一种支持合法监听的端到端会话密钥协商方法和系统技术方案

一种支持合法监听的端到端会话密钥协商的方法及系统，第一终端发起的到第二终端的会话的密钥协商过程包括：第一终端与其归属的第一身份位置寄存器（ＩＬＲ）进行会话根密钥协商，生成本次会话的会话根密钥Ｋａｓ并保存后，第一终端生成会话密钥，并向第二终端发起端到端会话密钥请求；第二终端在第一ＩＬＲ为其归属ＩＬＲ时，将收到的密钥协商参数直接发送到第一ＩＬＲ；第一ＩＬＲ生成会话密钥并保存后，直接以密文方式发送给第二终端；第二终端解密所述密文，获取其中的会话密钥，第一终端和所述第二终端使用该会话密钥进行会话，该会话密钥包括会话加密密钥。本发明专利技术在提供端到端加密的同时，也满足合法机构对端到端会话进行监听的需求。

【技术实现步骤摘要】

本专利技术涉及因特网领域，尤其涉及一种支持合法监听的端到端会话密钥协商方法 和系统。
技术介绍
基于IP的因特网是开放的网络，由多个国家和组织的网络共同组成，因此如果建 立一个端到端会话，很可能需要经过多个中间节点(如路由器等)，由于这些节点可能并不 完全属于同一国家或组织的网络，因此对于高度机密的会话，就存在被第三方非法机构窃 听或修改的可能。因此，为了防止机密信息被窃取或被修改，人们通常使用端到端加密的方法进行 会话；但是由于防恐等警务信息需要，各国法律往往规定电信企业开展的业务必须能被合 法机构监听。因此如果电信企业开展基于IP的端到端加密业务，也必须能够支持被合法机 构合法监听的功能。这样如果由用户自己独立协商端到端会话密钥，网络就无法了解会话 密钥的内容，合法监听就无法进行，因此必须由网络参与到会话密钥协商的过程，让特定的 网络节点也能够了解端到端会话密钥的信息，才能够正确支持合法监听。除了合法监听外，在会话密钥协商中也需要考虑会议等功能。如在高度机密的场 合，当用于多方会议的会话时，要求为每个参与会议的终端都分配不同的密钥，因此在一个 会议会话中会议主持者需要为多个参与者依次分配密钥，相对于一次会话只生成一个密 钥，会议会话协商的密钥次数更多。当前业界端到端密钥的协商方案包括安全描述方法(SecurityDescriptions， SDES)和票据(TICKET)等几种密钥协商方法；其中，SDES将会话密钥包含在UEa到UEb的端到端信令中，因此要求端到端信令是安全 的，由于端到端信令安全也需要密钥加密，因此也需要端对端的信令密钥协商或逐段信令 密钥协商，而这些信令密钥协商的要求和媒体面密钥协商一样复杂，因此SDES在部署上面 存在一定的局限性。而TICKET密钥协商方法是通过终端UEa在端到端会话建立信令中传递一个会话 密钥索引，而不用直接传递会话密钥给UEb，这样会话密钥不用在UEa和之间的信令直接 传输，消除了信令加密的必要，因而TICKET密钥协商方法在密钥传递上相对于SDES在部署 上更容易实现。但TICKET密钥协商方法进行密钥协商时往往和信令交互独立进行，在建立 多方呼叫等复杂业务时，相关密钥协商非常复杂且实现方法不统一，会导致终端以及密钥 管理服务器(Key Management Server,KMS)的密钥协商场景很多，流程非常复杂，不如SDES 在传递密钥时方便，这是TICKET方法的主要缺点。另外，目前TICKET密钥协商方法的实现 前提是建立在通用鉴权架构(GenericAuthentication Architecture，GAA) /通用自引导架 构(Generic BootstrappingArchitecture, GBA)基础上，因此需要部署GBA服务器才能够 实现TICKET密钥协商方法，这在实际部署上也增加了难度。Otway-Rees是TICKET算法的一个代表算法，如图8所示，首先UEa和用GBA方8法分别和KMS建立共享密钥Ka和Kb ’然后UEa将IDa和IDb用Ka加密后形成Ea(IDA，IDb)后 通过发送给 UEb ；UEb 用密钥 Kb 加密 IDa 和 IDb,形成 Eb (IDa，IDb)，将 Ea (IDa，IDb)和 Eb (IDa, IDb) 一起送到KMS ；KMS分别用Ka和Kb对Ea (IDa, IDb)和Eb (IDa, IDb)解密，如果解密后IDa, IDb正确，KMS将生成一个会话密钥K，并分别用加密，生成Ea(K)和&(1()并发送给 UEb ；UEb解密&⑷，得到会话密钥K，并将Ea⑷发送到UEa，UEa再利用Ka解密Ea⑷后得 到会话密钥K。Otway-Rees存在如下缺点1、在“Otway-Rees”中，从UEa到UEb之间传递的TICKET每次都用相同的共享根密 钥Ka加密；如果Ka不是每次会话都重新协商，则Ka容易被攻破，一旦Ka被攻破，则后续会 话密钥都被攻破；如果Ka每次会话都协商，则因为GBA建立过程中的信令交互也较多，会降 低密钥协商的效率。2、在“Otway-Rees”中，密钥是在KMS中生成，UEa对分配什么密钥没有主控权，在 多方会话或者会议会话中，如果UEa需要为对端分配相同的密钥，在“Otway-Rees”中是无 法实现的。3、“0tWay-ReeS”中，最终生成的会话密钥是由UEb传递给UEa，但没有完整性校验 措施，如果中间人修改了加密后的密钥，由于传递密钥的时候缺乏完整性检验，UEa无法知 道密钥是否被修改，仍然能解密出一个错误密钥，结果会出现UEa和UEb分别拥有不同的密 钥，这样后续传递的数据在加解密时会严重错乱，也增加了中间人攻击可能性。例如，在UEa 和UEb进行加密会话后，会得到一个Ea(K)，记为El ；如果UEa和UEc通话，UEb在806消息中 截取了 UEa和UEc之间的Ea(K)，记为E2，如果UEb想实施中间人攻击，可将806消息中的E2 换为El，UEa和UEc通信就使用El加密，这样UEb就可以解密UEa发向UEc的数据。
技术实现思路
本专利技术要解决的技术问题是提供一种支持合法监听的端到端会话密钥的协商方 法，可以在提供端到端加密的同时，也满足合法机构对端到端会话进行监听的需求。为了解决上述问题，本专利技术提供了一种支持合法监听的端到端会话密钥协商的方 法，第一终端发起的到第二终端的会话的密钥协商过程包括第一终端与其归属的第一身份位置寄存器(ILR)进行会话根密钥协商，生成本次 会话的会话根密钥Kas并保存后，第一终端根据包含自己生成的第一随机数的第一参数和 Kas生成会话密钥，并向第二终端发起端到端会话密钥请求，携带的密钥协商参数包括用Kas 加密得到的包含第一随机数信息的第一密文以及所述会话的第一标识信息；第二终端在第一 ILR为其归属ILR时，将收到的密钥协商参数直接发送到第一 ILR，否则经其归属的第二 ILR发送到第一 ILR ；第一 ILR利用Kas解密第一密文获取所述第 一随机数，用与第一终端相同的方式生成会话密钥并保存后，直接以密文方式发送给第二 终端，或者先发送给第二 ILR，第二 ILR保存该会话密钥并以密文方式将该会话密钥发送给 第二终端；第二终端解密所述密文，获取其中的会话密钥，第一终端和所述第二终端使用该 会话密钥进行会话，该会话密钥包括会话加密密钥。进一步地，上述方法还具有如下特点第一终端和第一 ILR配置有共享的永久根密钥Ka，所述会话根密钥协商过程具体 包括第一终端生成第二随机数，并向第一 ILR发送包含第二随机数和所述会话的第二 标识信息的会话根密钥生成参数；第一 ILR收到后，根据Ka和包含第二随机数、第二标识信息及第一 ILR生成的第 三随机数的第二参数，通过第一密钥生成算法生成Kas并保存第二标识信息与Kas的映射关 系后，将第三随机数返回给第一终端；第一终端用与第一 ILR相同的方式生成Kas，完成会话根密钥协商过程。进一步地，上述方法还具有如下特点在密钥协商过程中存在信令交互的两个设备之间为不安全链路时，该两个设备在 进行密钥协商时，还对传递的参数的完整性进行检验，所述两个设备包括第一终端本文档来自技高网...

【技术保护点】
一种支持合法监听的端到端会话密钥协商的方法，其特征在于，第一终端发起的到第二终端的会话的密钥协商过程包括：第一终端与其归属的第一身份位置寄存器（ＩＬＲ）进行会话根密钥协商，生成本次会话的会话根密钥Ｋ↓［ａｓ］并保存后，第一终端根据包含自己生成的第一随机数的第一参数和Ｋ↓［ａｓ］生成会话密钥，并向第二终端发起端到端会话密钥请求，携带的密钥协商参数包括用Ｋ↓［ａｓ］加密得到的包含第一随机数信息的第一密文以及所述会话的第一标识信息；第二终端在第一ＩＬＲ为其归属ＩＬＲ时，将收到的密钥协商参数直接发送到第一ＩＬＲ，否则经其归属的第二ＩＬＲ发送到第一ＩＬＲ；第一ＩＬＲ利用Ｋ↓［ａｓ］解密第一密文获取所述第一随机数，用与第一终端相同的方式生成会话密钥并保存后，直接以密文方式发送给第二终端，或者先发送给第二ＩＬＲ，第二ＩＬＲ保存该会话密钥并以密文方式将该会话密钥发送给第二终端；第二终端解密所述密文，获取其中的会话密钥，第一终端和所述第二终端使用该会话密钥进行会话，该会话密钥包括会话加密密钥。

【技术特征摘要】
1.一种支持合法监听的端到端会话密钥协商的方法，其特征在于，第一终端发起的到 第二终端的会话的密钥协商过程包括第一终端与其归属的第一身份位置寄存器(ILR)进行会话根密钥协商，生成本次会话 的会话根密钥Kas并保存后，第一终端根据包含自己生成的第一随机数的第一参数和Kas生 成会话密钥，并向第二终端发起端到端会话密钥请求，携带的密钥协商参数包括用Kas加密 得到的包含第一随机数信息的第一密文以及所述会话的第一标识信息；第二终端在第一 ILR为其归属ILR时，将收到的密钥协商参数直接发送到第一 ILR，否 则经其归属的第二 ILR发送到第一 ILR ；第一 ILR利用Kas解密第一密文获取所述第一随机 数，用与第一终端相同的方式生成会话密钥并保存后，直接以密文方式发送给第二终端，或 者先发送给第二 ILR，第二 ILR保存该会话密钥并以密文方式将该会话密钥发送给第二终 端；第二终端解密所述密文，获取其中的会话密钥，第一终端和所述第二终端使用该会话 密钥进行会话，该会话密钥包括会话加密密钥。2.如权利要求1所述的方法，其特征在于，第一终端和第一ILR配置有共享的永久根密 钥Ka，所述会话根密钥协商过程具体包括第一终端生成第二随机数，并向第一 ILR发送包含第二随机数和所述会话的第二标识 信息的会话根密钥生成参数；第一 ILR收到后，根据Ka和包含第二随机数、第二标识信息及第一 ILR生成的第三随 机数的第二参数，通过第一密钥生成算法生成Kas并保存第二标识信息与Kas的映射关系后， 将第三随机数返回给第一终端；第一终端用与第一 ILR相同的方式生成Kas，完成会话根密钥协商过程。3.如权利要求1所述的方法，其特征在于在密钥协商过程中存在信令交互的两个设备之间为不安全链路时，该两个设备在进行 密钥协商时，还对传递的参数的完整性进行检验，所述两个设备包括第一终端和第一 ILR， 第二终端和其归属的ILR，以及第一终端和第二终端中的一组或多组。4.如权利要求2所述的方法，其特征在于第一终端向第一 ILR发送会话根密钥生成参数时，还将第一认证响应传递给第一 ILR， 第一认证响应是第一终端根据Ka和至少部分会话根密钥生成参数生成临时消息完整校验 密钥Kat后，以至少部分会话根密钥生成参数为第三参数，用Kat通过第一完整性保护算法计 算得到的；第一 ILR收到会话根密钥生成参数和第一认证响应后，先根据保存的Ka和收到的会话 根密钥生成参数，用与第一终端得到第一认证响应相同的方式计算得到一认证响应并与第 一认证响应比较，如两者不同，则认证失败，结束该会话的密钥协商过程，如两者相同，再生成 Kas。5.如权利要求2所述的方法，其特征在于第一 ILR向第一终端发送第三随机数时，还将第二认证响应传递给第一终端，第二认 证响应是第一 ILR根据Kat以及包含第三随机数和至少部分会话根密钥生成参数的第四参 数，通过第二完整性保护算法计算得到的；第一终端生成Kas后，先用与第一 ILR得到第二认证响应相同的方式计算得到一认证响应并与第二认证响应比较，如两者不同，则认证失败，结束该会话的密钥协商过程，如两者 相同，再生成本次会话的会话密钥。6.如权利要求2或3所述的方法，其特征在于所述第二标识信息包括第一终端为本次会话分配的会话索引(Si)和第一终端的用户 身份标识(SIDA)，第一终端同时存在的多个会话时，为各个会话分配不同的Si，通过会话根 密钥协商过程为各个会话生成不同的Ka ；第一终端生成会话密钥后，以SI为索引保存该会话密钥。7.如权利要求2或3所述的方法，其特征在于所述会话根密钥生成参数还包括密钥可推导次数，用于表示设定的可利用Kas生成会 话密钥的次数；第一 ILR收到后，实时控制该Kas生成会话密钥的次数不超过该密钥可推导 次数。8.如权利要求7所述的方法，其特征在于所述密钥可推导次数为0时表示次数不限制，可利用Kas生成任意次会话密钥；所述密 钥可推导次数为1时表示只能有一个被叫，可利用Kas生成一次会话密钥；所述密钥可推导 次数为η时表示固定只能有η个被叫，可利用Kas生成η次会话密钥。9.如权利要求1或2或3或4或5所述的方法，其特征在于所述第一密文包含用Kas加密后的第一标识信息和第一随机数，该第一标识信息包括 第一终端为本次会话分配的会话索引Si、第一终端的用户身份标识SIDa和第二终端的用户 身份标识SIDb。10.如权利要求1或8所述的方法，其特征在于第一终端生成的第一密文还包含用Kas加密后的第三认证响应，该第三认证响应是第 一终端根据Kas及包含第一标识信息和第一随机数的第五参数，通过第三完整性保护算法 计算得到的；第一 ILR收到第二终端发来的密钥协商参数，根据其中的第一标识信息检索到的Kas对 第一密文解密，获取第一随机参数后，先用与第一终端得到第三认证响应相同的方式计算 得到一认证响应并与第三认证响应比较，如两者不同，则认证失败，结束该会话的密钥协商 过程，如两者相同，再用与第一终端相同的方式生成所述会话密钥。11.如权利要求1或2或3或4或5所述的方法，其特征在于第二终端解密第二 ILR发送的密文，获取其中的会话密钥后，还通过密钥校验数据请 求第一终端验证，第一终端验证通过后，第一终端和第二终端再使用该会话密钥进行会话。12.如权利要求11所述的方法，其特征在于，第一终端生成的会话密钥还包括完整性校验密钥，该完整性校验密钥是第一终端根据 Kas和包含第一随机数的参数生成的；第一 ILR收到密钥协商参数后，用与第一终端相同的方式生成该完整性校验密钥并发 送到第二终端；第二终端通过密钥校验数据请求第一终端验证时，根据收到的完整性校验密钥和包含 第一标识信息、第一随机数和自己生成的第四随机数的第六参数，通过完整性保护算法计 算得到第四认证响应，用会话加密密钥对第四认证响应和第四随机数加密后生成密钥校验 数据，发送到第一终端；第一终端用会话加密密钥解密该密钥校验数据得到第四认证响应和第四随机数，用与 第二终端得到第四认证响应相同的方式计算得到一认证响应并与第四认证响应比较，如两 者不同，则校验失败，结束该会话的密钥协商过程，两者相同时，校验通过。13.如权利要求1或2或3或4或5所述的方法，其特征在于，第一终端作为主叫终端与多个被叫终端进行会话时，在发起与第一个被叫终端的会话 时与第一 ILR协商得到Kas并保存，之后发起的与其余被叫终端的会话则直接根据该Kas和 各会话对应生成的第一随机数生成各会话的会话密钥；第一终端通过为不同被叫终端生成和传递不同的第一随机数，与不同的被叫终端协商 得到不同的会话密钥；或者，第一终端通过为不同被叫终端生成和传递相同的第一随机数， 与不同的被叫终端协商得到相同的会话密钥。14.如权利要求1或2或3或4所述的方法，其特征在于第二终端收到第一终端发来的密钥协商参数后，生成第五随机数，将该第五随机数与 密钥协商参数一起发送到第二终端归属的ILR，第二终端归属的ILR保存第五随机数和密 钥协商参数中的第一标识信息；第二终端归属的ILR在收到或生成会话密钥后，生成第六随机数，根据与第二终端共 享的永久根密钥Kb和包含第五随机数、第六随机数和第二终端的用户身份标识的第七参数 生成临时加密密钥Kbt，用Kbt对包含会话密钥的第八参数加密后，将得到的密文和第六随机 数发送给第二终端；第二终端收到其归属的ILR发来的密文和第六随机数后，用与第二终端归属的ILR相 同的方式生成Kbt，用Kbt解密ILR发来的密文得到会话密钥。15.如权利要求14所述的方法，其特征在于第二终端还将第五认证响应和第五随机数、密钥协商参数一起发送到第二终端归属的 ILR,该第五认证响应是第二终端根据Kb和包含第一标识信息和第五随机数的参数，通过完 整性保护算法计算得到的；第二终端归属的ILR收到第五认证响应、第五随机数和密钥协商参数后，...

【专利技术属性】
技术研发人员：张世伟，田甜，朱允文，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：94[中国|深圳]