[发明专利]安全能力协商方法和系统、业务服务器、用户终端

说明书

技术领域

本发明涉及通信领域，特别是涉及一种安全能力协商方法和系统、业务服务器、用户终端。

背景技术

物联网被普遍认可的定义是：它是一个由感知层、网络层、应用层共同构成的庞大的社会信息系统。感知层负责感知收集信息，而网络层负责将信息传输到应用层，应用层通过感知和传输来的信息进行分析和处理，实现物与物、人与物之间的感知。物联网将各种信息传感设备，如射频识别（Radio Frequency Identification，简称：RFID）装置、红外感应器、全球定位系统、激光扫描器、家用电器、安防设备等与互联网结合起来形成的一个巨大网络，让所有物品与网络连接在一起，方便识别、管理和监控，在此基础上实现融合的应用，最终为人们提供无所不在的全方位服务。

目前物联网行业应用中使用的普通M2M（Machine toMachine，机器到机器）终端，数据以明文传输，部分敏感数据定义了应用层加密的方案，但其密钥的分发是在注册流程中通过短信方式完成。而涉及金融、电力、安防等领域的物联网行业应用对数据传输的安全性要求高，上述方案不能满足要求。

对于安全性要求高的行业应用，目前的做法是按照每个项目的应用场景定制加密方案和M2M终端，终端厂商需花费大量人力成本用于专门实现密钥管理和数据的加解密算法，开发门槛高、难度大。

发明内容

本发明要解决的技术问题是提供一种安全能力协商方法和系统、业务服务器、用户终端。通过分别在用户终端和业务服务器设置安全模块，用户终端与业务服务器协商安全传输所需要的安全配置参数，从而将业务逻辑与安全配置相分离，降低了用户安全应用的开发和部署成本。

根据本发明的一个方面，提供一种安全能力协商方法，包括：

生成第一注册请求信息；

在第一注册请求信息中加入用户终端的安全能力信息和身份认证信息，以生成第二注册请求信息；

利用身份密钥对第二注册请求信息进行加密，以生成安全能力注册请求信息；

将安全能力注册请求信息发送给业务服务器；

接收业务服务器发送的安全能力注册响应信息，其中业务服务器利用与用户终端相关联的身份密钥对安全能力注册请求信息进行解密，在解密成功后从解密的安全能力注册请求信息中获取用户终端的安全能力信息和身份认证信息，在验证身份认证信息合法时，产生与用户终端的安全能力信息相匹配的安全配置参数，并利用与用户终端相关联的身份密钥对安全配置参数进行加密，以得到安全能力注册响应信息；

利用身份密钥对安全能力注册响应信息进行解密，以得到安全配置参数；

利用安全配置参数进行安全配置。

根据本发明的另一方面，提供一种安全能力协商方法，包括：

接收用户终端发送的安全能力注册请求消息；

利用与用户终端相关联的身份密钥对安全能力注册请求消息进行解密；

在解密成功后，从解密的用户终端注册请求消息中获得用户终端的安全能力信息和身份认证信息；

验证用户终端的身份认证信息是否合法；

在验证用户终端的身份认证信息合法时，产生与用户终端的安全能力信息相匹配的安全配置参数；

利用与用户终端相关联的身份密钥对安全配置参数进行加密，以得到安全能力注册响应信息；

将安全能力注册响应信息发送给用户终端，以便用户终端利用身份密钥对安全能力注册响应信息进行解密以得到安全配置参数，并利用安全配置参数进行安全配置。

根据本发明的另一方面，提供一种安全能力协商的用户终端，包括：

业务模块，用于生成第一注册请求信息，接收第一安全模块发送的注册响应信息；

第一安全模块，用于在第一注册请求信息中加入用户终端的安全能力信息和身份认证信息，以生成第二注册请求信息；利用身份密钥对第二注册请求信息进行加密，以生成安全能力注册请求信息；利用身份密钥对安全能力注册响应信息进行解密，以得到安全配置参数；利用安全配置参数进行安全配置；向业务模块发送注册响应信息；

网络接入模块，用于将安全能力注册请求信息发送给业务服务器；接收业务服务器发送的安全能力注册响应信息，其中业务服务器利用与用户终端相关联的身份密钥对安全能力注册请求信息进行解密，在解密成功后从解密的安全能力注册请求信息中获取用户终端的安全能力信息和身份认证信息，在验证身份认证信息合法时，产生与用户终端的安全能力信息相匹配的安全配置参数，并利用与用户终端相关联的身份密钥对安全配置参数进行加密，以得到安全能力注册响应信息；