密钥分发和接收方法、第一密钥管理中心和第一网元技术

本发明专利技术实施例公开了一种密钥分发和接收方法、密钥管理中心、第一和第二网元。本发明专利技术实施例方法包括：第一密钥管理中心获取第一网元的共享密钥，所述第一网元的共享密钥为根据所述第一网元认证后得到的密钥参数或者所述第一网元的根密钥生成的；所述第一密钥管理中心获取业务密钥，所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护；所述第一密钥管理中心采用所述第一网元的共享密钥对所述业务密钥进行加密和/或完整性保护，生成第一安全保护参数；将所述第一安全保护参数发送至所述第一网元。本发明专利技术实施例能够避免数据在发送过程中遭到窃听攻击。

Key distribution and receiving method, first key management center and first network element

The embodiment of the invention discloses a key distribution and receiving method, a key management center, a first and second network elements. The embodiment of the method includes: acquiring key shared the first network element first key management center, shared key based on the root key parameters are obtained after the certification of the first network element or the first network element generated by the first network element; obtains the service key the first key management center, the key for business encryption and / or to protect the integrity of the first business communication data between the first element and the second element in the first; the key management center by the first network element shared key encryption and / or to protect the integrity of the business secret, the first generation of safety protection parameters; the first safety protection the parameter is transmitted to the first network element. The embodiment of the invention can prevent data from being tapped during the transmission process.

【技术实现步骤摘要】
密钥分发和接收方法、第一密钥管理中心和第一网元
本专利技术涉及移动通信
，尤其涉及一种密钥分发和接收方法、第一密钥管理中心和第一网元。
技术介绍
现有的移动通信安全架构中，数据由网元到Internet的安全保护都是hop-by-hop形式，即采用分段加密的形式完成保护。而且，在已有2G/3G/4G移动架构中，端到端之间的通信数据也是采用分段加密的方式。虽然分段加密比较灵活，但由于中间节点可以获得通信数据的明文，并不能够抗击通信数据遭到窃听攻击，因此采用分段加密的方式的安全性较差。例如，请参阅图1，图1为现有技术中4GLTE的协议栈架构的示意图。在图1中，用户网元(英文全称：UserExperience，缩写：UE)发送至分组数据网络(英文全称：PacketDataNetwork，缩写：PDN)网关(英文全称：Gateway，缩写：GW)的数据从UE出发，依次经过基站eNodeB和服务器网关(servingGW)后才到达PDNGW。其中，UE和eNodeB之间采用PDCP安全协议加密保护，eNodeB与servingGW之间，以及servingGW与PDNGW之间都采用IPSec的安全协议进行保护。由于基站处于室外场景，攻击者可以通过攻破基站来搭线窃听，以获取到PDCP协议解密后的明文内容。
技术实现思路
本专利技术实施例第一方面提供了一种密钥分发方法，包括：第一密钥管理中心获取第一网元的共享密钥，所述第一网元的共享密钥为根据所述第一网元认证后得到的密钥参数或者所述第一网元的根密钥生成的；所述第一密钥管理中心获取业务密钥，所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护；所述第一密钥管理中心采用所述第一网元的共享密钥对所述业务密钥进行加密和/或完整性保护，生成第一安全保护参数；所述第一密钥管理中心执行以下步骤A和步骤B的其中一个：A、将所述第一安全保护参数发送至所述第一网元；B、将所述第一安全保护参数发送至第二密钥管理中心，以便所述第二密钥管理中心发送所述第一安全保护参数至所述第一网元。结合第一方面，在第一方面的第一种可能的实施方式中，所述第一密钥管理中心获取第一网元的共享密钥，包括：所述第一密钥管理中心通过和所述第一网元进行AKA鉴权获取第一参数，所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项；所述第一密钥管理中心计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量；其中，所述第一预置密钥推衍函数的自变量包括所述第一参数。结合第一方面，在第一方面的第二种可能的实施方式中，所述第一密钥管理中心获取第一网元的共享密钥，包括：所述第一密钥管理中心接收移动管理节点MME发送的第一网元的共享密钥，其中，所述第一网元的共享密钥是所述MME通过第三参数计算的；或者，所述第一密钥管理中心接收MME发送的第三参数；所述第一密钥管理中心计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量；其中，所述第一预置密钥推衍函数的自变量包括所述第三参数；其中，所述第三参数为所述MME通过和第一网元AKA鉴权得到的，所述第三参数包括Kasme、完整性密钥、加密密钥、非接入层完整性密钥、非接入层加密密钥和基站密钥中的至少一项。结合第一方面，在第一方面的第三种可能的实施方式中，当所述第一密钥管理中心执行所述步骤A时，所述第一密钥管理中心获取业务密钥，包括：选择一个随机数，所述业务密钥包括所述随机数；或者，获取随机数、所述第一网元的Kasme、所述第一网元的完整性密钥、所述第一网元的加密密钥、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项，以及所述第一业务的业务参数，计算第二预置密钥推衍函数的因变量，所述业务密钥包括所述第二预置密钥推衍函数的因变量，其中，所述第二预置密钥推衍函数的自变量包括所述第一业务的参数，以及包括随机数、所述第一网元的Kasme、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项。结合第一方面，在第一方面的第四种可能的实施方式中，当所述第一密钥管理中心执行所述步骤B时，所述第一密钥管理中心获取业务密钥，包括：选择一个随机数，所述业务密钥包括所述随机数；或者，获取随机数、第一网元的Kasme、所述第一网元的完整性密钥、所述第一网元的加密密钥、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项，以及所述第一业务的业务参数，根据所述随机数、第一网元的Kasme、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项，以及所述第一业务的业务参数计算第一密钥；接收所述第二密钥管理中心发送的第二密钥，所述第二密钥是通过所述随机数、第二网元的Kasme、所述第二网元的根密钥和所述第二网元的共享密钥中的至少一项，以及所述第一业务的业务参数计算得到的；根据所述第一密钥和所述第二密钥计算所述业务密钥；或者，接收所述第二密钥管理中心发送的业务密钥，所述业务密钥是所述第二密钥管理中心根据随机数、所述第二网元的Kasme、所述第二网元的完整性密钥、所述第二网元的加密密钥、所述第二网元的根密钥和所述第二网元的共享密钥中的至少一项，以及所述第一业务的业务参数计算得到的。结合第一方面，在第一方面的第五种可能的实施方式中，所述第一密钥管理中心获取业务密钥，之前还包括：所述第一密钥管理中心接收来自所述第一网元、所述第二网元、网关或者服务器的密钥请求，所述密钥请求用于发起所述业务密钥的生成，所述密钥请求包括所述第一网元的身份标识、所述第二网元的身份标识和所述第一业务的业务参数中的至少一项。结合第一方面，在第一方面的第六种可能的实施方式中，当所述第一密钥管理中心执行所述步骤A时，所述第二网元和所述第一密钥管理中心之间建立有安全信道；所述方法还包括：通过所述安全信道将所述业务密钥发送至所述第二网元。本专利技术实施例第二方面提供了一种密钥接收方法，包括：第一网元获取第一网元的共享密钥，所述第一网元的共享密钥为根据所述第一网元认证后得到的密钥参数或者所述第一网元的根密钥生成的；所述第一网元接收所述第一密钥管理中心发送的第一安全保护参数，所述第一安全保护参数是所述第一密钥管理中心采用所述第一网元的共享密钥对业务密钥加密和/或完整性保护后得到的；所述第一网元根据所述第一网元的共享密钥对所述第一安全保护参数解密，获得业务密钥，所述业务密钥用于所述第一网元和第二网元通信时对通信数据的加密和/或完整性保护。结合第二方面，在第二方面的第一种可能的实施方式中，所述第一网元获取第一网元的共享密钥，包括以下步骤C和/或步骤D：步骤C、所述第一网元获取所述第一网元的根密钥，计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量，其中，所述第一预置密钥推衍函数的自变量包括所述第一网元的根密钥；步骤D、所述第一网元通过进行AKA鉴权获取第一参数，所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项；所述第一网元计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量，其中，所述第一预置密钥推衍函数的自变量包括所述第一参数。结合第本文档来自技高网...

【技术保护点】
一种密钥分发方法，其特征在于，包括：第一密钥管理中心获取第一网元的共享密钥，所述第一网元的共享密钥为根据所述第一网元认证后得到的密钥参数或者所述第一网元的根密钥生成的；所述第一密钥管理中心获取业务密钥，所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护；所述第一密钥管理中心采用所述第一网元的共享密钥对所述业务密钥进行加密和/或完整性保护，生成第一安全保护参数；所述第一密钥管理中心执行以下步骤A和步骤B的其中一个：A、将所述第一安全保护参数发送至所述第一网元；B、将所述第一安全保护参数发送至第二密钥管理中心，以便所述第二密钥管理中心发送所述第一安全保护参数至所述第一网元。

【技术特征摘要】
1.一种密钥分发方法，其特征在于，包括：第一密钥管理中心获取第一网元的共享密钥，所述第一网元的共享密钥为根据所述第一网元认证后得到的密钥参数或者所述第一网元的根密钥生成的；所述第一密钥管理中心获取业务密钥，所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护；所述第一密钥管理中心采用所述第一网元的共享密钥对所述业务密钥进行加密和/或完整性保护，生成第一安全保护参数；所述第一密钥管理中心执行以下步骤A和步骤B的其中一个：A、将所述第一安全保护参数发送至所述第一网元；B、将所述第一安全保护参数发送至第二密钥管理中心，以便所述第二密钥管理中心发送所述第一安全保护参数至所述第一网元。2.根据权利要求1所述的密钥分发方法，其特征在于，所述第一密钥管理中心获取第一网元的共享密钥，包括：所述第一密钥管理中心通过和所述第一网元进行AKA鉴权获取第一参数，所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项；所述第一密钥管理中心计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量；其中，所述第一预置密钥推衍函数的自变量包括所述第一参数。3.根据权利要求1所述的密钥分发方法，其特征在于，所述第一密钥管理中心获取第一网元的共享密钥，包括：所述第一密钥管理中心接收移动管理节点MME发送的第一网元的共享密钥，其中，所述第一网元的共享密钥是所述MME通过第三参数计算的；或者，所述第一密钥管理中心接收MME发送的第三参数；所述第一密钥管理中心计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量；其中，所述第一预置密钥推衍函数的自变量包括所述第三参数；其中，所述第三参数为所述MME通过和第一网元AKA鉴权得到的，所c述第三参数包括Kasme、完整性密钥、加密密钥、非接入层完整性密钥、非接入层加密密钥和基站密钥中的至少一项。4.根据权利要求1所述的密钥分发方法，其特征在于，当所述第一密钥管理中心执行所述步骤A时，所述第一密钥管理中心获取业务密钥，包括：选择一个随机数，所述业务密钥包括所述随机数；或者，获取随机数、所述第一网元的Kasme、所述第一网元的完整性密钥、所述第一网元的加密密钥、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项，以及所述第一业务的业务参数，计算第二预置密钥推衍函数的因变量，所述业务密钥包括所述第二预置密钥推衍函数的因变量，其中，所述第二预置密钥推衍函数的自变量包括所述第一业务的参数，以及包括随机数、所述第一网元的Kasme、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项。5.根据权利要求1所述的密钥分发方法，其特征在于，当所述第一密钥管理中心执行所述步骤B时，所述第一密钥管理中心获取业务密钥，包括：选择一个随机数，所述业务密钥包括所述随机数；或者，获取随机数、第一网元的Kasme、所述第一网元的完整性密钥、所述第一网元的加密密钥、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项，以及所述第一业务的业务参数，根据所述随机数、第一网元的Kasme、所述第一网元的根密钥和所述第一网元的共享密钥中的至少一项，以及所述第一业务的业务参数计算第一密钥；接收所述第二密钥管理中心发送的第二密钥，所述第二密钥是通过所述随机数、第二网元的Kasme、所述第二网元的根密钥和所述第二网元的共享密钥中的至少一项，以及所述第一业务的业务参数计算得到的；根据所述第一密钥和所述第二密钥计算所述业务密钥；或者，接收所述第二密钥管理中心发送的业务密钥，所述业务密钥是所述第二密钥管理中心根据随机数、所述第二网元的Kasme、所述第二网元的完整性密钥、所述第二网元的加密密钥、所述第二网元的根密钥和所述第二网元的共享密钥中的至少一项，以及所述第一业务的业务参数计算得到的。6.根据权利要求1所述的密钥分发方法，其特征在于，所述第一密钥管理中心获取业务密钥，之前还包括：所述第一密钥管理中心接收来自所述第一网元、所述第二网元、网关或者服务器的密钥请求，所述密钥请求用于发起所述业务密钥的生成，所述密钥请求包括所述第一网元的身份标识、所述第二网元的身份标识和所述第一业务的业务参数中的至少一项。7.根据权利要求1所述的密钥分发方法，其特征在于，当所述第一密钥管理中心执行所述步骤A时，所述第二网元和所述第一密钥管理中心之间建立有安全信道；所述方法还包括：通过所述安全信道将所述业务密钥发送至所述第二网元。8.一种密钥接收方法，其特征在于，包括：第一网元获取第一网元的共享密钥，所述第一网元的共享密钥为根据所述第一网元认证后得到的密钥参数或者所述第一网元的根密钥生成的；所述第一网元接收所述第一密钥管理中心发送的第一安全保护参数，所述第一安全保护参数是所述第一密钥管理中心采用所述第一网元的共享密钥对业务密钥加密和/或完整性保护后得到的；所述第一网元根据所述第一网元的共享密钥对所述第一安全保护参数解密，获得业务密钥，所述业务密钥用于所述第一网元和第二网元通信时对通信数据的加密和/或完整性保护。9.根据权利要求8所述的密钥接收方法，其特征在于，所述第一网元获取第一网元的共享密钥，包括以下步骤C和/或步骤D：步骤C、所述第一网元获取所述第一网元的根密钥，计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量，其中，所述第一预置密钥推衍函数的自变量包括所述第一网元的根密钥；步骤D、所述第一网元通过进行AKA鉴权获取第一参数，所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项；所述第一网元计算第一预置密钥推衍函数的因变量，所述第一网元的共享密钥包括所述第一预置密钥推衍函数的因变量，其中，所述第一预置密钥推衍函数的自变量包括所述第一参数。10.根据权利要求9所述的密钥接收方法，其特征在于，所述方法还包括：所述第一网元获取所述第二网元的身份标识和/或所述第一业务的业务参数，所述第一预置密钥推衍函数的自变量还包括所述第二网元的身份标识和/或所述第一业务的业务参数。11.根据权利要求8所述的密钥接收方法，其特征在于，所述第一网元接收所述第一密钥管理中心发送的第一安全保护参数，之前还包括：所述第一网元向所述第一密钥管理中心发送密钥请求，所述密钥请求用于发起所述业务密钥的生成，所述密钥请求包括所述第一网元的身份标识、第二网元的身份标识和所述第一业务的业务参数中的至少一项。12.根据权利要求11所述的密钥接收方法，其特征在于，所述第一网元向所述第一密钥管理中心发送密钥请求，之前还包括：所述第一网元向业务服务器发送业务请求，其中，所述业务服务器用于执行所述第一网元和所述第二网元之间的业务管理；所述第一网元接收所述业务服务器发送的响应消息，所述响应消息包括指示符、所述第一网元的标识、所述第二网元的标识和所述第一业务的业务参数中的至少一种，其中所述指示符用于指示所述第一业务授权成功。13.根据权利要求11所述的密钥接收方法，其特征在于，所述第一网元向所述第一密钥管理中心发送密钥请求，之前还包括：所述第一网元接收业务服务器、网关、MME或者第二网元发送的业务消息，所述业务消息包括所述第一网元的身份标识、所述第二网元的身份标识和所述第一业务的业务参数中的至少一项。14...

【专利技术属性】
技术研发人员：甘露，张博，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44