[发明专利]基于通用自引导架构的密钥协商方法、装置及系统

权利要求书

1.一种基于通用自引导架构的密钥协商方法，其特征在于，包括：

将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器；

所述应用服务器接收并保存所述用户信息；

所述应用服务器利用所述用户信息与所述终端进行密钥协商。

2.根据权利要求1所述的方法，其特征在于，将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括：

终端向所述自引导服务器发起请求并协商得到第一密钥；

所述终端根据所述第一密钥和自引导临时身份标识计算得到第二密钥；

所述终端向所述应用服务器发送访问请求，其中携带所述自引导临时身份标识和利用所述第二密钥加密的所述用户信息。

3.根据权利要求2所述的方法，其特征在于，所述应用服务器接收并保存所述用户信息具体包括：

所述应用服务器向自引导服务器发送认证请求，其中携带自引导临时身份标识、应用服务器信息、以及加密的所述用户信息；

所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第一密钥，并根据所述第一密钥计算得到所述第二密钥，所述自引导服务器利用所述第二密钥对加密的所述用户信息进行解密；

所述自引导服务器向所述应用服务器发送所述认证请求的响应，其中携带解密的所述用户信息。

4.根据权利要求2所述的方法，其特征在于，所述应用服务器接收并保存所述用户信息具体包括：

所述应用服务器向自引导服务器发送认证请求，其中携带自引导临时身份标识、应用服务器信息、以及加密的所述用户信息；

所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第一密钥，并根据所述第一密钥计算得到所述第二密钥；

所述自引导服务器向所述应用服务器发送所述认证请求的响应，其中携带所述第二密钥；

所述应用服务器利用所述第二密钥对加密的所述用户信息进行解密以得到解密的所述用户信息。

5.根据权利要求1所述的方法，其特征在于，将终端的用户信息携带在访问请求中发送给通用自引导架构中的应用服务器具体包括：

终端向所述自引导服务器发起请求并协商得到第一密钥；

所述终端根据所述第一密钥和自引导临时身份标识计算得到第二密钥；

所述终端根据所述第二密钥计算得到第三密钥；

所述终端向所述应用服务器发送访问请求，其中携带所述自引导临时身份标识和利用所述第三密钥加密的所述用户信息。

6.根据权利要求5所述的方法，其特征在于，所述应用服务器接收并保存所述用户信息具体包括：

所述应用服务器向自引导服务器发送认证请求，其中携带自引导临时身份标识、应用服务器信息、以及加密的所述用户信息；

所述自引导服务器根据所述自引导临时身份标识和所述应用服务器信息获取所述第一密钥，并根据所述第一密钥计算得到所述第二密钥，再根据所述第二密钥得到所述第三密钥，所述自引导服务器利用所述第三密钥对加密的所述用户信息进行解密；

所述自引导服务器向所述应用服务器发送所述认证请求的响应，其中携带解密的所述用户信息。

7.根据权利要求1所述的方法，其特征在于，所述应用服务器根据所述用户信息与所述终端进行密钥协商具体包括：

所述应用服务器向自引导服务器发送访问请求，其中携带所述应用服务器信息；

所述自引导服务器根据所述应用服务器信息得到认证向量和第四密钥，并根据所述第四密钥计算得到第五密钥，所述自引导服务器将所述认证向量和所述第五密钥发送到所述应用服务器；

所述应用服务器根据所述用户信息将所述第五密钥发送到所述终端。

8.根据权利要求1所述的方法，其特征在于，所述用户信息包括：自引导临时身份标识、用户标识、通用自引导架构信息和用户传输地址。

9.一种基于通用自引导架构的密钥协商装置，其特征在于，包括：

发送模块，用于将终端的用户信息携带在访问请求中发送给接收模块；

所述接收模块，位于通用自引导架构的应用服务器上，用于接收并保存所述用户信息；

协商模块，位于所述应用服务器上，用于利用所述用户信息与所述终端进行密钥协商。