安全通道建立方法、装置、相关设备及存储介质与流程

1.本技术涉及网络安全领域，尤其涉及一种安全通道建立方法、装置、相关设备及存储介质。


背景技术：

2.相关技术中，定义了第五代移动通信技术(5g)消息服务及该服务在应用层的架构和流程，如图1所示。如何解决5g消息服务的安全问题，尤其是如何保障5g消息终端(英文可以表示为msgin5g ue)与5g消息服务器(英文可以表示为msgin5g server)之间的网络信息安全，成为亟待解决的问题。


技术实现要素：

3.为解决相关技术问题，本技术实施例提供一种安全通道建立方法、装置、相关设备及存储介质。
4.本技术实施例的技术方案是这样实现的：
5.本技术实施例提供了一种安全通道建立方法，应用于5g消息终端，包括：
6.基于应用层认证和密钥管理(akma，authentication and key management for application)服务，生成第一密钥；
7.基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的安全通道。
8.上述方案中，在所述基于akma服务生成第一密钥之前，所述方法还包括：
9.进行终端和核心网之间的初始认证。
10.上述方案中，所述基于akma服务，生成第一密钥，包括：
11.向所述5g消息服务器发送会话建立请求，所述会话建立请求至少携带第一标识；
12.利用所述第一标识标识的第二密钥，生成所述第一密钥；所述第二密钥和第一标识是基于akma服务生成的。
13.上述方案中，所述利用第一标识标识的第二密钥生成所述第一密钥是在向所述5g消息服务器发送所述会话建立请求之前或之后进行的。
14.上述方案中，所述方法还包括：
15.接收5g消息服务器发送的会话建立响应；
16.所述生成第一密钥是在接收所述会话建立响应之前或之后进行的。
17.上述方案中，
18.基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的安全传输协议(tls，transport layer security)安全通道。
19.本技术实施例还提供了一种安全通道建立方法，应用于5g消息服务器，包括：
20.基于akma服务，获得第一密钥；
21.基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的安全通道。
22.上述方案中，所述基于akma服务，获得第一密钥，包括：
23.接收所述5g消息终端发送的会话建立请求；所述会话建立请求至少携带第一标识；
24.向核心网发送密钥请求；所述密钥请求至少携带所述第一标识；
25.接收所述核心网发送的第一信息；所述第一信息至少包括基于所述第一标识标识的第二密钥生成的所述第一密钥；所述第二密钥和第一标识是基于akma服务生成的。
26.上述方案中，所述第一信息还包括所述第一密钥的周期。
27.上述方案中，
28.基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的tls安全通道。
29.本技术实施例还提供了一种安全通道建立装置，包括：
30.第一处理单元，用于基于akma服务，生成第一密钥；
31.第二处理单元，用于基于所述第一密钥，建立5g消息终端与5g消息服务器之间的安全通道。
32.本技术实施例还提供了一种安全通道建立装置，包括：
33.第三处理单元，用于基于akma服务，获得第一密钥；
34.第四处理单元，用于基于所述第一密钥，建立5g消息服务器与5g消息终端之间的安全通道。
35.本技术实施例还提供了一种5g消息终端，包括：第一通信接口及第一处理器；其中，
36.所述第一处理器，用于：
37.基于akma服务，生成第一密钥；
38.基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的安全通道。
39.本技术实施例还提供了一种5g消息服务器，包括：第二通信接口及第二处理器；其中，
40.所述第二处理器，用于：
41.基于akma服务，获得第一密钥；
42.基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的安全通道。
43.本技术实施例还提供了一种5g消息终端，包括：第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器，
44.其中，所述第一处理器用于运行所述计算机程序时，执行上述5g消息终端侧任一方法的步骤。
45.本技术实施例还提供了一种5g消息服务器，包括：第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器，
46.其中，所述第二处理器用于运行所述计算机程序时，执行上述5g消息服务器侧任一方法的步骤。
47.本技术实施例还提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述5g消息终端侧任一方法的步骤，或者实现上述5g消息服务器侧任一方法的步骤。
48.本技术实施例提供的安全通道建立方法、装置、相关设备及存储介质，5g消息终端基于akma服务，生成第一密钥；5g消息服务器基于akma服务，获得第一密钥；所述5g消息终
端和所述5g消息服务器基于所述第一密钥，建立所述5g消息终端与所述5g消息服务器之间的安全通道。本技术实施例的方案，5g消息终端与5g消息服务器基于akma服务得到第一密钥，并基于所述第一密钥建立所述5g消息终端与所述5g消息服务器之间的安全通道；如此，对于5g消息终端与5g消息服务器之间接口的保护，无需在5g消息终端预置认证凭证，也无需额外的认证机制，比如利用seal架构、可扩展认证协议(eap，extensible authentication protocol)认证框架等认证机制，且不需要对终端新增要求，仅基于akma服务，即可实现应用层5g消息终端与5g消息服务器之间的快速认证，从而能够保障5g消息终端与5g消息服务器之间接口的安全。
附图说明
49.图1为相关技术中5g消息服务的应用层架构示意图；
50.图2为相关技术中5g消息终端与5g消息服务器基于seal架构进行认证的流程示意图；
51.图3为相关技术中5g消息终端与5g消息服务器进行二次认证的流程示意图；
52.图4为本技术实施例一种安全通道建立方法的流程示意图；
53.图5为本技术实施例另一种安全通道建立方法的流程示意图；
54.图6为本技术应用实施例的网络架构示意图；
55.图7为本技术应用实施例5g消息终端与5g消息服务器之间的认证流程示意图；
56.图8为本技术实施例一种安全通道建立装置的结构示意图；
57.图9为本技术实施例另一种安全通道建立装置的结构示意图；
58.图10为本技术实施例5g消息终端的结构示意图；
59.图11为本技术实施例5g消息服务器的结构示意图；
60.图12为本技术实施例安全通道建立系统的结构示意图。
具体实施方式
61.下面结合附图及实施例对本技术再作进一步详细的描述。
62.相关技术中，为了保障5g消息终端与5g消息服务器之间的网络信息安全，可以采用以下两种方式对5g消息终端与5g消息服务器之间的认证、授权及相应接口(即图1所示的msgin5g-1接口)进行安全保护。
63.方式一：5g消息终端与5g消息服务器基于seal架构进行认证。
64.具体地，由seal服务器(英文可以表示为seal server)为seal终端(即安装有seal客户端(英文可以表示为seal client)的5g消息终端)颁发接入令牌(token)；5g消息终端携带token接入5g消息服务器后，5g消息服务器需要与seal服务器对接进行token验证，token验证通过后5g消息服务器才允许终端的后续业务交互请求。
65.如图2所示，5g消息终端与5g消息服务器基于seal架构进行认证的过程可以包括以下步骤：
66.步骤201：5g消息终端的seal客户端与seal服务器建立一个安全通道；之后执行步骤202；
67.步骤202：seal客户端向seal服务器发送认证请求；之后执行步骤203；
68.这里，5g消息终端可以基于自身支持的认证方式发送所述认证请求，比如oidc(openid connect)认证请求；
69.步骤203：seal服务器向seal客户端发送用于请求用户名和密码的超文本标记语言(html，hyper text markup language)页面；之后执行步骤204；
70.步骤204：seal客户端向seal服务器发送用户名和密码；之后执行步骤205；
71.这里，seal客户端基于所述html页面向seal服务器发送用户名和密码；
72.步骤205：seal服务器验证用户名和密码；验证通过后执行步骤206；
73.步骤206：seal服务器向seal客户端发送认证响应；之后执行步骤207；
74.这里，所述认证响应携带授权码(英文可以表示为authorization code，可以简称为authcode)；所述认证响应与步骤202中的认证请求相对应，即在所述认证请求为oidc认证请求的情况下，所述认证响应为oidc认证响应；
75.步骤207：seal客户端向seal服务器发送token请求(比如oidc token请求)；之后执行步骤208；
76.这里，所述token请求携带authcode；
77.步骤208：seal服务器向seal客户端发送token响应；之后执行步骤209；
78.这里，所述token响应携带接入token；
79.步骤209：5g消息终端的5g消息服务客户端从seal客户端获取认证凭证(即接入token)；之后执行步骤210；
80.步骤210：5g消息服务客户端与5g消息服务器建立一个安全通道；之后执行步骤211；
81.步骤211：5g消息服务客户端向5g消息服务器发送应用层注册请求；之后执行步骤212；
82.这里，所述应用层注册请求携带接入token；
83.步骤212：5g消息服务器与seal服务器对接，验证接入token；之后执行步骤213；
84.步骤213：5g消息服务器接受或拒绝5g消息服务客户端的应用层注册请求；
85.这里，5g消息服务器根据接入token的验证结果，确定接受或拒绝5g消息服务客户端的应用层注册请求。
86.方式二：5g消息终端与5g消息服务器进行二次认证。
87.具体地，在5g消息终端完成5g网络初始认证(第一次认证)，由会话管理功能(smf，session management function)建立协议数据单元(pdu，protocol data unit)会话时，5g消息终端与5g消息服务器进行二次认证(第二次认证)，即由5g消息服务器对5g消息终端进行eap认证，认证成功后smf为5g消息终端建立pdu会话以接入5g消息服务器。
88.如图3所示，5g消息终端与5g消息服务器进行二次认证的过程可以包括以下步骤：
89.步骤301：终端(即5g消息终端)与鉴权服务器功能(ausf，authentication server function)交互完成注册和初始认证程序；之后执行步骤302；
90.步骤302：终端向接入和移动性管理功能(amf，access and mobility management function)或安全锚功能(seaf，security anchor function)发送pdu会话建立请求；之后执行步骤303；
91.步骤303：amf或seaf向smf发送pdu会话建立请求(英文可以表示为nsmf_
pdusession_createsmcontext request)；之后执行步骤304；
92.步骤304：smf向amf或seaf发送pdu会话建立响应(英文可以表示为nsmf_pdusession_createsmcontext response)；之后执行步骤305；
93.步骤305：smf从统一数据管理(udm，unified data management)获取订阅数据并验证终端发送的请求；之后执行步骤306；
94.步骤306：smf启动eap认证；之后执行步骤307；
95.步骤307：终端与数据网络认证、授权和计费(dn-aaa，data network-authentication，authorization and accounting)服务器(即5g消息服务器)交互eap认证请求和eap认证响应消息；完成eap认证后执行步骤308；
96.步骤308：dn-aaa向smf通知eap认证成功；之后执行步骤309；
97.步骤309：smf向amf或seaf通知eap认证成功；之后执行步骤310；
98.步骤310：amf或seaf向终端发送pdu会话建立响应；终端接入5g消息服务器。
99.实际应用时，上述方式一存在以下缺点：
100.1)5g消息终端需要安装seal客户端才能够实现seal的相关功能，而对于轻量级的5g消息终端，即计算资源和/或存储资源有限的5g消息终端，比如物联网终端(包含各类传感器等)等，受限于资源成本，这类5g消息终端无法安装seal客户端；
101.2)交互流程复杂；具体地，5g消息终端携带接入token向5g消息服务器发送请求时，5g消息服务器需要向seal服务器请求token验证，换句话说，该流程中需要5g消息服务器和seal服务器的交互。
102.实际应用时，上述方式二存在以下缺点：
103.1)仅能够实现5g消息服务器对5g消息终端的接入认证，而无法保证5g消息服务器与5g消息终端之间的通信通道的安全性，因此仍然需要采用额外的方式对5g消息服务器和5g消息终端之间通信的接口进行保护；
104.2)需要5g消息服务器必须使用eap认证框架，但相关技术中的一些应用层的5g消息服务器并不支持eap认证框架；
105.3)需要提前在5g消息终端预置二次认证使用的认证凭证，比如用户名、口令等；而预置凭证的安全性无法保证。
106.基于此，在本技术的各种实施例中，5g消息终端与5g消息服务器基于akma服务得到第一密钥，并基于所述第一密钥建立所述5g消息终端与所述5g消息服务器之间的安全通道；如此，对于5g消息终端与5g消息服务器之间接口的保护，与上述方式一和方式二相比，本技术实施例的方案，不需要在5g消息终端预置认证凭证，也不需要额外的认证机制，比如利用seal架构、eap认证框架等认证机制，且不需要对终端新增要求，仅基于akma服务，即可实现应用层5g消息终端与5g消息服务器之间的快速认证，并能够满足轻量级的5g消息终端与5g消息服务器之间的认证需求，从而能够保障5g消息终端与5g消息服务器之间接口的安全。
107.本技术实施例提供一种安全通道建立方法，应用于5g消息终端，如图4所示，该方法包括：
108.步骤401：基于akma服务，生成第一密钥；
109.步骤402：基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的安全通
道。
110.这里，所述建立所述5g消息终端与所述5g消息服务器之间的安全通道，是指建立所述5g消息终端与所述5g消息服务器之间数据传输的安全通道，建立所述安全通道后，所述5g消息终端与所述5g消息服务器可以基于所述安全通道进行数据传输，从而能够保障5g消息终端与5g消息服务器之间接口的安全。
111.实际应用时，所述5g消息终端需要先接入网络，进而基于akma服务与所述5g消息服务器建立安全通道。
112.基于此，在一实施例中，如图4所示，在执行步骤401之前，该方法还可以包括：
113.步骤400：进行网络初始认证；
114.也就是说，所述5g消息终端进行终端和核心网之间的初始认证。
115.实际应用时，在步骤400中，所述5g消息终端可以基于相关技术中定义的网络初始认证流程，通过与运营商的5g核心网(英文可以表示为5gc)进行交互，具体可以与ausf等功能实体进行交互，完成5g网络的初始认证，本技术实施例对网络初始认证的具体方式不作限定。
116.本技术实施例中，对于5g消息终端与5g消息服务器之间接口的保护，无需在5g消息终端预置认证凭证，也无需额外的认证机制，且不需要对终端新增要求，仅使用网络接入的初始认证凭证(即存储于用户身份识别模块(sim，subscriber identification module)卡和运营商网络的密钥，用于用户接入运营商网络，即进行网络初始认证)，并基于akma服务，即可实现应用层5g消息终端与5g消息服务器之间的快速认证，从而能够保障5g消息终端与5g消息服务器之间接口的安全。
117.对于步骤401，在一实施例中，所述基于akma服务，生成第一密钥，具体可以包括：
118.向所述5g消息服务器发送接入请求；所述接入请求至少携带第一标识；并利用所述第一标识标识的第二密钥，生成所述第一密钥；所述第二密钥是基于akma服务生成的；
119.接收所述5g消息服务器发送的接入响应。
120.其中，所述向所述5g消息服务器发送接入请求，也可以理解为向所述5g消息服务器发送会话建立请求，所述会话建立请求至少携带第一标识；相应地，所述接收所述5g消息服务器发送的接入响应，也可以理解为接收所述5g消息服务器发送的会话建立响应。
121.在一实施例中，该方法还可以包括：
122.网络初始认证完成后，基于akma服务，获得所述第二密钥和所述第一标识。
123.具体地，实际应用时，在步骤400中，所述5g消息终端进行网络初始认证完成后，所述5g消息终端和核心网会交互(具体可以和所述核心网的ausf等功能实体进行交互)，从而生成密钥k
ausf
；如果所述5g消息终端支持akma服务，且注册并签约了akma服务(英文可以表示为subscription)，所述5g消息终端和所述核心网会基于密钥k
ausf
和akma服务生成akma中间密钥k
akma
(即所述第二密钥)及该密钥对应的密钥标识符a-kid(即所述第一标识)。
124.实际应用时，向所述5g消息服务器发送接入请求、接收所述5g消息服务器发送的接入响应与生成所述第一密钥在时间顺序上不分先后。换句话说，所述5g消息终端既可以先向所述5g消息服务器发送接入请求，再生成所述第一密钥，即所述利用所述第一标识标识的第二密钥生成所述第一密钥是在向所述5g消息服务器发送所述会话建立请求之后进行的；所述5g消息终端也可以先生成所述第一密钥再发送所述接入请求，即所述利用所述
第一标识标识的第二密钥生成所述第一密钥是在向所述5g消息服务器发送所述会话建立请求之前进行的。相应地，所述5g消息终端既可以先接收所述5g消息服务器发送的接入响应，再生成所述第一密钥，即所述生成第一密钥是在接收所述会话建立响应之后进行的；所述5g消息终端也可以先生成所述第一密钥再接收所述接入响应，即所述生成第一密钥是在接收所述会话建立响应之前进行的。
125.实际应用时，所述5g消息服务器接收到所述5g消息终端发送的携带所述第一标识的接入请求后，可以向所述核心网发送携带所述第一标识的密钥请求；所述核心网可以根据所述第一标识确定所述第二密钥，利用所述第二密钥生成第一密钥，并向所述5g消息服务器返回生成的第一密钥；所述5g消息服务器接收到所述第一密钥后，可以向所述5g消息终端发送所述接入响应。
126.实际应用时，所述核心网和所述5g消息终端利用所述第二密钥生成所述第一密钥的具体方式可以根据需求设置，本技术实施例对此不作限定。示例性地，所述核心网和所述5g消息终端可以利用所述第二密钥和所述5g消息服务器对应的标识(英文可以表示为msgin5g server id)，结合预设的算法生成所述第一密钥，比如密钥导出函数(kdf，key derivation function)等；所述预设的算法可以是所述5g消息终端和所述核心网协商确定的，也可以是运营商预置算法，本技术实施例对此不作限定。
127.实际应用时，所述核心网可以利用预设的策略确定所述第一密钥的周期(也可以称为生命周期)，比如，可以由akma密钥锚定功能(aanf，akma anchor function)等功能实体确定所述第一密钥的周期；本技术实施例对确定所述第一密钥的周期的具体方式不作限定。示例性地，所述核心网可以根据5g消息业务(即5g消息服务)的需求及运营商的密钥管理策略确定所述第一密钥的周期。
128.实际应用时，所述核心网向所述5g消息服务器返回生成的第一密钥时，还可以向所述5g消息服务器发送所述第一密钥的周期；所述5g消息服务器可以根据所述第一密钥的周期对所述第一密钥进行维护，即根据所述第一密钥的周期确定所述第一密钥即将过期时，所述5g消息服务器可以向所述核心网发送密钥更新请求；所述核心网接收到密钥更新请求时，可以根据akma服务生成新的第一密钥，并向所述5g消息服务器返回新的第一密钥；所述5g消息服务器接收到新的第一密钥后，可以向所述5g消息终端发送密钥更新指示，以指示所述5g消息终端更新所述第一密钥；这里，所述5g消息终端更新所述第一密钥的方式可以根据需求设置，本技术实施例对此不作限定。示例性地，所述5g消息终端可以重新接入5g网络，即重新进行网络初始认证。
129.在步骤403中，实际应用时，所述基于所述第一密钥建立所述5g消息终端与所述5g消息服务器之间的安全通道，一种实现方式可以是所述5g消息终端和所述5g消息服务器利用所述第一密钥对传输的数据进行加密。另一种实现方式可以是所述5g消息终端和所述5g消息服务器基于所述第一密钥建立tls通道等类型的安全通道。
130.基于此，在一实施例中，所述基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的安全通道，可以包括：
131.基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的tls安全通道(也可以称为tls隧道)。
132.具体地，实际应用时，所述5g消息终端可以向所述5g消息服务器发送tls安全通道
建立请求；所述tls安全通道建立请求可以携带第二信息和第三信息；所述第二信息表征基于预共享密钥(psk，pre-shared key)的加密算法；所述第三信息表征所述5g消息终端支持基于psk的tls。
133.所述5g消息服务器接收到所述tls安全通道建立请求后，可以从所述第二信息表征的加密算法中选择加密算法，并发送携带选择的加密算法的tls安全通道建立响应；同时，所述5g消息服务器可以向所述5g消息终端发送第四信息；所述第四信息表征所述5g消息服务器支持akma协议。
134.所述5g消息终端接收到所述tls安全通道建立响应后，可以与所述5g消息服务器进行tls握手；在tls握手过程中，所述5g消息终端可以利用所述第一密钥生成tls安全通道的预主密钥(英文可以表示为premaster key，后续描述中记作第三密钥)，并向所述5g消息服务器发送携带所述第一标识的客户端密钥交换(英文可以表示为clientkeyexchange)消息；所述5g消息服务器可以根据所述第一标识获得所述第一密钥，利用所述第一密钥生成所述第三密钥，并向所述5g消息终端发送更改密码套件(英文可以表示为changeciphersuite)消息和完成(finished)消息结束tls握手，建立tls安全通道；所述tls安全通道能够保护所述5g消息终端与所述5g消息服务器之间的数据交互，从而能够保障5g消息终端与5g消息服务器之间接口的安全。
135.其中，为了建立tls安全通道，对于5g消息终端与5g消息服务器来说，需要一个对称的密钥，而本技术实施例中，不需要额外的认证机制，也无需在5g消息终端预置认证凭证，且不需要对终端新增要求，借助akma服务即可获得对称的密钥，从而即可实现应用层5g消息终端与5g消息服务器之间的快速认证、鉴权以及对5g消息终端与5g消息服务器之间接口的保护。
136.相应地，本技术实施例还提供了一种安全通道建立方法，应用于5g消息服务器，如图5所示，该方法包括：
137.步骤501：基于akma服务，获得第一密钥；
138.步骤502：基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的安全通道。
139.这里，所述建立所述5g消息服务器与所述5g消息终端之间的安全通道，是指建立所述5g消息服务器与所述5g消息终端之间数据传输的安全通道，建立所述安全通道后，所述5g消息服务器与所述5g消息终端可以基于所述安全通道进行数据传输，从而能够保障5g消息终端与5g消息服务器之间接口的安全。
140.其中，在一实施例中，所述基于akma服务，获得第一密钥，可以包括：
141.接收所述5g消息终端发送的接入请求；所述接入请求至少携带第一标识；
142.向核心网发送密钥请求；所述密钥请求至少携带所述第一标识；
143.接收所述核心网发送的第一信息；所述第一信息至少包括基于所述第一标识标识的第二密钥生成的所述第一密钥；所述第二密钥和第一标识是基于akma服务生成的。
144.这里，所述接收所述5g消息终端发送的接入请求，也可以理解为接收所述5g消息终端发送的会话建立请求，所述会话建立请求至少携带第一标识。
145.具体地，实际应用时，所述5g消息终端可以基于相关技术中定义的网络初始认证流程，通过与运营商的5g核心网进行交互，完成5g网络的初始认证。在所述5g消息终端接入
所述核心网进行网络初始认证完成后，所述5g消息终端和所述核心网会生成密钥k
ausf
；如果所述5g消息终端支持akma服务，且注册并签约了akma服务，所述5g消息终端和所述核心网会基于密钥k
ausf
和akma服务生成第二密钥及该密钥对应的第一标识；获得所述第二密钥和所述第一标识后，所述5g消息终端可以向所述5g消息服务器发送所述接入请求。
146.实际应用时，所述核心网接收到所述密钥请求后，可以利用所述第一标识确定所述第二密钥，利用所述第二密钥生成第一密钥，并通过所述第一信息向所述5g消息服务器返回生成的第一密钥；所述5g消息服务器接收到所述第一密钥后，可以向所述5g消息终端发送接入响应。
147.其中，所述向所述5g消息终端发送接入响应，也可以理解为向所述5g消息终端发送会话建立响应。
148.实际应用时，所述5g消息服务器还可以对所述第一密钥进行维护。
149.基于此，在一实施例中，所述第一信息还可以包括所述第一密钥的周期；该方法还包括：
150.根据所述第一密钥的周期对所述第一密钥进行维护。
151.具体地，实际应用时，所述5g消息服务器根据所述第一密钥的周期确定所述第一密钥即将过期时，可以向所述核心网发送密钥更新请求；所述核心网接收到密钥更新请求时，可以根据akma服务生成新的第一密钥，并向所述5g消息服务器返回新的第一密钥；所述5g消息服务器接收到新的第一密钥后，可以向所述5g消息终端发送密钥更新指示，以指示所述5g消息终端更新所述第一密钥。
152.在步骤502中，实际应用时，所述基于所述第一密钥建立所述5g消息服务器与5g消息终端之间的安全通道，一种实现方式可以是所述5g消息服务器和所述5g消息终端利用所述第一密钥对传输的数据进行加密。另一种实现方式可以是所述5g消息服务器和所述5g消息终端基于所述第一密钥建立tls通道等类型的安全通道。
153.基于此，在一实施例中，所述基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的安全通道，可以包括：
154.基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的tls安全通道。
155.其中，所述5g消息终端与所述5g消息服务器建立tls安全通道的过程已在上文详述，这里不再赘述。
156.本技术实施例提供的安全通道建立方法，5g消息终端基于akma服务，生成第一密钥；5g消息服务器基于akma服务，获得第一密钥；所述5g消息终端和所述5g消息服务器基于所述第一密钥，建立所述5g消息终端与所述5g消息服务器之间的安全通道。本技术实施例的方案，5g消息终端与5g消息服务器基于akma服务得到第一密钥，并基于所述第一密钥建立所述5g消息终端与所述5g消息服务器之间的安全通道；如此，对于5g消息终端与5g消息服务器之间接口的保护，无需在5g消息终端预置认证凭证，也无需额外的认证机制，比如利用seal架构、eap认证框架等认证机制，且不需要对终端新增要求，仅基于akma服务，即可实现应用层5g消息终端与5g消息服务器之间的快速认证，从而能够保障5g消息终端与5g消息服务器之间接口的安全。
157.下面结合应用实施例对本技术再作进一步详细的描述。
158.在本应用实施例中，利用运营商5g网络接入的初始凭证(即存储于用户sim卡与运
营商网络的，用于用户接入运营商网络的密钥)为5g消息终端和5g消息服务器建立接口保护的安全凭证(即上述第一密钥)，即网络初始认证完成后，利用5g核心网生成的k
akma
(即上述第二密钥)作为中间密钥生成应用层密钥(即上述第一密钥)，实现对图6所示的msgin5g-1接口的保护。
159.在本应用实施例中，在5g消息终端与核心网交互，完成了网络初始认证并建立(即获得)了k
akma
的前提条件下，如图7所示，5g消息终端与5g消息服务器之间的认证过程具体可以包括以下步骤：
160.步骤701：5g消息终端向5g消息服务器发送应用层会话建立请求(携带a-kid，即上述第一标识)；之后执行步骤702。
161.步骤702：5g消息服务器从核心网获得k
5gmsg
(即上述第一密钥)；之后执行步骤703。
162.这里，5g消息服务器接收到所述会话建立请求后，携带a-kid和msgin5gserver id向核心网请求密钥；所述核心网根据a-kid确定k
akma
，利用k
akma
和msgin5g server id生成k
5gmsg
，并将生成的k
5gmsg
和k
5gmsg
的密钥周期返回给5g消息服务器。
163.实际应用时，所述核心网可以利用以下公式生成k
5gmsg
：
164.k
5gmsg
＝kdf(k
akma
，msgin5g server id)
ꢀꢀꢀꢀ
(1)
165.实际应用时，k
5gmsg
的生命周期由aanf根据5g消息业务的需求和运营商的密钥管理策略进行设置。当密钥即将过期时，5g消息服务器可以向5g核心网请求密钥更新，5g核心网收到密钥更新请求时，可以根据akma服务生成新的k
5gmsg
。
166.步骤703：5g消息服务器向5g消息终端发送应用层会话建立响应；之后执行步骤704；
167.这里，所述应用层会话建立响应携带msgin5g server id，所述应用层会话建立响应用于指示5g消息终端生成k
5gmsg
；所述5g消息终端接收到应用层会话建立响应后，可以利用上述公式(1)生成k
5gmsg
。
168.步骤704：5g消息终端和5g消息服务器根据k
5gmsg
建立安全通道。
169.实际应用时，5g消息终端和5g消息服务器可以根据k
5gmsg
建立tls安全通道，以对msgin5g-1接口进行安全保护。具体地，利用k
5gmsg
建立tls安全通道的过程可以包括以下步骤：
170.1)5g消息终端向5g消息服务器发送连接请求(即上述tls安全通道建立请求)，并在所述连接请求携带的client hello消息中携带基于psk的加密算法信息(即上述第二信息)以及表示其支持基于psk的tls信息(即上述第三信息)。
171.2)5g消息服务器在server hello消息(即上述tls安全通道建立响应)中携带选中的加密算法发给5g消息终端，同时向5g消息终端发送携带“3gpp-akma”的serverkeyexchange消息(即上述第四信息)，以向5g消息终端表示5g消息服务器支持akma协议。
172.3)5g消息终端使用k
5gmsg
推衍出(即生成)tls的premaster key(即上述第三密钥),之后向5g消息服务器发送携带a-kid的clientkeyexchange消息。
173.4)5g消息服务器根据收到的a-kid获得k
5gmsg
，利用k
5gmsg
推衍出tls的premaster key，并向ue发送changeciphersuite和finished消息结束tls握手，建立tls隧道。
174.5)5g消息终端和5g消息服务器之间的数据交互受到该tls隧道的保护。
175.本应用实施例提供的方案，具有以下优点：
176.1)5g消息终端不需要为二次认证预置凭证，使用5g网络接入的初始认证凭证，并基于akma服务，即可实现5g消息终端和5g消息服务器之间的认证；
177.2)利用5g核心网的初始认证凭证和应用层密钥(即k
5gmsg
)，进行应用层5g消息终端和5g消息服务器之间的认证，无需额外的认证机制，即不需要5g消息服务器支持eap认证框架；
178.3)对5g消息终端无新增要求(即不需要安装seal客户端)，可以满足轻量级终端与5g消息服务器之间的认证需求。
179.为了实现本技术实施例5g消息终端侧的方法，本技术实施例还提供了一种安全通道建立装置，设置在5g消息终端上，如图8所示，该装置包括：
180.第一处理单元801，用于基于akma服务，生成第一密钥；
181.第二处理单元802，用于基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的安全通道。
182.其中，在一实施例中，所述第一处理单元801，还用于在所述基于akma服务生成第一密钥之前，进行终端和核心网之间的初始认证。
183.在一实施例中，所述第一处理单元801，具体用于：
184.向所述5g消息服务器发送会话建立请求，所述会话建立请求至少携带第一标识；
185.利用所述第一标识标识的第二密钥，生成所述第一密钥；所述第二密钥和第一标识是基于akma服务生成的。
186.在一实施例中，所述第一处理单元801，具体用于在向所述5g消息服务器发送所述会话建立请求之前或之后，利用第一标识标识的第二密钥生成所述第一密钥。
187.在一实施例中，所述第一处理单元801，还用于：
188.接收5g消息服务器发送的会话建立响应；
189.所述生成第一密钥是在接收所述会话建立响应之前或之后进行的。
190.在一实施例中，所述第三处理单元803，具体用于基于所述第一密钥，建立所述5g消息终端与5g消息服务器之间的tls安全通道。
191.实际应用时，所述第一处理单元801和所述第二处理单元802可由安全通道建立装置中的处理器结合通信接口实现。
192.为了实现本技术实施例5g消息服务器侧的方法，本技术实施例还提供了一种安全通道建立装置，设置在5g消息服务器上，如图9所示，该装置包括：
193.第三处理单元901，用于基于akma服务，获得第一密钥；
194.第四处理单元902，用于基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的安全通道。
195.其中，在一实施例中，所述第三处理单元901，具体用于：
196.接收所述5g消息终端发送的会话建立请求；所述会话建立请求至少携带第一标识；
197.向核心网发送密钥请求；所述密钥请求至少携带所述第一标识；
198.接收所述核心网发送的第一信息；所述第一信息至少包括基于所述第一标识标识的第二密钥生成的所述第一密钥；所述第二密钥和第一标识是基于akma服务生成的。
199.在一实施例中，所述第四处理单元902，具体用于基于所述第一密钥，建立所述5g消息服务器与5g消息终端之间的tls安全通道。
200.实际应用时，所述第三处理单元901和所述第四处理单元902可由安全通道建立装置中的处理器结合通信接口实现。
201.需要说明的是：上述实施例提供的安全通道建立装置在建立安全通道时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的安全通道建立装置与安全通道建立方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
202.基于上述程序模块的硬件实现，且为了实现本技术实施例5g消息终端侧的方法，本技术实施例还提供了一种5g消息终端，如图10所示，该5g消息终端1000包括：
203.第一通信接口1001，能够与5g消息服务器进行信息交互；
204.第一处理器1002，与所述第一通信接口1001连接，以实现与5g消息服务器进行信息交互，用于运行计算机程序时，执行上述5g消息终端侧一个或多个技术方案提供的方法。而所述计算机程序存储在第一存储器1003上。
205.具体地，所述第一处理器1002，用于：
206.基于akma服务，生成第一密钥；
207.基于所述第一密钥，建立所述5g消息终端1000与5g消息服务器之间的安全通道。
208.其中，在一实施例中，所述第一处理器1002，还用于在所述基于akma服务生成第一密钥之前，进行终端和核心网之间的初始认证。
209.在一实施例中，所述第一处理器1002，具体用于：
210.通过所述第一通信接口1001向所述5g消息服务器发送会话建立请求，所述会话建立请求至少携带第一标识；
211.利用所述第一标识标识的第二密钥，生成所述第一密钥；所述第二密钥和第一标识是基于akma服务生成的。
212.在一实施例中，所述第一处理器1002，具体用于在向所述5g消息服务器发送所述会话建立请求之前或之后，利用第一标识标识的第二密钥生成所述第一密钥。
213.在一实施例中，所述第一处理器1002，还用于：
214.通过所述第一通信接口1001接收5g消息服务器发送的会话建立响应；
215.所述生成第一密钥是在接收所述会话建立响应之前或之后进行的。
216.在一实施例中，所述第一处理器1002，还用于基于所述第一密钥，建立所述5g消息终端1000与5g消息服务器之间的tls安全通道。
217.需要说明的是：第一处理器1002和第一通信接口1001的具体处理过程可参照上述方法理解。
218.当然，实际应用时，5g消息终端1000中的各个组件通过总线系统1004耦合在一起。可理解，总线系统1004用于实现这些组件之间的连接通信。总线系统1004除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图10中将各种总线都标为总线系统1004。
219.本技术实施例中的第一存储器1003用于存储各种类型的数据以支持5g消息终端
1000的操作。这些数据的示例包括：用于在5g消息终端1000上操作的任何计算机程序。
220.上述本技术实施例揭示的方法可以应用于所述第一处理器1002中，或者由所述第一处理器1002实现。所述第一处理器1002可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过所述第一处理器1002中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器1002可以是通用处理器、数字信号处理器(dsp，digital signal processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第一处理器1002可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第一存储器1003，所述第一处理器1002读取第一存储器1003中的信息，结合其硬件完成前述方法的步骤。
221.在示例性实施例中，5g消息终端1000可以被一个或多个应用专用集成电路(asic，application specific integrated circuit)、dsp、可编程逻辑器件(pld，programmable logic device)、复杂可编程逻辑器件(cpld，complex programmable logic device)、现场可编程门阵列(fpga，field-programmable gate array)、通用处理器、控制器、微控制器(mcu，micro controller unit)、微处理器(microprocessor)、或者其他电子元件实现，用于执行前述方法。
222.基于上述程序模块的硬件实现，且为了实现本技术实施例5g消息服务器侧的方法，本技术实施例还提供了一种5g消息服务器，如图11所示，该5g消息服务器1100包括：
223.第二通信接口1101，能够与5g消息终端进行信息交互；
224.第二处理器1102，与所述第二通信接口1101连接，以实现与5g消息终端进行信息交互，用于运行计算机程序时，执行上述5g消息服务器侧一个或多个技术方案提供的方法。而所述计算机程序存储在第二存储器1103上。
225.具体地，所述第二处理器1102，用于：
226.基于akma服务，获得第一密钥；
227.基于所述第一密钥，建立所述5g消息服务器1100与5g消息终端之间的安全通道。
228.其中，在一实施例中，所述第二处理器1102，具体用于：
229.通过所述第二通信接口1101接收所述5g消息终端发送的会话建立请求；所述会话建立请求至少携带第一标识；
230.通过所述第二通信接口1101向核心网发送密钥请求；所述密钥请求至少携带所述第一标识；
231.通过所述第二通信接口1101接收所述核心网发送的第一信息；所述第一信息至少包括基于所述第一标识标识的第二密钥生成的所述第一密钥；所述第二密钥和第一标识是基于akma服务生成的。
232.在一实施例中，所述第二处理器1102，还用于基于所述第一密钥，建立所述5g消息服务器1100与5g消息终端之间的tls安全通道。
233.需要说明的是：第二处理器1102和第二通信接口1101的具体处理过程可参照上述方法理解。
234.当然，实际应用时，5g消息服务器1100中的各个组件通过总线系统1104耦合在一起。可理解，总线系统1104用于实现这些组件之间的连接通信。总线系统1104除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图11中将各种总线都标为总线系统1104。
235.本技术实施例中的第二存储器1103用于存储各种类型的数据以支持接5g消息服务器1100操作。这些数据的示例包括：用于在5g消息服务器1100上操作的任何计算机程序。
236.上述本技术实施例揭示的方法可以应用于所述第二处理器1102中，或者由所述第二处理器1102实现。所述第二处理器1102可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过所述第二处理器1102中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第二处理器1102可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第二处理器1102可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于第二存储器1103，所述第二处理器1102读取第二存储器1103中的信息，结合其硬件完成前述方法的步骤。
237.在示例性实施例中，5g消息服务器1100可以被一个或多个asic、dsp、pld、cpld、fpga、通用处理器、控制器、mcu、microprocessor、或其他电子元件实现，用于执行前述方法。
238.可以理解，本技术实施例的存储器(第一存储器1003、第二存储器1103)可以是易失性存储器或者非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read-only memory)、可擦除可编程只读存储器(eprom，erasable programmable read-only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，dynamic random access memory)、同步动态随机存取存储器(sdram，synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本技术实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
239.为了实现本技术实施例提供的方法，本技术实施例还提供了一种安全通道建立系
统，如图12所示，该系统包括：5g消息终端1201及5g消息服务器1202。
240.这里，需要说明的是：所述5g消息终端1201及所述5g消息服务器1202的具体处理过程已在上文详述，这里不再赘述。
241.在示例性实施例中，本技术实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的第一存储器1003，上述计算机程序可由5g消息终端1000的第一处理器1002执行，以完成前述5g消息终端侧方法所述步骤。再比如包括存储计算机程序的第二存储器1103，上述计算机程序可由5g消息服务器1100的第二处理器1102执行，以完成前述5g消息服务器侧方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器。
242.需要说明的是：“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
243.另外，本技术实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。
244.以上所述，仅为本技术的较佳实施例而已，并非用于限定本技术的保护范围。