一种实体间的通信方法、装置及系统制造方法及图纸

本申请实施例公开了一种实体间的通信方法，可以由密钥分发中心生成用于第一通信实体和第二通信实体之间进行身份认证的PSK，并将该PSK下发给第一通信实体和/或第二通信实体，以使得第一通信实体和第二通信实体基于该PSK进行身份认证。采用该方法，第一通信实体和第二通信实体之间无需再利用证书进行身份认证，从而可以降低身份认证的成本，并且提升第一通信实体和第二通信实体的性能。信实体和第二通信实体的性能。信实体和第二通信实体的性能。

【技术实现步骤摘要】
一种实体间的通信方法、装置及系统


[0001]本申请涉及通信领域，尤其涉及一种实体间的通信方法、装置及系统。

技术介绍

[0002]通信装置例如用户通信装置或者网络通信装置可以包括通信实体，其中，通信实体可以是通信装置上的组件，例如通信装置上的单板，单板上运行的进程，或进程组件。
[0003]通信实体和通信实体之间可以进行数据交互。为了保证两个通信实体之间进行数据交互时的数据安全，可以在通信实体进行数据交互之前，进行身份认证。
[0004]目前，通信实体之间可以基于证书进行身份认证，但是证书的部署需要依赖于第三方证书授权(certificate authority，CA)机构，因此，在通信实体上部署证书的成本比较高。而且，采用证书认证的方式也会占用通信实体的较多内存，从而降低通信实体的整体性能。因此，急需一种方案可以解决该问题。

技术实现思路

[0005]本申请实施例提供了一种实体间的通信方法，可以降低通信实体间进行身份认证的成本。
[0006]第一方面，本申请实施例提供了一种实体间的通信方法，该方法可以应用于通信系统，所述通信系统包括第一通信实体、第二通信实体和密钥分发实体。在一个示例中，所述密钥分发实体可以获取ICK，所述ICK包括通过第一密钥加密的第一部分和通过第二密钥加密的第二部分，所述第一部分均包括第一PSK，所述第一PSK用于所述第一通信实体和所述第二通信实体之间的身份认证。所述密钥分发实体获得所述ICK之后，可以将所述ICK发送给所述第一通信实体和所述第二通信实体。第一通信实体可以根据第一密钥从所述第一部分中获得所述第一PSK，第二通信实体可以根据第二密钥从所述第二部分中获得所述第一PSK。在一个示例中，进一步地，第一通信实体和第二通信实体可以基于该第一PSK，在第一通信实体和第二通信实体之间进行身份认证。由此可见，第一通信实体和第二通信实体之间可以无需再基于证书进行身份认证，而是从密钥分发实体处获得所述第一PSK。从密钥分发实体处获取第一PSK以及基于第一PSK在第一通信实体和第二通信实体之间进行身份认证的成本，远远低于利用证书进行身份认证的成本。因此，利用本方案，可以降低第一通信实体和第二通信实体进行身份认证的成本，而且，利用第一PSK进行身份认证，也可以降低对第一通信实体和第二通信实体的内存消耗，从而提升第一通信实体和第二通信实体的整体性能。
[0007]在一种实现方式中，密钥分发实体还可以向所述第一通信实体发送所述第一密钥，以便于所述第一通信实体在接收到ICK时，利用第一密钥对接收到的ICK的第一部分进行解密，以得到第一PSK。相应的，密钥分发中心可以直接或者通过密钥分发中心代理向所述第二通信实体发送第二密钥，以便于所述第一通信实体在接收到ICK时，利用第二密钥对接收到的ICK的第二部分进行解密，以得到第一PSK。
[0008]在一种实现方式中，若所述第一部分是采用对称密钥算法进行加密的，则第一通信实体可以利用第一密钥对第一部分进行解密，以得到第一PSK。对称密钥算法所消耗的计算资源较少，采用这种方式，可以有效提升第一通信实体的性能。
[0009]在一种实现方式中，若所述第一部分是采用非对称密钥算法进行加密的，则第一通信实体可以利用第一密钥对应的第五密钥对第一部分进行解密，以得到第一PSK。其中，第一密钥和第五密钥构成一对公私钥对。
[0010]在一种实现方式中，若所述第二部分是采用对称密钥算法进行加密的，则第二通信实体可以利用第二密钥对第二部分进行解密，以得到第一PSK。对称密钥算法所消耗的计算资源较少，采用这种方式，可以有效提升第二通信实体的性能。
[0011]在一种实现方式中，若所述第二部分是采用非对称密钥算法进行加密的，则第二通信实体可以利用第二密钥对应的第六密钥对第二部分进行解密，以得到第一PSK。其中，第二密钥和第六密钥构成一对公私钥对。
[0012]在一种实现方式中，密钥分发实体向所述第一通信实体发送所述第一密钥在具体实现时，可以将第一密钥携带在第一IDK中发送给所述第一通信实体，相应的，第一通信实体接收到第一IDK之后，可以对第一IDK进行解析，以得到所述第一密钥。其中，第一IDK用于携带与第一通信实体相关的密钥。
[0013]在一种实现方式中，考虑到ICK包括第一PSK，而第一PSK用于第一通信实体和第二通信实体之间的身份认证，因此，所述ICK尤为重要。鉴于此，在一个示例中，在向所述第一通信实体发送所述ICK之前之前，密钥分发实体和第一通信实体之间还可以进行身份认证。在一个示例中，密钥分发实体和第一通信实体之间可以基于第二PSK进行身份认证，其中，所述第二PSK可以携带在第一IDK中。换言之，所述第一IDK除了包括第一密钥之外，还可以包括第二PSK。采用这种方式，可以有效保证ICK的安全。
[0014]在一种实现方式中，为了保证第一IDK的传输安全，所述第一IDK可以通过第三密钥加密。
[0015]在一种实现方式中，密钥分发实体在向所述第一通信实体发送所述第一IDK之前，还可以进行所述密钥分发实体和所述第一通信实体之间的第二身份认证，以使得密钥分发实体和第一通信实体分别确定对端的身份。密钥分发实体和第一通信实体可以在进行第二身份认证之后协商用于对第一IDK进行加密的第三密钥。
[0016]在一种实现方式中，密钥分发实体向所述第二通信实体发送所述第二密钥在具体实现时，可以将第二密钥携带在第二IDK中发送给所述第二通信实体，相应的，第二通信实体接收到第二IDK之后，可以对第二IDK进行解析，以得到所述第二密钥。其中，第二IDK用于携带与第二通信实体相关的密钥。
[0017]在一种实现方式中，所述密钥分发实体和所述第一通信实体可以在同一个操作系统OS内。例如，所述密钥分发实体和所述第一通信实体位于同一单板内。
[0018]在一种实现方式中，所述密钥分发实体和所述第一通信实体可以在不同操作系统OS内。例如，所述密钥分发实体和所述第一通信实体位于不同的单板上。
[0019]在一种实现方式中，所述密钥分发实体可以为密钥分发中心，所述密钥分发中心用于生成所述ICK、所述第一密钥和所述第二密钥。例如，所述密钥分发中心和所述第一通信实体位于同一OS内，则所述密钥分发实体可以为所述密钥分发中心。此时，所述密钥分发
中心可以通过与第二通信实体位于同于OS内的密钥分发中心代理将前述ICK和第二IDK发送给第二通信实体。
[0020]在一种实现方式中，所述密钥分发实体为密钥分发中心代理，所述密钥分发中心代理用于向所述第一通信实体转发密钥分发中心生成的所述ICK和所述第一密钥。例如，所述密钥分发中心和所述第一通信实体位于不同的OS内，则所述密钥分发中心可以通过所述密钥分发实体将所述ICK、所述第一IDK发送给第一通信实体。
[0021]在一种实现方式中，若所述密钥分发实体和所述第一通信实体在同一个操作系统OS内，则所述密钥分发实体在向所述第一通信实体发送所述第一密钥之前，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种实体间的通信方法，其特征在于，应用于通信系统，所述通信系统包括第一通信实体、第二通信实体和密钥分发实体，所述方法包括：所述密钥分发实体获取内部通信密钥ICK，所述ICK包括通过第一密钥加密的第一部分和通过第二密钥加密的第二部分，所述第一部分包括第一预共享密钥PSK，所述第二部分包括所述第一PSK，所述第一PSK用于所述第一通信实体和所述第二通信实体之间的身份认证；将所述ICK发送给所述第一通信实体和所述第二通信实体；所述第一通信实体根据所述第一密钥从所述第一部分中获得所述第一PSK；所述第二通信实体根据所述第二密钥从所述第二部分中获得所述第一PSK。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：向所述第一通信实体发送所述第一密钥；向所述第二通信实体发送所述第二密钥；所述第一通信实体接收所述第一密钥；所述第二通信实体接收所述第二密钥。3.根据权利要求2所述的方法，其特征在于，所述向所述第一通信实体发送所述第一密钥，包括：所述密钥分发实体向所述第一通信实体发送第一身份标识密钥IDK，所述第一IDK包括所述第一密钥；所述第一通信实体接收所述第一密钥，包括：所述第一通信实体接收所述第一IDK。4.根据权利要求3所述的方法，其特征在于，所述第一IDK还包括第二PSK，在向所述第一通信实体发送所述ICK之前，所述方法还包括：基于所述第二PSK，在所述密钥分发实体和所述第一通信实体之间进行第一身份认证。5.根据权利要求3或4所述的方法，其特征在于，所述第一IDK通过第三密钥加密。6.根据权利要求5所述的方法，其特征在于，在向所述第一通信实体发送所述第一IDK之前，所述方法还包括：进行所述密钥分发实体和所述第一通信实体之间的第二身份认证，并协商所述第三密钥。7.根据权利要求2
‑
6任一项所述的方法，其特征在于，所述向所述第二通信实体发送所述第二密钥，包括：向所述第二通信实体发送第二IDK，所述第二IDK包括所述第二密钥。8.根据权利要求1
‑
7任一项所述的方法，其特征在于，所述密钥分发实体和所述第一通信实体在同一个操作系统OS内。9.根据权利要求1
‑
7任一项所述的方法，其特征在于，所述密钥分发实体和所述第一通信实体在不同操作系统OS内。10.根据权利要求1
‑
9任一项所述的方法，其特征在于，所述密钥分发实体为密钥分发中心，所述密钥分发中心用于生成所述ICK、所述第一密钥和所述第二密钥。11.根据权利要求1
‑
9任一项所述的方法，其特征在于，所述密钥分发实体为密钥分发中心代理，所述密钥分发中心代理用于向所述第一通信实体转发密钥分发中心生成的所述
ICK和所述第一密钥。12.根据权利要求1
‑
5任一项所述的方法，其特征在于，所述密钥分发实体和所述第一通信实体在同一个操作系统OS内，在向所述第一通信实体发送所述第一密钥之前，所述方法还包括：所述密钥分发实体获取所述第一通信实体的标识和所述第一通信实体的用户标识，所述第一通信实体的用户标识用于指示所述第一通信实体在所述OS内的身份；所述密钥分发实体根据所述第一通信实体的标识和所述第一通信实体的用户标识，对所述第一通信实体进行身份认证；所述第一通信实体获取所述密钥分发实体的标识和所述密钥分发实体的用户标识，所述第一通信实体的用户标识用于指示所述第一通信实体在所述OS内的身份；所述第一通信实体根据所述密钥分发实体的标识和所述密钥分发实体的用户标识，对所述密钥分发实体进行身份认证。13.根据权利要求12所述的方法，其特征在于，所述密钥分发实体和所述第一通信实体之间通过域套接字DomainSocket进行通信。14.根据权利要求1
‑
13任一项所述的方法，其特征在于，所...

【专利技术属性】
技术研发人员：陈鑫平，李泳，刘明超，张帆，程闪彦，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：