一种实现密钥协商的方法和装置制造方法及图纸

本发明专利技术公开了一种实现密钥协商的方法，应用于用户终端，该方法包括：通过非接入层NAS信令消息向密钥中心发送密入网申请消息，接收所述密钥中心通过NAS信令消息发送的密入网响应消息；通过NAS信令消息与所述密钥中心之间进行鉴权认证；在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商，协商成功后切换到密入网状态。本发明专利技术能够提高加密通信的实时性和可靠性。

【技术实现步骤摘要】
一种实现密钥协商的方法和装置
本专利技术涉及通信
，尤其涉及的是一种实现密钥协商的方法和装置。
技术介绍
随着移动通信网络的迅猛发展，人们在利用移动网络带来的各种方便快捷的服务的同时，对通信终端加密业务的需求也越来越强烈，特别是一些涉密单位、党政机关、军工单位等特殊单位或行业，对终端通信的加密要求更高。端到端加密技术，从信源到信宿全程进行加密保护，适合语音和数据的端到端安全传输，满足了人们对通信加密的需求。目前通用的端到端加密技术是在终端侧布置密卡，网络侧布置密钥中心，通过密卡和密钥中心之间的密钥协商，实现端到端的通信加密。密钥协商的方法包括：使用USSD(UnstructuredSupplementaryServiceData，非结构化补充数据业务)业务信道来传递密钥协商信息或者使用带内业务信道来传递密钥协商信息。其中，如图1所示，使用USSD业务信道传递密钥协商信息。密钥中心接收来自主叫方终端的USSD业务请求，根据该USSD业务请求中包含的USSD操作码(包括主叫方终端标识、被叫方终端标识)分配加密信息通信的第一密钥，向主叫方终端和被叫方终端返回所述第一密钥，主叫方终端与被叫方终端利用接收到的第一密钥加密和/或解密信息，进行加密信息通信。其中，如图2所示，使用带内业务信道传递密钥协商信息。主叫终端与被叫终端建立呼叫后，密钥中心和主、被叫终端在语音链路进行相关的加密业务和密钥分发。主、被叫终端通过密钥中心分发的密钥进行加密通信。使用USSD业务信道传递密钥协商信息时需要通过信令信道传递USSD业务请求，因此实时性不高。而使用带内业务信道传递密钥协商信息，占用了普通业务信道，影响了用户的正常使用，另外业务过程中密钥分发可能失败，降低了加密通信的成功率。
技术实现思路
本专利技术所要解决的技术问题是提供一种实现密钥协商的方法和装置，能够通过非接入层信令消息完成密钥的协商，提高加密通信的实时性和可靠性。本专利技术提供了一种实现密钥协商的方法，应用于用户终端，该方法包括：通过非接入层NAS信令消息向密钥中心发送密入网申请消息，接收所述密钥中心通过NAS信令消息发送的密入网响应消息；通过NAS信令消息与所述密钥中心之间进行鉴权认证；在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商，协商成功后切换到密入网状态。可选地，在切换到密入网状态后，所述方法还包括：在与接收方用户终端进行加密通信时，将经过密卡加密后的加密数据发送到密钥中心，由所述密钥中心进行处理后发送给接收方用户终端。可选地，在切换到密入网状态后，所述方法还包括：在与接收方用户终端进行加密通信时，如接收到密钥中心转发的加密通信数据，则将所述加密通信数据发送给密卡，由所述密卡进行解密处理。可选地，在接收到所述密钥中心的密入网响应消息后，所述方法还包括：将接收到的密钥中心的标识写入密卡中；其中，所述密入网申请消息中携带用户终端的标识，所述密入网响应消息中携带密钥中心的标识。可选地，所述通过NAS信令消息与所述密钥中心之间进行鉴权认证，包括：通过NAS信令消息与所述密钥中心之间进行双向认证：接收密卡发送的第一认证消息，所述第一认证消息中携带用户终端的上行鉴权信息，通过NAS信令消息将所述第一认证消息发送到密钥中心；接收所述密钥中心通过NAS信令消息发送的第二认证消息，所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果；将所述密钥中心的下行鉴权信息发送给密卡，由所述密卡对所述密钥中心进行鉴权，生成鉴权结果；接收所述密卡发送的第三认证消息，所述第三认证消息中携带用户终端对密钥中心的鉴权结果，通过NAS信令消息将所述第三认证消息发送到密钥中心。本专利技术还提供了一种实现密钥协商的方法，应用于密钥中心，该方法包括：接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后，通过NAS信令消息向所述用户终端发送密入网响应消息；通过NAS信令消息与所述密钥中心之间进行鉴权认证；在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商。可选地，所述方法还包括：在发送方用户终端与接收方用户终端进行加密通信时，如接收到所述发送方用户终端发送的加密数据，则对所述加密数据进行处理后发送到所述接收方用户终端。可选地，所述通过NAS信令消息与所述用户终端之间进行鉴权认证，包括：通过NAS信令消息与所述用户终端之间进行双向认证：接收用户终端通过NAS信令消息发送的第一认证消息，所述第一认证消息中携带所述用户终端的上行鉴权信息；对所述用户终端进行鉴权，生成鉴权结果；通过NAS信令消息向用户终端发送第二认证消息，其中携带密钥中心对所述用户终端的鉴权结果和密钥中心的下行鉴权信息；接收用户终端通过NAS信令消息发送的第三认证消息，所述第三认证消息中携带所述用户终端对所述密钥中心的鉴权结果。本专利技术还提供了一种实现密钥协商的装置，应用于用户终端，包括：密入网申请模块，用于通过非接入层NAS信令消息向密钥中心发送密入网申请消息，接收所述密钥中心通过NAS信令消息发送的密入网响应消息；鉴权认证模块，用于通过NAS信令消息与所述密钥中心之间进行鉴权认证；密钥协商模块，用于在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商，协商成功后切换到密入网状态。可选地，所述装置还包括：加密通信模块，用于在与接收方用户终端进行加密通信时，将经过密卡加密后的加密数据发送到密钥中心，由所述密钥中心进行处理后发送给接收方用户终端。可选地，加密通信模块，用于在与接收方用户终端进行加密通信时，如接收到密钥中心转发的加密通信数据，则将所述加密通信数据发送给密卡，由所述密卡进行解密处理。可选地，密入网申请模块，用于在接收到所述密钥中心的密入网响应消息后，还将接收到的密钥中心的标识写入密卡中；其中，所述密入网申请消息中携带用户终端的标识，所述密入网响应消息中携带密钥中心的标识。可选地，鉴权认证模块，用于通过NAS信令消息与所述密钥中心之间进行鉴权认证，包括：通过NAS信令消息与所述密钥中心之间进行双向认证：接收密卡发送的第一认证消息，所述第一认证消息中携带用户终端的上行鉴权信息，通过NAS信令消息将所述第一认证消息发送到密钥中心；接收所述密钥中心通过NAS信令消息发送的第二认证消息，所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果；将所述密钥中心的下行鉴权信息发送给密卡，由所述密卡对所述密钥中心进行鉴权，生成鉴权结果；接收所述密卡发送的第三认证消息，所述第三认证消息中携带用户终端对密钥中心的鉴权结果，通过NAS信令消息将所述第三认证消息发送到密钥中心。本专利技术还提供了一种实现密钥协商的装置，应用于密钥中心，包括：密入网响应模块，用于接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后，通过NAS信令消息向所述用户终端发送密入网响应消息；鉴权认证模块，用于通过NAS信令消息与所述密钥中心之间进行鉴权认证；密钥协商模块，用于在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协本文档来自技高网...

【技术保护点】
一种实现密钥协商的方法，应用于用户终端，该方法包括：通过非接入层NAS信令消息向密钥中心发送密入网申请消息，接收所述密钥中心通过NAS信令消息发送的密入网响应消息；通过NAS信令消息与所述密钥中心之间进行鉴权认证；在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商，协商成功后切换到密入网状态。

【技术特征摘要】
1.一种实现密钥协商的方法，应用于用户终端，该方法包括：通过非接入层NAS信令消息向密钥中心发送密入网申请消息，接收所述密钥中心通过NAS信令消息发送的密入网响应消息；通过NAS信令消息与所述密钥中心之间进行鉴权认证；在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商，协商成功后切换到密入网状态。2.如权利要求1所述的方法，在切换到密入网状态后，其特征在于，所述方法还包括：在与接收方用户终端进行加密通信时，将经过密卡加密后的加密数据发送到密钥中心，由所述密钥中心进行处理后发送给接收方用户终端。3.如权利要求2所述的方法，在切换到密入网状态后，其特征在于，所述方法还包括：在与接收方用户终端进行加密通信时，如接收到密钥中心转发的加密通信数据，则将所述加密通信数据发送给密卡，由所述密卡进行解密处理。4.如权利要求1所述的方法，其特征在于：在接收到所述密钥中心的密入网响应消息后，所述方法还包括：将接收到的密钥中心的标识写入密卡中；其中，所述密入网申请消息中携带用户终端的标识，所述密入网响应消息中携带密钥中心的标识。5.如权利要求1所述的方法，其特征在于：所述通过NAS信令消息与所述密钥中心之间进行鉴权认证，包括：通过NAS信令消息与所述密钥中心之间进行双向认证：接收密卡发送的第一认证消息，所述第一认证消息中携带用户终端的上行鉴权信息，通过NAS信令消息将所述第一认证消息发送到密钥中心；接收所述密钥中心通过NAS信令消息发送的第二认证消息，所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果；将所述密钥中心的下行鉴权信息发送给密卡，由所述密卡对所述密钥中心进行鉴权，生成鉴权结果；接收所述密卡发送的第三认证消息，所述第三认证消息中携带用户终端对密钥中心的鉴权结果，通过NAS信令消息将所述第三认证消息发送到密钥中心。6.一种实现密钥协商的方法，应用于密钥中心，该方法包括：接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后，通过NAS信令消息向所述用户终端发送密入网响应消息；通过NAS信令消息与所述密钥中心之间进行鉴权认证；在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商。7.如权利要求6所述的方法，其特征在于，所述方法还包括：在发送方用户终端与接收方用户终端进行加密通信时，如接收到所述发送方用户终端发送的加密数据，则对所述加密数据进行处理后发送到所述接收方用户终端。8.如权利要求6所述的方法，其特征在于：所述通过NAS信令消息与所述用户终端之间进行鉴权认证，包括：通过NAS信令消息与所述用户终端之间进行双向认证：接收用户终端通过NAS信令消息发送的第一认证消息，所述第一认证消息中携带所述用户终端的上行鉴权信息；对所述用户终端进行鉴权，生成鉴权结果；通过NAS信令消息向用户终端发送第二认证消息，其中携带密钥中心对所述用户终端的鉴权结果和密钥中心的下行鉴权信息；接收用户终端通过NAS信令消息发送的第三认证消息，所述第三认证消息中携带所述用户终端对所述密钥中心的鉴权结果。9.一种实现密钥协商的装置，应用于用户终端，包括：密入网申请模块，用于通过非接入层...

【专利技术属性】
技术研发人员：钟艳华，
申请(专利权)人：大唐半导体设计有限公司，
类型：发明
国别省市：北京,11