,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺陷根密鑰Ks受限于業(yè)務(wù)密鑰Ks_NAF的有效期而不斷更新�,從而導(dǎo)致UE頻繁訪(fǎng)問(wèn) BSF,也導(dǎo)致Ks_NAF業(yè)務(wù)密鑰的頻繁更新���,增加了 BSF的負(fù)荷和業(yè)務(wù)服務(wù)器的負(fù)荷���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種更新密鑰的方法、裝置和系統(tǒng)�����,用于降低BSF的負(fù)荷和 業(yè)務(wù)服務(wù)器的負(fù)荷���。本發(fā)明實(shí)施例提供了一種更新密鑰的方法���,包括以下步驟接收來(lái)自網(wǎng)絡(luò)應(yīng)用功能NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�����,根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰 是否在有效期內(nèi)���;如果所述根密鑰不在有效期內(nèi),則通過(guò)所述NAF向用戶(hù)設(shè)備返回錯(cuò)誤信息�,并與 所述用戶(hù)設(shè)備進(jìn)行通用引導(dǎo)架構(gòu)GBA初始化;如果所述根密鑰在有效期內(nèi)����,則生成隨機(jī)數(shù), 根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰��,并將所述業(yè)務(wù)密鑰����、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù) 發(fā)送給所述NAF,使所述NAF根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與所述用戶(hù)設(shè)備進(jìn)行雙向鑒 權(quán)���。優(yōu)選地���,所述接收來(lái)自NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)之前��,還包括所述NAF接收來(lái)自所述用戶(hù)設(shè)備的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�,根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查 詢(xún)到本地不存在業(yè)務(wù)密鑰或者業(yè)務(wù)密鑰不在有效期內(nèi)���。優(yōu)選地���,所述NAF根據(jù)業(yè)務(wù)密鑰和隨機(jī)數(shù)與用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán),具體包括所述NAF接收并存儲(chǔ)所述業(yè)務(wù)密鑰��、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)����,并向 所述用戶(hù)設(shè)備發(fā)送認(rèn)證請(qǐng)求和所述隨機(jī)數(shù)���;所述用戶(hù)設(shè)備根據(jù)接收到的所述隨機(jī)數(shù)計(jì)算業(yè)務(wù)密鑰���,根據(jù)所述計(jì)算得到的業(yè)務(wù) 密鑰與所述NAF進(jìn)行雙向鑒權(quán)。優(yōu)選地����,所述與用戶(hù)設(shè)備進(jìn)行GBA初始化,具體包括接收來(lái)自所述用戶(hù)設(shè)備的GBA初始化請(qǐng)求���,從歸屬簽約用戶(hù)服務(wù)器HSS獲取認(rèn)證 向量�,根據(jù)所述認(rèn)證向量要求所述用戶(hù)設(shè)備進(jìn)行認(rèn)證;接收來(lái)自所述用戶(hù)設(shè)備的挑戰(zhàn)應(yīng)答����,驗(yàn)證所述挑戰(zhàn)應(yīng)答,并獲取根密鑰和引導(dǎo)業(yè) 務(wù)標(biāo)識(shí)�,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和所述根密鑰的有效期發(fā)送給所述用戶(hù)設(shè)備,使所述用戶(hù)設(shè) 備獲取根密鑰和所述根密鑰的有效期��。本發(fā)明實(shí)施例還提供了一種更新密鑰的裝置�,包括查詢(xún)模塊,用于接收來(lái)自NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�����,根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否在有效期內(nèi)�;初始化模塊,用于在所述查詢(xún)模塊查詢(xún)到所述根密鑰不在有效期內(nèi)時(shí)����,通過(guò)所述 NAF向用戶(hù)設(shè)備返回錯(cuò)誤信息,并與所述用戶(hù)設(shè)備進(jìn)行GBA初始化��;獲取模塊���,用于在所述查詢(xún)模塊查詢(xún)到所述根密鑰在有效期內(nèi)時(shí)����,生成隨機(jī)數(shù),根 據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰�����,發(fā)送模塊��,用于將所述獲取模塊獲取的業(yè)務(wù)密鑰��、所述業(yè)務(wù)密鑰的有效期和所述 隨機(jī)數(shù)發(fā)送給所述NAF���,使所述NAF根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與所述用戶(hù)設(shè)備進(jìn)行 雙向鑒權(quán)。優(yōu)選地���,所述初始化模塊����,具體用于接收來(lái)自所述用戶(hù)設(shè)備的GBA初始化請(qǐng)求����,從 HSS獲取認(rèn)證向量�,根據(jù)所述認(rèn)證向量要求所述用戶(hù)設(shè)備進(jìn)行認(rèn)證��;接收來(lái)自所述用戶(hù)設(shè) 備的挑戰(zhàn)應(yīng)答����,驗(yàn)證所述挑戰(zhàn)應(yīng)答,并獲取根密鑰和引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和 所述根密鑰的有效期發(fā)送給所述用戶(hù)設(shè)備,使所述用戶(hù)設(shè)備獲取根密鑰和所述根密鑰的有 效期�。本發(fā)明實(shí)施例還提供了一種更新密鑰的系統(tǒng),包括NAF實(shí)體和引導(dǎo)服務(wù)功能BSF 實(shí)體����,其中,所述NAF實(shí)體����,用于根據(jù)弓I導(dǎo)業(yè)務(wù)標(biāo)識(shí)向所述BSF實(shí)體查詢(xún)業(yè)務(wù)密鑰,接收來(lái)自所 述BSF實(shí)體的業(yè)務(wù)密鑰����、所述業(yè)務(wù)密鑰的有效期和隨機(jī)數(shù),根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī) 數(shù)與所述用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán)�;所述BSF實(shí)體,接收來(lái)自所述NAF實(shí)體的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí),根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo) 識(shí)查詢(xún)根密鑰是否在有效期內(nèi)���;如果所述根密鑰不在有效期內(nèi)����,則通過(guò)所述NAF實(shí)體向用 戶(hù)設(shè)備返回錯(cuò)誤信息�����,并與所述用戶(hù)設(shè)備進(jìn)行GBA初始化����;如果所述根密鑰在有效期內(nèi),則 生成隨機(jī)數(shù)�����,根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰���,并將所述業(yè)務(wù)密鑰、所述業(yè)務(wù)密鑰的有效期和 所述隨機(jī)數(shù)發(fā)送給所述NAF實(shí)體�����。優(yōu)選地,所述NAF實(shí)體�����,還用于接收來(lái)自所述用戶(hù)設(shè)備的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)���,根據(jù) 所述弓I導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)本地是否存在業(yè)務(wù)密鑰且業(yè)務(wù)密鑰在有效期內(nèi)�。優(yōu)選地���,所述NAF實(shí)體�����,具體用于根據(jù)引導(dǎo)業(yè)務(wù)標(biāo)識(shí)向所述BSF實(shí)體查詢(xún)業(yè)務(wù)密 鑰���,接收并存儲(chǔ)所述業(yè)務(wù)密鑰、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)�����,并向所述用戶(hù)設(shè)備發(fā) 送認(rèn)證請(qǐng)求和所述隨機(jī)數(shù)���;使所述用戶(hù)設(shè)備根據(jù)接收到的所述隨機(jī)數(shù)計(jì)算業(yè)務(wù)密鑰并根據(jù) 所述計(jì)算得到的業(yè)務(wù)密鑰進(jìn)行雙向鑒權(quán)�。優(yōu)選地,所述BSF實(shí)體��,具體用于接收來(lái)自所述NAF實(shí)體的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�����,根 據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否在有效期內(nèi)�,如果所述根密鑰不在有效期內(nèi),則接收 來(lái)自所述用戶(hù)設(shè)備的GBA初始化請(qǐng)求�����,從HSS獲取認(rèn)證向量�,根據(jù)所述認(rèn)證向量要求所述用 戶(hù)設(shè)備進(jìn)行認(rèn)證,接收來(lái)自所述用戶(hù)設(shè)備的挑戰(zhàn)應(yīng)答���,驗(yàn)證所述挑戰(zhàn)應(yīng)答�,并獲取根密鑰和 引導(dǎo)業(yè)務(wù)標(biāo)識(shí)���,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和所述根密鑰的有效期發(fā)送給所述用戶(hù)設(shè)備�,使所述 用戶(hù)設(shè)備獲取根密鑰和所述根密鑰的有效期����;如果所述根密鑰在有效期內(nèi),則生成隨機(jī)數(shù)��, 根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰����,并將所述業(yè)務(wù)密鑰、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù) 發(fā)送給所述NAF實(shí)體��。與現(xiàn)有技術(shù)相比��,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明實(shí)施例在根密鑰Ks在有效 期內(nèi)且業(yè)務(wù)密鑰Ks_NAF失效的情況下���,為NAF重新分配業(yè)務(wù)密鑰Ks_NAF�,避免了 Ks在未過(guò)期時(shí)被頻繁更新�����,也避免了對(duì)Ks_NAF的頻繁更新��,降低了 BSF和NAF的密鑰更新負(fù)荷��。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)本發(fā)明實(shí)施 例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地,下面描述中的附圖僅 僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)性的前提 下,還可以根據(jù)這些附圖獲得其他的附圖���。圖1為GBA的網(wǎng)絡(luò)模型示意圖��;圖2為現(xiàn)有技術(shù)中的GBA初始化流程圖����;圖3為現(xiàn)有技術(shù)中的業(yè)務(wù)訪(fǎng)問(wèn)流程圖�;圖4為現(xiàn)有技術(shù)中的更新密鑰示意圖;圖5為本發(fā)明實(shí)施例中的一種更新密鑰的方法流程圖����;圖6為本發(fā)明實(shí)施例應(yīng)用場(chǎng)景中的更新密鑰流程圖;圖7為本發(fā)明實(shí)施例應(yīng)用場(chǎng)景中的更新密鑰示意圖���;圖8為本發(fā)明實(shí)施例中的一種更新密鑰的裝置結(jié)構(gòu)示意圖��;圖9為本發(fā)明實(shí)施例中的一種更新密鑰的系統(tǒng)結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式本發(fā)明實(shí)施例提供的技術(shù)方案中����,其核心思想為NAF接收來(lái)自用戶(hù)設(shè)備的引導(dǎo)業(yè) 務(wù)標(biāo)識(shí)���,根據(jù)該引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)到本地不存在業(yè)務(wù)密鑰或者業(yè)務(wù)密鑰不在有效期內(nèi)時(shí)�����, 向BSF查詢(xún)根密鑰���。BSF接收來(lái)自NAF的弓|導(dǎo)業(yè)務(wù)標(biāo)識(shí),根據(jù)該引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是 否在有效期內(nèi)�����;如果所述根密鑰不在有效期內(nèi)����,則向用戶(hù)設(shè)備返回錯(cuò)誤信息,并與所述用戶(hù) 設(shè)備進(jìn)行通用引導(dǎo)架構(gòu)GBA初始化���;如果所述根密鑰在有效期內(nèi)����,則生成隨機(jī)數(shù),根據(jù)所述 隨機(jī)數(shù)獲取業(yè)務(wù)密鑰����,并將所述業(yè)務(wù)密鑰、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)發(fā)送給所 述NAF��,使所述NAF根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與所述用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán)����。下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚�����、完整 地描述���,顯然���,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?����;诒景l(fā) 明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施 例��,都屬于本發(fā)明保護(hù)的范圍����。如圖5所示�,為本發(fā)明實(shí)施例中的一種更新密鑰的方法流程圖,包括以下步驟步驟501���,接收來(lái)自NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)���,根據(jù)該引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否在 有效期內(nèi)。如果根密鑰不在有效期內(nèi)�����,則執(zhí)行步驟502 ����;如果根密鑰在有效期內(nèi)��,則執(zhí)行步 驟 503�。步驟502����,通過(guò)NAF向用戶(hù)設(shè)備返回錯(cuò)誤信息,并與該用戶(hù)設(shè)備進(jìn)行GBA初始化�����。步驟503����,生成隨機(jī)數(shù),根據(jù)該隨機(jī)數(shù)獲取業(yè)務(wù)密鑰����,并將該業(yè)務(wù)密鑰、業(yè)務(wù)密鑰的 有效期和隨機(jī)數(shù)發(fā)送給NAF����,使該NAF根據(jù)業(yè)務(wù)密鑰和隨機(jī)數(shù)與用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán)。本發(fā)明實(shí)施例在根密鑰Ks在有效期內(nèi)且業(yè)務(wù)密鑰Ks_NAF失效的情況下,為NAF 重新分配業(yè)務(wù)密鑰Ks_NAF����,避免了 Ks在未過(guò)期時(shí)被頻繁更新,也避免了對(duì)Ks_NAF的頻繁更 新�����,降低了 BSF和NAF的密鑰更新負(fù)荷�。
以下具體應(yīng)用場(chǎng)景對(duì)本發(fā)明實(shí)施例中的更新密鑰方法進(jìn)行詳細(xì)的描述。如圖6所示��,為本發(fā)明實(shí)施例應(yīng)用場(chǎng)景中的更新密鑰流程圖�,具體包括以下步驟
步驟 601�����,UE 訪(fǎng)問(wèn) NAF 時(shí)���,向 NAF 發(fā)送 B-TID�。步驟602���,NAF根據(jù)B-TID查詢(xún)本地是否存在Ks_NAF�,如果本地不存在Ks_NAF,則 執(zhí)行步驟603 �����;如果本地存在Ks_NAF�,則執(zhí)行步驟608。步驟603����,NAF 根據(jù) B-TID 向 BSF 查詢(xún) Ks_NAF。步驟604�����,BSF根據(jù)B-TID查詢(xún)Ks是否在有效期內(nèi)���,如果Ks不在有效期內(nèi)���,則執(zhí)行 步驟605 ;如果Ks在有效期內(nèi)��,則執(zhí)行步驟607�����。步驟605,BSF向NAF返回錯(cuò)誤消息����。步驟606,NAF向UE返回錯(cuò)誤消息�����,要求UE發(fā)起GBA初始化過(guò)程����。步驟607,BSF隨機(jī)生成隨機(jī)數(shù)R�,并根據(jù)R計(jì)算Ks_NAF。其中�����,Ks_NAF= KDF(Ks�,“ gba_me〃���,RAND�����,IMPI���,NAF_Id�,R)��。步驟608���,BSF向NAF返回Ks_NAF���、R和Ks_NAF的有效期,使NAF接收并保存Ks_ NAF�、R禾口 Ks_NAF的有效期。步驟609�����,NAF檢查Ks_NAF是否在有效期內(nèi)��,如果Ks_NAF不在有效期內(nèi)�,則執(zhí)行步 驟610 ;如果Ks_NAF在有效期內(nèi)�����,則執(zhí)行步驟615。步驟610��,NAF 根據(jù) B-TID 向 BSF 查詢(xún) Ks_NAF����。步驟611,BSF根據(jù)B-TID查詢(xún)Ks是否在有效期內(nèi)��,如果Ks在有效期內(nèi)�����,則執(zhí)行步 驟612 ����;如果Ks不在有效期內(nèi),則執(zhí)行步驟614�����。步驟612�,BSF向NAF返回錯(cuò)誤消息��。步驟613��,NAF向UE返回錯(cuò)誤,要求UE發(fā)起GBA初始化過(guò)程�����。步驟614����,BSF隨機(jī)生成隨機(jī)數(shù)R,根據(jù)R計(jì)算Ks_NAF�。其中,Ks_NAF= KDF(Ks, “ gba_me〃����,RAND, IMPI, NAF_Id, R),更新后的 Ks_NAF 可參照?qǐng)D7所示���。步驟615����,BSF向NAF返回Ks_NAF����、R和Ks_NAF的有效期,使NAF接收并保存Ks_ NAF���、R禾口 Ks_NAF的有效期�����。步驟616�,NAF向UE發(fā)送認(rèn)證挑戰(zhàn)和R。步驟617���,UE接收到認(rèn)證挑戰(zhàn)和R后�����,計(jì)算Ks_NAF��,使用Ks_NAF與NAF執(zhí)行HTTP Digest雙向鑒權(quán)流程���。其中,Ks_NAF= KDF(Ks���,“ gki-me"����,RAND,IMPI��,NAF_Id����,R)���,后續(xù)的業(yè)務(wù)消息 都通過(guò)HTTP Digest安全通道保護(hù)���。本發(fā)明實(shí)施例在根密鑰Ks在有效期內(nèi)且業(yè)務(wù)密鑰Ks_NAF失效的情況下,為NAF 重新分配業(yè)務(wù)密鑰Ks_NAF�����,避免了 Ks在未過(guò)期時(shí)被頻繁更新��,也避免了對(duì)Ks_NAF的頻繁更 新�����,降低了 BSF和NAF的密鑰更新負(fù)荷��。本發(fā)明實(shí)施例在上述實(shí)施方式中提供了更新密鑰方法和應(yīng)用場(chǎng)景��,相應(yīng)地,本發(fā) 明實(shí)施例還提供了應(yīng)用上述更新密鑰方法的裝置和系統(tǒng)�。如圖8所示,為本發(fā)明實(shí)施例中的一種更新密鑰的裝置結(jié)構(gòu)示意圖�,包括查詢(xún)模塊810,用于接收來(lái)自NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)���,根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根 密鑰是否在有效期內(nèi)�;
初始化模塊820�,用于在所述查詢(xún)模塊810查詢(xún)到所述根密鑰不在有效期內(nèi)時(shí),通 過(guò)所述NAF向用戶(hù)設(shè)備返回錯(cuò)誤信息�,并與所述用戶(hù)設(shè)備進(jìn)行GBA初始化;獲取模塊830���,用于在所述查詢(xún)模塊810查詢(xún)到所述根密鑰在有效期內(nèi)時(shí)�����,生成隨 機(jī)數(shù)�,根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰�����,發(fā)送模塊840�����,用于將所述獲取模塊830獲取的業(yè)務(wù)密鑰、所述業(yè)務(wù)密鑰的有效期 和所述隨機(jī)數(shù)發(fā)送給所述NAF�����,使所述NAF根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與所述用戶(hù)設(shè) 備進(jìn)行雙向鑒權(quán)�����。上述初始化模塊820�����,具體用于接收來(lái)自所述用戶(hù)設(shè)備的GBA初始化請(qǐng)求��,從HSS 獲取認(rèn)證向量��,根據(jù)所述認(rèn)證向量要求所述用戶(hù)設(shè)備進(jìn)行認(rèn)證��;接收來(lái)自所述用戶(hù)設(shè)備的 挑戰(zhàn)應(yīng)答�����,驗(yàn)證所述挑戰(zhàn)應(yīng)答�����,并獲取根密鑰和引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�����,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和所述 根密鑰的有效期發(fā)送給所述用戶(hù)設(shè)備�����,使所述用戶(hù)設(shè)備獲取根密鑰和所述根密鑰的有效期���。本發(fā)明實(shí)施例在根密鑰Ks在有效期內(nèi)且業(yè)務(wù)密鑰Ks_NAF失效的情況下��,為NAF 重新分配業(yè)務(wù)密鑰Ks_NAF��,避免了 Ks在未過(guò)期時(shí)被頻繁更新��,也避免了對(duì)Ks_NAF的頻繁更 新���,降低了 BSF和NAF的密鑰更新負(fù)荷。如圖9所示�����,為本發(fā)明實(shí)施例中的一種更新密鑰的系統(tǒng)結(jié)構(gòu)示意圖,包括NAF實(shí)體 910和引導(dǎo)服務(wù)功能BSF實(shí)體920����,其中,所述NAF實(shí)體910���,用于根據(jù)引導(dǎo)業(yè)務(wù)標(biāo)識(shí)向所述BSF實(shí)體920查詢(xún)業(yè)務(wù)密鑰�,接 收來(lái)自所述BSF實(shí)體的業(yè)務(wù)密鑰���、所述業(yè)務(wù)密鑰的有效期和隨機(jī)數(shù),根據(jù)所述業(yè)務(wù)密鑰和 所述隨機(jī)數(shù)與所述用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán)�����;所述BSF實(shí)體920�����,接收來(lái)自所述NAF實(shí)體910的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)����,根據(jù)所述引 導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否在有效期內(nèi);如果所述根密鑰不在有效期內(nèi)�,則通過(guò)所述NAF 實(shí)體920向用戶(hù)設(shè)備返回錯(cuò)誤信息�,并與所述用戶(hù)設(shè)備進(jìn)行GBA初始化�;如果所述根密鑰在 有效期內(nèi),則生成隨機(jī)數(shù)��,根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰�����,并將所述業(yè)務(wù)密鑰����、所述業(yè)務(wù)密 鑰的有效期和所述隨機(jī)數(shù)發(fā)送給所述NAF實(shí)體910。上述NAF實(shí)體910�,還用于接收來(lái)自所述用戶(hù)設(shè)備的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí),根據(jù)所述 弓I導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)本地是否存在業(yè)務(wù)密鑰且業(yè)務(wù)密鑰在有效期內(nèi)�。上述NAF實(shí)體910,具體用于根據(jù)引導(dǎo)業(yè)務(wù)標(biāo)識(shí)向所述BSF實(shí)體920查詢(xún)業(yè)務(wù)密 鑰����,接收并存儲(chǔ)所述業(yè)務(wù)密鑰、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)����,并向所述用戶(hù)設(shè)備發(fā) 送認(rèn)證請(qǐng)求和所述隨機(jī)數(shù);使所述用戶(hù)設(shè)備根據(jù)接收到的所述隨機(jī)數(shù)計(jì)算業(yè)務(wù)密鑰并根據(jù) 所述計(jì)算得到的業(yè)務(wù)密鑰進(jìn)行雙向鑒權(quán)����。上述BSF實(shí)體920�����,具體用于接收來(lái)自所述NAF實(shí)體910的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)���,根 據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否在有效期內(nèi),如果所述根密鑰不在有效期內(nèi)�,則接收 來(lái)自所述用戶(hù)設(shè)備的GBA初始化請(qǐng)求,從HSS獲取認(rèn)證向量�,根據(jù)所述認(rèn)證向量要求所述用 戶(hù)設(shè)備進(jìn)行認(rèn)證,接收來(lái)自所述用戶(hù)設(shè)備的挑戰(zhàn)應(yīng)答�,驗(yàn)證所述挑戰(zhàn)應(yīng)答���,并獲取根密鑰和 引導(dǎo)業(yè)務(wù)標(biāo)識(shí)���,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和所述根密鑰的有效期發(fā)送給所述用戶(hù)設(shè)備,使所述 用戶(hù)設(shè)備獲取根密鑰和所述根密鑰的有效期��;如果所述根密鑰在有效期內(nèi)�����,則生成隨機(jī)數(shù), 根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰��,并將所述業(yè)務(wù)密鑰��、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù) 發(fā)送給所述NAF實(shí)體���。
本發(fā)明實(shí)施例在根密鑰Ks在有效期內(nèi)且業(yè)務(wù)密鑰Ks_NAF失效的情況下��,為NAF 重新分配業(yè)務(wù)密鑰Ks_NAF���,避免了 Ks在未過(guò)期時(shí)被頻繁更新,也避免了對(duì)Ks_NAF的頻繁更 新�����,降低了 BSF和NAF的密鑰更新負(fù)荷����。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)����,當(dāng)然也可以通過(guò)硬件,但很多情況下前者是更 佳的實(shí)施方式���?;谶@樣的理解,本發(fā)明實(shí)施例的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出 貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)����,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中, 包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)���,個(gè)人計(jì)算機(jī)�,服務(wù)器�,或者網(wǎng)絡(luò)設(shè)備 等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式����,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來(lái)說(shuō)�,在不脫離本發(fā)明實(shí)施例原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn) 飾也應(yīng)視本發(fā)明的保護(hù)范圍���。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中���,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上 述實(shí)施例的模塊可以集成于一體����,也可以分離部署;可以合并為一個(gè)模塊����,也可以進(jìn)一步拆 分成多個(gè)子模塊。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述���,不代表實(shí)施例的優(yōu)劣�。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例���,但是�����,本發(fā)明并非局限于此����,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種更新密鑰的方法���,其特征在于��,包括以下步驟接收來(lái)自網(wǎng)絡(luò)應(yīng)用功能NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�����,根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否 在有效期內(nèi)��;如果所述根密鑰不在有效期內(nèi)�,則通過(guò)所述NAF向用戶(hù)設(shè)備返回錯(cuò)誤信息�����,并與所述 用戶(hù)設(shè)備進(jìn)行通用引導(dǎo)架構(gòu)GBA初始化����;如果所述根密鑰在有效期內(nèi),則生成隨機(jī)數(shù)���,根據(jù) 所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰�,并將所述業(yè)務(wù)密鑰����、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)發(fā)送 給所述NAF,使所述NAF根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與所述用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán)�。
2.如權(quán)利要求1所述的方法,其特征在于����,所述接收來(lái)自NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)之前,還 包括所述NAF接收來(lái)自所述用戶(hù)設(shè)備的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)����,根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)到 本地不存在業(yè)務(wù)密鑰或者業(yè)務(wù)密鑰不在有效期內(nèi)。
3.如權(quán)利要求1所述的方法���,其特征在于�,所述NAF根據(jù)業(yè)務(wù)密鑰和隨機(jī)數(shù)與用戶(hù)設(shè)備 進(jìn)行雙向鑒權(quán)���,具體包括所述NAF接收并存儲(chǔ)所述業(yè)務(wù)密鑰��、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)�����,并向所述 用戶(hù)設(shè)備發(fā)送認(rèn)證請(qǐng)求和所述隨機(jī)數(shù)����;所述用戶(hù)設(shè)備根據(jù)接收到的所述隨機(jī)數(shù)計(jì)算業(yè)務(wù)密鑰,根據(jù)所述計(jì)算得到的業(yè)務(wù)密鑰 與所述NAF進(jìn)行雙向鑒權(quán)��。
4.如權(quán)利要求1所述的方法����,其特征在于,所述與用戶(hù)設(shè)備進(jìn)行GBA初始化�,具體包括接收來(lái)自所述用戶(hù)設(shè)備的GBA初始化請(qǐng)求,從歸屬簽約用戶(hù)服務(wù)器HSS獲取認(rèn)證向量��, 根據(jù)所述認(rèn)證向量要求所述用戶(hù)設(shè)備進(jìn)行認(rèn)證�;接收來(lái)自所述用戶(hù)設(shè)備的挑戰(zhàn)應(yīng)答,驗(yàn)證所述挑戰(zhàn)應(yīng)答��,并獲取根密鑰和引導(dǎo)業(yè)務(wù)標(biāo) 識(shí)�����,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和所述根密鑰的有效期發(fā)送給所述用戶(hù)設(shè)備�,使所述用戶(hù)設(shè)備獲 取根密鑰和所述根密鑰的有效期。
5.一種更新密鑰的裝置��,其特征在于���,包括查詢(xún)模塊����,用于接收來(lái)自NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�����,根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是 否在有效期內(nèi)����;初始化模塊,用于在所述查詢(xún)模塊查詢(xún)到所述根密鑰不在有效期內(nèi)時(shí)���,通過(guò)所述NAF 向用戶(hù)設(shè)備返回錯(cuò)誤信息���,并與所述用戶(hù)設(shè)備進(jìn)行GBA初始化;獲取模塊�����,用于在所述查詢(xún)模塊查詢(xún)到所述根密鑰在有效期內(nèi)時(shí)����,生成隨機(jī)數(shù)����,根據(jù)所 述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰�,發(fā)送模塊,用于將所述獲取模塊獲取的業(yè)務(wù)密鑰��、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī) 數(shù)發(fā)送給所述NAF����,使所述NAF根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與所述用戶(hù)設(shè)備進(jìn)行雙向 鑒權(quán)。
6.如權(quán)利要求5所述的裝置�����,其特征在于�����,所述初始化模塊�����,具體用于接收來(lái)自所述用戶(hù)設(shè)備的GBA初始化請(qǐng)求����,從HSS獲取認(rèn)證 向量�����,根據(jù)所述認(rèn)證向量要求所述用戶(hù)設(shè)備進(jìn)行認(rèn)證����;接收來(lái)自所述用戶(hù)設(shè)備的挑戰(zhàn)應(yīng)答�����, 驗(yàn)證所述挑戰(zhàn)應(yīng)答����,并獲取根密鑰和引導(dǎo)業(yè)務(wù)標(biāo)識(shí)���,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和所述根密鑰的 有效期發(fā)送給所述用戶(hù)設(shè)備�,使所述用戶(hù)設(shè)備獲取根密鑰和所述根密鑰的有效期�����。
7.一種更新密鑰的系統(tǒng)�����,其特征在于,包括NAF實(shí)體和引導(dǎo)服務(wù)功能BSF實(shí)體�,其中,所述NAF實(shí)體���,用于根據(jù)引導(dǎo)業(yè)務(wù)標(biāo)識(shí)向所述BSF實(shí)體查詢(xún)業(yè)務(wù)密鑰�,接收來(lái)自所述BSF實(shí)體的業(yè)務(wù)密鑰��、所述業(yè)務(wù)密鑰的有效期和隨機(jī)數(shù)����,根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與 所述用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán);所述BSF實(shí)體�,接收來(lái)自所述NAF實(shí)體的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí),根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查 詢(xún)根密鑰是否在有效期內(nèi)����;如果所述根密鑰不在有效期內(nèi),則通過(guò)所述NAF實(shí)體向用戶(hù)設(shè) 備返回錯(cuò)誤信息�����,并與所述用戶(hù)設(shè)備進(jìn)行GBA初始化�����;如果所述根密鑰在有效期內(nèi),則生成 隨機(jī)數(shù)�����,根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰��,并將所述業(yè)務(wù)密鑰���、所述業(yè)務(wù)密鑰的有效期和所述 隨機(jī)數(shù)發(fā)送給所述NAF實(shí)體��。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于����,所述NAF實(shí)體,還用于接收來(lái)自所述用戶(hù)設(shè)備的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�,根據(jù)所述引導(dǎo)業(yè) 務(wù)標(biāo)識(shí)查詢(xún)本地是否存在業(yè)務(wù)密鑰且業(yè)務(wù)密鑰在有效期內(nèi)。
9.如權(quán)利要求7所述的系統(tǒng)��,其特征在于���,所述NAF實(shí)體��,具體用于根據(jù)引導(dǎo)業(yè)務(wù)標(biāo)識(shí)向所述BSF實(shí)體查詢(xún)業(yè)務(wù)密鑰����,接收并存儲(chǔ) 所述業(yè)務(wù)密鑰、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)�����,并向所述用戶(hù)設(shè)備發(fā)送認(rèn)證請(qǐng)求和 所述隨機(jī)數(shù)�;使所述用戶(hù)設(shè)備根據(jù)接收到的所述隨機(jī)數(shù)計(jì)算業(yè)務(wù)密鑰并根據(jù)所述計(jì)算得到 的業(yè)務(wù)密鑰進(jìn)行雙向鑒權(quán)。
10.如權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述BSF實(shí)體�����,具體用于接收來(lái)自所述NAF實(shí)體的所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)�,根據(jù)所述引導(dǎo) 業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否在有效期內(nèi),如果所述根密鑰不在有效期內(nèi)�,則接收來(lái)自所述用 戶(hù)設(shè)備的GBA初始化請(qǐng)求,從HSS獲取認(rèn)證向量���,根據(jù)所述認(rèn)證向量要求所述用戶(hù)設(shè)備進(jìn)行 認(rèn)證���,接收來(lái)自所述用戶(hù)設(shè)備的挑戰(zhàn)應(yīng)答,驗(yàn)證所述挑戰(zhàn)應(yīng)答,并獲取根密鑰和引導(dǎo)業(yè)務(wù)標(biāo) 識(shí)�,將所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)和所述根密鑰的有效期發(fā)送給所述用戶(hù)設(shè)備,使所述用戶(hù)設(shè)備獲 取根密鑰和所述根密鑰的有效期��;如果所述根密鑰在有效期內(nèi)�����,則生成隨機(jī)數(shù)�,根據(jù)所述隨 機(jī)數(shù)獲取業(yè)務(wù)密鑰,并將所述業(yè)務(wù)密鑰�����、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)發(fā)送給所述 NAF實(shí)體�����。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種更新密鑰的方法���,包括以下步驟接收來(lái)自網(wǎng)絡(luò)應(yīng)用功能NAF的引導(dǎo)業(yè)務(wù)標(biāo)識(shí),根據(jù)所述引導(dǎo)業(yè)務(wù)標(biāo)識(shí)查詢(xún)根密鑰是否在有效期內(nèi)�����;如果所述根密鑰不在有效期內(nèi),則通過(guò)所述NAF向用戶(hù)設(shè)備返回錯(cuò)誤信息�����,并與所述用戶(hù)設(shè)備進(jìn)行通用引導(dǎo)架構(gòu)GBA初始化�;如果所述根密鑰在有效期內(nèi),則生成隨機(jī)數(shù)�,根據(jù)所述隨機(jī)數(shù)獲取業(yè)務(wù)密鑰,并將所述業(yè)務(wù)密鑰����、所述業(yè)務(wù)密鑰的有效期和所述隨機(jī)數(shù)發(fā)送給所述NAF,使所述NAF根據(jù)所述業(yè)務(wù)密鑰和所述隨機(jī)數(shù)與所述用戶(hù)設(shè)備進(jìn)行雙向鑒權(quán)���。本發(fā)明實(shí)施例降低了BSF的負(fù)荷和業(yè)務(wù)服務(wù)器的負(fù)荷���。本發(fā)明實(shí)施例同樣公開(kāi)了一種應(yīng)用上述方法的裝置和系統(tǒng)。
文檔編號(hào)H04W12/04GK102065421SQ200910237820
公開(kāi)日2011年5月18日 申請(qǐng)日期2009年11月11日 優(yōu)先權(quán)日2009年11月11日
發(fā)明者彭華熹 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司