密钥分发、生成和接收方法以及相关装置制造方法及图纸
Key distribution, generation and reception method, and related device
The embodiment of the invention discloses a key distribution, generation and reception method and related devices. The embodiment of the method includes: obtaining business business key parameters and the first element first key management center, the operation parameters for the parameters of the first business in the business, the root key the first network element is obtained according to the first network element after the authentication key parameters are generated; the first key management according to the business center of the root key the first network element and the business parameters to generate business key, the service key is used to encrypt and / or to protect the integrity of the first business communication data between the first element and the second element in the business; the key is sent to the second key management center for key management the center of the second encryption and / or integrity protection is sent to the second network element of the service key. The embodiment of the invention can prevent data from being tapped during the transmission process.
【技术实现步骤摘要】
密钥分发、生成和接收方法以及相关装置
本专利技术涉及移动通信
,尤其涉及一种密钥分发、生成和接收方法以及相关装置。
技术介绍
现有的移动通信安全架构中,数据由网元到Internet的安全保护都是hop-by-hop形式,即采用分段加密的形式完成保护。而且,在已有2G/3G/4G移动架构中,端到端之间的通信数据也是采用分段加密的方式。虽然分段加密比较灵活,但由于中间节点可以获得通信数据的明文,并不能够抗击通信数据遭到窃听攻击,因此采用分段加密的方式的安全性较差。例如,请参阅图1,图1为现有技术中4GLTE的协议栈架构的示意图。在图1中,用户网元(英文全称:UserEquipment,缩写:UE)发送至分组数据网络(英文全称:PacketDataNetwork,缩写:PDN)网关(英文全称:Gateway,缩写:GW)的数据从UE出发,依次经过基站eNodeB和服务器网关(servingGW)后才到达PDNGW。其中,UE和eNodeB之间采用PDCP层的安全机制进行加密保护,eNodeB与servingGW之间,以及servingGW与PDNGW之间都采用IP...
【技术保护点】
一种密钥分发的方法,其特征在于,包括:第一密钥管理中心获取业务参数和第一网元的业务根密钥,所述业务参数为所述第一业务中的参数,所述第一网元的业务根密钥为根据所述第一网元认证后得到的密钥参数生成的;所述第一密钥管理中心根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护;所述第一密钥管理中心执行以下步骤A、步骤B和步骤C的其中一个:A、所述第一密钥管理中心获取所述第二网元的共享密钥,所述第二网元的共享密钥用于所述第一密钥管理中心和第二网元通信;所述第一密钥管理中心采用所述第二网元的共...
【技术特征摘要】
1.一种密钥分发的方法,其特征在于,包括:第一密钥管理中心获取业务参数和第一网元的业务根密钥,所述业务参数为所述第一业务中的参数,所述第一网元的业务根密钥为根据所述第一网元认证后得到的密钥参数生成的;所述第一密钥管理中心根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护;所述第一密钥管理中心执行以下步骤A、步骤B和步骤C的其中一个:A、所述第一密钥管理中心获取所述第二网元的共享密钥,所述第二网元的共享密钥用于所述第一密钥管理中心和第二网元通信;所述第一密钥管理中心采用所述第二网元的共享密钥对所述业务密钥进行加密和/或完整性保护,生成第一安全保护参数;所述第一密钥管理中心将所述第一安全保护参数发送至所述第二网元;B、所述第一密钥管理中心和所述第二网元之间建立有安全信道,所述第一密钥管理中心将所述业务密钥通过所述安全信道发送至所述第二网元;C、将所述业务密钥发送至第二密钥管理中心,以便所述第二密钥管理中心对所述业务密钥进行加密和/或完整性保护后发送至所述第二网元。2.根据权利要求1所述的密钥分发方法,其特征在于,所述第一密钥管理中心获取第一网元的业务根密钥,包括:所述第一密钥管理中心通过与所述第一网元进行AKA鉴权获取第一参数,所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项;所述第一密钥管理中心计算第一预置密钥推衍函数的因变量,所述第一网元的业务根密钥包括所述第一预置密钥推衍函数的因变量;其中,所述第一预置密钥推衍函数的自变量包括所述第一参数。3.根据权利要求1所述的密钥分发方法,其特征在于,所述第一密钥管理中心获取第一网元的业务根密钥,包括:所述第一密钥管理中心接收移动管理节点MME发送的第一网元的业务根密钥,其中,所述第一网元的业务根密钥是所述MME通过第一参数计算的,所述第一参数为所述MME通过和第一网元AKA鉴权得到的,所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项。4.根据权利要求1至3任一项所述的密钥分发方法,其特征在于,所述第一密钥管理中心根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,包括:所述第一密钥管理中心计算第二预置密钥推衍函数的因变量,所述业务密钥包括所述第二预置密钥推衍函数的因变量;其中,所述第二预置密钥推衍函数的自变量包括所述第一网元的业务根密钥和所述业务参数。5.根据权利要求4所述的密钥分发方法,其特征在于,所述方法还包括:所述第一密钥管理中心获取第二网元的业务根密钥;所述第二预置密钥推衍函数的自变量还包括所述第二网元的业务根密钥;所述第一密钥管理中心获取第一网元的共享密钥,所述第一网元的共享密钥用于所述第一密钥管理中心和第一网元通信;所述第一密钥管理中心采用所述第一网元的共享密钥对所述第二网元的业务根密钥进行加密和/或完整性保护,生成第二安全保护参数;所述第一密钥管理中心将所述第二安全保护参数发送至所述第一网元,以便所述第一网元根据所述第二安全保护参数获取所述第二网元的业务根密钥,并根据所述第二网元的业务根密钥计算所述业务根密钥。6.根据权利要求1所述的密钥分发方法,其特征在于,所述第一密钥管理中心采用预置方法根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,之前还包括:所述第一密钥管理中心接收所述第一网元、所述第二网元、网关或者服务器发送的密钥请求,所述密钥请求用于发起所述业务密钥的生成,所述密钥请求中包含所述第一网元的身份标识、所述第二网元的身份标识和所述业务参数中的至少一项。7.根据权利要求1所述的密钥分发方法,其特征在于,当所述第一密钥管理中心执行所述步骤A时,所述第一密钥管理中心获取所述第二网元的共享密钥,包括:所述第一密钥管理中心通过与所述第二网元进行AKA鉴权获取第一参数,所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项;所述第一密钥管理中心计算第三预置密钥推衍函数的因变量,所述第二网元的共享密钥包括所述第三预置密钥推衍函数的因变量;其中,所述第三预置密钥推衍函数的自变量包括所述第一参数。8.根据权利要求1所述的密钥分发方法,其特征在于,当所述第一密钥管理中心执行所述步骤A时,所述第一密钥管理中心获取所述第二网元的共享密钥,包括:所述第一密钥管理中心接收MME发送的第二网元的共享密钥,其中,所述第二网元的共享密钥是所述MME通过第一参数计算的,所述第一参数为所述MME通过和第二网元AKA鉴权得到的,所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项。9.一种密钥生成的方法,其特征在于,包括:第一密钥管理中心获取第一网元的业务根密钥和第二网元的业务根密钥;第一密钥管理中心获取第一共享密钥和第二共享密钥,所述第一共享密钥用于所述第一密钥管理中心和第一网元通信,所述第二共享密钥用于所述第一密钥管理中心和第二网元通信;所述第一密钥管理中心采用所述第一共享密钥对所述第二网元的业务根密钥进行加密和/或完整性保护,生成第一安全保护参数;所述第一密钥管理中心采用所述第二共享密钥对所述第一网元的业务根密钥进行加密和/或完整性保护,生成第二安全保护参数;所述第一密钥管理中心将所述第一安全保护参数发送至所述第一网元,以便所述第一网元根据所述第一安全保护参数获取所述第二网元的业务根密钥,并根据所述第一网元的业务根密钥和所述第二网元的业务根密钥生成业务密钥;所述第一密钥管理中心将所述第二安全保护参数发送至所述第二网元,以便所述第二网元根据所述第二安全保护参数获取所述第二网元的业务根密钥,并根据所述第一网元的业务根密钥和所述第二网元的业务根密钥生成业务密钥;其中,所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护。10.一种密钥生成的方法,其特征在于,包括:第一网元通过进行AKA鉴权获取第一参数,所述第一参数包括Kasme、完整性密钥和加密密钥中的至少一项;所述第一网元根据所述第一参数获取所述第一网元的业务根密钥;所述第一网元获取业务参数,所述业务参数为所述第一业务中的参数;所述第一网元根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,所述业务密钥用于对所述第一网元和第二网元之间的第一业务中的通信数据进行加密和/或完整性保护。11.根据权利要求10所述的密钥接收方法,其特征在于,所述第一网元根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,包括:所述第一网元计算预置密钥推衍函数的因变量,所述业务密钥包括所述预置密钥推衍函数的因变量;其中,所述预置密钥推衍函数的自变量包括所述第一网元的业务根密钥和所述业务参数。12.根据权利要求11所述的密钥接收方法,其特征在于,所述方法还包括:所述第一网元获取第二网元的身份标识;所述预置密钥推衍函数的自变量还包括所述第二网元的身份标识。13.根据权利要求10所述的密钥接收方法,其特征在于,所述密钥接收方法还包括:所述第一网元获取第一网元的共享密钥,所述第一网元的共享密钥用于所述第一密钥管理中心和第一网元通信;所述第一网元接收所述第一密钥管理中心发送的第二安全保护参数;所述第一网元采用所述第一网元的共享密钥对所述第二安全保护参数解密,获取第二网元的业务根密钥;所述第一网元根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,包括:所述第一网元根据所述第一网元的业务根密钥、所述第二网元的业务根密钥和所述业务参数生成业务密钥。14.根据权利要求10所述的密钥接收方法,其特征在于,所述第一网元根据所述第一网元的业务根密钥和所述业务参数生成业务密钥,之前还包括:所述第一网元向所述第一密钥管理中心发送密钥请求,所述密钥请求用于发起所述业务密钥的生成,所述密钥请求包括所述第一网元的身份标识、所述第二网元的身份标识和所述业务参数中的至少一项。15.根据权利要求14所述的密钥接收方法,其特征在于,所述第一网元向所述第一密钥管理中心发送密钥请求,之前还包括:所述第一网元向业务服务器发送业务请求,其中,所述业务服务器用于执行所述第一网元和所述第二网元之间的业务管理;所述第一网元接收所述业务服务器发送的响应消息,所述响应消息包括指示符、所述第一网元的身份标识、所述第二网元的标识和所述业务参数中的至少一种,其中所述指示符用于指示所述第一业务授权成功。16.根据权利要求14所述的密钥接收方法,其特征在于,所述第一网元向所述第一密钥管理中心发送密钥请求,之前还包括:所述第一网元接收业务服务器、网关、MME或者第二网元发送的业务消息,所述业务消息包括所述第一网元的身份标识和所述第二网元的标识中的至少一项。17.一种获取密钥的方法,其特征在于,包括:MME通过与第一网元进行AKA鉴权获取第三参数,所述第三参数包括Kasme、完整性密钥、加密密钥、非接入层完整性密钥、非接入层加密密钥、基站密钥中的至少一项;所述MME计算第一预置密钥推衍函数的因变量,所述第一网元的密钥包括所述第一预置密钥推衍函数的因变量;其中,所述第一预置密钥推衍函数的自变量包括所述第一参数;所述MME将所述第...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。