一种实现密钥协商的方法和装置与流程
本发明涉及通信技术领域,尤其涉及的是一种实现密钥协商的方法和装置。
背景技术:
随着移动通信网络的迅猛发展,人们在利用移动网络带来的各种方便快捷的服务的同时,对通信终端加密业务的需求也越来越强烈,特别是一些涉密单位、党政机关、军工单位等特殊单位或行业,对终端通信的加密要求更高。
端到端加密技术,从信源到信宿全程进行加密保护,适合语音和数据的端到端安全传输,满足了人们对通信加密的需求。
目前通用的端到端加密技术是在终端侧布置密卡,网络侧布置密钥中心,通过密卡和密钥中心之间的密钥协商,实现端到端的通信加密。密钥协商的方法包括:使用USSD(Unstructured Supplementary Service Data,非结构化补充数据业务)业务信道来传递密钥协商信息或者使用带内业务信道来传递密钥协商信息。
其中,如图1所示,使用USSD业务信道传递密钥协商信息。密钥中心接收来自主叫方终端的USSD业务请求,根据该USSD业务请求中包含的USSD操作码(包括主叫方终端标识、被叫方终端标识)分配加密信息通信的第一密钥,向主叫方终端和被叫方终端返回所述第一密钥,主叫方终端与被叫方终端利用接收到的第一密钥加密和/或解密信息,进行加密信息通信。
其中,如图2所示,使用带内业务信道传递密钥协商信息。主叫终端与被叫终端建立呼叫后,密钥中心和主、被叫终端在语音链路进行相关的加密业务和密钥分发。主、被叫终端通过密钥中心分发的密钥进行加密通信。
使用USSD业务信道传递密钥协商信息时需要通过信令信道传递USSD业务请求,因此实时性不高。而使用带内业务信道传递密钥协商信息,占用了普通业务信道,影响了用户的正常使用,另外业务过程中密钥分发可能失败,降低了加密通信的成功率。
技术实现要素:
本发明所要解决的技术问题是提供一种实现密钥协商的方法和装置,能够通过非接入层信令消息完成密钥的协商,提高加密通信的实时性和可靠性。
本发明提供了一种实现密钥协商的方法,应用于用户终端,该方法包括:
通过非接入层NAS信令消息向密钥中心发送密入网申请消息,接收所述密钥中心通过NAS信令消息发送的密入网响应消息;
通过NAS信令消息与所述密钥中心之间进行鉴权认证;
在所述用户终端与所述密钥中心之间通过所述鉴权认证后,通过NAS信令消息与所述密钥中心进行密钥协商,协商成功后切换到密入网状态。
可选地,在切换到密入网状态后,所述方法还包括:
在与接收方用户终端进行加密通信时,将经过密卡加密后的加密数据发送到密钥中心,由所述密钥中心进行处理后发送给接收方用户终端。
可选地,在切换到密入网状态后,所述方法还包括:
在与接收方用户终端进行加密通信时,如接收到密钥中心转发的加密通信数据,则将所述加密通信数据发送给密卡,由所述密卡进行解密处理。
可选地,在接收到所述密钥中心的密入网响应消息后,所述方法还包括:
将接收到的密钥中心的标识写入密卡中;
其中,所述密入网申请消息中携带用户终端的标识,所述密入网响应消息中携带密钥中心的标识。
可选地,所述通过NAS信令消息与所述密钥中心之间进行鉴权认证, 包括:通过NAS信令消息与所述密钥中心之间进行双向认证:
接收密卡发送的第一认证消息,所述第一认证消息中携带用户终端的上行鉴权信息,通过NAS信令消息将所述第一认证消息发送到密钥中心;
接收所述密钥中心通过NAS信令消息发送的第二认证消息,所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果;将所述密钥中心的下行鉴权信息发送给密卡,由所述密卡对所述密钥中心进行鉴权,生成鉴权结果;
接收所述密卡发送的第三认证消息,所述第三认证消息中携带用户终端对密钥中心的鉴权结果,通过NAS信令消息将所述第三认证消息发送到密钥中心。
本发明还提供了一种实现密钥协商的方法,应用于密钥中心,该方法包括:
接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后,通过NAS信令消息向所述用户终端发送密入网响应消息;
通过NAS信令消息与所述密钥中心之间进行鉴权认证;
在所述用户终端与所述密钥中心之间通过所述鉴权认证后,通过NAS信令消息与所述密钥中心进行密钥协商。
可选地,所述方法还包括:
在发送方用户终端与接收方用户终端进行加密通信时,如接收到所述发送方用户终端发送的加密数据,则对所述加密数据进行处理后发送到所述接收方用户终端。
可选地,所述通过NAS信令消息与所述用户终端之间进行鉴权认证,包括:通过NAS信令消息与所述用户终端之间进行双向认证:
接收用户终端通过NAS信令消息发送的第一认证消息,所述第一认证消息中携带所述用户终端的上行鉴权信息;对所述用户终端进行鉴权,生成鉴权结果;
通过NAS信令消息向用户终端发送第二认证消息,其中携带密钥中心 对所述用户终端的鉴权结果和密钥中心的下行鉴权信息;
接收用户终端通过NAS信令消息发送的第三认证消息,所述第三认证消息中携带所述用户终端对所述密钥中心的鉴权结果。
本发明还提供了一种实现密钥协商的装置,应用于用户终端,包括:
密入网申请模块,用于通过非接入层NAS信令消息向密钥中心发送密入网申请消息,接收所述密钥中心通过NAS信令消息发送的密入网响应消息;
鉴权认证模块,用于通过NAS信令消息与所述密钥中心之间进行鉴权认证;
密钥协商模块,用于在所述用户终端与所述密钥中心之间通过所述鉴权认证后,通过NAS信令消息与所述密钥中心进行密钥协商,协商成功后切换到密入网状态。
可选地,所述装置还包括:
加密通信模块,用于在与接收方用户终端进行加密通信时,将经过密卡加密后的加密数据发送到密钥中心,由所述密钥中心进行处理后发送给接收方用户终端。
可选地,加密通信模块,用于在与接收方用户终端进行加密通信时,如接收到密钥中心转发的加密通信数据,则将所述加密通信数据发送给密卡,由所述密卡进行解密处理。
可选地,密入网申请模块,用于在接收到所述密钥中心的密入网响应消息后,还将接收到的密钥中心的标识写入密卡中;
其中,所述密入网申请消息中携带用户终端的标识,所述密入网响应消息中携带密钥中心的标识。
可选地,鉴权认证模块,用于通过NAS信令消息与所述密钥中心之间进行鉴权认证,包括:通过NAS信令消息与所述密钥中心之间进行双向认证:
接收密卡发送的第一认证消息,所述第一认证消息中携带用户终端的上 行鉴权信息,通过NAS信令消息将所述第一认证消息发送到密钥中心;
接收所述密钥中心通过NAS信令消息发送的第二认证消息,所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果;将所述密钥中心的下行鉴权信息发送给密卡,由所述密卡对所述密钥中心进行鉴权,生成鉴权结果;
接收所述密卡发送的第三认证消息,所述第三认证消息中携带用户终端对密钥中心的鉴权结果,通过NAS信令消息将所述第三认证消息发送到密钥中心。
本发明还提供了一种实现密钥协商的装置,应用于密钥中心,包括:
密入网响应模块,用于接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后,通过NAS信令消息向所述用户终端发送密入网响应消息;
鉴权认证模块,用于通过NAS信令消息与所述密钥中心之间进行鉴权认证;
密钥协商模块,用于在所述用户终端与所述密钥中心之间通过所述鉴权认证后,通过NAS信令消息与所述密钥中心进行密钥协商。
可选地,所述装置还包括:
加密通信模块,用于在发送方用户终端与接收方用户终端进行加密通信时,如接收到所述发送方用户终端发送的加密数据,则对所述加密数据进行处理后发送到所述接收方用户终端。
可选地,鉴权认证模块,用于通过NAS信令消息与所述用户终端之间进行鉴权认证,包括:通过NAS信令消息与所述用户终端之间进行双向认证:
接收用户终端通过NAS信令消息发送的第一认证消息,所述第一认证消息中携带所述用户终端的上行鉴权信息;对所述用户终端进行鉴权,生成鉴权结果;
通过NAS信令消息向用户终端发送第二认证消息,其中携带密钥中心 对所述用户终端的鉴权结果和密钥中心的下行鉴权信息;
接收用户终端通过NAS信令消息发送的第三认证消息,所述第三认证消息中携带所述用户终端对所述密钥中心的鉴权结果。
与现有技术相比,本发明提供的一种实现密钥协商的方法和装置,用户终端通过非接入层NAS信令消息向密钥中心发送密入网申请消息,密钥中心通过NAS信令消息向用户终端发送密入网响应消息,然后用户终端和密钥中心之间通过NAS信令消息进行鉴权认证和密钥协商,协商成功后用户终端切换到密入网状态,能够与其他用户终端进行加密通信。本发明能够提高加密通信的实时性和可靠性。
附图说明
图1为相关技术中使用USSD业务信道传递加密信息的示意图。
图2为相关技术中使用带内业务信道传递加密信息的示意图。
图3为本发明实施例的一种实现密钥协商的方法流程图(终端侧)。
图4为本发明实施例的一种实现密钥协商的方法流程图(密钥中心侧)。
图5为本发明实施例的一种实现密钥协商的装置示意图(终端侧)。
图6为本发明实施例的一种实现密钥协商的装置示意图(密钥中心侧)。
图7为本发明示例1的一种实现密钥协商的系统示意图。
图8为本发明示例2的一种实现密钥协商的方法的信息交互示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图3所示,本发明实施例提供了一种实现密钥协商的方法,应用于用户终端,该方法包括:
S301,通过非接入层NAS信令消息向密钥中心发送密入网申请消息,接收所述密钥中心通过NAS信令消息发送的密入网响应消息;
S302,通过NAS信令消息与所述密钥中心之间进行鉴权认证;
S303,在所述用户终端与所述密钥中心之间通过所述鉴权认证后,通过NAS信令消息与所述密钥中心进行密钥协商,协商成功后切换到密入网状态;
其中,所述方法还包括:
S304,在切换到密入网状态后,在与接收方用户终端进行加密通信时,将经过密卡加密后的加密数据发送到密钥中心,由所述密钥中心处理后发送给所述接收方用户终端;
其中,所述方法还包括:
在切换到密入网状态后,在与接收方用户终端进行加密通信时,如接收到密钥中心转发的加密通信数据,则将所述加密通信数据发送给密卡,由所述密卡进行解密处理;
其中,所述密入网申请消息中携带用户终端的标识,所述密入网响应消息中携带密钥中心的标识;
其中,在接收到所述密钥中心的密入网响应消息后,所述方法还包括:
将接收到的密钥中心的标识写入密卡中;
其中,通过NAS信令消息与所述密钥中心之间进行鉴权认证,包括:通过NAS信令消息与所述密钥中心之间进行双向认证;
其中,所述通过NAS信令消息与所述密钥中心之间进行双向认证,包括:
接收密卡发送的第一认证消息,所述第一认证消息中携带用户终端的上行鉴权信息,通过NAS信令消息将所述第一认证消息发送到密钥中心;
接收所述密钥中心通过NAS信令消息发送的第二认证消息,所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果;将所述密钥中心的下行鉴权信息发送给密卡,由所述密卡对所述密 钥中心进行鉴权,生成鉴权结果;
接收所述密卡发送的第三认证消息,所述第三认证消息中携带用户终端对密钥中心的鉴权结果,通过NAS信令消息将所述第三认证消息发送到密钥中心;
其中,用户终端向密钥中心发送的NAS信令消息使用UpLinkNasTransport[EMM:UplinkGenericNASTransport]消息中的“Generic Message container”字段进行承载;
其中,密钥中心向用户终端发送的NAS信令消息使用DownLinkNasTransport[EMM:DownlinkGenericNASTransport]消息中的“Generic Message container”字段进行承载;
如图4所示,本发明实施例提供了一种实现密钥协商的方法,应用于密钥中心,该方法包括:
S401,接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后,通过NAS信令消息向所述用户终端发送密入网响应消息;
S402,通过NAS信令消息与所述密钥中心之间进行鉴权认证;
S403,在所述用户终端与所述密钥中心之间通过所述鉴权认证后,通过NAS信令消息与所述密钥中心进行密钥协商;
其中,所述方法还包括:
在发送方用户终端与接收方用户终端进行加密通信时,如接收到所述发送方用户终端发送的加密数据,则对所述加密数据进行处理后发送到所述接收方用户终端;
其中,所述密入网申请消息中携带用户终端的标识,所述密入网响应消息中携带密钥中心的标识;
其中,所述方法还包括:
在用户终端切换到密入网状态后,定时向所述用户终端发起密钥更新请求;
其中,通过NAS信令消息与所述用户终端之间进行鉴权认证,包括:通过NAS信令消息与所述用户终端之间进行双向认证;
其中,所述通过NAS信令消息与所述用户终端之间进行双向认证,包括:
接收用户终端通过NAS信令消息发送的第一认证消息,所述第一认证消息中携带所述用户终端的上行鉴权信息;对所述用户终端进行鉴权,生成鉴权结果;
通过NAS信令消息向用户终端发送第二认证消息,其中携带密钥中心对所述用户终端的鉴权结果和密钥中心的下行鉴权信息;
接收用户终端通过NAS信令消息发送的第三认证消息,所述第三认证消息中携带所述用户终端对所述密钥中心的鉴权结果;
其中,用户终端向密钥中心发送的NAS信令消息使用UpLinkNasTransport[EMM:UplinkGenericNASTransport]消息中的“Generic Message container”字段进行承载;
其中,密钥中心向用户终端发送的NAS信令消息使用DownLinkNasTransport[EMM:DownlinkGenericNASTransport]消息中的“Generic Message container”字段进行承载;
如图5所示,本发明实施例提供了一种实现密钥协商的装置,应用于用户终端,包括:
密入网申请模块,用于通过非接入层NAS信令消息向密钥中心发送密入网申请消息,接收所述密钥中心通过NAS信令消息发送的密入网响应消息;
鉴权认证模块,用于通过NAS信令消息与所述密钥中心之间进行鉴权认证;
密钥协商模块,用于在所述用户终端与所述密钥中心之间通过所述鉴权 认证后,通过NAS信令消息与所述密钥中心进行密钥协商,协商成功后切换到密入网状态。
其中,所述装置还包括:
加密通信模块,用于在与接收方用户终端进行加密通信时,将经过密卡加密后的加密数据发送到密钥中心,由所述密钥中心进行处理后发送给接收方用户终端。
其中,加密通信模块,用于在与接收方用户终端进行加密通信时,如接收到密钥中心转发的加密通信数据,则将所述加密通信数据发送给密卡,由所述密卡进行解密处理。
其中,密入网申请模块,用于在接收到所述密钥中心的密入网响应消息后,还将接收到的密钥中心的标识写入密卡中;
其中,所述密入网申请消息中携带用户终端的标识,所述密入网响应消息中携带密钥中心的标识。
其中,鉴权认证模块,用于通过NAS信令消息与所述密钥中心之间进行鉴权认证,包括:通过NAS信令消息与所述密钥中心之间进行双向认证:
接收密卡发送的第一认证消息,所述第一认证消息中携带用户终端的上行鉴权信息,通过NAS信令消息将所述第一认证消息发送到密钥中心;
接收所述密钥中心通过NAS信令消息发送的第二认证消息,所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果;将所述密钥中心的下行鉴权信息发送给密卡,由所述密卡对所述密钥中心进行鉴权,生成鉴权结果;
接收所述密卡发送的第三认证消息,所述第三认证消息中携带用户终端对密钥中心的鉴权结果,通过NAS信令消息将所述第三认证消息发送到密钥中心。
如图6所示,本发明实施例提供了一种实现密钥协商的装置,应用于密钥中心,包括:
密入网响应模块,用于接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后,通过NAS信令消息向所述用户终端发送密入网响应消息;
鉴权认证模块,用于通过NAS信令消息与所述密钥中心之间进行鉴权认证;
密钥协商模块,用于在所述用户终端与所述密钥中心之间通过所述鉴权认证后,通过NAS信令消息与所述密钥中心进行密钥协商。
其中,所述装置还包括:
加密通信模块,用于在发送方用户终端与接收方用户终端进行加密通信时,如接收到所述发送方用户终端发送的加密数据,则对所述加密数据进行处理后发送到所述接收方用户终端。
其中,鉴权认证模块,用于通过NAS信令消息与所述用户终端之间进行鉴权认证,包括:通过NAS信令消息与所述用户终端之间进行双向认证:
接收用户终端通过NAS信令消息发送的第一认证消息,所述第一认证消息中携带所述用户终端的上行鉴权信息;对所述用户终端进行鉴权,生成鉴权结果;
通过NAS信令消息向用户终端发送第二认证消息,其中携带密钥中心对所述用户终端的鉴权结果和密钥中心的下行鉴权信息;
接收用户终端通过NAS信令消息发送的第三认证消息,所述第三认证消息中携带所述用户终端对所述密钥中心的鉴权结果。
示例1
如图7所示,本示例提供了一种实现密钥协商的装置,应用于终端上,该装置包括三个模块:密卡管理模块,密业务处理模块和非接入层NAS协议栈处理模块。三个模块功能如下:
密卡管理模块:用于提供读写密卡的功能,并提供各类封装函数给密业 务处理模块调用;
密业务处理模块:用于解析和封装密卡与NAS协议栈间的密业务消息。该模块读取密卡封装的消息,解析密卡提供的数据,并将该数据封装成相应的AT命令,发送到协议栈;该模块读取并解析协议栈AT命令,将获取到的网络侧数据封装成密卡消息,写回到密卡;
NAS协议栈处理模块:接收和发送终端与密钥中心间的NAS信令消息。该模块解析密业务处理模块的AT命令,并封装成上行NAS消息发送到密钥中心;该模块接收下行NAS消息,如果是密业务消息,封装成特定的AT命令,发送到密业务处理模块。
终端与网络侧设备通过NAS信令消息进行交互。上行数据使用UpLinkNasTransport[EMM:UplinkGenericNASTransport]消息中“Generic Message container”字段承载保密信令。下行数据使用DownLinkNasTransport[EMM:DownlinkGenericNASTransport]消息中“Generic Message container”字段承载保密信令。具体的协议接口由终端和网络侧协定,具有更高的私有性。
示例2
如图8所示,本示例提供了一种实现密钥协商的方法,终端密钥协商和密业务交互的步骤如下:
S801,终端1开机后,终端1和密卡进行上电交互。
S802,终端1进行明入网流程;
S803,明入网成功后,终端1主动发起密入网申请,所述密入网申请消息中携带终端1标识,通过NAS信令消息发送到网络侧的密钥中心;
S804,终端1接收密钥中心通过NAS信令消息发送的密入网响应消息,所述密入网申请消息中携带密钥中心的标识,将所述密钥中心的标识按照密卡协议格式写入到密卡;
S805,终端1读取密卡的双向认证1消息,其中携带终端1的上行鉴权信息,然后封装成NAS信令消息发送给密钥中心;
S806,终端1接收密钥中心通过NAS信令消息发送的双向认证2消息,所述双向认证2消息中携带密钥中心对用户终端的鉴权结果和密钥中心的下行鉴权信息;终端1将密钥中心的下行鉴权信息写入密卡,由所述密卡根据所述下行鉴权信息对密钥中心进行鉴权,生成鉴权结果;
S807,终端1读取密卡的双向认证3消息,其中携带对密钥中心的鉴权结果,然后封装成NAS信令消息发送给密钥中心;
S808,终端1和密钥中心通过双向认证后,通过NAS信令消息进行密钥协商;
S809,密钥协商完成后,终端1从明入网切换到密入网状态;
S810,终端2密入网的过程同终端1;
S811,终端1和终端2进行加密通信;
比如,终端1的本地业务数据经过密卡加密后,发送到密钥中心,密钥中心使用终端1的密钥解密,并使用终端2的密钥加密,再将加密后的数据发送到终端2,终端2进行解密,完成一次加密通信;
S812,进入密网后,网络侧密钥中心可以对终端发起定时密钥更新请求,更新加密的密钥;
上述实施例提供的一种实现密钥协商的方法和装置,用户终端通过非接入层NAS信令消息向密钥中心发送密入网申请消息,密钥中心通过NAS信令消息向用户终端发送密入网响应消息,然后用户终端和密钥中心之间通过NAS信令消息进行鉴权认证和密钥协商,协商成功后用户终端切换到密入网状态,能够与其他用户终端进行加密通信。本发明能够提高加密通信的实时性和可靠性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使 用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!