通信方法和通信装置制造方法及图纸

本申请提供了一种通信方法和通信装置，可以提高传输的安全性。该方法包括：认证服务器接收来自终端的加密后的第一随机数；所述认证服务器根据所述加密后的第一随机数、第二随机数和第三随机数，确定锚点密钥；所述认证服务器向移动性管理设备发送所述锚点密钥。

Communication methods and devices

【技术实现步骤摘要】
【国外来华专利技术】通信方法和通信装置
本申请涉及通信领域，并且更具体地，涉及通信领域中的通信方法和通信装置。
技术介绍
在未来的网络系统中，使用可扩展认证协议(extensible authentication protocol，EAP)进行鉴权，具体地，认证服务器根据保存的终端的注册密码生成哈希值，终端根据自身保存的注册密码生成哈希值，若认证服务器生成的哈希值与终端生成的哈希值一致，则认为鉴权通过，当鉴权通过时，可以利用鉴权时采用的终端的注册密码确定锚点密钥，然后利用锚点密钥进行通信，但是，若终端的注册密码被破解，这样，导致攻击者很容易得到锚点密钥，这样终端的通信内容容易泄露，无法保证传输的安全性。
技术实现思路
本申请提供一种通信方法和装置，有助于提高传输的安全性。第一方面，提供了一种通信方法，包括：认证服务器接收来自终端的加密后的第一随机数；所述认证服务器根据所述加密后的第一随机数、第二随机数和第三随机数，确定锚点密钥；所述认证服务器向移动性管理设备发送所述锚点密钥。因此，在本申请实施例中，利用第一随机数取代终端的注册密码来确定锚点密钥，由于随机数具有随机性，并且可以经常变更，例如可以由终端在每次会话建立时生成，避免了长期采用固定的终端的注册密码的而造成的安全性问题。作为一个可选实施例，所述锚点密钥用于所述移动性管理设备进行通信。具体来说，移动性管理设备可以根据所述锚点密钥与终端进行通信，或者移动性管理设备将锚点密钥发送给接入网设备，接入网设备根据所述锚点密钥与终端进行通信。进一步地，例如，所述移动性管理设备可以利用所述锚点密钥生成下层密钥，例如，所述移动性管理设备与终端利用所述下层密钥进行通信，或者所述移动性管理设备将所述下层密钥发送给接入网设备，所述接入网设备与所述终端利用所述下层密钥进行通信。又例如，所述移动性管理设备将所述锚点密钥发送给接入网设备，接入网设备根据所述锚点密钥生成下层密钥，所述接入网设备与所述终端利用下层密钥进行通信。可选的，认证服务器可以根据锚点密钥可以生成一个或多个下层密钥，下层密钥可以用于控制面数据的通信也可以用于用户面数据的通信，举例来说，下层密钥可以用于终端与移动性管理设备之间的控制面数据通信和/或用户面数据的通信，下层密钥可以用于终端与接入网设备之间的控制面数据通信和/或用于面数据通信。并且，终端与移动性管理设备之间的下层密钥可以与终端与接入网设备之间的下层密钥可以不同。可选的，终端与移动性管理设备之间的控制面数据通信所采用的下层密钥可以与用户面数据所采用的下层密钥相同或不同。可选的，终端与接入网设备之间的控制面数据所采用的下层密钥可以与用户面数据所采用的下层密钥相同或不同，本申请实施例对此不作限制。在某些实现方式中，所述第二随机数由终端生成，所述第三随机数由所述认证服务器生成或者由所述移动性管理设备生成或者由数据管理设备生成。可选的，所述方法还包括：认证服务器接收终端发送的第二随机数，若第三随机数由移动性管理设备生成，则认证服务器接收移动性管理设备发送的第三随机数；若第三随机数由数据管理设备生成，则认证服务器接收数据管理设备发送的第三随机数。这样，认证服务器就可以根据终端生成的第二随机数、网络侧设备生成的第三随机数以及终端发送的加密后的第一随机数确定锚点密钥，利用随机数的随机性，能够提高确定的锚点密钥的安全性。在某些实现方式中，所述认证服务器从数据管理设备获取第一验证值和第二验证值；所述认证服务器根据所述第一验证值对所述终端进行认证；所述认证服务器在对所述终端认证的结果为合法的情况下，向所述终端发送所述第二验证值，这样终端就可以根据第二验证值对所述认证服务器进行认证。可选的，在所述根据所述加密后的第一随机数确定锚点密钥之前，所述认证服务器从数据管理设备获取第一验证值和第二验证值；所述认证服务器根据所述第一验证值对所述终端进行认证。在某些实现方式中，所述认证服务器从数据管理设备获取第一验证值和第二验证值，具体包括：所述认证服务器向所述数据管理设备发送所述终端的终端标识、所述第二随机数和所述第三随机数，其中，所述第一验证值由所述终端标识、所述数据管理设备保存的所述终端的注册密码以及所述第三随机数确定；所述第二验证值由所述终端标识、所述数据管理设备保存的所述终端的注册密码和所述第二随机数确定；所述认证服务器接收来自所述数据管理设备的所述第一验证值和所述第二验证值。验证值由数据管理设备生成，并传递给认证服务器，相比于现有技术中由认证服务器生成验证值时需要从数据管理设备获取用户注册密码，避免了用户敏感信息在网络中传输，提高了系统的安全性。在某些实现方式中，所述方法还包括：所述认证服务器接收所述终端发送的第三验证值，所述第三验证值由所述第三随机数、所述终端的终端标识以及所述终端保存的自身的注册密码确定的；其中，所述认证服务器根据所述第一验证值对所述终端进行认证，包括：若所述第一验证值等于所述第三验证值，则所述认证服务器确定所述终端合法。可选的，若所述第一验证值不等于所述第三验证值，则所述认证服务器确定所述终端不合法。可选的，所述第一验证值和所述第三验证值采用相同的认证方法计算得到，例如，可以采用预设的认证方法得到，或者采用由终端和认证服务器协商确定的认证方法得到。可选的，所述第一验证和所述第三验证值可以是采用哈希算法得到的。在某些实现方式中，在所述认证服务器从数据管理设备获取第一验证值和第二验证值之前，所述方法还包括：所述认证服务器接收来自所述终端的所述终端支持的一种或者两种及以上的认证方法；所述认证服务器根据所述终端支持的一种或者两种及以上的认证方法以及所述认证服务器支持的认证方法，确定对所述终端进行认证所采用的第一认证方法。可选的，所述认证服务器从数据管理设备获取第一验证值和第二验证值，包括：所述认证服务器从所述数据管理设备获取根据所述第一认证方法确定的所述第一验证值和所述第二验证值。在终端发给认证服务器的N2消息中，可增加终端支持的认证方法，以便认证服务器一次就能选择出需要使用的认证方法，避免了多次协商导致的认证时延大的问题。在某些实现方式中，所述认证服务器接收所述终端发送的所述终端支持的一种或者两种及以上的认证方法，包括：所述认证服务器接收来自所述终端的所述终端支持的一种或者两种及以上的认证方法以及所述一种或者两种及以上的认证方法中每种认证方法的优先级；其中，所述认证服务器根据所述终端支持的一种或者两种及以上的认证方法以及所述认证服务器支持的认证方法，确定对所述终端进行认证所采用的第一认证方法，包括：所述认证服务器根据所述终端支持的一种或者两种及以上的认证方法中每种认证方法的优先级以及所述认证服务器支持的认证方法，确定所述第一认证方法。在终端发给认证服务器的N2消息中，可增加终端支持的认证方法以及相应的优先级信息，其中，优先级信息可以用于指示终端期望使用的认证方法，以便认证服务器一次就能选择出需要使用的认证方法，避免了多次协商导致的认证时延大的问题。可选的，所述终端在向认证服务器发送的注册消息中携带本文档来自技高网...

【技术保护点】
一种通信方法，其特征在于，包括：/n认证服务器接收来自终端的加密后的第一随机数；/n所述认证服务器根据所述加密后的第一随机数、第二随机数和第三随机数，确定锚点密钥；/n所述认证服务器向移动性管理设备发送所述锚点密钥。/n

【技术特征摘要】
【国外来华专利技术】一种通信方法，其特征在于，包括：
认证服务器接收来自终端的加密后的第一随机数；
所述认证服务器根据所述加密后的第一随机数、第二随机数和第三随机数，确定锚点密钥；
所述认证服务器向移动性管理设备发送所述锚点密钥。


根据权利要求1所述的方法，其特征在于，所述锚点密钥用于所述移动性管理设备进行通信。


根据权利要求1或2所述的方法，其特征在于，所述第二随机数由所述终端生成，所述第三随机数由所述认证服务器生成或者由所述移动性管理设备生成或者由数据管理设备生成。


根据权利要求1至3中任一所述的方法，其特征在于，所述方法还包括：
所述认证服务器从数据管理设备获取第一验证值和第二验证值；
所述认证服务器根据所述第一验证值对所述终端进行认证；
所述认证服务器在对所述终端认证的结果为合法的情况下，向所述终端发送所述第二验证值。


根据权利要求4所述的方法，其特征在于，所述认证服务器从数据管理设备获取第一验证值和第二验证值，具体包括：
所述认证服务器向所述数据管理设备发送所述终端的终端标识、所述第二随机数和所述第三随机数；
所述认证服务器接收来自所述数据管理设备的所述第一验证值和所述第二验证值，其中，所述第一验证值由所述终端标识、所述数据管理设备保存的所述终端的注册密码以及所述第三随机数确定；所述第二验证值由所述终端标识、所述数据管理设备保存的所述终端的注册密码和所述第二随机数确定。


根据权利要求4或5所述的方法，其特征在于，所述方法还包括：
所述认证服务器接收来自所述终端的第三验证值，所述第三验证值由所述第三随机数、所述终端的终端标识以及所述终端保存的自身的注册密码确定的；
其中，所述认证服务器根据所述第一验证值对所述终端进行认证，包括：
若所述第一验证值等于所述第三验证值，则所述认证服务器确定所述终端合法。


根据权利要求4至6中任一项所述的方法，其特征在于，在所述认证服务器从数据管理设备获取第一验证值和第二验证值之前，所述方法还包括：
所述认证服务器接收来自所述终端的所述终端支持的一种或者两种及以上的认证方法；
所述认证服务器根据所述终端支持的一种或者两种及以上的认证方法以及所述认证服务器支持的认证方法，确定对所述终端进行认证所采用的第一认证方法。


根据权利要求7所述的方法，其特征在于，所述认证服务器接收所述终端发送的所述终端支持的一种或者两种及以上的认证方法，包括：
所述认证服务器接收来自所述终端的所述终端支持的一种或者两种及以上的认证方法以及所述一种或者两种及以上的认证方法中每种认证方法的优先级；
其中，所述认证服务器根据所述终端支持的一种或者两种及以上的认证方法以及所述认证服务器支持的认证方法，确定对所述终端进行认证所采用的第一认证方法，包括：
所述认证服务器根据所述终端支持的一种或者两种及以上的认证方法中每种认证方法的优先级以及所述认证服务器支持的认证方法，确定所述第一认证方法。


根据权利要求1至8中任一项所述的方法，其特征在于，所述加密后的第一随机数是利用第一密钥加密第一随机数得到的；
所述认证服务器根据所述加密后的第一随机数、第二随机数和第三随机数，确定锚点密钥，包括：
所述认证服务器利用第二密钥对所述加密后的第一随机数进行解密，得到所述第一随机数，其中，所述第二密钥为与所述第一密钥对应的密钥；
所述认证服务器利用所述第一随机数、第二随机数和第三随机数，确定所述锚点密钥。


根据权利要求9所述的方法，其特征在于，所述第一密钥和所述第二密钥为根据迪菲-赫尔曼DH算法生成的一对密钥。


一种通信方法，其特征在于，包括：
终端生成第一随机数；
所述终端根据所述第一随机数、第二随机数以及第三随机数，确定锚点密钥，所述锚点密钥用于所述终端通信。


根据权利要求11所述的方法，其特征在于，所述方法还包括：
所述终端对所述第一随机数进行加密，得到加密后的第一随机数；
所述终端向认证服务器发送所述加密后的第一随机数。


根据权利要求11或12所述的方法，其特征在于，所述第二随机数由终端生成，所述第三随机数由所述认证服务器或移动性管理设备或者数据管理设备生成。


根据权利要求11至13中任一所述的方法，其特征在于，所述方法还包括：
所述终端接收来自数据管理设备的第二验证值，所述第二验证值由所述终端的终端标识、所述数据管理设备保存的所述终端的注册密码以及所述第二随机数确定的；
所述终端根据所述终端标识、所述终端保存的自身的注册密码以及所述第二随机数确定第四验证值；
所述终端根据所述第二验证值和所述第四验证值对认证服务器进行认证。


根据权利要求11至14中任一项所述的方法，其特征在于，所述方法还包括：
所述终端向所述认证服务器发送所述终端支持的一种或者两种及以上的认证方法；或者
所述终端向所述认证服务器发送所述终端支持的一种或者两种及以上的认证方法以及所述一种或者两种及以上的认证方法中每个认证方法的优先级。


一种通信方法，其特征在于，包括：
认证服务器从数据管理设备获取第一验证值和第二验证值；
所述认证服务器根据所述第一验证值对所述终端进行认证；
所述认证服务器在对所述终端认证的结果为合法的情况下，向所述终端发送所述第二验证值。


根据权利要求16所述的方法，其特征在于，所述认证服务器从数据管理设备获取第一验证值和第二验证值，具体包括：
所述认证服务器向所述数据管理设备发送所述终端的终端标识、所述第二随机数和所述第三随机数；
所述认证服务器接收来自所述数据管理设备的所述第一验证值和所述第二验证值，其中，所述第一验证值由所述终端标识、所述数据管理设备保存的所述终端的注册密码以及所述第三随机数确定；所述第二验证值由所述终端标识、所述数据管理设备保存的所述终端的注册密码和所述第二随机数确定。


根据权利要求16或17所述的方法，其特征在于，所述方法还包括：
所述认证服务器接收来自所述终端的第三验证值，所述第三验证值由所述第三随机数、所述终端的终端标识以及所述终端保存的自身的注册密码确定的；
其中，所述认证服务器根据所述第一验证值对所述终端进行认证，包括：
若所述第一验证值等于所述第三验证值，则所述认证服务器确定所述终端合法；
若所述第一验证值不等于所述第三验证值，则所述认证服务器确定所述终端不合法。


一种通信装置，其特征在于，包括：
收发...

【专利技术属性】
技术研发人员：李华，于游洋，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44