使用Diffie-Hellman过程生成会话密钥的方法和系统技术方案

本发明专利技术实施例提供了用于生成会话密钥的方法和装置，所述方法和装置在用户设备和网络中均使用Diffie‑Hellman过程，以便当攻击者持有USIM卡的凭证时，防止攻击者通过简单地窃听信令交换来破坏所述会话密钥。

【技术实现步骤摘要】
【国外来华专利技术】使用Diffie-Hellman过程生成会话密钥的方法和系统
本专利技术实施例涉及Diffie-Hellman过程在LTE、5G或WLAN网络中生成会话密钥的应用，该过程可能在相互认证期间或之后发生。
技术介绍
为了防止移动设备和网络在数据通信期间被窃听或操纵，在4G网络中采用相互认证来确保移动设备(或通常称为用户设备(userequipment，UE))和网络的真实性。为了进行相互认证，UE和网络两者都需要持有可以确定彼此身份的一些凭证。在3G/4G网络中，在网络侧，凭证保存在名为归属用户服务器(HomeSubscriberServer，HSS)的服务器中；而在UE侧，凭证保存在名为全球用户身份模块(UniversalSubscriberIdentityModule，USIM)卡的孤立设备中。USIM卡是嵌入到UE内的USIM卡槽中的计算设备。USIM和UE可以通过特定接口交换信息。目前，3G/4G网络在相互认证时使用对称密钥。因此，对于给定的国际移动用户识别码(InternationalMobileSubscriberIdentification，IMSI)，保存在相应的USIM和HSS中的凭证是相同的。当UE想要访问网络并传输数据时，必须先连接到网络。认证在被称为演进分组系统认证和密钥协商机制(EvolvedPacketSystemAuthenticationandKeyAgreement，EPSAKA)的连接和认证过程中执行。在EPSAKA过程中，UE首先经由演进型基站(EvolvedNodeB，eNodeB)向移动性管理实体(MobilityManagementEntity，MME)发送连接请求。MME将连接请求转发到HSS，HSS随后基于与UE共享的凭证生成认证向量。认证向量被发送到MME，MME随后向UE发送认证材料。UE对网络进行认证，然后向MME发送认证码。MME验证认证码，并对UE进行认证。认证后，UE与MME和eNB交换密钥资料，进一步生成用于控制面和数据面的会话密钥。图1所示为现有的认证信令交换过程。图2所示为长期演进(Long-TermEvolution，LTE)网络的密钥架构。所有密钥都是基于在USIM和HSS中保存的根密钥以及在UE与核心网之间交换的参数得到的。经证明，在没有公开根密钥的情况下，通过上述过程生成的用于控制面和数据面的会话密钥是安全的。然而，最近发现，如果SIM卡的根密钥被盗，则意味着USIM中的凭证可能已被泄露。USIM卡凭证泄露给攻击者会导致严重的安全隐患。在使用当前系统时，一旦SIM卡中的凭证泄露给攻击者，攻击者就可以通过窃听UE与网络之间的连接和认证信令交换来得到用户的会话密钥。另一个技术趋势是，移动行业需要更灵活的设计来支持更新或更换USIM中保存的凭证。这些凭证可能会泄露给第三方，从而加剧安全风险。为了攻克USIM卡凭证被泄露给第三方或被意外窃取的问题，一种方式是使用更强大的前向保密技术，例如Diffie-Hellman过程，来增强会话密钥的生成。另一种可能的方式是采用新认证技术，例如基于公钥的认证。CN101969638B提供了一种用于在移动通信中保护国际移动用户身份(internationalmobilesubscriberidentity，IMSI)的方法。通过使用CN101969638B中提出的连接请求传输中的公钥来保护IMSI，即使SIM卡中的凭证被泄露，攻击者也很难破坏相关用户的会话密钥。这是因为在不知道IMSI的情况下，攻击者不知道可以使用哪些凭证来破坏会话密钥。但是这种保护并不充分，因为攻击者可以进行离线字典攻击并破坏会话密钥。由于运营商的用户数量有限，通常介于几十万到几亿之间，因此攻击者很容易破坏会话密钥，特别是在归属一个运营商的用户的数量并不高的情况下。因此，使用公钥来保护IMSI无法防止使用字典攻击对会话密钥造成破坏。CN102664725提供了毫微微蜂窝基站和毫微微蜂窝无线通信系统的一种安全证书方法。CN102664725建议使用公钥来认证网络。这种方法对网络的认证非常有效。然而，并没有为网络提供使用公钥来认证UE的方法。因此，这种方案对于蜂窝网络来说并不全面。而且也没有提供在认证后生成会话密钥的方法。鉴于因丢失USIM卡凭证可能导致的安全威胁和现有解决方案，迫切需要用于解决上述问题和其它问题的改进方法和系统。
技术实现思路
本专利技术实施例提供了用于生成会话密钥的方法、装置和系统，以便在攻击者可能持有USIM卡的凭证时，能够防止攻击者通过简单地监听信令交换来破坏生成的会话密钥。根据本专利技术的一个方面，提供了一种用于生成密钥的方法。所述方法包括：在用户设备(userequipment，UE)与网络之间的相互认证过程期间或之后，生成第一对称密钥并接收第一Diffie-Hellman公钥(A)；基于所述第一Diffie-Hellman公钥(A)生成第二对称密钥；基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥。根据本专利技术的一个方面，提供了一种用于生成密钥的方法。所述方法包括：在网络实体处：具有第一对称密钥；生成并发送第一Diffie-Hellman公钥(A)；接收第二Diffie-Hellman公钥(B)；基于所述第二Diffie-Hellman公钥(B)生成第二对称密钥；基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥。根据本专利技术的一个方面，提供了一种密钥生成装置。所述装置包括：接收单元，用于从网络至少接收第一Diffie-Hellman公钥(A)；认证单元，用于与网络进行相互认证，并至少生成第一对称密钥；Diffie-Hellman过程单元，用于基于所述第一Diffie-Hellman公钥(A)生成第二对称密钥；发送单元，用于发送所述第一Diffie-Hellman公钥(B)；会话密钥生成单元，用于基于所述第一对称密钥和所述第二对称密钥两者至少生成一个会话密钥。根据本专利技术的一个方面，提供了一种密钥生成装置。所述装置包括：认证单元，用于与用户设备(userequipment，UE)进行相互认证，并至少提供第一对称密钥；Diffie-Hellman过程单元，用于生成第一Diffie-Hellman公钥(A)和第二对称密钥，所述第二对称密钥基于第二Diffie-Hellman公钥(B)；接收单元，用于从所述UE至少接收所述第二Diffie-Hellman公钥(B)；发送单元，用于发送所述第一Diffie-Hellman公钥(A)；会话密钥生成单元，用于基于所述第一对称密钥和所述第二对称密钥两者至少生成一个会话密钥。根据本专利技术的一个方面，提供了一种通信系统。所述通信方法包括：用户设备，包括根据权利要求20至28中的任一项所述的密钥生成装置；网络设备，包括根据权利要求29至36中的任一项所述的密钥生成装置。在本专利技术上述各方面的各实施例中，所述第一对称密钥可以包括K1、KASME；所述第二对称密钥可以包括KDH。本专利技术上述各方面的各实施例在所附权利要求书中进一步叙述。附图说明下文参考图式公开本专利技术的实施例，在图式中：图1所示为现有的认证信令交换过程；图2所示为长期演进(Long-TermEvolution，LTE)网络的密本文档来自技高网...

【技术保护点】
一种密钥生成方法，其特征在于，所述方法包括：在用户设备(user equipment，UE)与网络之间的相互认证过程期间或之后，生成第一对称密钥并接收第一Diffie‑Hellman公钥(A)；基于所述第一Diffie‑Hellman公钥(A)生成第二对称密钥；基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥。

【技术特征摘要】
【国外来华专利技术】2015.11.12 SG 10201509342W1.一种密钥生成方法，其特征在于，所述方法包括：在用户设备(userequipment，UE)与网络之间的相互认证过程期间或之后，生成第一对称密钥并接收第一Diffie-Hellman公钥(A)；基于所述第一Diffie-Hellman公钥(A)生成第二对称密钥；基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥。2.根据权利要求1所述的方法，其特征在于，生成所述会话密钥包括以下操作中的一个：对所述第一对称密钥和所述第二对称密钥进行异或(exclusive-or，XOR)运算；或者将所述第一对称密钥和所述第二对称密钥连接成一个连接字符串，并将所述连接字符串输入到密钥导出函数与哈希函数之一中。3.根据权利要求1所述的方法，其特征在于，还包括：生成随机数(b)；进行以下操作中的一个：基于有限域密码算法(FiniteFieldCryptography，FFC)群生成第二Diffie-Hellman公钥(B)，其中，在使用所述FFC群的情况下，B＝gbmodp，p是素数，g是循环群G中的生成器，p和G由所述UE和所述网络共享；或者基于椭圆曲线密码算法(EllipticCurveCryptography，ECC)群生成第二Diffie-Hellman公钥(B)，其中，在使用所述ECC群的情况下，B＝bP，P是所述ECC群的基点，P由所述UE和所述网络共享；其中，生成第二对称密钥包括：当使用所述FFC群时基于Abmodp或者当使用所述ECC群时基于bA生成所述第二对称密钥。4.根据权利要求3所述的方法，其特征在于，还包括：基于以下内容生成消息认证码(MessageAuthenticationCode，MAC)：所述第二Diffie-Hellman公钥(B)，针对所述UE的网络认证生成的认证码，所述会话密钥、所述第一对称密钥和所述第二对称密钥中的一个。5.根据权利要求4所述的方法，其特征在于，还包括：发送所述第二Diffie-Hellman公钥(B)和所述MAC。6.根据权利要求5所述的方法，其特征在于，所述网络是长期演进(Long-TermEvolution，LTE)网络或其演进网络，其中，所述第一对称密钥是主密钥(KASME)，针对所述UE的网络认证生成的所述认证码是响应码(RES)，发送所述第二Diffie-Hellman公钥(B)和所述MAC包括使用认证响应(AuthenticationResponse)消息发送所述第二Diffie-Hellman公钥(B)和所述MAC。7.根据权利要求3所述的方法，其特征在于，所述网络是长期演进(Long-TermEvolution，LTE)网络或其演进网络，其中，接收第一Diffie-Hellman公钥(A)包括使用安全模式命令(SecurityModeCommand)消息接收所述第一Diffie-Hellman公钥(A)，所述方法还包括：使用安全模式完成(SecurityModeComplete)消息发送所述第二Diffie-Hellman公钥(A)。8.根据权利要求1或2所述的方法，其特征在于，所述网络是长期演进(Long-TermEvolution，LTE)网络或其演进网络，其中，接收第一Diffie-Hellman公钥(A)包括使用安全模式命令(SecurityModeCommand)消息接收所述第一Diffie-Hellman公钥(A)。9.根据权利要求7或8所述的方法，其特征在于，所述第一对称密钥是主密钥(KASME)。10.根据权利要求3所述的方法，其特征在于，所述网络是无线局域网(WirelessLocalAreaNetwork，WLAN)或其演进网络，其中，所述第一对称密钥是成对主密钥(PairwiseMasterKey，PMK)，接收第一Diffie-Hellman公钥(A)包括使用EAPoL-Key帧接收所述第一Diffie-Hellman公钥(A)，所述会话密钥是成对临时密钥(PairwiseTransientKey，PTK)，所述方法还包括：在生成所述会话密钥前，使用EAPoL-Key帧发送所述第二Diffie-Hellman公钥(B)。11.根据权利要求1和3中的任一项所述的方法，其特征在于，所述网络是无线局域网(WirelessLocalAreaNetwork，WLAN)或其演进网络，其中，所述第一对称密钥是成对主密钥(PairwiseMasterKey，PMK)，接收第一Diffie-Hellman公钥(A)包括使用EAPoL-Key帧接收所述第一Diffie-Hellman公钥(A)，所述会话密钥是成对临时密钥(PairwiseTransientKey，PTK)。12.一种密钥生成方法，其特征在于，所述方法包括：在网络处：具有第一对称密钥；生成并发送第一Diffie-Hellman公钥(A)；接收第二Diffie-Hellman公钥(B)；基于所述第二Diffie-Hellman公钥(B)生成第二对称密钥；基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥。13.根据权利要求12所述的方法，其特征在于，生成所述会话密钥包括以下操作中的一个：对所述第一对称密钥和所述第二对称密钥进行异或(exclusive-or，XOR)运算；或者将所述第一对称密钥和所述第二对称密钥连接成一个连接字符串，并将所述连接字符串输入到密钥导出函数与哈希函数之一中。14.根据权利要求12所述的方法，其特征在于，生成和发送第一Diffie-Hellman公钥(A)包括：生成随机数(a)；进行以下操作中的一个：基于有限域密码算法(FiniteFieldCryptography，FFC)群生成所述第一Diffie-Hellman公钥(A)，其中，在使用所述FFC群的情况下，A＝gamodp，p是素数，g是循环群G中的生成器，p和G由所述网络和用户设备(userequipment，UE)共享；或者基于椭圆曲线密码算法(EllipticCurveCryptography，ECC)群生成所述第一Diffie-Hellman公钥(A)，其中，在使用所述ECC群的情况下，A＝aP，P是所述ECC群的基点，P由所述网络和用户设备(userequipment，UE)共享。15.根据权利要求14所述的方法，其特征在于，基于所述第二Diffie-Hellman公钥(B)生成第二对称密钥包括：当使用所述FFC群时基于Bamodp生成所述第二对称密钥，或者当使用所述ECC群时基于aB生成所述第二对称密钥。16.根据权利要求12、14和15中的任一项所述的方法，其特征在于，接收所述第二Diffie-Hellman公钥(B)包括接收UE生成的消息认证码(MessageAuthenticationCode，MAC)，所述方法还包括：基于以下内容生成网络生成的MAC：所述第二Diffie-Hellman公钥(B)，针对所述UE的网络认证生成的认证码；所述会话密钥、所述第一对称密钥和所述第二对称密钥中的一个；将所述网络生成的MAC与所述接收到的UE生成的MAC进行比较；如果所述网络生成的MAC与所述接收到的UE生成的MAC相等，则所述UE认证成功；如果所述网络生成的MAC与所述接收到的UE生成的MAC不等，则所述UE认证失败。17.根据权利要求16所述的方法，其特征在于，所述网络是长期演进(Long-TermEvolution，LTE)网络或其演进网络，其中，所述第一对称密钥是主密钥(KASME)，针对所述UE的所述网络认证生成的所述认证码是期望响应码(XRES)，具有所述第一对称密钥包括在归属用户服务器(HomeSubscriberServer，HSS)处生成所述第一对称密钥，生成和发送第一Diffie-Hellman公钥(A)包括在移动性管理实体(MobilityManagementEntity，MME)处生成所述第一Diffie-Hellman公钥(A)，以及使用认证请求(AuthenticationRequest)消息从所述MME向所述UE发送所述第一Diffie-Hellman公钥(A)；接收第二Diffie-Hellman公钥(B)包括使用认证响应(AuthenticationResponse)消息在所述MME处接收所述Diffie-Hellman公钥(B)，接收UE生成的消息认证码(MessageAuthenticationCode，MAC)包括使用所述认证响应(AuthenticationResponse)消息在所述MME处接收所述UE生成的MAC。18.根据权利要求12、14或15中的任一项所述的方法，其特征在于，所述网络是长期演进(Long-TermEvolution，LTE)网络或其演进网络，所述第一对称密钥是主密钥(KASME)；具有第一对称密钥包括在移动性管理实体(MobilityManagementEntity，MME)、认证、授权及计费(Authentication,AuthorizationandAccounting，AAA)服务器以及连接管理器(ConnectionManager，CM)之一处生成所述第一对称密钥，生成和发送第一Diffie-Hellman公钥(A)包括在所述MME处生成所述第一Diffie-Hellman公钥(A)，以及使用安全模式命令(SecurityModeCommand)消息从所述MME向所述UE发送所述第一Diffie-Hellman公钥(A)，接收第二Diffie-Hellman公钥(B)包括使用安全模式完成(SecurityModeComplete)消息在所述MME处接收所述第二Diffie-Hellman公钥B，基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥包括基于所述第一对称密钥和所述第二对称...

【专利技术属性】
技术研发人员：王海光，时杰，康鑫，
申请(专利权)人：华为国际有限公司，
类型：发明
国别省市：新加坡,SG