【技术实现步骤摘要】
用户设备之间进行安全通信的方法及装置
本专利技术涉及通信
,尤其涉及一种用户设备之间进行安全通信的方法及装置。
技术介绍
ProSe(ProximityService,近距离业务)是3GPP(3rdGenerationPartnershipProject,第3代合作伙伴)最新定义的基于LTE(LongTermEvolution,长期演进)技术的UE(UserEquipment,用户设备)之间通信的技术。UE之间在ProSe场景下进行通信时,可通过网络辅助在UE间进行通信,也可以直接在UE间进行通信,无论哪种通信场景,UE间直接进行通信时,都需要进行双向认证以确认对端身份真实性,并生成密钥保证通信数据的安全性。一般的,当前技术中UE之间进行双向认证时,在有IP协议层的两个实体间的双向认证,认证过程在IP层完成并生成密钥,认证过程中生成的密钥能保护IP层及以上层通信数据的安全,但是在ProSe通信场景下,UE间进行通信时还可能有控制面和用户面等下层的通信数据,在IP层生成的密钥无法保护下层通信数据的安全性,UE之间进行通信的安全性较低。
技术实现思路
本专利技术实施例提供一种用户设备之间进行安全通信的方法及装置,以提高UE之间通信的安全性。第一方面,提供一种用户设备之间进行安全通信的方法,包括:第一用户设备与第二用户设备分别配置证书;所述第一用户设备与所述第二用户设备,基于所述证书,进行双向认证并协商密钥,获取证书认证后生成的第一密钥;所述第一用户设备与所述第二用户设备,根据所述第一密钥进行密钥推演,得到加密密钥和完保密钥;利用所述加密密钥和所述完保密钥对所...
【技术保护点】
1.一种用户设备之间进行安全通信的方法,其特征在于,包括:第一用户设备与第二用户设备分别配置证书;所述第一用户设备与所述第二用户设备,基于所述证书,进行双向认证并协商密钥,获取证书认证后生成的第一密钥;所述第一用户设备与所述第二用户设备,根据所述第一密钥进行密钥推演,得到加密密钥和完保密钥;利用所述加密密钥和所述完保密钥对所述第一用户设备与所述第二用户设备之间的通信数据进行安全保护。
【技术特征摘要】
1.一种用户设备之间进行安全通信的方法,其特征在于,包括:第一用户设备与第二用户设备分别配置证书;所述第一用户设备与所述第二用户设备,基于所述证书,进行双向认证并协商密钥,获取证书认证后生成的第一密钥;所述第一用户设备与所述第二用户设备,根据所述第一密钥进行密钥推演,得到加密密钥和完保密钥;利用所述加密密钥和所述完保密钥对所述第一用户设备与所述第二用户设备之间的通信数据进行安全保护。2.如权利要求1所述的方法,其特征在于,配置证书,包括:本地配置证书,或者通过网络向证书颁发机构注册证书;所述证书包括:当前用户设备所属本地公用陆地移动网络HPLMN的证书,以及与当前用户设备进行认证的各个目标用户设备所属本地公用陆地移动网络HPLMN的根证书。3.如权利要求1或2所述的方法,其特征在于,基于所述证书,进行双向认证并协商密钥,获取证书认证后生成的第一密钥,包括:根据所述证书在IP层基于因特网密钥交换IKE,进行双向认证,协商生成IP层密钥,作为所述第一密钥。4.如权利要求1或2所述的方法,其特征在于,基于所述证书,进行双向认证并协商密钥,获取证书认证后生成的第一密钥,包括:将证书携带在无线传输信令中向对端用户设备发送,并进行证书的认证;当证书认证通过后,将自身推演生成的通信密钥作为所述第一密钥,或者获取对端用户设备发送的通信密钥作为所述第一密钥,所述通信密钥推演的输入参数包括组标识ID和/或随机数,所述组标识ID为用户设备之间进行通信时所属通信组的标识。5.如权利要求4所述的方法,其特征在于,将证书携带在无线传输信令中向对端用户设备发送之前,还包括:与对端用户设备进行迪菲-赫尔曼DH交换,协商出共享密钥;利用所述共享密钥对所述证书或所述证书的标识进行加密。6.如权利要求1所述的方法,其特征在于,所述根据所述第一密钥进行密钥推演,得到加密密钥和完保密钥,包括:根据所述第一密钥、以及当前用户设备的IP地址和/或对端用户设备的IP地址,进行密钥推演,得到加密密钥和完保密钥。7.一种用户设备之间进行安全通信的方法,其特征在于,包括:对与当前用户设备进行通信的对端用户设备进行认证;当认证通过后,生成第一随机数,根据组标识ID和所述第一随机数生成通信密钥,所述组标识ID为当前用户设备与对端用户设备进行通信时所属通信组的标识;根据所述通信密钥,推演当前用户设备与对端用户设备之间进行单播通信时的加密密钥和/或完保密钥,并利用所述加密密钥和/或完保密钥,对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。8.如权利要求7所述的方法,其特征在于,利用所述加密密钥和/或完保密钥,对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前,该方法还包括:利用对端用户设备的公钥,对所述第一随机数进行加密;将加密后的所述第一随机数发送给所述对端用户设备,并接收所述对端用户设备发送第二随机数,所述第二随机数为所述对端用户设备对加密后的第一随机数解密后,并利用当前用户设备的公钥,重新加密的随机数;确定所述第二随机数与所述第一随机数相同。9.如权利要求7所述的方法,其特征在于,利用所述加密密钥和/或完保密钥,对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前,该方法还包括:利用共享密钥,对所述第一随机数进行加密;将加密后的所述第一随机数发送给所述对端用户设备,接收所述对端用户设备发送第二随机数,所述第二随机数为所述对端用户设备对加密后的第一随机数解密后并利用共享密钥,重新加密的随机数;确定所述第二随机数与所述第一随机数相同。10.如权利要求7-9任一项所述的方法,其特征在于,根据组标识ID和所述第一随机数生成通信密钥之后,该方法还包括:利用共享密钥或对端用户设备的公钥,对所述通信密钥进行加密;将加密后的通信密钥发送给所述对端用户设备,指示所述对端用户设备根据加密后的通信密钥,推演与当前用户设备之间进行单播通信时的加密密钥和/或完保密钥,并利用推演的加密密钥和/或完保密钥,对与当前用户设备之间进行单播通信时的通信数据进行安全保护。11.如权利要求7-9任一项所述的方法,其特征在于,利用所述加密密钥和/或完保密钥,对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前,该方法还包括:利用共享密钥或对端用户设备的公钥,对所述加密密钥和/或完保密钥进行加密;将加密后的加密密钥和/或完保密钥发送给所述对端用户设备,指示所述对端用户设备对所述加密后的加密密钥和/或完保密钥进行解密,并使用解密后的加密密钥和/或完保密钥对与当前用户设备之间进行单播通信时的通信数据进行安全保护。12.一种用户设备之间进行安全通信的方法,其特征在于,包括:对与当前用户设备进行通信的对端用户设备进行认证;当认证通过后,生成随机序列,根据所述随机序列获取组播密钥;根据所述组播密钥,确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥,并利用所述加密密钥和/或完保密钥对当前用户设备与对端用户设备之间进行组播通信时的通信数据进行安全保护。13.如权利要求12所述的方法,其特征在于,确定当前用户设备与对端用户设备之间进行组播通信时的加密密钥和/或完保密钥之后,该方法还包括:利用共享密钥或对端用户设备的公钥,对所述加密密钥和/或完保密钥进行加密;将加密后的加密密钥和/或完保密钥发送给所述对端用户设备,并指示所述对端用户设备对加密后的加密密钥和/或完保密钥解密,并使用解密后的加密密钥和/或完保密钥对与当前用户设备进行组播通信时的通信数据进行安全保护。14.一种用户设备之间进行安全通信的方法,其特征在于,包括:对与当前用户设备进行通信的对端用户设备进行认证;当认证通过后,获取所述对端用户设备发送的通信密钥,所述通信密钥为所述对端用户设备根据组标识ID和/或第一随机数生成的密钥,所述组标识ID为当前用户设备与对端用户设备进行通信时所属通信组的标识;根据所述通信密钥推演加密密钥和/或完保密钥,利用所述加密密钥和/或完保密钥,对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。15.一种安全通信装置,其特征在于,包括配置单元、认证单元、密钥生成单元和数据保护单元,其中,所述配置单元,对第一用户设备与第二用户设备分别配置证书,并将配置的证书向所述认证单元传输;所述认证单元,接收所述配置单元传输的证书,并基于所述证书,对所述第一用户设备与所述第二用户设备进行双向认证并协商密钥,获取证书认证后生成的第一密钥,并将该生成的第一密钥向所述密钥生成单元发送;所述密钥生成单元,接收认证单元发送的第一密钥,并根据所述第一密钥进行密钥推演,得到加密密钥和完保密钥,将得到的加密密钥和完保密钥向所述数据...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。