【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种锚密钥生成方法、设备以及系统。
技术介绍
1、密钥是加密运算和解密运算的关键,也是密码系统的关键,所以,在信息安全系统中,密钥协商是认证流程中的重要一环。在现有的4g系统中,密钥协商过程如图1所示,该流程的执行需要的网元包括用户设备(user equipment,ue)、基站(enodeb)、移动性管理实体(mobilitymanagement entity,mme)、归属签约用户服务器(home subscriber server,hss)以及鉴权中心(authentication center,auc)等,执行流程大致如下:
2、步骤1:auc根据根密钥k生成完整性密钥ik以及保密性密钥ck,并将完整性密钥ik以及保密性密钥ck发送给hss。相应地,hss接收auc发送的完整性密钥ik以及保密性密钥ck。
3、步骤2:hss根据完整性密钥ik以及保密性密钥ck生成中间密钥kasme,并将中间密钥kasme发送给mme。相应地,mme接收hss发送的中间密钥kasme。
4、步骤3:mme根据中间密钥kasme生成用于对非接入层(non access stratum,nas)消息进行保密性保护的nas完整性密钥knasenc,以及,进行完整性保护的nas完整性保护密钥knasint。
5、步骤4:mme根据中间密钥kasme生成基站密钥kenb,并将基站密钥kenb发送给enodeb。相应地,enodeb接收mme发送的基站密钥kenb。>
6、步骤5:enodeb根据基站密钥kenb分别生成用于对用户面数据的保密性进行保护的用户面保密性密钥kupenc,用于对用户面数据的完整性进行保护的用户面完整性密钥kupint,用于对控制面数据的保密性进行保护的控制面保密性密钥krrcenc,用于对控制面数据的完整性进行保护的控制面完整性密钥krrcint。
7、步骤6:ue根据根密钥k自行生成完整性密钥ik、保密性密钥ck、中间密钥kasme、用户面保密性密钥kupenc、用户面完整性密钥kupint、控制面保密性密钥krrcenc、控制面完整性密钥krrcint。
8、经过图1所述的密钥协商流程之后,4g系统中将生成如图2所示的密钥架构。
9、可以理解,图1是4g应用场景中,终端通过第三代合作伙伴计划(3rd generationpartnership project,3gpp)的接入方式接入到核心网的流程中的密钥协商流程。为了适应各种应用场景的要求,终端可以通过各种不同的接入方式接入到核心网,例如,3gpp接入方式、可靠的非3gpp接入方式,非可靠的3gpp接入方式等等,在不同的接入方式中,密钥协商流程也各不相同。为了能够兼容各种接入方式,在5g标准中,明确规定了需要在不同的接入方式的密钥协商流程中生成一个统一的锚密钥(anchor key)。但是,如何生成一个统一的锚密钥是本领域的技术人员需要解决的问题。
技术实现思路
1、本申请实施例提供了一种锚密钥生成方法、设备以及系统,能够为不同的接入方式生成统一的锚密钥,并且实现了将不同接入方式的锚密钥,以及基于锚密钥生成的下层密钥进行隔离。
2、第一方面,提供了一种锚密钥生成方法,包括:第一通讯设备接收第二通讯设备发送指示标识,其中,所述指示标识用于指示终端的接入方式;所述第一通讯设备向第三通讯设备发送所述指示标识;所述第一通讯设备接收所述第三通讯设备返回的中间密钥,其中,所述中间密钥是根据所述指示标识生成的;所述第一通讯设备根据所述中间密钥生成锚密钥,其中,所述锚密钥对应所述终端的接入方式;所述第一通讯设备将所述锚密钥发送给所述第二通讯设备,以供所述第二通讯设备根据所述锚密钥为所述接入方式推衍下层密钥。
3、在一些可能的实施方式中,所述接入方式是根据接入类型以及运营商类型中的至少一个进行区分的。
4、在一些可能的实施方式中,所述第一通讯设备根据所述中间密钥生成锚密钥具体为:
5、所述第一通讯设备根据以下公式生成锚密钥,
6、anchor key=kdf(ik1’||ck1’)
7、其中,anchor key为所述锚密钥,(ik1’,ck1’)为所述中间钥匙,ik1’为中间完整性密钥,ck1’为中间保密性密钥,||的含义为级联,表示将符号两边的字符串连起来。
8、所述第一通讯设备至少可以根据以下两种方式生成中间密钥:
9、当所述指示标识包括接入类型标识以及运营商类型标识时,所述中间密钥是根据以下公式生成的:
10、
11、其中,所述接入类型标识用于指示所述接入类型,所述运营商类型标识用于指示所述运营商类型;(ck1’,ik1’)为所述中间密钥,ck1’为所述中间保密性密钥,ik1’为所述中间完整性密钥,kdf为密钥生成算法,sqn为最新序列号,ant为所述接入类型标识,snt为所述运营商类型标识,ck为初始保密性密钥,ik为初始完整性密钥,ak为匿名密钥,ck=f3(rand),ik=f4(rand),ak=f5(rand),rand为随机数,f3,f4以及f5均为生成算法,的含义为异或运算。
12、当所述指示标识是nai时,所述中间密钥是根据以下公式生成的:
13、
14、其中,(ck1’,ik1’)为所述中间密钥,ck1’为所述中间保密性密钥,ik1’为所述中间完整性密钥,kdf为密钥生成算法,sqn为最新序列号,nai为所述指示标识,ck为初始保密性密钥,ik为初始完整性密钥,ak为匿名密钥,ck=f3(rand),ik=f4(rand),ak=f5(rand),rand为随机数,f3,f4以及f5均为生成算法,的含义为异或运算。
15、在一些可能的实施方式中,所述第一通讯设备根据以下公式生成所述中间密钥:
16、其中,(ck2’,ik2’)为所述中间密钥,ck2’为所述中间保密性密钥,ik2’为所述中间完整性密钥,kdf为密钥生成算法,sqn为最新序列号,ant为所述接入类型标识,ck为初始保密性密钥,ik为初始完整性密钥,ak为匿名密钥,ck=f3(rand),ik=f4(rand),ak=f5(rand),rand为随机数,f3,f4以及f5均为生成算法,的含义为异或运算。
17、所述第一通讯设备根据以下公式生成emsk’,
18、emsk’=prf’(ik2’||ck2’);
19、其中,emsk’为扩展主会话密钥,(ik2’,ck2’)为所述中间钥匙,ik2’为中间完整性密钥,ck2’为中间保密性密钥,||的含义为级联,表示将符号两边的字符串连起来;
20、所述第一通讯设备根据以下公式生成锚密钥,
21、anchor key=kdf(emsk’,snt);
22、其中,ancho本文档来自技高网...
【技术保护点】
1.一种生成密钥的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1或2所述方法,其特征在于,所述根据所述中间密钥,生成锚密钥,包括:
4.根据权利要求1-3任一所述的方法,其特征在于,所述根据保密性密钥CK、完整性密钥IK以及运营商类型标识,生成中间密钥之前,所述方法还包括:
5.根据权利要求1-4任一所述的方法,其特征在于,所述根据所述Kamf,生成基站密钥,包括:
6.根据权利要求1-5任一所述的方法,其特征在于,所述运营商类型标识包括用于指示运营商的部分和用于指示接入类型的部分。
7.根据权利要求1-5任一所述的方法,其特征在于,所述运营商类型标识包括运营商的区分。
8.根据权利要求1-5任一所述的方法其特征在于,所述运营商类型标识包括服务网络标识。
9.根据权利要求1-8任一所述的方法其特征在于,所述方法由用户设备执行。
10.一种生成密钥的方法,其特征在于,包括:
11.根据权利要求10所述的方法
12.根据权利要求10或11所述方法,其特征在于,所述根据所述中间密钥,生成锚密钥,包括:
13.根据权利要求10-12任一所述的方法,其特征在于,所述根据保密性密钥CK、完整性密钥IK以及运营商类型标识,生成中间密钥之前,所述方法还包括:
14.根据权利要求10-13任一所述的方法,其特征在于,所述根据所述Kamf,生成基站密钥,包括:
15.根据权利要求10-14任一所述的方法,其特征在于,所述运营商类型标识包括用于指示运营商的部分和用于指示接入类型的部分。
16.根据权利要求10-14任一所述的方法,其特征在于,所述运营商类型标识包括运营商的区分。
17.根据权利要求10-14任一所述的方法其特征在于,所述运营商类型标识包括服务网络标识。
18.一种密钥生成方法,其特征在于,包括:
19.根据权利要求18所述的方法,其特征在于,所述Kamf密钥还用于推演3GPP-NAS保密性密钥和3GPP-NAS完整性保护密钥。
20.根据权利要求18或19所述的方法,其特征在于,所述运营商类型标识包括用于指示运营商的部分和用于指示接入类型的部分。
21.根据权利要求18或19所述的方法,其特征在于,所述运营商类型标识包括运营商的区分。
22.根据权利要求18或19所述的方法其特征在于,所述运营商类型标识包括服务网络标识。
23.一种通信装置,其特征在于,包括用于执行上述权利要求1-9任一所述密钥生成方法的模块。
24.一种认证服务器,其特征在于,包括用于执行上述权利要求18-22任一所述密钥生成方法的模块。
25.一种通信装置,其特征在于,所述装置包括处理器和存储器;
26.一种认证服务器,其特征在于,所述装置包括处理器和存储器;
27.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令在计算机上执行时,使得所述计算机执行上述权利要求1-9中任意一项所述的密钥生成方法。
28.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令在计算机上执行时,使得所述计算机作为认证服务器执行上述权利要求18-22中任意一项所述的密钥生成方法。
29.一种计算机程序产品,其特征在于,所述计算机程序产品包括指令,当所述指令在计算机上执行时,使得所述计算机作为认证服务器执行上述权利要求18-22中任意一项所述的密钥生成方法。
...【技术特征摘要】
1.一种生成密钥的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1或2所述方法,其特征在于,所述根据所述中间密钥,生成锚密钥,包括:
4.根据权利要求1-3任一所述的方法,其特征在于,所述根据保密性密钥ck、完整性密钥ik以及运营商类型标识,生成中间密钥之前,所述方法还包括:
5.根据权利要求1-4任一所述的方法,其特征在于,所述根据所述kamf,生成基站密钥,包括:
6.根据权利要求1-5任一所述的方法,其特征在于,所述运营商类型标识包括用于指示运营商的部分和用于指示接入类型的部分。
7.根据权利要求1-5任一所述的方法,其特征在于,所述运营商类型标识包括运营商的区分。
8.根据权利要求1-5任一所述的方法其特征在于,所述运营商类型标识包括服务网络标识。
9.根据权利要求1-8任一所述的方法其特征在于,所述方法由用户设备执行。
10.一种生成密钥的方法,其特征在于,包括:
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
12.根据权利要求10或11所述方法,其特征在于,所述根据所述中间密钥,生成锚密钥,包括:
13.根据权利要求10-12任一所述的方法,其特征在于,所述根据保密性密钥ck、完整性密钥ik以及运营商类型标识,生成中间密钥之前,所述方法还包括:
14.根据权利要求10-13任一所述的方法,其特征在于,所述根据所述kamf,生成基站密钥,包括:
15.根据权利要求10-14任一所述的方法,其特征在于,所述运营商类型标识包括用于指示运营商的部分和用于指示接入类型的部分。
16.根据权利要求10-14任一所述的方法,其特征在于,所述运...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。