[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN110166230B - 秘钥管理方法和装置 - Google Patents

秘钥管理方法和装置 Download PDF

Info

Publication number
CN110166230B
CN110166230B CN201910304043.1A CN201910304043A CN110166230B CN 110166230 B CN110166230 B CN 110166230B CN 201910304043 A CN201910304043 A CN 201910304043A CN 110166230 B CN110166230 B CN 110166230B
Authority
CN
China
Prior art keywords
user identity
identity information
public key
identifier
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910304043.1A
Other languages
English (en)
Other versions
CN110166230A (zh
Inventor
王海光
康鑫
雷中定
刘斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei International Pte Ltd
Original Assignee
Huawei International Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei International Pte Ltd filed Critical Huawei International Pte Ltd
Priority to CN201910304043.1A priority Critical patent/CN110166230B/zh
Publication of CN110166230A publication Critical patent/CN110166230A/zh
Application granted granted Critical
Publication of CN110166230B publication Critical patent/CN110166230B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请提供一种秘钥管理方法和装置,该秘钥管理方法包括:用户设备根据第一公钥对用户身份信息进行加密;用户设备向第一网络设备发送第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,并通过第一网络设备向第二网络设备发送包括用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息,使得第二网络设备在接收到该第三用户身份消息时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,提高了数据的解密效率。

Description

秘钥管理方法和装置
技术领域
本申请涉及通信技术领域,尤其涉及一种秘钥管理方法和装置。
背景技术
为了提高用户身份信息的安全性,在发送用户身份信息之前,通常使用家乡网络的公钥对用户身份信息进行加密,从而发送加密的用户身份信息。
现有的公钥加密系统可以包括用户设备、接入与移动性管理功能(Access andMobility Function,AMF)设备、认证单元功能(Authentication Unit Function,AUSF)设备及认证信息功能(Authentication Repository Function,ARPF)设备,用户设备在发送用户永久身份(Subscriber Permnent Information(SUPI))信息之前,先使用公钥对用户身份信息进行加密处理,并将加密的用户身份信息发送给存放所述公钥对应的私钥的AMF设备,AMF设备在接收到加密的用户身份信息之后,将加密的用户身份信息发送至AUSF设备,使得AUSF或者其它解密设备使用该公钥对应的私钥对加密的用户身份信息进行解密,从而得到解密后的用户身份信息,再将得到的用户身份信息发送给ARPF设备,以根据用户身份信息进行认证。
然而,在现有的网络系统中,任何一个用于加解密的公私钥对都是有生命周期的,在一个公私钥对的生命周期结束前,新的公私钥对分发需要一个过程,因此,现有的公钥加密系统同时允许至少一套公私钥对用户身份信息进行加解密操作,当存在至少一套公私钥对时,AUSF设备无法确定用户设备使用哪个公私钥对中的公钥对用户身份信息进行加密,从而无法确定使用哪个公私钥对中的私钥对加密的用户身份信息进行解密,从而降低了数据的解密效率。
发明内容
本申请涉及一种秘钥管理方法和装置,以提高数据的解密效率。
第一方面,本申请实施例提供一种秘钥管理方法,该秘钥管理方法可以包括:
用户设备根据第一公钥对用户身份信息进行加密;
用户设备向第一网络设备发送第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,以使得第一网络设备根据指示标识和参考标识对第一用户身份消息进行处理。
可以理解的是,第一公钥可以预存的,也可以是使用时临时获取的。
可以理解的是,用户设备中存储有很多公钥,用哪个公钥加密,就需用使用参考标识进行标识。可以说,公钥和参考标识是一一对应的关系;比如有100个公钥,那么参考标识的取值范围就是0-99。当然,参考标识还可以是截取的部分公钥,还可以是公钥某些位上的值的组合。比如公钥长度为50位,那么参考标识可以是第1,2,4,8,16,32上值的组合。
其中,需要指出的是,虽然第一用户身份消息中包括三个参数,但是可以用两个值来表示,第一个值为用户身份信息,第二个值可以表示参考标识,也可以表示指示标识。
举例来说,比如指示标识为0,表示用户身份信息没有被加密,那么参考标识此时也为0,表示公钥的标识空。比如指示标识为非0的数值(比如大于0的值),非0的数值表示用户身份信息被加密,那么该非0数值可以表示用于加密的公钥的索引。比如该非0数值是100,那么标识该用户标识被加密,用于加密的公钥的参考标识为100。
另外,需要指出的是,第一用户身份消息中包括三个参数,可以用三个值来表示,第一个值为用户身份信息,第二标识表示指示标识,第三个值可以表示参考标识。本发明在此不做限制。
由此可见,本申请实施例提供的公钥管理方法,用户设备根据第一公钥对用户身份信息进行加密,并通过第一网络设备向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息,使得第二网络设备在接收到该第三用户身份消息时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
在一种可能的实现方式中,用户设备根据第一公钥对用户身份信息进行加密之前,该方法还可以包括:
用户设备确定是否对用户身份信息进行加密;
当确定不对用户身份信息进行加密时,用户设备向第一网络设备发送第二用户身份消息;第二用户身份消息包括未加密的用户身份信息以及指示标识。
在一种可能的实现方式中,用户设备根据第一公钥对用户身份信息进行加密之前,还可以包括:
用户设备判断第一公钥是否处于有效期;
用户设备根据第一公钥对用户身份信息进行加密,包括:
当第一公钥处于有效期时,用户设备根据第一公钥对用户身份信息进行加密,从而提高了用户身份信息的安全性。
可以理解的是,每个公钥都有对应的生成日期和失效日期,可以比较当前日期和失效日期确定该公钥是否位于有效期。
在一种可能的实现方式中,指示标识为0时,表示用户身份信息处于未加密状态。
可选的,指示标识可以用数字表示,也可以用字符串表示。用不同的数字或字符串区分是否处于加密状态即可。比如0表示用户身份信息处于未加密状态;1表示用户身份信息处于加密状态;反之亦可。
第二方面,本申请实施例提供一种秘钥管理方法,该方法可以包括:
第一网络设备接收用户设备发送的第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识;
若指示标识表示用户身份信息处于加密状态,则第一网络设备根据参考标识向第二网络设备发送第三用户身份消息;其中,第三用户身份消息包括用户身份信息和参考标识,以使第二网络设备根据参考标识对用户身份信息进行处理。
由此可见,第一网络设备在接收到用户设备发送的第一用户身份消息之后,向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息,使得第二网络设备在接收到该第三用户身份消息时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
在一种可能的实现方式中,第一网络设备根据参考标识向第二网络设备发送第三用户身份消息,可以包括:
第一网络设备根据参考标识向第三网络设备发送第一用户身份消息;以使第三网络设备在指示标识表示用户身份信息处于加密状态时,向第二网络设备发送第三用户身份消息。
在一种可能的实现方式中,第一网络设备根据参考标识向第二网络设备发送第三用户身份消息,可以包括:
第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息;
第一网络设备根据第二网络设备的标识信息,向第二网络设备发送第三用户身份消息。
在一种可能的实现方式中,该方法还可以包括:
第一网络设备接收第二网络设备发送的第四身份消息;第四用户身份消息包括解密后的用户身份信息和第一公钥;
第一网络设备利用第一公钥对解密后的用户身份信息进行加密,以生成需验证的用户身份信息;
第一网络设备将需验证的用户身份信息与用户身份信息进行比较;
若需验证的用户身份信息与用户身份信息相同,则第一网络设备向第三网络设备发送指示信息,指示消息包括解密后的用户身份信息,指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。
由此可见,第一网络设备通过将需验证的用户身份信息与加密的用户身份信息进行比较,从而根据比较结果确定是否对用户身份信息进行注册和认证,进而满足了合法监听对加密身份验证的需求。
在一种可能的实现方式中,第一网络设备接收第二网络设备的第四用户身份信息,可以包括:
第一网络设备接收通过第三网络设备转发的第四用户身份消息。
在一种可能的实现方式中,第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息之前,还可以包括:
第一网络设备接收第二网络设备发送的第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;
第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息,包括:
第一网络设备根据第二网络设备的标识信息与N个参考标识之间的映射表,确定第一公钥对应的第二网络设备的标识信息。
第三方面,本申请实施例提供一种秘钥管理方法,该方法可以包括:
第二网络设备接收第一网络设备发送的第三用户身份消息;其中,第三用户身份消息包括用户身份信息,及用于索引第一公钥的参考标识;
第二网络设备根据参考标识确定第一公钥对应的第一私钥;第一公钥和第一私钥为第一公私钥对;
第二网络设备根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息;
第二网络设备向第三网络设备发送解密后的用户身份信息,以使第三网络设备对解密后的用户身份信息进行处理。
由此可见,第二网络设备在接收到包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
在一种可能的实现方式中,第二网络设备接收第一网络设备发送的第三用户身份消息,可以包括:
第二网络设备接收通过第三网络设备转发的第三用户身份消息。
在一种可能的实现方式中,第二网络设备根据参考标识确定第一公钥对应的第一私钥之前,还可以包括:
第二网络设备判断第一公钥是否处于有效期;
第二网络设备根据参考标识确定第一公钥对应的第一私钥,包括:
当第一公钥处于有效期时,第二网络设备根据参考标识确定第一公钥对应的第一私钥。
由此可见,通过判断第一公钥是否处于有效期,当第一公钥处于有效期时,第二网络设备根据参考标识确定第一公钥对应的第一私钥,从而提高了数据的解密效率。
在一种可能的实现方式中,第二网络设备接收第一网络设备发送的第三用户身份消息之前,还可以包括:
第二网络设备获取N对公私钥对及N个参考标识,N个参考标识用于一一对应地索引N个公私钥对,第一公私钥对为N对公私钥对中的任一对,N为大于0的整数。
在一种可能的实现方式中,第二网络设备获取N对公私钥对及N个参考标识,可以包括:
第二网络设备生成N对公私钥对;
第二网络设备为N对公私钥对中的公钥分配参考标识。
在一种可能的实现方式中,第二网络设备获取N对公私钥对及N个参考标识,可以包括:
第二网络设备生成N对公私钥对;
第二网络设备向第四网络设备发送参考标识请求消息,参考标识请求消息包括N对公私钥对中的公钥,参考标识请求消息用于请求第四网络设备为N对公私钥对中的公钥分配参考标识;
第二网络设备接收第四网络设备发送的N对公私钥对中的公钥及N个参考标识。
在一种可能的实现方式中,第二网络设备获取N对公私钥对及N个参考标识,可以包括:
第二网络设备接收第四网络设备发送的N对公私钥对及N个参考标识。
在一种可能的实现方式中,第二网络设备接收第一网络设备发送的第三用户身份消息之前,还可以包括:
第二网络设备从N个公私钥对中获取第一公钥,以及从N个参考标识中获取参考标识;
第二网络设备向用户设备发送第一公钥及参考标识。
在一种可能的实现方式中,第二网络设备根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息之后,还可以包括:
第二网络设备向第一网络设备发送第四用户身份消息;其中,第四用户身份消息包括解密后的用户身份信息和第一公钥,以使第一网络设备根据第一公钥对第四用户身份消息进行处理。
在一种可能的实现方式中,第二网络设备向第一网络设备发送第四用户身份消息,可以包括:
第二网络设备通过第三网络设备向第一网络设备转发第四用户身份消息。
在一种可能的实现方式中,还可以包括:
当第一公钥不处于有效期时,则第二网络设备向用户设备发送公钥更新请求消息,公钥更新请求消息用于指示用户设备更新第一公钥,以通过有效的公钥对用户身份信息进行加密,从而提高了数据的安全性。
在一种可能的实现方式中,第二网络设备接收第一网络设备发送的第三用户身份消息之前,还可以包括:
第二网络设备向第一网络设备发送第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;
第二网络设备接收第一网络设备发送的第三用户身份消息,可以包括:
第二网络设备接收第一网络设备根据第二网络设备的标识信息与N个参考标识之间的映射表发送第三用户身份消息。
第四方面,本申请实施例提供一种秘钥管理方法,该方法可以包括:
第三网络设备接收第一网络设备发送的第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识;
若指示标识表示用户身份信息处于加密状态,则第三网络设备根据参考标识确定参考标识对应的第二网络设备的标识信息;
第三网络设备根据第二网络设备的标识信息,向第二网络设备发送第三用户身份消息,第三用户身份消息包括使用用户身份信息,及用于索引第一公钥的参考标识;以使第二网络设备根据参考标识对第三用户身份消息进行处理。
由此可见,第三网络设备在接收到用户设备发送的第一用户身份消息之后,向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息,使得第二网络设备在接收到该第三用户身份消息时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
在一种可能的实现方式中,方法还包括:
第三网络设备接收第二网络设备发送的第四用户身份消息,其中,第四用户身份消息包括解密后的用户身份信息和第一公钥;
第三网络设备向第一网络设备发送第四用户身份消息,以使第一网络设备根据第一公钥对第四用户身份消息进行处理。
在一种可能的实现方式中,第三网络设备向第一网络设备发送第四用户身份消息之后,还包括:
第三网络设备接收第一网络设备发送的指示信息;指示消息包括解密后的用户身份信息,指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。
在一种可能的实现方式中,第三网络设备根据参考标识确定参考标识对应的第二网络设备的标识信息之前,还可以包括:
第三网络设备接收第二网络设备发送的第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;
第三网络设备根据参考标识确定参考标识对应的第二网络设备的标识信息,包括:
第三网络设备根据第二网络设备的标识信息与N个参考标识之间的映射表,确定参考标识对应的第二网络设备的标识信息。
在一种可能的实现方式中,第三网络设备接收第二网络设备发送的第二网络设备的标识信息与N个参考标识之间的映射表之后,还可以包括:
第三网络设备向第一网络设备发送第三网络设备的标识信息与N个参考标识之间的映射表;
第三网络设备接收第一网络设备发送的第一用户身份消息,包括:
第三网络设备接收第一网络设备根据第三网络设备的标识信息与N个参考标识之间的映射表转发的用户设备的第一用户身份消息。
第五方面,本申请实施例提供一种秘钥管理方法,该方法可以包括:
第四网络设备获取N个公钥,N为大于0的整数;
第四网络设备为N个公钥分配N个参考标识,N个参考标识用于一一对应地索引N个公钥;
第四网络设备向第二网络设备发送N个公钥和N个参考标识,以使第二网络设备获取N个公钥和N个参考标识。
由此可见,第四网络设备通过向第二网络设备发送N个公钥和N个参考标识,使得第二网络设备在接收到该第三用户身份消息时,可以根据参考标识确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
在一种可能的实现方式中,第四网络设备获取N个公钥,可以包括:
第四网络设备生成N个公私钥对,每个公私钥对包括公钥和私钥,N个公钥为N个公私钥对中的公钥;
第四网络设备向第二网络设备发送N个公钥和N个参考标识,包括:
第四网络设备向第二网络设备发送N个公私钥对及N个参考标识。
在一种可能的实现方式中,第四网络设备获取N个公钥,可以包括:
第四网络设备接收第二网络设备发送的参考标识请求消息,参考标识请求消息包括N对公私钥对中的公钥,参考标识请求消息用于请求第四网络设备为N对公私钥对中的公钥分配参考标识。
在一种可能的实现方式中,该方法还可以包括:
第四网络设备从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识;
第四网络设备向用户设备发送第一公钥及参考标识。
第六方面,本申请实施例提供一种秘钥管理装置,该装置可以包括:
加密单元,用于根据第一公钥对用户身份信息进行加密;
发送单元,用于向第一网络设备发送第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,以使得第一网络设备根据指示标识和参考标识对第一用户身份消息进行处理。
在一种可能的实现方式中,加密单元,还用于确定是否对用户身份信息进行加密;
发送单元,还用于当确定不对用户身份信息进行加密时,用户设备向第一网络设备发送第二用户身份消息;第二用户身份消息包括未加密的用户身份信息以及指示标识。
在一种可能的实现方式中,该装置还可以包括:
判断单元,用于判断第一公钥是否处于有效期;
加密单元,具体用于当第一公钥处于有效期时,根据第一公钥对用户身份信息进行加密。
本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第一方面提供的秘钥管理方法的实施例,此处不再赘述。
第七方面,本申请实施例提供一种秘钥管理装置,该装置可以包括:
接收单元,用于接收用户设备发送的第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识;
发送单元,用于若指示标识表示用户身份信息处于加密状态,则根据参考标识向第二网络设备发送第三用户身份消息;其中,第三用户身份消息包括用户身份信息和参考标识,以使第二网络设备根据参考标识对用户身份信息进行处理。
在一种可能的实现方式中,发送单元,具体用于根据参考标识向第三网络设备发送第一用户身份消息;以使第三网络设备在指示标识表示用户身份信息处于加密状态时,向第二网络设备发送第三用户身份消息。
在一种可能的实现方式中,发送单元,具体用于根据参考标识确定第一公钥对应的第二网络设备的标识信息;并根据第二网络设备的标识信息,向第二网络设备发送第三用户身份消息。
在一种可能的实现方式中,该装置还可以包括:
接收单元,还用于接收第二网络设备发送的第四身份消息;第四用户身份消息包括解密后的用户身份信息和第一公钥;
加密单元,用于利用第一公钥对解密后的用户身份信息进行加密,以生成需验证的用户身份信息;
比较单元,用于将需验证的用户身份信息与用户身份信息进行比较;
发送单元,还用于若需验证的用户身份信息与用户身份信息相同,则向第三网络设备发送指示信息,指示消息包括解密后的用户身份信息,指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。
在一种可能的实现方式中,接收单元,具体用于接收通过第三网络设备转发的第四用户身份消息。
在一种可能的实现方式中,还可以包括:
接收单元,还用于接收第二网络设备发送的第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;
确定单元,用于根据参考标识确定第一公钥对应的第二网络设备的标识信息,包括:
确定单元,还用于根据第二网络设备的标识信息与N个参考标识之间的映射表,确定第一公钥对应的第二网络设备的标识信息。
本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第二方面提供的秘钥管理方法的实施例,此处不再赘述。
第八方面,本申请实施例提供一种秘钥管理装置,该装置可以包括:
接收单元,用于接收第一网络设备发送的第三用户身份消息;其中,第三用户身份消息包括用户身份信息,及用于索引第一公钥的参考标识;
确定单元,用于根据参考标识确定第一公钥对应的第一私钥;第一公钥和第一私钥为第一公私钥对;
解密单元,用于根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息;
发送单元,用于向第三网络设备发送解密后的用户身份信息,以使第三网络设备对解密后的用户身份信息进行处理。
在一种可能的实现方式中,接收单元,具体用于接收通过第三网络设备转发的第三用户身份消息。
在一种可能的实现方式中,该装置还可以包括:
判断单元,用于判断第一公钥是否处于有效期;
确定单元,具体用于当第一公钥处于有效期时,根据参考标识确定第一公钥对应的第一私钥。
在一种可能的实现方式中,还可以包括:
获取单元,用于获取N对公私钥对及N个参考标识,N个参考标识用于一一对应地索引N个公私钥对,第一公私钥对为N对公私钥对中的任一对,N为大于0的整数。
在一种可能的实现方式中,获取单元,具体用于生成N对公私钥对,并为N对公私钥对中的公钥分配参考标识。
在一种可能的实现方式中,获取单元,具体用于生成N对公私钥对;发送单元,还用于向第四网络设备发送参考标识请求消息,参考标识请求消息包括N对公私钥对中的公钥,参考标识请求消息用于请求第四网络设备为N对公私钥对中的公钥分配参考标识;
接收单元,还用于接收第四网络设备发送的N对公私钥对中的公钥及N个参考标识。
在一种可能的实现方式中,接收单元,还用于接收第四网络设备发送的N对公私钥对及N个参考标识。
在一种可能的实现方式中,获取单元,还用于从N个公私钥对中获取第一公钥,以及从N个参考标识中获取参考标识;
发送单元,还用于向用户设备发送第一公钥及参考标识。
在一种可能的实现方式中,发送单元,还用于向第一网络设备发送第四用户身份消息;其中,第四用户身份消息包括解密后的用户身份信息和第一公钥,以使第一网络设备根据第一公钥对第四用户身份消息进行处理。
在一种可能的实现方式中,发送单元,还用于通过第三网络设备向第一网络设备转发第四用户身份消息。
在一种可能的实现方式中,发送单元,还用于当第一公钥不处于有效期时,向用户设备发送公钥更新请求消息,公钥更新请求消息用于指示用户设备更新第一公钥。
在一种可能的实现方式中,发送单元,还用于向第一网络设备发送第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;
接收单元,具体用于接收第一网络设备根据第二网络设备的标识信息与N个参考标识之间的映射表发送第三用户身份消息。
本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第三方面提供的秘钥管理方法的实施例,此处不再赘述。
第九方面,本申请实施例提供一种秘钥管理装置,该装置可以包括:
接收单元,用于接收第一网络设备发送的第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识;
确定单元,用于若指示标识表示用户身份信息处于加密状态,则根据参考标识确定参考标识对应的第二网络设备的标识信息;
发送单元,用于根据第二网络设备的标识信息,向第二网络设备发送第三用户身份消息,第三用户身份消息包括使用用户身份信息,及用于索引第一公钥的参考标识;以使第二网络设备根据参考标识对第三用户身份消息进行处理。
在一种可能的实现方式中,接收单元,还用于接收第二网络设备发送的第四用户身份消息,其中,第四用户身份消息包括解密后的用户身份信息和第一公钥;
发送单元,还用于向第一网络设备发送第四用户身份消息,以使第一网络设备根据第一公钥对第四用户身份消息进行处理。
在一种可能的实现方式中,接收单元,还用于接收第一网络设备发送的指示信息;指示消息包括解密后的用户身份信息,指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。
在一种可能的实现方式中,接收单元,还用于接收第二网络设备发送的第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;
确定单元,具体用于根据第二网络设备的标识信息与N个参考标识之间的映射表,确定参考标识对应的第二网络设备的标识信息。
在一种可能的实现方式中,发送单元,还用于向第一网络设备发送第三网络设备的标识信息与N个参考标识之间的映射表;
接收单元,具体用于接收第一网络设备根据第三网络设备的标识信息与N个参考标识之间的映射表转发的用户设备的第一用户身份消息。
本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第四方面提供的秘钥管理方法的实施例,此处不再赘述。
第十方面,本申请实施例提供一种秘钥管理装置,该装置可以包括:
获取单元,用于获取N个公钥,N为大于0的整数;
分配单元,用于为N个公钥分配N个参考标识,N个参考标识用于一一对应地索引N个公钥;
发送单元,用于向第二网络设备发送N个公钥和N个参考标识,以使第二网络设备获取N个公钥和N个参考标识。
在一种可能的实现方式中,获取单元,具体用于生成N个公私钥对,每个公私钥对包括公钥和私钥,N个公钥为N个公私钥对中的公钥;
发送单元,还用于向第二网络设备发送N个公私钥对及N个参考标识。
在一种可能的实现方式中,接收单元,还用于接收第二网络设备发送的参考标识请求消息,参考标识请求消息包括N对公私钥对中的公钥,参考标识请求消息用于请求第四网络设备为N对公私钥对中的公钥分配参考标识。
在一种可能的实现方式中,获取单元,还用于从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识;
发送单元,还用于向用户设备发送第一公钥及参考标识。
本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第一方面提供的秘钥管理方法的实施例,此处不再赘述。
第十一方面,本申请实施例还提供的一种设备,包括处理器和存储器。
存储器用于存储指令,处理器用于执行存储器存储的指令,当处理器执行存储器存储的指令时,该设备用于执行如上述第一方面至第五方面任意一个实施例所述的方法。
第十二方面,本申请实施例提供一种可读存储介质,可读存储介质中存储有指令,
当用户设备的至少一个处理器执行该指令时,用户设备执行上述第一方面至第五方面方法实施例中提供的秘钥管理方法。
第十三方面,本申请实施例提供一种可读存储介质,可读存储介质中存储有指令,当网络设备的至少一个处理器执行该指令时,网络设备执行上述第一方面至第五方面方法实施例中提供的秘钥管理方法。
本申请实施例提供的秘钥管理方法和装置,在确定对用户身份信息进行加密时,用户设备根据第一公钥对用户身份信息进行加密,并向第一网络设备发送第一用户身份消息,该第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,使得第一网络设备在接收到第一用户身份信息时,根据指示标识判断用户身份信息是否处于加密状态,若指示标识表示用户身份信息处于加密状态,则第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息,并向第二网络设备发送第三用户身份消息,使得第二网络设备在接收用户设备的第三用户身份消息时,根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息,以通过ARPF设备根据用户身份信息进行认证。由此可见,本申请实施例提供的公钥管理方法和装置,用户设备根据第一公钥对用户身份信息进行加密,并通过第一网络设备向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息,使得第二网络设备在接收到该第三用户身份消息时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
附图说明
图1为本申请实施例提供的一种系统架构图;
图2为本申请提供的一种秘钥管理方法的示意图一;
图3为本申请提供的一种公钥管理方法的示意图二;
图4为本申请提供的一种公钥管理方法的示意图三;
图5为本申请提供的一种公钥管理方法的示意图四;
图6为本申请提供的一种公钥管理方法的示意图五;
图7为本申请提供的一种公钥管理方法的示意图六;
图8为本申请提供的一种公钥管理方法的示意图七;
图9为本申请提供的一种公钥管理方法的示意图八;
图10为本申请提供的一种公钥管理装置的示意图一;
图11为本申请提供的一种公钥管理装置的示意图二;
图12为本申请提供的一种公钥管理装置的示意图三;
图13为本申请提供的一种公钥管理装置的示意图四;
图14为本申请提供的一种公钥管理装置的示意图五;
图15为本申请提供的一种公钥管理装置的示意图六;
图16为本申请提供的一种公钥管理装置的示意图七;
图17为本申请提供的一种公钥管理装置的示意图八;
图18为本申请提供的一种设备的框图。
具体实施方式
图1为本申请实施例提供的一种系统架构图,请参见图1所示,在该通信系统中,第一网络设备为接入和移动性管理功能(Access and Mobility Management Function,AMF)设备,第二网络设备为签约身份解密功能(Subscription Identifier De-concealingFunction,SIDF)设备,第三网络设备为认证单元功能(Authentication Unit Function,AUSF)设备,第四网络设备为集成有公钥管理功能的公钥管理功能设备,则该通信系统中包括用户设备、AMF设备、AUSF设备、SIDF设备、公钥管理功能设备及认证服务器为认证信息数据库(Authentication Repository Function,ARPF)设备。在图1所示的系统架构中,用户设备可以通过AMF设备及AUSF设备与SIDF设备进行交互;也可以通过只AMF设备与SIDF设备之间进行交互。
其中,用户设备可以为移动电话(或称为“蜂窝”电话)或具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置等。用户设备也可以称为终端设备,移动台(mobile station,简称MS),终端(terminal),还可以包括用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant,简称PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordlessphone)或者无线本地环路(wireless local loop,简称WLL)台、机器类型通信(machinetype communication,简称MTC)终端等。
AMF设备用于转发用户设备与AUSF设备之间交互的消息,还用于负责移动网络中的移动性管理,如用户位置更新、用户注册网络、用户切换等。
AUSF设备用于转发AMF设备与SIDF设备之间交互的消息,还用于负责与ARPF设备之间进行认证交互,并通过ARPF设备对用户身份信息进行认证。
SIDF设备用于生成公私钥对,并为公私钥对分配参考标识,还用于使用自身存储的私钥对用户身份信息进行解密,并与AUSF设备及公钥管理功能设备进行交互。
公钥管理功能设备用于生成公私钥对,并为公私钥对分配参考标识,将生成公私钥对及参考标识发送给SIDF设备,以通过SIDF设备使用私钥对用户身份信息进行解密。
ARPF设备主要用于与AUSF设备之间进行交互,主要负责对用户身份信息进行认证。
在现有的公钥加密系统中,同时允许至少一套公私钥对用户身份信息进行加解密操作,当存在至少一套公私钥对时,AUSF设备无法确定用户设备使用哪个公私钥对中的公钥对用户身份信息进行加密,从而无法确定使用哪个公私钥对中的私钥对加密的用户身份信息进行解密,从而降低了数据的解密效率。为了提高数据的解密效率,本申请提供了一种公钥管理方法,在确定对用户身份信息进行加密时,用户设备根据第一公钥对用户身份信息进行加密,并向AMF设备发送第一用户身份消息,由于该第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,使得AMF设备根据指示标识和参考标识,将加密的用户身份信息和参考标识向SIDF设备发送加密的用户身份信息和参考标识,相应的,SIDF设备也可以根据参考标识查找该参考标识索引的第一公钥对应的第一私钥,并通过第一私钥对用户身份信息进行解密,从而提高了数据的解密效率。
需要说明的是,本申请提供的公钥管理方法,AMF设备根据参考标识向SIDF设备发送用户身份信息和参考标识(即本申请中第三用户身份消息)时,可以直接根据参考标识向SIDF设备发送第三用户身份消息,也可以根据参考标识通过AUSF设备向SIDF设备转发第三用户身份消息。下面,通过具体实施例,对本申请所示的技术方案进行详细说明。需要说明的是,下面几个具体实施例可以相互结合,对于相同或相似的内容,在不同的实施例中不再进行重复说明。
需要说明的是,本申请的公钥管理管理方法所示的主要过程可以分为两个,这两个过程分别为:对使用公钥加密的用户身份信息进行解密的过程,以及公钥的生成和下发的过程。具体的,使用公钥加密的用户身份信息进行解密的过程请参见图2-图6所示的实施例。公钥的生成和下发的过程请参见图7-图9所示的实施例。
图2为本申请提供的一种秘钥管理方法的示意图一,在该图2所示的实施例中,AMF设备是通过AUSF设备向SIDF设备转发第三用户身份消息,请参见图2所示,该秘钥管理方法可以包括:
S201、用户设备根据第一公钥对用户身份信息进行加密。
示例的,用户设备根据第一公钥对用户身份信息进行加密之前,可以先接收SIDF设备或公钥管理功能设备发送的第一公钥及用于索引第一公钥的参考标识,从而获取用于加密用户身份信息的第一公钥及对应的参考标识。
在获取到第一公钥之后,用户设备就可以根据第一公钥对用户身份信息进行加密。示例的,在根据第一公钥对用户身份信息进行加密时,可以直接使用该第一公钥对用户身份信息进行加密,也可以先使用临时公钥对用户身份信息进行加密,再使用第一公钥加密使用临时公钥加密后的用户身份信息。可选的,用户设备根据第一公钥对用户身份信息进行加密之前,可以先判断第一公钥是否处于有效期,当第一公钥处于有效期时,用户设备根据第一公钥对用户身份信息进行加密。需要说明的是,当用户设备判断第一公钥是否处于有效期时,用户设备还需要接收SIDF设备或公钥管理功能设备发送的第一公钥的使用期限,以使用户设备根据该第一公钥的使用期限判断第一公钥是否处于有效期。示例的,第一公钥的使用期限可以以第一公钥的生产日期及失效日期表示;也可以以第一公钥的生产日期及可使用期限表示。
S202、用户设备向AMF设备发送第一用户身份消息。
其中,第一用户身份消息包括用户身份信息(即为加密后的用户身份信息),用于表示是否加密的指示标识及用于索引第一公钥的参考标识。可选的,第一用户身份消息还可以包括第一公钥支持的加密协议。示例的,第一用户身份消息可以携带在非接入层(Non-Access Stratum,NAS)数据包中发送给AMF设备,即用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识可以携带在NAS数据包中。
需要说明的是,用于索引第一公钥的参考标识可以为一个预先分配的数字,可以为隐含该身份管理网络设备的地域信息,还可以为第一公钥本身。在通过指示标识表示用户身份信息是否加密时,当指示标识为大于0的数时,可以表示用户身份处于加密状态,当指示标识为0时,表示用户身份信息处于未加密状态。可选的,当参考标识为0时,也可以表示用户身份信息处于未加密状态。
S203、若指示标识表示用户身份信息处于加密状态,则AMF设备根据参考标识确定第一公钥对应的AUSF设备的标识信息。
S204、AMF设备根据AUSF设备的标识信息,向AUSF设备转发第一用户身份消息。
AMF设备在接收到用户设备发送的第一用户身份消息时,根据第一用户身份消息中包括的用于表示是否加密的指示标识判断用户身份是否处于加密状态,在确定用户身份信息处于加密状态时,根据参考标识确定第一公钥对应的AUSF设备的标识,以根据AUSF设备的标识信息,向AUSF设备转发第一用户身份消息。
可选的,在本申请实施例中,S203和S204步骤:AMF设备根据参考标识确定第一公钥对应的AUSF设备的标识,并根据AUSF设备的标识信息,向AUSF设备转发用户身份消息,可以包括:AMF设备预先接收并存储AUSF设备发送的AUSF设备的标识信息与N个参考标识之间的映射表,使得在接收到用户设备发送的第一用户身份消息之后,可以根据AUSF设备的标识信息与N个参考标识之间的映射表,确定第一公钥对应的AUSF设备的标识信息,从而将第一用户身份消息发送给AUSF设备。其中,N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数。
S205、若指示标识表示用户身份信息处于加密状态,则AUSF设备根据参考标识确定参考标识对应的SIDF设备的标识信息。
S206、AUSF设备根据SIDF设备的标识信息,向SIDF设备发送第三用户身份消息。
其中,第三用户身份消息包括用户身份信息(即加密的用户身份信息),及用于索引第一公钥的参考标识。由于AUSF设备在接收到用户设备的第一用户身份消息之后,会根据第一用户身份消息中的用于标识是否加密的指示标识判断用户身份是否处于加密状态,在确定用户身份信息处于未加密状态时,直接将用户身份信息发送给ARPF设备进行认证,在确定用户身份信息处于加密状态时,只需要向SIDF设备发送使用第一公钥加密的用户身份信息,及用于索引第一公钥的参考标识即可,以使SIDF直接根据参考标识查找第一公钥对应的第一私钥,从而通过第一私钥对加密的用户身份信息进行解密,而无需再发送用于标识是否加密的指示标识。可选的,第三用户身份消息还可以包括第一公钥支持的加密协议。
AUSF设备在接收到AMF设备转发的第一用户身份消息之后,根据第一用户身份消息中包括的用于表示是否加密的指示标识判断用户身份是否处于加密状态,在确定用户身份信息处于加密状态时,根据参考标识确定参考标识对应的SIDF设备的标识信息,以根据SIDF设备的标识信息,向SIDF设备转发第三用户身份消息。
可选的,在本申请实施例中,S205和S206:AUSF设备根据参考标识确定参考标识对应的SIDF设备的标识信息,并根据SIDF设备的标识信息,向SIDF设备发送第三用户身份消息,可以包括:AUSF设备预设接收并存储SIDF设备发送的SIDF设备的标识信息与N个参考标识之间的映射表,使得在接收到用户设备发送的第一用户身份消息之后,可以根据SIDF设备的标识信息与N个参考标识之间的映射表,确定参考标识对应的SIDF设备的标识信息,从而将第三用户身份消息发送给SIDF设备。
S207、SIDF设备根据参考标识确定第一公钥对应的第一私钥。
其中,第一公钥和第一私钥为第一公私钥对。
在本申请实施例中,SIDF设备可以预先存储N个公私钥对与N个参考标识之间的映射表,使得SIDF在接收到第三用户身份消息之后,可以根据第三用户身份消息中包括的参考标识查找第一公钥对应的第一私钥,从而根据该第一私钥对加密的用户身份信息进行解密。
S208、SIDF设备根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息。
S209、SIDF设备向AUSF设备发送解密后的用户身份信息,以使AUSF设备对解密后的用户身份信息进行处理。
示例的,在本申请实施例中,SIDF设备将解密后的用户身份信息发送给AUSF设备,并通过AUSF设备将解密后的用户身份信息发送给ARPF设备,以使ARPF设备根据用户身份信息进行认证。
需要说明的是,在上述图2所示的实施例中,S203-S206也可以通过下述S211-S212进行替换:即AMF设备参考标识直接向SIDF设备发送第三用户身份消息,具体请参见图3所示,
图3为本申请提供的一种秘钥管理方法的示意图二。
S210、若指示标识表示用户身份信息处于加密状态,则AMF设备根据参考标识确定第一公钥对应的SIDF设备的标识信息。
可选的,S210AMF设备根据参考标识确定第一公钥对应的SIDF设备的标识信息之前,还可以包括:
AMF设备接收SIDF设备发送的SIDF的标识信息与N个参考标识之间的映射表。其中,N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;并根据SIDF设备的标识信息与N个参考标识之间的映射表,确定第一公钥对应的SIDF设备的标识信息。需要说明的是,SIDF设备的标识信息与N个参考标识之间的映射表也可以由AMF设备根据系统配置信息生成。
S211、AMF设备根据SIDF设备的标识信息,向SIDF设备转发第三用户身份消息。
本申请实施例提供的公钥管理方法,在确定对用户身份信息进行加密时,用户设备根据第一公钥对用户身份信息进行加密,并向AMF设备发送第一用户身份消息,该第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,使得AMF设备在接收到第一用户身份信息时,根据指示标识判断用户身份信息是否处于加密状态,若指示标识表示用户身份信息处于加密状态,则AMF设备根据参考标识确定第一公钥对应的AUSF设备的标识信息;并向AUSF设备发送第一用户身份消息;同理,AUSF设备在接收到第一用户身份信息时,根据指示标识判断用户身份信息是否处于加密状态,若指示标识表示用户身份信息处于加密状态,则AUSF设备根据参考标识确定参考标识对应的SIDF设备的标识信息,并向SIDF设备发送第三用户身份消息,使得SIDF设备在接收用户设备的第三用户身份消息时,根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息;并向ARPF设备发送解密后的用户身份信息,以使ARPF设备根据用户身份信息进行认证。由此可见,本申请实施例提供的公钥管理方法,用户设备根据第一公钥对用户身份信息进行加密,并向SIDF设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息,使得SIDF设备在接收到该第三用户身份消息时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
基于图2和图3所示的实施例,可选的,在本申请实施例中,S208SIDF设备根据参考标识确定第一公钥对应的第一私钥之前,还包括:
SIDF设备判断第一公钥是否处于有效期;当第一公钥处于有效期时,则执行S208SIDF设备根据参考标识确定第一公钥对应的第一私钥。
相反的,当第一公钥不处于有效期时,则直接执行S210,具体请参见图4所示,图4为本申请提供的一种公钥管理方法的示意图三。
S212、SIDF设备向用户设备发送公钥更新请求消息。
其中,公钥更新请求消息用于指示用户设备更新第一公钥。
由此可见,在本申请中,S208SID设备根据参考标识确定第一公钥对应的第一私钥之前,先确定第一公钥是否为有效公钥,若第一公钥为有效公钥,则直接根据该第一公钥确定对应的第一私钥,从而根据第一私钥对加密的用户身份信息进行解密,若第一公钥为非有效公钥,则向用户设备发送公钥更新请求消息,以使用户设备更新第一公钥,从而提高了用户身份信息的安全性。
进一步地,基于图2和图3所示的实施例,为了满足合法监听(Law forInterception)对加密身份验证的需求,可选的,S208SIDF设备根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息之后,还可以将解密后的用户身份信息和第一公钥发送给AMF设备,以通过AMF设备判断是否对用户身份信息进行注册和认证,具体请参见图5,图5为本申请实施例提供的一种公钥管理方法的示意图四,该公钥管理方法还可以包括:
S213、SIDF设备向AMF设备发送第四用户身份消息。
其中,第四用户身份消息包括解密后的用户身份信息和第一公钥。可选的,第四用户身份信息还可以包括第一公钥的加密协议以及加密时使用的其它参数等。
可选的,SIDF设备在向AMF设备发送第四用户身份消息时,SIDF设备可以直接向AMF设备发送第四用户身份消息,也可以通过AUSF设备转发第四用户身份消息,即SIDF设备可以先将第四用户身份消息发送给AUSF设备,再由AUSF设备将第四用户身份消息转发给AMF设备。换句话说,AMF设备可以直接接收SIDF设备发送的第四用户身份信息,也可以通过AUSF设备接收第四用户身份信息。
S214、AMF设备利用第一公钥对解密后的用户身份信息进行加密,以生成需验证的用户身份信息。
S215、AMF设备将需验证的用户身份信息与用户身份信息进行比较。
结合图2和图3所示的实施例,S202用户设备向AMF设备发送第一用户身份消息。其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,即AMF设备预先获取了用户身份信息,在生成需验证的用户身份信息之后,就可以将需验证的用户身份信息与用户身份信息进行比较,从而判断是否对用户身份信息进行注册和认证。
S216、若需验证的用户身份信息与用户身份信息相同,则AMF设备向AUSF设备发送指示信息。
其中,指示信息可以包括解密后的用户身份信息,指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。
S217、AUSF设备对解密后的用户身份信息进行处理。
示例的,在本申请实施例中,AUSF设备对解密后的用户身份信息进行处理,是指AUSF设备将解密后的用户身份信息发送给ARPF设备,以通过ARPF设备对用户身份信息进行认证。
可选的,S215之后还可以包括:若需验证的用户身份信息与用户身份信息不相同,说明用户身份信息为非法用户身份,则AMF设备可以向AUSF设备发送注册流程中断消息,使得AUSF设备根据该注册流程中断消息停止对用户身份信息进行注册和认证,则无需执行S217。
由此可见,在本申请实施例中,SIDF设备在得到解密后的用户身份信息之后,将用户身份信息发送给AMF设备,使得AMF设备根据第一公钥对解密后的用户身份信息进行加密,生成需验证的用户身份信息,并将需验证的用户身份信息与用户身份信息进行比较,从而根据比较结果确定是否对用户身份信息进行注册和认证,进而满足了合法监听对加密身份验证的需求。
上述图2-图5所示的实施例详细地说明了用户设备在确定对用户身份信息加密时,对使用公钥加密的用户身份信息进行解密过程,若用户设备对用户身份信息不加密时,请参见图6所示,图6为本申请提供的一种公钥管理方法的示意图五,该公钥管理方法可以包括:
S601、用户设备确定是否对用户身份信息进行加密。
用户设备在发送用户身份信息之前,先确定是否对用户身份信息进行加密,若确定对用户身份信息进行加密,则执行上述S201,若确定不对用户身份信息进行加密时,则执行下述S602。
S602、当确定不对用户身份信息进行加密时,用户设备向AMF设备发送第二用户身份消息。
其中,第二用户身份消息包括未加密的用户身份信息以及用于表示是否加密的指示标识。需要说明的是,指示标识为0时,表示用户身份信息处于未加密状态。示例的,第二用户身份消息可以携带在NAS数据包中发送给AMF设备,即未加密的用户身份信息以及用于表示是否加密的指示标识可以携带在NAS数据包中。
S603、若指示标识表示用户身份信息处于未加密状态,则AMF设备根据用户身份信息确定对应的AUSF设备的标识信息。
S604、AMF设备根据AUSF设备的标识信息,向AUSF设备转发第二用户身份消息。
AMF设备在接收到用户设备发送的第二用户身份消息时,根据第二用户身份消息中包括的用于标识是否加密的指示标识确定用户身份信息是否处于未加密状态,在确定用户身份信息处于未加密状态时,则根据用户身份信息确定对应的AUSF设备的标识信息。
S605、若指示标识表示用户身份信息处于未加密状态,则AUSF设备向ARPF设备发送用户身份信息。
AUSF设备接收到AMF设备转发的第二用户身份消息时,根据第二用户身份消息中包括的用于标识是否加密的指示标识确定用户身份信息是否处于未加密状态,在确定用户身份信息处于未加密状态时,则直接向ARPF设备发送用户身份信息,以使ARPF设备根据用户身份信息进行认证。
本申请实施例提供的公钥管理方法,通过确定是否对用户身份信息进行加密,当确定不对用户身份信息进行加密时,用户设备向AMF设备发送第二用户身份消息;该第二用户身份消息包括未加密的用户身份信息以及用于表示是否加密的指示标识;使得AMF设备在接收到第二用户身份信息时,若指示标识表示用户身份信息处于未加密状态,则根据用户身份信息确定对应的AUSF设备的标识信息;并向AUSF设备转发第二用户身份消息,使得AUSF设备在接收到AMF设备转发的第二用户身份消息时,若指示标识表示用户身份信息处于未加密状态,则向ARPF设备发送用户身份信息。由此可见,本申请实施例提供的公钥管理方法,用户设备向AUSF设备发送第二用户身份消息时,由于第二用户身份消息中包括用于标识是否加密的指示标识,使得AUSF设备接收到该第二用户身份消息时,可以根据该指示标识确定用户身份信息是否处于未加密状态,在确定用户身份信息处于未加密状态时,则直接向ARPF设备发送用户身份信息,以使ARPF设备根据用户身份信息进行认证,从而提高了数据的解密效率。
基于图2和图3所示的实施例,用户设备在将加密的用户身份信息发送给SIDF设备进行解密时,SIDF设备需要预先存储N对公私钥对及N个参考标识,并在个公私钥对中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识,之后,再将第一公钥和第一索引下发给用户设备,即公钥的生成和下发的过程,具体可以通过以下三种可能的实现方法实现,请参见图7-图9所示;
在第一种可能的实现方式中,请参见图7所示,图7为本申请提供的一种公钥管理方法的示意图六,该公钥管理方法可以包括:
S701、SIDF设备生成N对公私钥对。
其中,上述实施例所示的第一公私钥对为N对公私钥对中的任一对,N为大于0的整数。N对公私钥对中每一个公私钥对均包括一个公钥及对应的一个私钥,其中,通过公钥可以对用户身份信息进行加密,通过私钥可以对使得该公钥加密的用户身份信息进行解密。
S702、SIDF设备为N对公私钥对中的公钥分配参考标识。
需要说明的是,用于索引公钥的参考标识可以为一个预先分配的数字,可以为隐含该身份管理网络设备的地域信息,还可以为公钥本身。在通过指示标识表示用户身份信息是否加密时,当指示标识为大于0的数时,可以表示用户身份处于加密状态,当指示标识为0时,表示用户身份信息处于未加密状态。
SIDF设备为N对公私钥对中的每一个公钥分配参考标识,则对应有N个参考标识,且N个参考标识用于一一对应地索引N个公私钥对。
为了避免存在多个公私钥对时,无法确定使用哪个公私钥对中的私钥对加密的用户身份信息进行解密,在本申请实施例中,通过为N对私钥对中每一个公私钥对中的公钥分配用于索引公钥的参考标识,以使SIDF设备接收到用户身份信息及参考标识时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对用户身份信息进行解密,从而提高了数据的解密效率。
S703、SIDF设备从N个公私钥对中获取第一公钥,以及从N个参考标识中获取参考标识。
其中,该参考标识是指用于索引第一公钥的参考标识。
S904、SIDF设备向用户设备发送第一公钥及参考标识。
示例的,SIDF设备可以通过离线或者在线(OTP)的方式向用户设备上的可信存储环境发送第一公钥及参考标识。需要说明的是,当参考标识为第一公钥本身时,SIDF设备可以只向用户设备发送第一公钥。
可选的,SIDF设备还可以向用户设备发送第一公钥支持的加密协议,以使用户设备基于该加密协议,根据第一公钥对用户设备信息进行加密。
此外,SIDF设备在向用户设备发送第一公钥和用于索引第一公钥的参考标识时,还可以同时将第一公钥的使用期限发送给用户设备,使得用户设备可以根据该第一公钥的使用期限判断第一公钥是否处于有效期。示例的,使用期限可以以第一公钥的生产日期及失效日期表示;也可以以第一公钥的生产日期及可使用期限表示。
由此可见,在本申请实施例中,SIDF设备在生成N对公私钥对,且为N对私钥对中每一个公私钥对中的公钥分配用于索引公钥的参考标识之后,从N个公私钥对中获取第一公钥,以及从N个参考标识中获取参考标识,并向用户设备发送第一公钥及参考标识,以使用户设备可以根据第一公钥对用户身份信息进行加密,并通过AMF设备和AUSF设备将包含用户身份信息及参考标识的第三用户身份消息发送给SIDF设备,使得SIDF设备接收到第三用户身份消息时,可以根据预先存储的公私钥对及参考标识之间的映射表,确定第一公钥对应的第一私钥,从而通过该第一私钥对用户身份信息进行解密,从而提高了数据的解密效率。
在第二种可能的实现方式中,请参见图8所示,图8为本申请提供的一种公钥管理方法的示意图七,该公钥管理方法可以包括:
S801、SIDF设备生成N对公私钥对。
其中,上述实施例所示的第一公私钥对为N对公私钥对中的任一对,N为大于0的整数。
S802、SIDF设备向公钥管理功能设备发送参考标识请求消息。
其中,参考标识请求消息包括N对公私钥对中的公钥,参考标识请求消息用于请求公钥管理功能设备为N对公私钥对中的公钥分配参考标识。
SIDF设备在生成N对公私钥对之后,向公钥管理功能设备发送参考标识请求消息,以使公钥管理功能设备为N对公私钥对中的公钥分配参考标识。
S803、公钥管理功能设备为N个公钥分配N个参考标识。
其中,N个参考标识用于一一对应地索引N个公钥。需要说明的是,用于索引公钥的参考标识可以为一个预先分配的数字,可以为隐含该身份管理网络设备的地域信息,还可以为公钥本身。在通过指示标识表示用户身份信息是否加密时,当指示标识为大于0的数时,可以表示用户身份处于加密状态,当指示标识为0时,表示用户身份信息处于未加密状态。
S804、公钥管理功能设备向SIDF设备发送N个公钥和N个参考标识。
公钥管理功能设备在分N个公钥分配N个参考标识之后,向SIDF设备发送N个公钥和N个参考标识,以使SIDF设备获取N个公钥和N个参考标识,并存储N个公私钥对和N个参考标识之间的映射表,从而在接收到第一用户身份消息之后,根据第一用户身份消息中包括的用于索引第一公钥的参考标识找到对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密。
S805、公钥管理功能设备从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识。
S806、公钥管理功能设备向用户设备发送第一公钥及参考标识。
示例的,公钥管理功能设备可以通过离线或者在线(OTP)的方式向用户设备上的可信存储环境发送第一公钥及参考标识。需要说明的是,当参考标识为第一公钥本身时,SIDF设备可以只向用户设备发送第一公钥。
可选的,公钥管理功能设备还可以向用户设备发送第一公钥支持的加密协议,以使用户设备基于该加密协议,根据第一公钥对用户设备信息进行加密。
公钥管理功能设备在为N个公钥分配N个参考标识之后,可以从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识;并向用户设备发送第一公钥及参考标识,使得用户设备在确定对用户身份信息进行加密时,可以根据第一公钥对用户身份信息进行加密,并通过参考标识表示用于加密用户身份信息的第一公钥。
需要说明的是,在申请实施例中,S804和S805之间并无先后顺序。
由此可见,在本申请实施例中,SIDF设备生成N对公私钥对,向公钥管理功能设备发送参考标识请求消息,以使公钥管理功能设备为N对公私钥对中的公钥分配参考标识;公钥管理功能设备在分N个公钥分配N个参考标识之后,可以从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识;并向用户设备发送第一公钥及参考标识,使得用户设备在确定对用户身份信息进行加密时,可以根据第一公钥对用户身份信息进行加密,此外,公钥管理功能设备向SIDF设备发送N个公钥和N个参考标识,以使SIDF设备获取N个公钥和N个参考标识,并存储N个公私钥对和N个参考标识之间的映射表,从而使得SIDF设备在接收到第三用户身份消息之后,根据第三用户身份消息中包括的用于索引第一公钥的参考标识找到对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
在第三种可能的实现方式中,请参见图9所示,图9为本申请提供的一种公钥管理方法的示意图八,该公钥管理方法可以包括:
S901、公钥管理功能设备生成N个公私钥对,并为N个公钥分配N个参考标识。
其中,每个公私钥对包括公钥和私钥,N个公钥为N个公私钥对中的公钥,上述实施例所示的第一公私钥对为N对公私钥对中的任一对,N为大于0的整数。N个参考标识用于一一对应地索引N个公钥。可以理解的是,该参考标识可以是字符串、数字等。比如有100个公私钥对,那么公钥分配的标识可以是0-99;当然,也可以限定参考标识的长度,比如长度为6位或8位或15或100位,当然可以根据业务的规模进行确定。
S902、公钥管理功能设备向SIDF设备发送N对公私钥对中的公钥及N个参考标识。
需要说明的是,用于索引公钥的参考标识可以为一个预先分配的数字,可以为隐含该身份管理网络设备的地域信息,还可以为公钥本身。
举例来说,当指示标识为大于0的数时,可以表示用户身份处于加密状态,当指示标识为0时,表示用户身份信息处于未加密状态。比如,指示标识为1,表示用户身份处于加密状态;指示标识为0,表示用户身份信息处于未加密状态;
举例来说,指示标识可以是预设的字符串。比如第一预设字符串表示用户身份处于加密状态;第二预设字符串标识用户身份处于未加密状态。可以理解的是,第一预设字符串与第二预设字符串不同,本发明在此不对字符串的格式做限制。
公钥管理功能设备在分N个公钥分配N个参考标识之后,向SIDF设备发送N个公钥和N个参考标识,以使SIDF设备获取N个公钥和N个参考标识,并存储N个公私钥对和N个参考标识之间的映射表,从而在接收到第一用户身份消息之后,根据第一用户身份消息中包括的用于索引第一公钥的参考标识找到对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密。
S903、公钥管理功能设备从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识。
S904、公钥管理功能设备向用户设备发送第一公钥及参考标识。
示例的,公钥管理功能设备可以通过离线或者在线(OTP)的方式向用户设备上的可信存储环境发送第一公钥及参考标识。需要说明的是,当参考标识为第一公钥本身时,SIDF设备可以向用户设备发送第一公钥。
可选的,公钥管理功能设备还可以向用户设备发送第一公钥支持的加密协议,以使用户设备基于该加密协议,根据第一公钥对用户设备信息进行加密。
公钥管理功能设备在为N个公钥分配N个参考标识之后,可以从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识;并向用户设备发送第一公钥及参考标识,使得用户设备在确定对用户身份信息进行加密时,可以根据第一公钥对用户身份信息进行加密,并通过参考标识表示用于加密用户身份信息的第一公钥。
需要说明的是,在申请实施例中,S902和S903之间并无先后顺序。
由此可见,在本申请实施例中,公钥管理功能设备生成N个公私钥对,并为N个公钥分配N个参考标识,并在分N个公钥分配N个参考标识之后,可以从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识;并向用户设备发送第一公钥及参考标识,使得用户设备在确定对用户身份信息进行加密时,可以根据第一公钥对用户身份信息进行加密,此外,公钥管理功能设备向SIDF设备发送N对公私钥对中的公私钥及N个参考标识,以使SIDF设备获取N对公私钥对中的公钥及N个参考标识,并存储N个公私钥对和N个参考标识之间的映射表,从而使得SIDF设备在接收到第三用户身份消息之后,根据第三用户身份消息中包括的用于索引第一公钥的参考标识找到对应的第一私钥,从而通过该第一私钥对加密的用户身份信息进行解密,从而提高了数据的解密效率。
基于图7-图9任一附图所示的实施例,SIDF设备或者公钥管理功能设备从N个公私钥对中获取第一公钥,及参考标识之后,为了在后续解密过程(如图2所示的实施例)中,使得AUSF设备可以找对用于解密的第一私钥的SIDF设备,且使得AMF设备可以找到第一公钥对饮的AUSF设备,可以执行下述S905和S906。
S905、SIDF设备向AUSF设备发送SIDF设备的标识信息与N个参考标识之间的映射表。
其中,SIDF设备的标识信息可以为SIDF设备的地域信息,也可以为SIDF设备的名称信息,只要根据SIDF设备的标识信息可以查找到该SIDF设备即可。
SIDF设备向AUSF设备发送SIDF设备的标识信息与N个参考标识之间的映射表,使得AUSF设备获取并存储该SIDF设备的标识信息与N个参考标识之间的映射表,从而使得AUSF设备在接收到用户设备的第二用户身份信息之后,根据预先存储的该SIDF设备的标识信息与N个参考标识之间的映射表将用户设备的第二用户身份信息发送给SIDF设备,以通过SIDF设备对加密的用户身份信息进行解密。
需要说明的是,当通信系统中包括一个SIDF设备时,则SIDF设备只需要向AUSF设备发送N个参考标识即可,而无需发送SIDF设备的标识信息。或者,当参考标识为SIDF设备和SIDF设备的地域信息,则SIDF设备只需要向AUSF设备发送N个参考标识即可,而无需发送SIDF设备的标识信息,AUSF设备根据SIDF设备的地域信息就可以查找到该SIDF设备。
S906、AUSF设备向AMF设备发送AUSF设备的标识信息与N个参考标识之间的映射表。
其中,AUSF设备的标识信息可以为AUSF设备的地域信息,也可以为AUSF设备的名称信息,只要根据AUSF设备的标识信息可以查找到该AUSF设备即可。
AUSF设备向AMF设备发送AUSF设备的标识信息与N个参考标识之间的映射表,使得AMF设备获取并存储该AUSF设备的标识信息与N个参考标识之间的映射表,从而使得AMF设备在接收到用户设备发送的第一用户身份消息之后,根据预先存储的该AUSF设备的标识信息与N个参考标识之间的映射表将用户设备的第一用户身份信息发送给AUSF设备。
需要说明的是,当通信系统中包括一个AUSF设备时,则AUSF设备只需要向AMF设备发送N个参考标识即可,而无需发送AUSF设备的标识信息。或者,当参考标识为AUSF设备和AUSF设备的地域信息,则AUSF设备只需要向AMF设备发送N个参考标识即可,而无需发送AUSF设备的标识信息,AMF设备根据AUSF设备的地域信息就可以查找到该AUSF设备。
需要说明的是,在图7所示的实施例中,S704和S905-S906之间并无先后顺序,图7所示的实施例只是以先执行S905-S906,再执行S704为例进行说明。同理,在图8所示的实施例中,S806和S905-S906之间并无先后顺序,图8所示的实施例只是以先执行S905-S906,再执行S806为例进行说明。同理,在图9所示的实施例中,S904和S905-S906之间并无先后顺序,图9所示的实施例只是以先执行S905-S906,再执行S904为例进行说明。
本申请实施例提供的公钥管理方法,通过向AUSF设备发送SIDF设备的标识信息与N个参考标识之间的映射表,且AUSF设备向AMF设备发送AUSF设备的标识信息与N个参考标识之间的映射表,使得用户设备根据第一公钥对用户身份信息进行加密,且将第一用户身份消息发送给AMF设备之后,AMF设备可以根据预先存储的该AUSF设备的标识信息与N个参考标识之间的映射表将用户设备的第一用户身份信息发送给AUSF设备,从而使得AUSF设备可以根据预先存储的该SIDF设备的标识信息与N个参考标识之间的映射表将用户设备的第二用户身份信息发送给SIDF设备,以通过SIDF设备对加密的用户身份信息进行解密,从而提高了数据的解密效率。
图10为本申请提供的一种公钥管理装置100的示意图一,该公钥管理装置100可以包括:
加密单元1001,用于根据第一公钥对用户身份信息进行加密。
发送单元1002,用于向第一网络设备发送第一用户身份消息;其中,第一用户身份消息用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识,以使得第一网络设备根据指示标识和参考标识对第一用户身份消息进行处理。
可选的,加密单元1001,还用于确定是否对用户身份信息进行加密。
发送单元1002,还用于当确定不对用户身份信息进行加密时,用户设备向第一网络设备发送第二用户身份消息;第二用户身份消息包括未加密的用户身份信息以及指示标识。
可选的,该公钥管理装置100还可以包括判断单元1003,请参见图11所示,图11为本申请提供的一种公钥管理装置100的示意图二。
判断单元1003,用于判断第一公钥是否处于有效期。
加密单元1001,具体用于当第一公钥处于有效期时,根据第一公钥对用户身份信息进行加密。
前述图2-图9所示实施例中的秘钥管理装置对秘钥的管理方法和具体实例同样适用于本实施例的秘钥管理装置,通过前述对秘钥的管理方法的详细描述,本领域技术人员可以清楚的知道本实施例秘钥管理装置的实施方法,所以为了说明书的简洁,在此不再详述。
图12为本申请提供的一种公钥管理装置120的示意图三,该公钥管理装置120可以包括:
接收单元1201,用于接收用户设备发送的第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识。
发送单元1202,用于若指示标识表示用户身份信息处于加密状态,则根据参考标识向第二网络设备发送第三用户身份消息;其中,第三用户身份消息包括用户身份信息和参考标识,以使第二网络设备根据参考标识对用户身份信息进行处理。
可选的,发送单元1202,具体用于根据参考标识向第三网络设备发送第一用户身份消息;以使第三网络设备在指示标识表示用户身份信息处于加密状态时,向第二网络设备发送第三用户身份消息。
可选的,发送单元1202,具体用于根据参考标识确定第一公钥对应的第二网络设备的标识信息;并根据第二网络设备的标识信息,向第二网络设备发送第三用户身份消息。
可选的,该秘钥管理装置120还可以包括加密单元1203和比较单元1204,请参见图13所示,图13为本申请提供的一种公钥管理装置120的示意图四,该公钥管理装置120可以包括:
接收单元1201,还用于接收第二网络设备发送的第四身份消息;第四用户身份消息包括解密后的用户身份信息和第一公钥。
加密单元1203,用于利用第一公钥对解密后的用户身份信息进行加密,以生成需验证的用户身份信息。
比较单元1204,用于将需验证的用户身份信息与用户身份信息进行比较。
发送单元1202,还用于若需验证的用户身份信息与用户身份信息相同,则向第三网络设备发送指示信息,指示消息包括解密后的用户身份信息,指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。
可选的,接收单元1201,具体用于接收通过第三网络设备转发的第四用户身份消息。
可选的,该秘钥管理装置120还可以包括确定单元1205。
接收单元1201,还用于接收第二网络设备发送的第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数。
确定单元1205,用于根据参考标识确定第一公钥对应的第二网络设备的标识信息,包括:
确定单元1205,还用于根据第二网络设备的标识信息与N个参考标识之间的映射表,确定第一公钥对应的第二网络设备的标识信息。
前述图2-图9所示实施例中的秘钥管理装置对秘钥的管理方法和具体实例同样适用于本实施例的秘钥管理装置,通过前述对秘钥的管理方法的详细描述,本领域技术人员可以清楚的知道本实施例秘钥管理装置的实施方法,所以为了说明书的简洁,在此不再详述。
图14为本申请提供的一种公钥管理装置140的示意图五,该公钥管理装置140可以包括:
接收单元1401,用于接收第一网络设备发送的第三用户身份消息;其中,第三用户身份消息包括用户身份信息,及用于索引第一公钥的参考标识。
确定单元1402,用于根据参考标识确定第一公钥对应的第一私钥;第一公钥和第一私钥为第一公私钥对。
解密单元1403,用于根据第一私钥对用户身份信息进行解密,获取解密后的用户身份信息。
发送单元1404,用于向第三网络设备发送解密后的用户身份信息,以使第三网络设备对解密后的用户身份信息进行处理。
可选的,接收单元1401,具体用于接收通过第三网络设备转发的第三用户身份消息。
可选的,该秘钥管理装置140还可以包括判断单元1405。请参见图15所示,图15为本申请提供的一种公钥管理装置140的示意图六。
判断单元1405,用于判断第一公钥是否处于有效期;
确定单元1402,具体用于当第一公钥处于有效期时,根据参考标识确定第一公钥对应的第一私钥。
可选的,该秘钥管理装置140还可以包括:
获取单元1406,用于获取N对公私钥对及N个参考标识,N个参考标识用于一一对应地索引N个公私钥对,第一公私钥对为N对公私钥对中的任一对,N为大于0的整数。
可选的,获取单元1406,具体用于生成N对公私钥对,并为N对公私钥对中的公钥分配参考标识。
可选的,获取单元1406,具体用于生成N对公私钥对;发送单元1404,还用于向第四网络设备发送参考标识请求消息,参考标识请求消息包括N对公私钥对中的公钥,参考标识请求消息用于请求第四网络设备为N对公私钥对中的公钥分配参考标识;
接收单元1401,还用于接收第四网络设备发送的N对公私钥对中的公钥及N个参考标识。
可选的,接收单元1401,还用于接收第四网络设备发送的N对公私钥对及N个参考标识。
可选的,获取单元1406,还用于从N个公私钥对中获取第一公钥,以及从N个参考标识中获取参考标识。
发送单元1404,还用于向用户设备发送第一公钥及参考标识。
可选的,发送单元1404,还用于向第一网络设备发送第四用户身份消息;其中,第四用户身份消息包括解密后的用户身份信息和第一公钥,以使第一网络设备根据第一公钥对第四用户身份消息进行处理。
可选的,发送单元1404,还用于通过第三网络设备向第一网络设备转发第四用户身份消息。
可选的,发送单元1404,还用于当第一公钥不处于有效期时,向用户设备发送公钥更新请求消息,公钥更新请求消息用于指示用户设备更新第一公钥。
可选的,发送单元1404,还用于向第一网络设备发送第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数。
接收单元1401,具体用于接收第一网络设备根据第二网络设备的标识信息与N个参考标识之间的映射表发送第三用户身份消息。
前述图2-图9所示实施例中的秘钥管理装置对秘钥的管理方法和具体实例同样适用于本实施例的秘钥管理装置,通过前述对秘钥的管理方法的详细描述,本领域技术人员可以清楚的知道本实施例秘钥管理装置的实施方法,所以为了说明书的简洁,在此不再详述。
图16为本申请提供的一种公钥管理装置160的示意图七,该公钥管理装置160可以包括:
接收单元1601,用于接收第一网络设备发送的第一用户身份消息;其中,第一用户身份消息包括用户身份信息,用于表示是否加密的指示标识及用于索引第一公钥的参考标识。
确定单元1602,用于若指示标识表示用户身份信息处于加密状态,则根据参考标识确定参考标识对应的第二网络设备的标识信息。
发送单元1603,用于根据第二网络设备的标识信息,向第二网络设备发送第三用户身份消息,第三用户身份消息包括使用用户身份信息,及用于索引第一公钥的参考标识;以使第二网络设备根据参考标识对第三用户身份消息进行处理。
可选的,接收单元1601,还用于接收第二网络设备发送的第四用户身份消息,其中,第四用户身份消息包括解密后的用户身份信息和第一公钥;
发送单元1603,还用于向第一网络设备发送第四用户身份消息,以使第一网络设备根据第一公钥对第四用户身份消息进行处理。
可选的,接收单元1601,还用于接收第一网络设备发送的指示信息;指示消息包括解密后的用户身份信息,指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。
可选的,接收单元1601,还用于接收第二网络设备发送的第二网络设备的标识信息与N个参考标识之间的映射表;N个参考标识用于一一对应地索引N个公钥,第一公钥对为N个公钥中的任一个,N为大于0的整数;
确定单元1602,具体用于根据第二网络设备的标识信息与N个参考标识之间的映射表,确定参考标识对应的第二网络设备的标识信息。
可选的,发送单元1603,还用于向第一网络设备发送第三网络设备的标识信息与N个参考标识之间的映射表;
接收单元1601,具体用于接收第一网络设备根据第三网络设备的标识信息与N个参考标识之间的映射表转发的用户设备的第一用户身份消息。
前述图2-图9所示实施例中的秘钥管理装置对秘钥的管理方法和具体实例同样适用于本实施例的秘钥管理装置,通过前述对秘钥的管理方法的详细描述,本领域技术人员可以清楚的知道本实施例秘钥管理装置的实施方法,所以为了说明书的简洁,在此不再详述。
图17为本申请提供的一种公钥管理装置170的示意图八,该公钥管理装置170可以包括:
获取单元1701,用于获取N个公钥,N为大于0的整数。
分配单元1702,用于为N个公钥分配N个参考标识,N个参考标识用于一一对应地索引N个公钥。
发送单元1703,用于向第二网络设备发送N个公钥和N个参考标识,以使第二网络设备获取N个公钥和N个参考标识。
可选的,获取单元1701,具体用于生成N个公私钥对,每个公私钥对包括公钥和私钥,N个公钥为N个公私钥对中的公钥;
发送单元1703,还用于向第二网络设备发送N个公私钥对及N个参考标识。
可选的,接收单元,还用于接收第二网络设备发送的参考标识请求消息,参考标识请求消息包括N对公私钥对中的公钥,参考标识请求消息用于请求第四网络设备为N对公私钥对中的公钥分配参考标识。
可选的,获取单元1701,还用于从N个公钥中获取第一公钥,以及从N个参考标识中获取用于索引第一公钥的参考标识;
发送单元1703,还用于向用户设备发送第一公钥及参考标识。
前述图2-图9所示实施例中的秘钥管理装置对秘钥的管理方法和具体实例同样适用于本实施例的秘钥管理装置,通过前述对秘钥的管理方法的详细描述,本领域技术人员可以清楚的知道本实施例秘钥管理装置的实施方法,所以为了说明书的简洁,在此不再详述。
图18为本申请提供的一种设备180的框图,请参见图18所示,该设备180包括处理器1801和存储器1802。
存储器1802用于存储指令,处理器1801用于执行存储器1802存储的指令,当处理器1801执行存储器1802存储的指令时,该设备180用于执行如上述图2-图9任意一个实施例所述的方法。
应理解的是,处理器1801可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器1801、数字信号处理器1801(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)等。通用处理器1801可以是微处理器1801或者该处理器1801也可以是任何常规的处理器1801等。结合本申请所公开的方法的步骤可以直接体现为硬件处理器1801执行完成,或者用处理器1801中的硬件及软件模块组合执行完成。
实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器1802中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储器1802(存储介质)包括:只读存储器1802(read-only memory,ROM)、RAM、快闪存储器1802、硬盘、固态硬盘、磁带(magnetic tape)、软盘(floppy disk)、光盘(optical disc)及其任意组合。
本申请还提供一种可读存储介质,可读存储介质中存储有指令。
当用户设备的至少一个处理器执行该指令时,用户设备执行上述图2-图9方法实施例中提供的秘钥管理方法。
本申请还提供一种可读存储介质,可读存储介质中存储有指令,当网络设备的至少一个处理器执行该指令时,网络设备执行上述图2-图9方法实施例中提供的秘钥管理方法。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (16)

1.一种用户身份信息的处理方法,其特征在于,所述方法包括:
用户设备确定是否对用户身份信息进行加密;
当确定对所述用户身份信息进行加密时,用户设备根据第一公钥对所述用户身份信息进行加密;
所述用户设备向AMF设备发送第一用户身份信息,所述第一用户身份信息包括所述加密的用户身份信息、第二指示标识以及第二参考标识;其中,所述第二指示标识的值为非0以指示所述用户身份信息处于加密状态,且所述参考标识的值为非0以用于索引所述第一公钥;
当确定不对所述用户身份信息进行加密时,用户设备向接入与管理功能AMF设备发送第二用户身份消息;其中,所述第二用户身份消息包括未加密的所述用户身份信息、第一指示标识以及公钥标识符;其中,所述第一指示标识的值为0以指示所述用户身份信息处于未加密状态;所述公钥标识符的值为0。
2.根据权利要求1所述的方法,其特征在于,所述第二用户身份信息是通过非接入层消息发送的。
3.根据权利要求1所述的方法,其特征在于,所述第二指示标识的值为1以指示所述用户身份信息处于加密状态,且所述第二参考标识的值为非0以用于索引所述第一公钥。
4.根据权利要求1或3所述的方法,其特征在于,所述用户设备根据第一公钥对所述用户身份信息进行加密之前,所述方法还包括:
判断所述第一公钥是否处于有效期;
所述用户设备根据第一公钥对所述用户身份信息进行加密,包括:
当所述第一公钥处于有效期时,所述用户设备根据所述第一公钥对所述用户身份信息进行加密。
5.一种通信装置,其特征在于,所述装置包括判断单元、加密单元和发送单元;
所述判断单元,用于确定是否对用户身份信息进行加密;
所述加密单元,用于当确定对所述用户身份信息进行加密时,根据第一公钥对所述用户身份信息进行加密;
所述发送单元,用于向AMF设备发送第一用户身份信息,所述第一用户身份信息包括所述加密的用户身份信息、第二指示标识以及第二参考标识;其中,所述第二指示标识的值为非0以指示所述用户身份信息处于加密状态,且所述参考标识的值为非0以用于索引所述第一公钥;
所述发送单元,还用于当确定不对所述用户身份信息进行加密时,向接入与管理功能AMF设备发送第二用户身份消息;其中,所述第二用户身份消息包括未加密的所述用户身份信息、第一指示标识以及公钥标识符;其中,所述第一指示标识的值为0以指示所述用户身份信息处于未加密状态;所述公钥标识符的值为0。
6.根据权利要求5所述的装置,其特征在于,所述第二用户身份信息是通过非接入层消息发送的。
7.根据权利要求5所述的装置,其特征在于,所述第二指示标识的值为1以指示所述用户身份信息处于加密状态,且所述第二参考标识的值为非0以用于索引所述第一公钥。
8.根据权利要求5所述的装置,其特征在于,所述判断单元,还用于判断所述第一公钥是否处于有效期;
所述加密单元,具体用于当所述第一公钥处于有效期时,根据所述第一公钥对所述用户身份信息进行加密。
9.一种通信装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储指令,所述处理器用于读取所述指令;当读取的指令被运行时,所述处理器执行以下操作:
确定是否对用户身份信息进行加密;
当确定对所述用户身份信息进行加密时,根据第一公钥对所述用户身份信息进行加密;
向AMF设备发送第一用户身份信息,所述第一用户身份信息包括所述加密的用户身份信息、第二指示标识以及第二参考标识;其中,所述第二指示标识的值为非0以指示所述用户身份信息处于加密状态,且所述参考标识的值为非0以用于索引所述第一公钥;
确定不对所述用户身份信息进行加密时,向接入与管理功能AMF设备发送第二用户身份消息;其中,所述第二用户身份消息包括未加密的所述用户身份信息、第一指示标识以及公钥标识符;其中,所述第一指示标识的值为0以指示所述用户身份信息处于未加密状态;所述公钥标识符的值为0。
10.根据权利要求9所述的装置,其特征在于,所述第二用户身份信息是通过非接入层消息发送的。
11.根据权利要求9所述的装置,其特征在于,所述第二指示标识的值为1以指示所述用户身份信息处于加密状态,且所述第二参考标识的值为非0以用于索引所述第一公钥。
12.根据权利要求9或11所述的装置,其特征在于,所述处理器还执行以下操作:
判断所述第一公钥是否处于有效期;当所述第一公钥处于有效期时,根据所述第一公钥对所述用户身份信息进行加密。
13.一种存储介质,其特征在于,所述存储介质中存储有指令,当所述指令被运行时,处理器执行以下操作:
确定是否对用户身份信息进行加密;
当确定对所述用户身份信息进行加密时,根据第一公钥对所述用户身份信息进行加密;
向AMF设备发送第一用户身份信息,所述第一用户身份信息包括所述加密的用户身份信息、第二指示标识以及第二参考标识;其中,所述第二指示标识的值为非0以指示所述用户身份信息处于加密状态,且所述参考标识的值为非0以用于索引所述第一公钥;
当确定不对所述用户身份信息进行加密时,向接入与管理功能AMF设备发送第二用户身份消息;其中,所述第二用户身份消息包括未加密的所述用户身份信息、第一指示标识以及公钥标识符;其中,所述第一指示标识的值为0以指示所述用户身份信息处于未加密状态;所述公钥标识符的值为0。
14.根据权利要求13所述的存储介质,其特征在于,所述第二用户身份信息是通过非接入层消息发送的。
15.根据权利要求13所述的存储介质,其特征在于,所述第二指示标识的值为1以指示所述用户身份信息处于加密状态,且所述第二参考标识的值为非0以用于索引所述第一公钥。
16.根据权利要求13或15所述的存储介质,其特征在于,所述处理器还执行以下操作:
判断所述第一公钥是否处于有效期;当所述第一公钥处于有效期时,根据所述第一公钥对所述用户身份信息进行加密。
CN201910304043.1A 2017-09-29 2017-09-29 秘钥管理方法和装置 Active CN110166230B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910304043.1A CN110166230B (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201910304043.1A CN110166230B (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置
PCT/SG2017/050492 WO2019066720A1 (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置
CN201780060472.8A CN109845187B (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201780060472.8A Division CN109845187B (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置

Publications (2)

Publication Number Publication Date
CN110166230A CN110166230A (zh) 2019-08-23
CN110166230B true CN110166230B (zh) 2020-10-16

Family

ID=65903480

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201910304043.1A Active CN110166230B (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置
CN201780060472.8A Active CN109845187B (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201780060472.8A Active CN109845187B (zh) 2017-09-29 2017-09-29 秘钥管理方法和装置

Country Status (4)

Country Link
US (1) US11159311B2 (zh)
EP (1) EP3557815A4 (zh)
CN (2) CN110166230B (zh)
WO (1) WO2019066720A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12003957B2 (en) * 2018-10-04 2024-06-04 Google Llc Distributed network cellular identity management
US11399281B2 (en) * 2020-02-21 2022-07-26 Telefonaktiebolaget Lm Ericsson (Publ) Authentication server function selection in authentication and key management
CN117062051A (zh) * 2022-05-06 2023-11-14 华为技术有限公司 密钥管理方法及通信装置
WO2024047586A1 (en) * 2022-08-31 2024-03-07 Entrust Corporation One-time password delivery via in-band unauthenticated channel

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7921290B2 (en) * 2001-04-18 2011-04-05 Ipass Inc. Method and system for securely authenticating network access credentials for users
US20050154887A1 (en) * 2004-01-12 2005-07-14 International Business Machines Corporation System and method for secure network state management and single sign-on
US8347090B2 (en) * 2006-10-16 2013-01-01 Nokia Corporation Encryption of identifiers in a communication system
CN101739525B (zh) * 2009-11-30 2012-02-22 飞天诚信科技股份有限公司 安全校验的方法、编译装置、可运行.net程 序的装置和系统
US8601263B1 (en) * 2010-05-18 2013-12-03 Google Inc. Storing encrypted objects
US8631460B2 (en) * 2011-03-23 2014-01-14 CipherPoint Software, Inc. Systems and methods for implementing transparent encryption
US9491146B2 (en) * 2011-09-07 2016-11-08 Elwha Llc Computational systems and methods for encrypting data for anonymous storage
US8694771B2 (en) * 2012-02-10 2014-04-08 Connect In Private Panama Corp. Method and system for a certificate-less authenticated encryption scheme using identity-based encryption
CN104704769B (zh) 2012-10-15 2018-07-27 皇家飞利浦有限公司 无线通信系统
US9106412B2 (en) * 2013-03-08 2015-08-11 Mcafee, Inc. Data protection using programmatically generated key pairs from a master key and a descriptor
US20160036786A1 (en) * 2014-08-02 2016-02-04 Hardik Prakash GANDHI System and method facilitating enhanced inter-object and human-object interactivity using networked electronic devices
CN106330442B (zh) * 2015-06-17 2020-04-28 中兴通讯股份有限公司 身份认证方法、装置及系统
GB2543072B (en) 2015-10-07 2021-02-10 Enclave Networks Ltd Public key infrastructure & method of distribution
CN108667608B (zh) * 2017-03-28 2021-07-27 阿里巴巴集团控股有限公司 数据密钥的保护方法、装置和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Subscriber identity privacy and its management;Nokia;《3GPP TSG SA WG3 (Security) Meeting #88》;20170811;2-3 *

Also Published As

Publication number Publication date
US20200084028A1 (en) 2020-03-12
WO2019066720A1 (zh) 2019-04-04
CN110166230A (zh) 2019-08-23
EP3557815A1 (en) 2019-10-23
EP3557815A4 (en) 2019-10-23
CN109845187A (zh) 2019-06-04
CN109845187B (zh) 2023-06-02
US11159311B2 (en) 2021-10-26

Similar Documents

Publication Publication Date Title
US11122428B2 (en) Transmission data protection system, method, and apparatus
CN106411525B (zh) 消息认证方法和系统
US11159311B2 (en) Encryption key management method and apparatus
CN108012266B (zh) 一种数据传输方法及相关设备
TW201709764A (zh) 自動建立無線網路連線的方法及閘道器裝置與客戶端裝置
CN108323229B (zh) 用于基于位置的服务的安全ble广播系统
CN101466079A (zh) 电子邮件的传送方法、系统及wapi终端
US10021562B2 (en) Mobile trusted module (MTM)-based short message service security system and method thereof
JP5380583B1 (ja) デバイス認証方法及びシステム
CN105025019A (zh) 一种数据安全分享方法
KR101777052B1 (ko) Ble 통신 장치 및 방법
KR100721522B1 (ko) 위치토큰을 이용한 위치기반 서비스 제공 방법
CN112533202A (zh) 身份鉴别方法及装置
CN103186720A (zh) 一种数字版权管理方法、设备及系统
WO2005041532A1 (en) Naming of 802.11 group keys to allow support of multiple broadcast and multicast domains
IL254758B2 (en) Method, equipment and computer software product for code encryption
WO2017141468A1 (ja) 識別情報伝送システムおよび識別情報復号方法
KR20140033824A (ko) 스마트 디바이스에서 해쉬값 기반 대칭키 암호화 시스템 및 방법
CN111107550A (zh) 5g终端设备双通道接入注册方法、设备及存储介质
KR100505481B1 (ko) 휴대용 단말기를 이용한 웹서비스 접속 인증시스템
CN105915531B (zh) 一种屏幕解锁方法及终端
WO2009004590A2 (en) Method, apparatus, system and computer program for key parameter provisioning
CN112087746B (zh) 通信方法、系统、终端和可读存储介质
JP2004320308A (ja) 暗号化通信システムおよび暗号化通信方法
CN110536289A (zh) 密钥发放方法及其装置、移动终端、通信设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant