當(dāng)前位置: 首頁(yè) > 專利查詢>華為技術(shù)有限公司專利>正文

密鑰分發(fā)和接收方法、密鑰管理中心、第一和第二網(wǎng)元技術(shù)

技術(shù)編號(hào)：14765303 閱讀：115 留言：0更新日期：2017-03-08 08:46

本發(fā)明專利技術(shù)實(shí)施例公開了一種密鑰分發(fā)和接收方法、密鑰管理中心、第一和第二網(wǎng)元。本發(fā)明專利技術(shù)實(shí)施例方法包括：第一密鑰管理中心獲取第一網(wǎng)元的NAF密鑰的信息以及第一網(wǎng)元的NAF密鑰，第一網(wǎng)元的NAF密鑰的信息為獲取第一網(wǎng)元的NAF密鑰所需的信息；第一密鑰管理中心獲取業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用于所述第一網(wǎng)元和第二網(wǎng)元通信時(shí)對(duì)通信數(shù)據(jù)的加密和/或完整性保護(hù)；第一密鑰管理中心采用所述第一網(wǎng)元的NAF密鑰對(duì)所述業(yè)務(wù)密鑰進(jìn)行加密和/或完整性保護(hù)，生成第一安全保護(hù)參數(shù)；發(fā)送第一通用引導(dǎo)架構(gòu)GBA?push消息至所述第一網(wǎng)元，其中，所述第一GBA?push消息攜帶有所述第一安全保護(hù)參數(shù)和所述第一網(wǎng)元的NAF密鑰的信息。本發(fā)明專利技術(shù)實(shí)施例能夠避免數(shù)據(jù)在發(fā)送過程中遭到竊聽攻擊。

全部詳細(xì)技術(shù)資料下載

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及移動(dòng)通信
，尤其涉及一種密鑰分發(fā)和接收方法、密鑰管理中心、第一和第二網(wǎng)元。
技術(shù)介紹
現(xiàn)有的移動(dòng)通信安全架構(gòu)中，數(shù)據(jù)由網(wǎng)元到Internet的安全保護(hù)都是hop-by-hop形式，即采用分段加密的形式完成保護(hù)。而且，在已有2G/3G/4G移動(dòng)架構(gòu)中，端到端之間的通信數(shù)據(jù)也是采用分段加密的方式。雖然分段加密比較靈活，但由于中間節(jié)點(diǎn)可以獲得通信數(shù)據(jù)的明文，并不能夠抗擊通信數(shù)據(jù)遭到竊聽攻擊，因此采用分段加密的方式的安全性較差。例如，請(qǐng)參閱圖1，圖1為現(xiàn)有技術(shù)中4GLTE的協(xié)議棧架構(gòu)的示意圖。在圖1中，用戶網(wǎng)元(英文全稱：UserExperience，縮寫：UE)發(fā)送至分組數(shù)據(jù)網(wǎng)絡(luò)(英文全稱：PacketDataNetwork，縮寫：PDN)網(wǎng)關(guān)(英文全稱：Gateway，縮寫：GW)的數(shù)據(jù)從UE出發(fā)，依次經(jīng)過基站eNodeB和服務(wù)器網(wǎng)關(guān)(servingGW)后才到達(dá)PDNGW。其中，UE和eNodeB之間采用PDCP安全協(xié)議加密保護(hù)，eNodeB與servingGW之間，以及servingGW與PDNGW之間都采用IPSec的安全協(xié)議進(jìn)行保護(hù)。由于基站處于室外場(chǎng)景，攻擊者可以通過攻破基站來搭線竊聽，以獲取到PDCP協(xié)議解密后的明文內(nèi)容。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)實(shí)施例第一方面提供了一種密鑰分發(fā)方法，包括：第一密鑰管理中心獲取第一網(wǎng)元的應(yīng)用服務(wù)器NAF密鑰的信息以及所述第一網(wǎng)元的NAF密鑰，所述第一網(wǎng)元的NAF密鑰的信息為獲取所述第一網(wǎng)元的NAF密鑰所需的信息；所述第一密鑰管理中心獲取業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用于所述第一網(wǎng)元和第二網(wǎng)元通信時(shí)對(duì)通信數(shù)...
密鑰分發(fā)和接收方法、密鑰管理中心、第一和第二網(wǎng)元

【技術(shù)保護(hù)點(diǎn)】
一種密鑰分發(fā)方法，其特征在于，包括：第一密鑰管理中心獲取第一網(wǎng)元的應(yīng)用服務(wù)器NAF密鑰的信息以及所述第一網(wǎng)元的NAF密鑰，所述第一網(wǎng)元的NAF密鑰的信息為獲取所述第一網(wǎng)元的NAF密鑰所需的信息；所述第一密鑰管理中心獲取業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用于所述第一網(wǎng)元和第二網(wǎng)元通信時(shí)對(duì)通信數(shù)據(jù)的加密和/或完整性保護(hù)；所述第一密鑰管理中心采用所述第一網(wǎng)元的NAF密鑰對(duì)所述業(yè)務(wù)密鑰進(jìn)行加密和/或完整性保護(hù)，生成第一安全保護(hù)參數(shù)；所述第一密鑰管理中心執(zhí)行以下步驟A和步驟B的其中一個(gè)：A、發(fā)送第一通用引導(dǎo)架構(gòu)GBA?push消息至所述第一網(wǎng)元，其中，所述第一GBA?push消息攜帶有所述第一安全保護(hù)參數(shù)和所述第一網(wǎng)元的NAF密鑰的信息；B、發(fā)送第一GBA?push消息至第二密鑰管理中心，以便所述第二密鑰管理中心發(fā)送所述第一GBA?push消息至所述第一網(wǎng)元，或者以便所述第二密鑰管理中心發(fā)送所述第一GBA?push消息至第二網(wǎng)元，再由所述第二網(wǎng)元將所述第一GBA?push消息發(fā)送至所述第一網(wǎng)元，其中，所述第一GBA?push消息攜帶有所述第一安全保護(hù)參數(shù)和所述第一網(wǎng)元的NAF密鑰的信息。

【技術(shù)特征摘要】
1.一種密鑰分發(fā)方法，其特征在于，包括：第一密鑰管理中心獲取第一網(wǎng)元的應(yīng)用服務(wù)器NAF密鑰的信息以及所述第一網(wǎng)元的NAF密鑰，所述第一網(wǎng)元的NAF密鑰的信息為獲取所述第一網(wǎng)元的NAF密鑰所需的信息；所述第一密鑰管理中心獲取業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用于所述第一網(wǎng)元和第二網(wǎng)元通信時(shí)對(duì)通信數(shù)據(jù)的加密和/或完整性保護(hù)；所述第一密鑰管理中心采用所述第一網(wǎng)元的NAF密鑰對(duì)所述業(yè)務(wù)密鑰進(jìn)行加密和/或完整性保護(hù)，生成第一安全保護(hù)參數(shù)；所述第一密鑰管理中心執(zhí)行以下步驟A和步驟B的其中一個(gè)：A、發(fā)送第一通用引導(dǎo)架構(gòu)GBApush消息至所述第一網(wǎng)元，其中，所述第一GBApush消息攜帶有所述第一安全保護(hù)參數(shù)和所述第一網(wǎng)元的NAF密鑰的信息；B、發(fā)送第一GBApush消息至第二密鑰管理中心，以便所述第二密鑰管理中心發(fā)送所述第一GBApush消息至所述第一網(wǎng)元，或者以便所述第二密鑰管理中心發(fā)送所述第一GBApush消息至第二網(wǎng)元，再由所述第二網(wǎng)元將所述第一GBApush消息發(fā)送至所述第一網(wǎng)元，其中，所述第一GBApush消息攜帶有所述第一安全保護(hù)參數(shù)和所述第一網(wǎng)元的NAF密鑰的信息。2.根據(jù)權(quán)利要求1所述的密鑰分發(fā)方法，其特征在于，所述第一密鑰管理中心執(zhí)行所述步驟A時(shí)，所述密鑰分發(fā)方法還包括：所述第一密鑰管理中心獲取第二網(wǎng)元的NAF密鑰的信息以及所述第二網(wǎng)元的NAF密鑰，所述第二網(wǎng)元的NAF密鑰的信息為獲取所述第二網(wǎng)元的NAF密鑰所需的信息；所述第一密鑰管理中心采用所述第二網(wǎng)元的NAF密鑰對(duì)所述業(yè)務(wù)密鑰進(jìn)行加密和/或完整性保護(hù)，生成第二安全保護(hù)參數(shù)；所述第一密鑰管理中心執(zhí)行以下步驟C、步驟D、步驟E的其中一個(gè)：C、所述第一GBApush消息還包括第二GBApush消息，以便所述第一網(wǎng)元將所述第二GBApush消息發(fā)送至所述第二網(wǎng)元；D、發(fā)送第二GBApush消息至所述第一網(wǎng)元，以便所述第一網(wǎng)元將所述第二GBApush消息發(fā)送至所述第二網(wǎng)元；E、發(fā)送第二GBApush消息至所述第二網(wǎng)元；其中，所述第二GBApush消息攜帶有所述第二安全保護(hù)參數(shù)和所述第二網(wǎng)元的NAF密鑰的信息。3.根據(jù)權(quán)利要求1或2所述的密鑰分發(fā)方法，其特征在于，所述第一密鑰管理中心獲取業(yè)務(wù)密鑰，包括：選擇一個(gè)隨機(jī)數(shù)，所述業(yè)務(wù)密鑰包括所述隨機(jī)數(shù)；或者，獲取第一參數(shù)集合和第二參數(shù)集合，計(jì)算所述第一參數(shù)集合和所述第二參數(shù)集合為預(yù)置密鑰推衍函數(shù)的自變量時(shí)所述預(yù)置密鑰推衍函數(shù)的因變量，所述業(yè)務(wù)密鑰包括所述因變量；或者，獲取第一參數(shù)集合和第二參數(shù)集合，所述業(yè)務(wù)密鑰包括所述第一參數(shù)集合和所述第二參數(shù)集合；其中，所述第一參數(shù)集合包括隨機(jī)數(shù)、所述第一網(wǎng)元的NAF密鑰和第二網(wǎng)元的NAF密鑰中的至少一個(gè)，所述第二參數(shù)集合包括身份標(biāo)識(shí)、用于指示所述業(yè)務(wù)密鑰的有效期的時(shí)間、序列號(hào)中的至少一個(gè)。4.根據(jù)權(quán)利要求1所述的密鑰分發(fā)方法，其特征在于，所述第一密鑰管理中心執(zhí)行所述步驟A時(shí)，所述密鑰分發(fā)方法還包括：所述第一密鑰管理中心接收第二密鑰管理中心發(fā)送的第二GBApush消息；其中，所述第二GBApush消息攜帶有所述第二安全保護(hù)參數(shù)和所述第二網(wǎng)元的NAF密鑰的信息，所述第二網(wǎng)元的NAF密鑰的信息為獲取所述第二網(wǎng)元的NAF密鑰所需的信息，所述第二安全保護(hù)參數(shù)為所述第二密鑰管理中心采用所述第二網(wǎng)元的NAF密鑰對(duì)所述業(yè)務(wù)密鑰進(jìn)行加密和/或完整性保護(hù)生成的；所述第一密鑰管理中心執(zhí)行以下步驟F、步驟G、步驟H的其中一個(gè)：F、所述第一GBApush消息還包括所述第二GBApush消息，以便所述第一網(wǎng)元將所述第二GBApush消息發(fā)送至所述第二網(wǎng)元；G、發(fā)送所述第二GBApush消息至所述第一網(wǎng)元，以便所述第一網(wǎng)元將所述第二GBApush消息發(fā)送至所述第二網(wǎng)元；H、發(fā)送所述第二GBApush消息至所述第二網(wǎng)元。5.根據(jù)權(quán)利要求4所述的密鑰分發(fā)方法，其特征在于，所述第一密鑰管理中心獲取業(yè)務(wù)密鑰，包括：選擇一個(gè)隨機(jī)數(shù)，所述業(yè)務(wù)密鑰包括所述隨機(jī)數(shù)；或者，與所述第二密鑰管理中心協(xié)商所述業(yè)務(wù)密鑰；或者，接收所述第二密鑰管理中心發(fā)送的業(yè)務(wù)密鑰；或者，獲取第一參數(shù)集合和第二參數(shù)集合，計(jì)算所述第一參數(shù)集合和所述第二參數(shù)集合為預(yù)置密鑰推衍函數(shù)的自變量時(shí)所述預(yù)置密鑰推衍函數(shù)的因變量，所述業(yè)務(wù)密鑰包括所述因變量；其中，所述第一參數(shù)集合包括所述第一密鑰管理中心確定的隨機(jī)數(shù)和所述第一網(wǎng)元的NAF密鑰中的至少一個(gè)，所述第二參數(shù)集合包括身份標(biāo)識(shí)、用于指示所述業(yè)務(wù)密鑰的有效期的時(shí)間、序列號(hào)中的至少一個(gè)。6.根據(jù)權(quán)利要求5所述的密鑰分發(fā)方法，其特征在于，所述第一密鑰管理中心與所述第二密鑰管理中心協(xié)商所述業(yè)務(wù)密鑰，包括：接收所述第二密鑰管理中心發(fā)送的第二隨機(jī)數(shù)和/或第二網(wǎng)元的NAF密鑰；計(jì)算當(dāng)身份標(biāo)識(shí)、用于指示所述業(yè)務(wù)密鑰的有效期的時(shí)間、序列號(hào)、所述第一密鑰管理中心確定的隨機(jī)數(shù)、所述第一網(wǎng)元的NAF密鑰中的至少一個(gè)以及所述第二隨機(jī)數(shù)和/或第二網(wǎng)元的NAF密鑰為所述預(yù)置密鑰推衍函數(shù)的自變量時(shí)所述預(yù)置密鑰推衍函數(shù)的因變量，所述業(yè)務(wù)密鑰包括所述因變量；或者，所述第一密鑰管理中心與所述第二密鑰管理中心協(xié)商所述業(yè)務(wù)密鑰，包括：獲取第一隨機(jī)數(shù)；將所述第一隨機(jī)數(shù)和/或所述第一網(wǎng)元的NAF密鑰發(fā)送至所述第二密鑰管理中心；接收所述第二密鑰管理中心發(fā)送的業(yè)務(wù)密鑰，其中，所述業(yè)務(wù)密鑰為所述第二密鑰管理中心根據(jù)所述第一隨機(jī)數(shù)和/或所述第一網(wǎng)元的NAF密鑰確定的；或者，所述第一密鑰管理中心與所述第二密鑰管理中心協(xié)商所述業(yè)務(wù)密鑰，包括：與所述第二密鑰管理中心通過DH密鑰協(xié)商的方法協(xié)商所述業(yè)務(wù)密鑰；或者，所述第一密鑰管理中心與所述第二密鑰管理中心協(xié)商所述業(yè)務(wù)密鑰，包括：與所述第二密鑰管理中心通過DH密鑰協(xié)商得到協(xié)商參數(shù)；計(jì)算所述協(xié)商參數(shù)為預(yù)置密鑰推衍函數(shù)的其中一個(gè)自變量時(shí)所述預(yù)置密鑰推衍函數(shù)的因變量，所述業(yè)務(wù)密鑰包括所述因變量。7.根據(jù)權(quán)利要求4所述的密鑰分發(fā)方法，其特征在于，所述第一密鑰管理中心獲取業(yè)務(wù)密鑰，包括：獲取第一參數(shù)集合和第二參數(shù)集合，所述業(yè)務(wù)密鑰包括所述第一參數(shù)集合和所述第二參數(shù)集合；其中，所述第一參數(shù)集合包括所述第一密鑰管理中心確定的隨機(jī)數(shù)、所述第二密鑰管理中心確定的隨機(jī)數(shù)、所述第一網(wǎng)元的NAF密鑰和所述第二網(wǎng)元的NAF密鑰中的至少一個(gè)，所述第二參數(shù)集合包括身份標(biāo)識(shí)、用于指示所述業(yè)務(wù)密鑰的有效期的時(shí)間、序列號(hào)中的至少一個(gè)。8.根據(jù)權(quán)利要求1所述的密鑰分發(fā)方法，其特征在于，所述第二網(wǎng)元和所述第一密鑰管理中心之間建立有安全信道；所述第一密鑰管理中心所述步驟A時(shí)，所述密鑰分發(fā)方法還包括：將所述業(yè)務(wù)密鑰通過所述安全信道發(fā)送至所述第二網(wǎng)元。9.根據(jù)權(quán)利要求1所述的密鑰分發(fā)方法，其特征在于，所述第一GBApush消息中攜帶有所述第一網(wǎng)元的身份標(biāo)識(shí)。10.根據(jù)權(quán)利要求9所述的密鑰分發(fā)方法，其特征在于，所述第一GBApush消息包括第一GPI消息，其中，所述第一GPI消息攜帶有所述第一網(wǎng)元的身份標(biāo)識(shí)；或者，所述第一GBApush消息包括第一GPL消息，所述第一GPL消息中攜帶
\t有所述第一網(wǎng)元的身份標(biāo)識(shí)，或者攜帶有所述第一網(wǎng)元的身份標(biāo)識(shí)以及所述身份標(biāo)識(shí)的長(zhǎng)度信息。11.根據(jù)權(quán)利要求3、5、6、7、9中任一項(xiàng)所述的密鑰分發(fā)方法，其特征在于，所述身份標(biāo)識(shí)包括IMSI，GUTI，IMPI，TMSI，TMPI，IMPU，ServiceID，sessionID，網(wǎng)絡(luò)ID，鏈路ID，AppID，網(wǎng)關(guān)ID中的至少一個(gè)。12.根據(jù)權(quán)利要求1所述的密鑰分發(fā)方法，其特征在于，所述第一密鑰管理中心獲取所述第一網(wǎng)元的應(yīng)用服務(wù)器NAF密鑰，之前還包括：所述第一密鑰管理中心接收發(fā)起端發(fā)送的通信請(qǐng)求，所述通信請(qǐng)求用于申請(qǐng)用于所述第一網(wǎng)元和第二網(wǎng)元進(jìn)行數(shù)據(jù)通信的業(yè)務(wù)密鑰，所述發(fā)起端為所述第一網(wǎng)元和所述第二網(wǎng)元中的數(shù)據(jù)發(fā)送端，所述通信請(qǐng)求包括第一網(wǎng)元的身份標(biāo)識(shí)和第二網(wǎng)元的身份標(biāo)識(shí)。13.根據(jù)權(quán)利要求1所述的密鑰分發(fā)方法，其特征在于，所述第一GBApush消息中還包括所述業(yè)務(wù)密鑰的標(biāo)識(shí)信息，所述標(biāo)識(shí)信息包括用于指示所述業(yè)務(wù)密鑰的有效期的時(shí)間、第一網(wǎng)元的身份標(biāo)識(shí)、第二網(wǎng)元的身份標(biāo)識(shí)以及serviceID的至少一種；所述serviceID用于指示所述業(yè)務(wù)密鑰用于所述serviceID對(duì)應(yīng)的業(yè)務(wù)。14.一種密鑰接收方法，其特征在于，包括：第一網(wǎng)元接收密鑰管理中心發(fā)送的第一GBApush消息，所述第一GBApush消息攜帶有所述第一網(wǎng)元的第一安全保護(hù)參數(shù)和第一NAF密鑰的信息；所述第一網(wǎng)元根據(jù)所述第一NAF密鑰的信息計(jì)算出第一NAF密鑰；所述第一網(wǎng)元根據(jù)所述第一NAF密鑰對(duì)所述第一安全保護(hù)參數(shù)解密，獲得業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用于所述第一網(wǎng)元和第二網(wǎng)元通信時(shí)對(duì)通信數(shù)據(jù)的加密和/或完整性保護(hù)。15.根據(jù)權(quán)利要求14所述的密鑰接收方法，其特征在于，所述第一GBApush消息還攜帶有第二GBApush消息，或者，所述第一網(wǎng)元還接收密鑰管理中心發(fā)送的第二GBApush消息，所述第二GBApush消息包括所述第二網(wǎng)元的第二安全保護(hù)參數(shù)和第二NAF密鑰的信息；所述第二網(wǎng)元的NAF密鑰的信息為獲取所述第二網(wǎng)元的NAF密鑰所需的信息，所述第二安全保護(hù)參數(shù)為所述密鑰管理中心采用所述第二網(wǎng)元的NAF密鑰對(duì)所述業(yè)務(wù)密鑰進(jìn)行加密和
\t/或完整性保護(hù)生成的；所述密鑰接收方法還包括：將所述第二GBApush消息發(fā)送至所述第二網(wǎng)元。16.根據(jù)權(quán)利要求15所述的密鑰接收方法，其特征在于，所述第二GBApush消息還攜帶有所述第二網(wǎng)元的身份標(biāo)識(shí)；所述將所述第二GBApush消息發(fā)送至所述第二網(wǎng)元，包括：獲取所述第二GBApush消息中的所述第二網(wǎng)元的身份標(biāo)識(shí)；將所述第二GBApush消息發(fā)送至所述身份標(biāo)識(shí)所對(duì)應(yīng)的第二網(wǎng)元。17.根據(jù)權(quán)利要求14所述的密鑰接收方法，其特征在于，所述第一網(wǎng)元接收密鑰管理中心發(fā)送的第一GBApush消息，之前還包括：所述第一網(wǎng)元向所述密鑰管理中心發(fā)送通信請(qǐng)求，所述通信請(qǐng)求用于申請(qǐng)所述第一網(wǎng)元和所述第二網(wǎng)元的業(yè)務(wù)密鑰；所述通信請(qǐng)求包括所述第一網(wǎng)元的身份標(biāo)識(shí)、所述第二網(wǎng)元的身份標(biāo)識(shí)和serviceID。18.一種密鑰接收方法，其特征在于，包括：第二網(wǎng)元接收第一網(wǎng)元發(fā)送的第二GBApush消息，所述第二GBApush消息攜帶有所述第二網(wǎng)元的第二安全保護(hù)參數(shù)和第二NAF密鑰的信息；所述第二網(wǎng)元根據(jù)所述第二NAF密鑰的信息計(jì)算第二NAF密鑰；所述第二網(wǎng)元根據(jù)所述第二NAF密鑰對(duì)所述第二安全保護(hù)參數(shù)解密，獲得業(yè)務(wù)密鑰，所述業(yè)務(wù)密鑰用于所述第一網(wǎng)元和所述...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：張博，甘露，菲利普·金茲伯格，
申請(qǐng)(專利權(quán))人：華為技術(shù)有限公司，
類型：發(fā)明
國(guó)別省市：廣東;44

全部詳細(xì)技術(shù)資料下載我是這個(gè)專利的主人

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條評(píng)論

還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。

發(fā)布您的意見

相關(guān)領(lǐng)域技術(shù)

密鑰分發(fā)技術(shù)

量子密鑰分發(fā)技術(shù)

密鑰分發(fā)中心技術(shù)

量子密鑰分發(fā)技術(shù)技術(shù)

kdc分發(fā)密鑰技術(shù)

密鑰分發(fā)器技術(shù)

樣品接收分發(fā)操作規(guī)程技術(shù)