[go: up one dir, main page]

CN103987037A - 一种保密通信实现方法及装置 - Google Patents

一种保密通信实现方法及装置 Download PDF

Info

Publication number
CN103987037A
CN103987037A CN201410231671.9A CN201410231671A CN103987037A CN 103987037 A CN103987037 A CN 103987037A CN 201410231671 A CN201410231671 A CN 201410231671A CN 103987037 A CN103987037 A CN 103987037A
Authority
CN
China
Prior art keywords
key
encrypted
random number
instant message
network equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410231671.9A
Other languages
English (en)
Inventor
姚进华
梁兵杰
武兴
秦卓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Datang Mobile Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Mobile Communications Equipment Co Ltd filed Critical Datang Mobile Communications Equipment Co Ltd
Priority to CN201410231671.9A priority Critical patent/CN103987037A/zh
Publication of CN103987037A publication Critical patent/CN103987037A/zh
Priority to EP15800408.5A priority patent/EP3151597B1/en
Priority to PCT/CN2015/079985 priority patent/WO2015180654A1/zh
Priority to US15/314,232 priority patent/US9871656B2/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供一种保密通信实现方法及装置,用以实现IMS体系中主叫UE与被叫UE的安全会话,防止会话过程中会话消息被窃听。本发明方法包括:网络侧设备接收UE发送的第一鉴权信息,根据第一鉴权信息对该UE的保密模块进行鉴权;生成该UE对应的传输密钥以及第二鉴权信息,并利用该UE对应的初始密钥对传输密钥进行加密,将第二鉴权信息以及加密后的传输密钥发送给该UE;生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,利用该主叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该主叫UE,以及利用该被叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该被叫UE。

Description

一种保密通信实现方法及装置
技术领域
本发明涉及通信领域,尤其涉及一种保密通信实现方法及装置。
背景技术
随着4G网络技术的成熟和大规模应用,IP多媒体子系统(IP MultimediaSub System,IMS)的技术体制凭借其固有的接入无关性、业务与控制的分离等优势,基于IMS技术的IP的语音传输(Voice over IP,VoIP)通话业务在移动互联网上得到了更加广泛的应用。
按照标准的IMS体系架构,该系统中呼叫会话控制功能(Call SessionControl Function,CSCF)作为用户注册服务器为用户设备UE提供注册服务,在呼叫和短信业务中为UE提供路由及触发控制,应用服务器(ApplicationServer,AS)对UE进行业务处理。CSCF按照其功能的不同可划分为三个不同的逻辑实体:
代理CSCF(Proxy-CSCF,P-CSCF):P-CSCF是UE访问IMS的入口点,是用户接口处理器(Subscriber Interface Processor,SIP)的代理服务器,具有转发双向信令流的功能。
查询CSCF(Interrogating CSCF,I-CSCF):I-CSCF为UE提供通往该UE的归属网络的入口,并将归属网络的拓扑对其它网络隐藏起来。
服务CSCF(Serving CSCF,S-CSCF):S-CSCF是IMS域的核心,对UE进行会话控制,并维护业务需要的会话状态。
P-CSCF、I-CSCF以及S-CSCF三个逻辑实体根据应用场景可分可合。当网络服务的UE数量比较少时,可将这三个逻辑实体合并为一个逻辑实体。以下为便于描述,将这三个逻辑实体合称为CSCF,CSCF的功能涵盖这三个逻辑实体的所有功能。
在IMS体系架构中,会话业务的主要业务流程包括IMS注册流程和IMS呼叫流程,如图1所示,标准IMS注册流程如下:
S101、UE向CSCF发送携带有该UE的用户标识的用户注册请求消息;
S102、CSCF向UE发送挑战响应消息,该挑战响应消息中携带随机数RAND、认证向量AUTN(包括MAC、SQN),以指示UE对IMS网络进行鉴权;
S103、UE接收到CSCF发送的挑战响应消息后,对IMS网络进行鉴权;具体鉴权方法包括:UE根据3GPP TS 33.102的处理过程计算出期待消息认证码(Expect Message Authentication Code,XMAC)值,当该XMAC值与挑战响应消息中携带的MAC值相同,且序列号(Sequence Number,SQN)在预设的取值范围内时,确定对IMS网络鉴权通过;鉴权通过后,UE根据随机数RAND和自身密钥IK计算出响应值RES;
S104、UE重新向CSCF发送携带有响应值RES的用户注册请求;
S105、CSCF接收到UE重新发送的用户注册请求后,当用户注册请求中携带的响应值RES与本地保存的期待响应值XRES相同时,确定对UE鉴权通过;CSCF从归属用户服务器(Home Subscriber Server,HSS)获取该UE的用户数据,
S106、CSCF根据用户数据触发业务,发起AS的第三方注册;
S107、CSCF对UE注册成功后,向UE发送用户注册成功响应消息;
S108、AS接收到CSCF发送的第三方用户注册请求后,对该UE进行第三方用户注册处理;
S109、AS对该UE的第三方用户注册完成后,向CSCF发送第三方用户注册成功响应消息。
IMS注册流程完成后,UE便可以通过IMS网络发起呼叫、短信等IMS业务。
如图2所示,标准IMS呼叫流程如下:
S201、UE作为主叫UE向CSCF发送携带有主叫UE的用户标识和被叫UE的用户标识的呼叫请求消息;
S202、CSCF接收到呼叫请求消息后,根据主叫UE和被叫UE的用户数据进行业务触发,将该呼叫请求消息转发至AS;CSCF根据被叫UE注册时所携带的地址信息将呼叫请求消息发送至被叫UE;
S203、被叫UE接收到呼叫请求消息后,通过CSCF和AS将呼叫响应消息发送给主叫UE;
S204、被叫UE摘机后,通过CSCF和AS将摘机请求消息发送给主叫UE;
S205、主叫UE接收到摘机请求消息后,通过CSCF和AS将摘机响应消息发送给被叫UE;
至此,主叫UE和被叫UE之间的会话建立,主叫UE和被叫UE之间可以进行正常通话过程;
S206、主叫UE和被叫UE之间通话结束后,主叫UE挂机,并通过CSCF和AS将挂机请求消息发送给被叫UE;
S207、被叫UE接收到挂机请求消息后,被叫UE挂机,并通过CSCF和AS将挂机响应消息发送给主叫UE。
在上述IMS注册流程和IMS呼叫流程中,由于只关注会话业务的实现,对于主叫UE与被叫UE间的会话过程中的会话消息无法提供安全有效的保护。如图3所示,在主叫UE与被叫UE间的会话过程中,由于此时的会话消息为未经过加密处理的明文会话消息,主叫UE与被叫UE间的通话内容完全暴露,使得会话消息很容易被非法监听设备所窃听,会话过程存在着极大的安全隐患。
发明内容
本发明提供一种保密通信实现方法及装置,用以实现IMS体系中主叫UE与被叫UE的安全会话,防止会话过程中会话消息被窃听。
本发明实施例提供一种保密通信实现方法,该方法包括:
网络侧设备接收用户设备UE发送的第一鉴权信息,根据第一鉴权信息对该UE的保密模块进行鉴权;
当对该UE的保密模块鉴权通过时,网络侧设备生成该UE对应的传输密钥以及第二鉴权信息,并利用该UE对应的初始密钥对传输密钥进行加密,将第二鉴权信息以及加密后的传输密钥发送给该UE,其中,第二鉴权信息用于该UE对网络侧设备进行鉴权;
当该UE利用第二鉴权信息对网络侧设备鉴权通过后,网络侧设备接收到该UE作为主叫UE发送的会话建立请求时,网络侧设备生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,利用该主叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该主叫UE,以及利用该被叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该被叫UE。
从上述方法可以看出,网络侧设备对UE进行鉴权,并向UE发送第二鉴权信息以指示UE对网络侧设备进行鉴权,实现了网络侧设别与UE之间的双向鉴权,在此过程中,网络侧设备将UE对应的传输密钥发送给该UE;在双向鉴权之后,网络侧设备分别将利用主叫UE和被叫UE对应的传输密钥加密后的会话密钥发送给对应的主叫UE和被叫UE,以便主叫UE和被叫UE在会话过程中利用会话密钥对会话消息进行加密并传输,进而实现IMS体系中主叫UE与被叫UE的安全会话,防止会话过程中会话消息被窃听。
较佳地,第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
这样,以便网路侧设备根据第一鉴权信息对该UE的保密模块进行鉴权。
较佳地,网络侧设备根据第一鉴权信息对该UE的保密模块进行鉴权,包括:
根据用户标识确定本地用户口令哈希值,并且当本地用户口令哈希值与第一鉴权信息中的用户口令哈希值相同时,利用本地该UE对应的初始密钥对随机数进行加密,当利用本地该UE对应的初始密钥加密后的随机数与第一鉴权信息中的加密随机数相同时,根据用户口令计算加密随机数对应的MAC值,当该MAC值与第一鉴权信息中MAC值相同时,确定对UE的保密模块鉴权通过。
这样,实现了网络侧设备对UE的保密模块的鉴权过程。
较佳地,网络侧设备生成第二鉴权信息,包括:
利用本地该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到加密传输密钥;
根据用户口令计算加密传输密钥对应的MAC值,并将MAC值作为第二鉴权信息。
这样,以便UE根据网络侧设备生成的第二鉴权信息,对网络侧设备进行鉴权。
较佳地,网络侧设备在生成该UE对应的传输密钥后,该方法还包括:
建立传输密钥与该传输密钥对应的UE的用户标识之间的对应关系;
利用该UE的用户口令,对该UE对应的传输密钥进行加密,并保存加密后的传输密钥、以及对应关系。
这样,以便后续网络侧设备根据UE的用户标识查找本地保存的该UE对应的传输密钥。
较佳地,该方法还包括:
当UE发起即时消息业务时,网络侧设备接收该UE作为主叫UE发送的加密第一随机数和加密即时消息,其中,第一随机数由主叫UE随机生成,加密第一随机数由主叫UE利用本端对应的传输密钥对第一随机数进行加密得到,加密即时消息由主叫UE利用本端对应的传输密钥和第一随机数对即时消息进行加密得到;
网络侧设备利用主叫UE对应的传输密钥对加密第一随机数进行解密,利用主叫UE对应的传输密钥和第一随机数对加密即时消息进行解密;
网络侧设备生成即时消息密钥,并利用被叫UE对应的传输密钥对即时消息密钥进行加密得到加密即时消息密钥,利用即时消息密钥对即时消息进行加密得到加密即时消息;
网络侧设备将加密即时消息密钥和加密即时消息发送给被叫UE。
这样,实现了网路侧设备对UE发起的即时消息业务进行保密处理。
本发明实施例提供一种保密通信实现方法,该方法包括:
用户设备UE生成第一鉴权信息,并将第一鉴权信息发送给网络侧设备,其中,第一鉴权信息用于网络侧设备对该UE的保密模块进行鉴权;
UE接收网络侧设备发送的第二鉴权信息以及加密后的传输密钥,根据第二鉴权信息对网络侧设备进行鉴权,其中,加密后的传输密钥为网络侧设备利用该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到的;
UE利用该UE对应的初始密钥对加密后的传输密钥进行解密;
当UE利用第二鉴权信息对网络侧设备鉴权通过后,UE作为主叫UE向网络侧设备发送会话建立请求;
UE接收网络侧设备发送的加密会话密钥,利用解密后得到的传输密钥对加密会话密钥进行解密;
利用解密后得到的会话密钥对本端UE与对端UE之间传输的会话消息进行加密并传输。
从上述方法可以看出,UE向网络侧设备发送第一鉴权信息,以指示网络侧设备对UE进行鉴权,并根据网络侧设备发送的第二鉴权信息对网络侧设备进行鉴权,实现了网络侧设别与UE之间的双向鉴权,在此过程中,UE接收并解密网络侧设备发送的该UE对应的传输密钥,以便后续UE根据传输密钥对加密后的会话密钥进行解密;在双向鉴权之后,主叫UE和被叫UE分别接收网络侧设备发送的加密后的会话密钥,以便主叫UE和被叫UE在会话过程中利用会话密钥对会话消息进行加密并传输,进而实现IMS体系中主叫UE与被叫UE的安全会话,防止会话过程中会话消息被窃听。
较佳地,第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
这样,以便指示网路侧设备根据第一鉴权信息对该UE的保密模块进行鉴权。
较佳地,第二鉴权信息包括网络侧设备根据用户口令计算的加密传输密钥对应的MAC值,其中,加密传输密钥为网络侧设备利用本地该UE对应的初始密钥对该UE对应的传输密钥进行加密得到的。
这样,以便UE根据第二鉴权信息对网络侧设备进行鉴权。
较佳地,UE根据第二鉴权信息对网络侧设备进行鉴权,包括:
根据用户口令计算加密传输密钥对应的MAC值,并且当本地计算的MAC值与第二鉴权信息中的MAC值相同时,确定对网络侧设备鉴权通过。
这样,实现了UE对网络侧设备的鉴权过程。
较佳地,UE在利用该UE对应的初始密钥对加密后的传输密钥进行解密后,该方法还包括:
利用该UE的用户口令,对解密后的传输密钥进行加密,并保存加密后的传输密钥。
这样,以便UE根据本地保存的传输密钥对网络侧设备发送的加密后的会话密钥进行解密,得到用于本端UE与对端UE会话过程中对会话消息进行加密的会话密钥。
较佳地,该方法还包括:
当UE作为主叫UE发起即时消息业务时,主叫UE随机生成第一随机数,并利用本端对应的传输密钥对第一随机数进行加密得到加密第一随机数,利用本端对应的传输密钥和第一随机数对即时消息进行加密得到加密即时消息;
主叫UE将加密第一随机数和加密即时消息发送给网络侧设备;
被叫UE接收网络侧设备发送的加密即时消息密钥和加密即时消息,其中,即时消息密钥由网络侧设备生成,加密即时消息密钥由网络侧设备利用被叫UE对应的传输密钥对即时消息密钥进行加密得到,加密即时消息由网络侧设备利用即时消息密钥对即时消息进行加密得到;
被叫UE利用本端对应的传输密钥对加密即时消息密钥进行解密得到即时消息密钥,利用即时消息密钥对加密即时消息进行解密得到即时消息。
这样,实现了对UE发起的即时消息业务进行保密处理。
本发明实施例提供一种保密通信实现装置,该装置包括:
模块鉴权单元,用于接收用户设备UE发送的第一鉴权信息,根据第一鉴权信息对该UE的保密模块进行鉴权;
信息处理单元,用于对该UE的保密模块鉴权通过时,生成该UE对应的传输密钥以及第二鉴权信息,并利用该UE对应的初始密钥对传输密钥进行加密,将第二鉴权信息以及加密后的传输密钥发送给该UE,其中,第二鉴权信息用于该UE对网络侧设备进行鉴权;
会话请求处理单元,用于当UE利用第二鉴权信息对网络侧设备鉴权通过后,接收到该UE作为主叫UE发送的会话建立请求时,生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,利用该主叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该主叫UE,以及利用该被叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该被叫UE。
较佳地,第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
这样,以便模块鉴权单元根据第一鉴权信息对该UE的保密模块进行鉴权。
较佳地,模块鉴权单元在根据第一鉴权信息对该UE的保密模块进行鉴权时,具体用于:
根据用户标识确定本地用户口令哈希值,并且当本地用户口令哈希值与第一鉴权信息中的用户口令哈希值相同时,利用本地该UE对应的初始密钥对随机数进行加密,当利用本地该UE对应的初始密钥加密后的随机数与第一鉴权信息中的加密随机数相同时,根据用户口令计算加密随机数对应的MAC值,当该MAC值与第一鉴权信息中MAC值相同时,确定对UE的保密模块鉴权通过。
这样,实现了模块鉴权单元对UE的保密模块的鉴权过程。
较佳地,信息处理单元在生成第二鉴权信息时,具体用于:
利用本地该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到加密传输密钥;
根据用户口令计算加密传输密钥对应的MAC值,并将MAC值作为第二鉴权信息。
这样,以便UE根据网络侧设备生成的第二鉴权信息,对网络侧设备进行鉴权。
较佳地,信息处理单元在生成该UE对应的传输密钥后,还用于:
建立传输密钥与该传输密钥对应的UE的用户标识之间的对应关系;
利用该UE的用户口令,对该UE对应的传输密钥进行加密,并保存加密后的传输密钥、以及对应关系。
这样,以便后续根据UE的用户标识查找本地保存的该UE对应的传输密钥。
较佳地,该装置还包括:
即时业务处理单元,用于当UE发起即时消息业务时,接收该UE作为主叫UE发送的加密第一随机数和加密即时消息,其中,第一随机数由主叫UE随机生成,加密第一随机数由主叫UE利用本端对应的传输密钥对第一随机数进行加密得到,加密即时消息由主叫UE利用本端对应的传输密钥和第一随机数对即时消息进行加密得到;
利用主叫UE对应的传输密钥对加密第一随机数进行解密,利用主叫UE对应的传输密钥和第一随机数对加密即时消息进行解密;
生成即时消息密钥,并利用被叫UE对应的传输密钥对即时消息密钥进行加密得到加密即时消息密钥,利用即时消息密钥对即时消息进行加密得到加密即时消息;
将加密即时消息密钥和加密即时消息发送给被叫UE。
这样,实现了对UE发起的即时消息业务进行保密处理。
本发明实时例提供一种保密通信实现装置,该装置包括:
第一信息处理单元,用于生成第一鉴权信息,并将第一鉴权信息发送给网络侧设备,其中,第一鉴权信息用于网络侧设备对该UE的保密模块进行鉴权;
第二信息处理单元,用于接收网络侧设备发送的第二鉴权信息以及加密后的传输密钥,根据第二鉴权信息对网络侧设备进行鉴权,其中,加密后的传输密钥网络侧设备利用该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到的;利用该UE对应的初始密钥对加密后的传输密钥进行解密;
会话请求处理单元,用于当利用第二鉴权信息对网络侧设备鉴权通过后,向网络侧设备发送会话建立请求;接收网络侧设备发送的加密会话密钥,利用解密后得到的传输密钥对加密会话密钥进行解密;利用解密后得到的会话密钥对本端UE与对端UE之间传输的会话消息进行加密并传输。
较佳地,第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
这样,以便指示网路侧设备根据第一鉴权信息对该UE的保密模块进行鉴权。
较佳地,第二鉴权信息包括网络侧设备根据用户口令计算的加密传输密钥对应的MAC值,其中,加密传输密钥为网络侧设备利用本地该UE对应的初始密钥对该UE对应的传输密钥进行加密得到的。
这样,以便UE根据第二鉴权信息对网络侧设备进行鉴权。
较佳地,第二信息处理单元在根据第二鉴权信息对网络侧设备进行鉴权时,具体用于:
根据用户口令计算加密传输密钥对应的MAC值,并且当本地计算的MAC值与第二鉴权信息中的MAC值相同时,确定对网络侧设备鉴权通过。
这样,实现了第二信息处理单元对网络侧设备的鉴权过程。
较佳地,第二信息处理单元在利用该UE对应的初始密钥对加密后的传输密钥进行解密后,还用于:
利用该UE的用户口令,对解密后的传输密钥进行加密,并保存加密后的传输密钥。
这样,以便根据本地保存的传输密钥对网络侧设备发送的加密后的会话密钥进行解密,得到用于本端UE与对端UE会话过程中对会话消息进行加密的会话密钥。
较佳地,该装置还包括:
即时业务处理单元,用于当发起即时消息业务时,随机生成第一随机数,并利用本端对应的传输密钥对第一随机数进行加密得到加密第一随机数,利用本端对应的传输密钥和第一随机数对即时消息进行加密得到加密即时消息;
将加密第一随机数和加密即时消息发送给网络侧设备;
接收网络侧设备发送的加密即时消息密钥和加密即时消息,其中,即时消息密钥由网络侧设备生成,加密即时消息密钥由网络侧设备利用被叫UE对应的传输密钥对即时消息密钥进行加密得到,加密即时消息由网络侧设备利用即时消息密钥对即时消息进行加密得到;
利用本端对应的传输密钥对加密即时消息密钥进行解密得到即时消息密钥,利用即时消息密钥对加密即时消息进行解密得到即时消息。
这样,实现了对UE发起的即时消息业务进行保密处理。
附图说明
图1为标准IMS注册流程示意图;
图2为标准IMS呼叫流程示意图;
图3为基于IMS的会话过程被窃听的原理示意图;
图4为本发明实施例提供的一种保密通信实现方法流程示意图;
图5为本发明实施例提供的一种保密通信实现方法流程示意图;
图6为本发明实施例提供的基于IMS的保密通信系统中的用户保密注册流程示意图;
图7为本发明实施例提供的基于IMS的保密通信系统中的保密会话流程示意图;
图8为本发明实施例提供的基于IMS的保密通信系统中的加密即时消息业务流程示意图;
图9为本发明实施例提供的一种保密通信实现装置结构示意图;
图10为本发明实施例提供的一种保密通信实现装置结构示意图。
具体实施方式
本发明实施例提供一种保密通信实现方法及装置,用以实现IMS体系中主叫UE与被叫UE的安全会话,防止会话过程中会话消息被窃听。
如图4所示,在网络侧,本发明实施例提供了一种保密通信实现方法,该方法包括:
S41、网络侧设备接收用户设备UE发送的第一鉴权信息,根据第一鉴权信息对该UE的保密模块进行鉴权;
S42、当对该UE的保密模块鉴权通过时,网络侧设备生成该UE对应的传输密钥以及第二鉴权信息,并利用该UE对应的初始密钥对传输密钥进行加密,将第二鉴权信息以及加密后的传输密钥发送给该UE,其中,第二鉴权信息用于该UE对网络侧设备进行鉴权;
S43、当UE利用第二鉴权信息对网络侧设备鉴权通过后网络侧设备接收到该UE作为主叫UE发送的会话建立请求时,网络侧设备生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,利用该主叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该主叫UE,以及利用该被叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该被叫UE。
较佳地,在步骤S41中,第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
较佳地,在步骤S41中,网络侧设备根据第一鉴权信息对该UE的保密模块进行鉴权,包括:
根据用户标识确定本地用户口令哈希值,并且当本地用户口令哈希值与第一鉴权信息中的用户口令哈希值相同时,利用本地该UE对应的初始密钥对随机数进行加密,当利用本地该UE对应的初始密钥加密后的随机数与第一鉴权信息中的加密随机数相同时,根据用户口令计算加密随机数对应的MAC值,当该MAC值与第一鉴权信息中MAC值相同时,确定对UE的保密模块鉴权通过。
较佳地,在步骤S42中,网络侧设备生成第二鉴权信息,包括:
利用本地该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到加密传输密钥;
根据用户口令计算加密传输密钥对应的MAC值,并将MAC值作为第二鉴权信息。
较佳地,网络侧设备在生成该UE对应的传输密钥后,该方法还包括:
建立传输密钥与该传输密钥对应的UE的用户标识之间的对应关系;
利用该UE的用户口令,对该UE对应的传输密钥进行加密,并保存加密后的传输密钥、以及对应关系。
较佳地,该方法还包括:
当UE发起即时消息业务时,网络侧设备接收该UE作为主叫UE发送的加密第一随机数和加密即时消息,其中,第一随机数由主叫UE随机生成,加密第一随机数由主叫UE利用本端对应的传输密钥对第一随机数进行加密得到,加密即时消息由主叫UE利用本端对应的传输密钥和第一随机数对即时消息进行加密得到;
网络侧设备利用主叫UE对应的传输密钥对加密第一随机数进行解密,利用主叫UE对应的传输密钥和第一随机数对加密即时消息进行解密;
网络侧设备生成即时消息密钥,并利用被叫UE对应的传输密钥对即时消息密钥进行加密得到加密即时消息密钥,利用即时消息密钥对即时消息进行加密得到加密即时消息;
网络侧设备将加密即时消息密钥和加密即时消息发送给被叫UE。
如图5所示,在UE侧,本发明实施例提供了一种保密通信实现方法,该方法包括:
S51、用户设备UE生成第一鉴权信息,并将第一鉴权信息发送给网络侧设备,其中,第一鉴权信息用于网络侧设备对该UE的保密模块进行鉴权;
S52、UE接收网络侧设备发送的第二鉴权信息以及加密后的传输密钥,根据第二鉴权信息对网络侧设备进行鉴权,其中,加密后的传输密钥为网络侧设备利用该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到的;
S53、UE利用该UE对应的初始密钥对加密后的传输密钥进行解密;
S54、当UE利用第二鉴权信息对网络侧设备鉴权通过后,UE作为主叫UE向网络侧设备发送会话建立请求;
S55、UE接收网络侧设备发送的加密会话密钥,利用解密后得到的传输密钥对加密会话密钥进行解密;
S56、利用解密后得到的会话密钥对本端UE与对端UE之间传输的会话消息进行加密并传输。
较佳地,步骤S51中的第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
较佳地,步骤S52中的第二鉴权信息包括网络侧设备根据用户口令计算的加密传输密钥对应的MAC值,其中,加密传输密钥为网络侧设备利用本地该UE对应的初始密钥对该UE对应的传输密钥进行加密得到的。
较佳地,步骤S52中UE根据第二鉴权信息对网络侧设备进行鉴权,包括:
根据用户口令计算加密传输密钥对应的MAC值,并且当本地计算的MAC值与第二鉴权信息中的MAC值相同时,确定对网络侧设备鉴权通过。
较佳地,在步骤S53之后,该方法还包括:
利用该UE的用户口令,对解密后的传输密钥进行加密,并保存加密后的传输密钥。
较佳地,该方法还包括:
当UE作为主叫UE发起即时消息业务时,主叫UE随机生成第一随机数,并利用本端对应的传输密钥对第一随机数进行加密得到加密第一随机数,利用本端对应的传输密钥和第一随机数对即时消息进行加密得到加密即时消息;
主叫UE将加密第一随机数和加密即时消息发送给网络侧设备;
被叫UE接收网络侧设备发送的加密即时消息密钥和加密即时消息,其中,即时消息密钥由网络侧设备生成,加密即时消息密钥由网络侧设备利用被叫UE对应的传输密钥对即时消息密钥进行加密得到,加密即时消息由网络侧设备利用即时消息密钥对即时消息进行加密得到;
被叫UE利用本端对应的传输密钥对加密即时消息密钥进行解密得到即时消息密钥,利用即时消息密钥对加密即时消息进行解密得到即时消息。
本发明实施例中基于IMS的保密通信系统中涉及三种密钥,分别为初始密钥、传输密钥以及会话密钥,下面结合具体实施例详细说明本发明实施例提出的保密通信实现方法。本发明实施例中主叫UE与被叫UE之间传输的会话消息可以是媒体流,该会话消息也可以为其它形式。
实施例一:用户保密注册流程。
如图6所示,本发明实施例中基于IMS的保密通信系统中的用户保密注册流程如下:
S601、与标准IMS用户注册流程相同,UE发起IMS用户注册请求后,在CSCF的控制下完成标准IMS注册;
S602、CSCF向保密业务服务器(Encrypt Application Server,EAS)发起第三方注册;
S603、EAS完成第三方注册后,EAS向CSCF发送第三方注册响应,以指示第三方注册完成;
S604、CSCF向UE发送用户注册响应消息,以通知UE保密业务注册成功;
S605、UE接收到用户注册响应消息后,通过CSCF和EAS向KMC发送携带有第一鉴权信息的保密模块鉴权请求消息,以指示KMC对该UE的保密模块进行鉴权;
其中,该第一鉴权信息包括该UE的用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码消息认证码(Message Authentication Code,MAC)值,其中,该加密随机数为利用该UE对应的初始密钥加密后的随机数;
S606、KMC接收到携带有第一鉴权信息的保密模块鉴权请求消息后,根据第一鉴权信息对对该UE的保密模块进行鉴权;
KMC对该UE的保密模块进行鉴权的步骤包括:
KMC根据第一鉴权信息中的用户标识确定本地用户口令哈希值,并判断该本地用户口令哈希值与第一鉴权信息中的用户口令哈希值是否相同;如果不相同,则KMC对该UE的保密模块鉴权失败;否则,
KMC利用本地该UE对应的初始密钥对随机数进行加密,并判断利用本地该UE对应的初始密钥加密后的随机数与第一鉴权信息中的加密随机数是否相同;如果不相同,则KMC对该UE的保密模块鉴权失败;否则,
KMC根据用户口令计算加密随机数对应的MAC值,并判断该MAC值与第一鉴权信息中的MAC值是否相同;如果不相同,则KMC对该UE的保密模块鉴权失败;否则,KMC确定对该UE的保密模块鉴权通过。
S607、KMC确定对该UE的保密模块鉴权通过后,生成第二鉴权信息和该UE对应的传输密钥,并利用该UE对应的初始密钥对该传输密钥进行加密;
其中,第二鉴权信息用于该UE对网络侧设备进行鉴权,KMC生成第二鉴权信息的方法包括:KMC利用本地该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到加密传输密钥;根据该UE的用户口令计算加密传输密钥对应的MAC值,并将该MAC值作为第二鉴权信息。
S608、KMC在生成该UE对应的传输密钥之后,对该传输密钥进行加密并保存;
其中,KMC对该传输密钥进行加密并保存的方法包括:KMC建立该传输密钥与该传输密钥对应的UE的用户标识之间的对应关系;利用该UE的用户口令,对该UE对应的传输密钥进行加密,并保存加密后的传输密钥、以及该对应关系。
S609、KMC通过CSCF和EAS将第二鉴权信息以及加密后的传输密钥发送给该UE;
S610、UE接收到第二鉴权信息以及加密后的传输密钥后,根据第二鉴权信息对网络侧设备进行鉴权;
其中,UE根据第二鉴权信息对网络侧设备进行鉴权的方法包括:UE根据用户口令计算加密后的传输密钥对应的MAC值,并判断该MAC值与第二鉴权信息中的MAC值是否相同;如果不相同,则UE确定对网络侧设备鉴权失败;否则,UE确定对网络侧设备鉴权通过。
S611、在UE确定对网络侧设备鉴权通过之后,UE利用该UE对应的初始密钥对加密后的传输密钥进行解密,利用该UE的用户口令,对解密后的传输密钥进行加密,并保存加密后的传输密钥,供后续本端UE与对端UE进行保密会话过程中使用。
图6所示的上述用户保密注册流程中涉及的UE对应的初始密钥,UE与网络侧设备均可通过纸质、短信或者邮件的方式预先获取并保存该UE对应的初始密钥,UE与网络侧设备不可以明文(未加密)的方式保存UE对应的初始密钥;为提高系统的安全性,UE或网络侧设备在保存UE对应的初始密钥时,可以利用UE的用户口令对该UE对应的初始密钥进行加密并保存。
为了保证保密通信系统的安全性,需要当UE的保密模块安全性低时(管理人员对UE的保密模块进行安全性判定)、或者周期性地对UE和KMC中保存的初始密钥组进行动态更新。如果UE的保密模块在非安全环境下,系统可以对KMC中UE对应的加密初始密码组、以及UE侧的加密初始密码组进行远程销毁。
图6所示的上述用户保密注册流程涉及密钥的分发、保存以及UE与网络侧之间的双向鉴权,进而提高了基于IMS的保密通信过程的安全性。
实施例二:保密会话流程。
如图7所示,本发明实施例中基于IMS的保密通信系统中的保密会话流程如下:
S701、主叫UE通过CSCF和EAS将携带有主叫UE的用户标识和被叫UE的用户标识的保密会话请求消息发送给KMC;
S702、KMC接收到保密会话请求消息后,KMC生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,并利用该主叫UE对应的传输密钥对会话密钥进行加密,根据被叫UE的用户标识查找到本地保存的该被叫UE对应的传输密钥,并利用该被叫UE对应的传输密钥对会话密钥进行加密;
S703、KMC将保密会话响应消息发送给EAS,该保密会话响应消息携带有利用主叫UE对应的传输密钥加密后的会话密钥,以及利用被叫UE对应的传输密钥加密后的会话密钥;
S704、EAS通过CSCF将携带有利用被叫UE对应的传输密钥加密后的会话密钥的保密会话响应消息发送给被叫UE;
S705、被叫UE接收到保密会话响应消息后,获取加密后的会话密钥,并利用被叫UE对应的传输密钥对加密后的会话密钥进行解密得到会话密钥;
S706、被叫UE通过CSCF将确认消息发送给EAS,以指示被叫UE成功获得本次保密会话的会话密钥;
S707、EAS接收到被叫UE发送的确认消息后,通过CSCF将携带有利用主叫UE对应的传输密钥加密后的会话密钥的保密会话响应消息;
S708、主叫UE接收到保密会话响应消息后,获取加密后的会话密钥,并利用主叫UE对应的传输密钥对加密后的会话密钥进行解密得到会话密钥;
至此,主叫UE和被叫UE均已获取由KMC产生的此次保密通话的会话密钥,主叫UE和被叫UE开始保密会话过程。
S709、主叫UE利用会话密钥对业务数据进行加密;
S710、主叫UE通过CSCF和EAS将加密后的业务数据发送给被叫UE;
S711、被叫UE接收主叫UE发送的加密业务数据,并利用会话密钥对加密业务数据进行解密,获得本次业务数据;
被叫UE向主叫UE发送业务数据的过程与步骤S708和S710相同,此处不再赘述。
在主叫UE和被叫UE的保密会话过程中,除主叫UE和被叫UE可以正常获取对端发送的业务数据外,中间设备(包括CSCF和EAS)由于没有本次保密会话的会话密钥,无法获取业务数据,因此极大地提高了保密会话的安全性。
S712、当本次加密会话结束时,主叫UE通过CSCF和EAS向被叫UE发送保密会话结束请求;
S713、当被叫UE接收到保密会话结束请求后,通过CSCF和EAS向主叫UE发送保密会话结束响应,以指示主叫UE此次保密会话结束;
实施例三:加密即时消息业务流程。
如图8所示,本发明实施例中基于IMS的保密通信系统中的加密即时消息业务流程如下:
S801、当主叫UE发起即时消息业务时,主叫UE随机生成第一随机数,并利用本端对应的传输密钥对第一随机数进行加密得到加密第一随机数,利用本端对应的传输密钥和第一随机数对即时消息进行加密得到加密即时消息;
S802、主叫UE通过CSCF和EAS将加密第一随机数和加密即时消息发送给KMC;
S803、KMC接收到加密第一随机数和加密即时消息后,利用主叫UE对应的传输密钥对加密第一随机数进行解密,利用主叫UE对应的传输密钥和第一随机数对加密即时消息进行解密,得到即时消息;
S804、KMC生成即时消息密钥,并利用被叫UE对应的传输密钥对即时消息密钥进行加密得到加密即时消息密钥,利用即时消息密钥对即时消息进行加密得到加密即时消息;
S805、KMC通过CSCF和EAS将加密即时消息密钥和加密即时消息发送给被叫UE;
S806、被叫UE接收到加密即时消息密钥和加密即时消息后,被叫UE利用本端对应的传输密钥对加密即时消息密钥进行解密得到即时消息密钥,利用即时消息密钥对加密即时消息进行解密得到即时消息。
实施例四:EAS和UE之间的接口规范。
在上述实施例一至实施例三中,EAS和UE之间的通信协议为SIP协议,扩展消息头为P-Special-Service,该消息头用于存放扩展的业务数据,由具体业务需求确定在请求或响应中是否扩展该消息头。
P-Special-Service中可包含多个参数,每个参数的格式为:参数名=‘参数值’,参数名由字母组成,且区分字母大小写;参数值为文本字符串,不能包含“’”;参数之间使用“;”进行分隔,最后一个参数后不带“;”。P-Special-Service中定义了7个参数,实际操作时P-Special-Service携带的参数个数视具体业务消息而定。P-Special-Service中定义的7个参数如下:
P-Special-Service:serviceType=‘业务码’;userName=‘用户名’;password=‘口令Hash值’;RAND=‘随机数’;SQN=‘随机数加密串’;MAC=‘加密串MAC值’;key=‘密钥’
参数Type放置业务码定义:001用于表示鉴权;002用于表示密钥下发;003用于表示保密会话;004用于表示保密即时业务;005用于表示密钥更新;006用于表示密钥销毁;100用于表示保密业务注册失败;101密业务注册成功。
参数Key参数放置密钥,该密钥为原始密钥,即UE对应的初始密钥、UE对应的传输密钥以及UE对应的会话密钥,原始密钥为经过Base64编码后的文本数据,最大长度为172个字节。Base64编码的字符集为:26个字母及其大小写、或者数字0-9、或者+、/、=等符号。
P-Special-Service在不同业务消息中,其具体格式不同,如下:
实施例一中,在KMC对UE的保密模块进行鉴权过程中,UE向EAS发送的鉴权请求消息中包含的P-Special-Service的格式为:
P-Special-Service:serviceType=‘001’;userName=‘用户名’;password=‘口令Hash值’;RAND=‘随机数’;SQN=‘随机数加密串’;MAC=‘加密串MAC值’
实施例一中,在KMC对UE的保密模块进行鉴权过程中,EAS向UE发送的鉴权响应消息中包含的P-Special-Service的格式为:
P-Special-Servic:serviceType=‘002’;MAC=‘加密串MAC值’;key=密钥’
其中,参数key中携带的是加密后的传输密钥,MAC中携带的是根据用户口令计算的加密随机数对应的消息认证码MAC值。
实施例二中,在UE向EAS发送保密会话请求中包含的P-Special-Service的格式为:
P-Special-Service:serviceType=‘003’;key=‘密钥’
其中,参数key中携带的是利用被叫UE对应的传输密钥加密后会话密钥。
实施例二中,在UE向EAS发送的保密会话响应中包含的P-Special-Service的格式为:
P-Special-Service:serviceType=‘003’;key=‘密钥’
其中,参数key中携带的是利用主叫UE对应的传输密钥加密后会话密钥。
以保密会话请求消息为例,该保密会话请求消息的格式如下:
与上述方法相对应的,如图9所示,在网络侧,本发明实施例提供一种保密通信实现装置,该装置包括:
模块鉴权单元91,用于接收用户设备UE发送的第一鉴权信息,根据第一鉴权信息对该UE的保密模块进行鉴权;
信息处理单元92,用于对该UE的保密模块鉴权通过时,生成该UE对应的传输密钥以及第二鉴权信息,并利用该UE对应的初始密钥对传输密钥进行加密,将第二鉴权信息以及加密后的传输密钥发送给该UE,其中,第二鉴权信息用于该UE对网络侧设备进行鉴权;
会话请求处理单元93,用于当UE利用
第二鉴权信息对网络侧设备鉴权通过后,接收到该UE作为主叫UE发送的会话建立请求时,生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,利用该主叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该主叫UE,以及利用该被叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该被叫UE。
较佳地,第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
较佳地,模块鉴权单元91在根据第一鉴权信息对该UE的保密模块进行鉴权时,具体用于:
根据用户标识确定本地用户口令哈希值,并且当本地用户口令哈希值与第一鉴权信息中的用户口令哈希值相同时,利用本地该UE对应的初始密钥对随机数进行加密,当利用本地该UE对应的初始密钥加密后的随机数与第一鉴权信息中的加密随机数相同时,根据用户口令计算加密随机数对应的MAC值,当该MAC值与第一鉴权信息中MAC值相同时,确定对UE的保密模块鉴权通过。
较佳地,信息处理单元92在生成第二鉴权信息时,具体用于:
利用本地该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到加密传输密钥;
根据用户口令计算加密传输密钥对应的MAC值,并将MAC值作为第二鉴权信息。
较佳地,信息处理单元92在生成该UE对应的传输密钥后,还用于:
建立传输密钥与该传输密钥对应的UE的用户标识之间的对应关系;
利用该UE的用户口令,对该UE对应的传输密钥进行加密,并保存加密后的传输密钥、以及对应关系。
较佳地,该装置还包括:
即时业务处理单元94,用于当UE发起即时消息业务时,接收该UE作为主叫UE发送的加密第一随机数和加密即时消息,其中,第一随机数由主叫UE随机生成,加密第一随机数由主叫UE利用本端对应的传输密钥对第一随机数进行加密得到,加密即时消息由主叫UE利用本端对应的传输密钥和第一随机数对即时消息进行加密得到;
利用主叫UE对应的传输密钥对加密第一随机数进行解密,利用主叫UE对应的传输密钥和第一随机数对加密即时消息进行解密;
生成即时消息密钥,并利用被叫UE对应的传输密钥对即时消息密钥进行加密得到加密即时消息密钥,利用即时消息密钥对即时消息进行加密得到加密即时消息;
将加密即时消息密钥和加密即时消息发送给被叫UE。
具体的,模块鉴权单元91、信息处理单元92、会话请求处理单元93以及即时业务处理单元94可以由处理器和具有收发功能的传输模块实现,具有收发功能的传输模块例如传输模块可以是专用芯片及天线等设备,本发明不局限于实现这些单元的实体。
如图10所示,在UE侧,本发明实施例提供一种保密通信实现装置,该装置包括:
第一信息处理单元101,用于生成第一鉴权信息,并将第一鉴权信息发送给网络侧设备,其中,第一鉴权信息用于网络侧设备对该UE的保密模块进行鉴权;
第二信息处理单元102,用于接收网络侧设备发送的第二鉴权信息以及加密后的传输密钥,根据第二鉴权信息对网络侧设备进行鉴权,其中,加密后的传输密钥为网络侧设备利用该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到的;利用该UE对应的初始密钥对加密后的传输密钥进行解密;
会话请求处理单元103,用于当利用第二鉴权信息对网络侧设备鉴权通过后,向网络侧设备发送会话建立请求;接收网络侧设备发送的加密会话密钥,利用解密后得到的传输密钥对加密会话密钥进行解密;利用解密后得到的会话密钥对本端UE与对端UE之间传输的会话消息进行加密并传输。
较佳地,第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,加密随机数为利用UE对应的初始密钥加密后的随机数。
较佳地,第二鉴权信息包括网络侧设备根据用户口令计算的加密传输密钥对应的MAC值,其中,加密传输密钥为网络侧设备利用本地该UE对应的初始密钥对该UE对应的传输密钥进行加密得到的。
较佳地,第二信息处理单元102在根据第二鉴权信息对网络侧设备进行鉴权时,具体用于:
根据用户口令计算加密传输密钥对应的MAC值,并且当本地计算的MAC值与第二鉴权信息中的MAC值相同时,确定对网络侧设备鉴权通过。
较佳地,第二信息处理单元102在利用该UE对应的初始密钥对加密后的传输密钥进行解密后,还用于:
利用该UE的用户口令,对解密后的传输密钥进行加密,并保存加密后的传输密钥。
较佳地,该装置还包括:
即时业务处理单元104,用于当发起即时消息业务时,随机生成第一随机数,并利用本端对应的传输密钥对第一随机数进行加密得到加密第一随机数,利用本端对应的传输密钥和第一随机数对即时消息进行加密得到加密即时消息;
将加密第一随机数和加密即时消息发送给网络侧设备;
接收网络侧设备发送的加密即时消息密钥和加密即时消息,其中,即时消息密钥由网络侧设备生成,加密即时消息密钥由网络侧设备利用被叫UE对应的传输密钥对即时消息密钥进行加密得到,加密即时消息由网络侧设备利用即时消息密钥对即时消息进行加密得到;
利用本端对应的传输密钥对加密即时消息密钥进行解密得到即时消息密钥,利用即时消息密钥对加密即时消息进行解密得到即时消息。
具体的,第一信息处理单元101、第二信息处理单元102、会话请求处理单元103以及即时业务处理单元104可以由处理器和具有收发功能的传输模块实现,具有收发功能的传输模块例如传输模块可以是专用芯片及天线等设备,本发明不局限于实现这些单元的实体。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (24)

1.一种保密通信实现方法,其特征在于,该方法包括:
网络侧设备接收用户设备UE发送的第一鉴权信息,根据所述第一鉴权信息对该UE的保密模块进行鉴权;
当对该UE的保密模块鉴权通过时,所述网络侧设备生成该UE对应的传输密钥以及第二鉴权信息,并利用该UE对应的初始密钥对所述传输密钥进行加密,将所述第二鉴权信息以及加密后的传输密钥发送给该UE,其中,所述第二鉴权信息用于该UE对所述网络侧设备进行鉴权;
当所述UE利用所述第二鉴权信息对所述网络侧设备鉴权通过后,所述网络侧设备接收到该UE作为主叫UE发送的会话建立请求时,所述网络侧设备生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,利用该主叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该主叫UE,以及利用该被叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该被叫UE。
2.如权利要求1所述的方法,其特征在于,所述第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的所述加密随机数对应的消息认证码MAC值,其中,所述加密随机数为利用UE对应的初始密钥加密后的随机数。
3.如权利要求2所述的方法,其特征在于,所述网络侧设备根据所述第一鉴权信息对该UE的保密模块进行鉴权,包括:
根据用户标识确定本地用户口令哈希值,并且当本地用户口令哈希值与第一鉴权信息中的用户口令哈希值相同时,利用本地该UE对应的初始密钥对随机数进行加密,当利用本地该UE对应的初始密钥加密后的随机数与第一鉴权信息中的所述加密随机数相同时,根据用户口令计算加密随机数对应的MAC值,当该MAC值与第一鉴权信息中所述MAC值相同时,确定对UE的保密模块鉴权通过。
4.如权利要求1所述的方法,其特征在于,所述网络侧设备生成第二鉴权信息,包括:
利用本地该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到加密传输密钥;
根据用户口令计算所述加密传输密钥对应的MAC值,并将所述MAC值作为第二鉴权信息。
5.如权利要求4所述的方法,其特征在于,所述网络侧设备在生成该UE对应的传输密钥后,该方法还包括:
建立所述传输密钥与该传输密钥对应的UE的用户标识之间的对应关系;
利用该UE的用户口令,对该UE对应的传输密钥进行加密,并保存加密后的传输密钥、以及所述对应关系。
6.如权利要求5所述的方法,其特征在于,该方法还包括:
当所述UE发起即时消息业务时,所述网络侧设备接收该UE作为主叫UE发送的加密第一随机数和加密即时消息,其中,所述第一随机数由主叫UE随机生成,所述加密第一随机数由主叫UE利用本端对应的传输密钥对第一随机数进行加密得到,所述加密即时消息由主叫UE利用本端对应的传输密钥和第一随机数对即时消息进行加密得到;
所述网络侧设备利用主叫UE对应的传输密钥对加密第一随机数进行解密,利用主叫UE对应的传输密钥和第一随机数对加密即时消息进行解密;
所述网络侧设备生成即时消息密钥,并利用被叫UE对应的传输密钥对即时消息密钥进行加密得到加密即时消息密钥,利用即时消息密钥对即时消息进行加密得到加密即时消息;
所述网络侧设备将加密即时消息密钥和加密即时消息发送给被叫UE。
7.一种保密通信实现方法,其特征在于,该方法包括:
用户设备UE生成第一鉴权信息,并将第一鉴权信息发送给网络侧设备,其中,所述第一鉴权信息用于所述网络侧设备对该UE的保密模块进行鉴权;
所述UE接收所述网络侧设备发送的第二鉴权信息以及加密后的传输密钥,根据所述第二鉴权信息对所述网络侧设备进行鉴权,其中,所述加密后的传输密钥为所述网络侧设备利用该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到的;
所述UE利用该UE对应的初始密钥对所述加密后的传输密钥进行解密;
当所述UE利用所述第二鉴权信息对所述网络侧设备鉴权通过后,所述UE作为主叫UE向所述网络侧设备发送会话建立请求;
所述UE接收所述网络侧设备发送的加密会话密钥,利用解密后得到的传输密钥对加密会话密钥进行解密;
利用解密后得到的会话密钥对本端UE与对端UE之间传输的会话消息进行加密并传输。
8.如权利要求7所述的方法,其特征在于,所述第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,所述加密随机数为利用UE对应的初始密钥加密后的随机数。
9.如权利要求7所述的方法,其特征在于,所述第二鉴权信息包括所述网络侧设备根据用户口令计算的加密传输密钥对应的MAC值,其中,所述加密传输密钥为所述网络侧设备利用本地该UE对应的初始密钥对该UE对应的传输密钥进行加密得到的。
10.如权利要求9所述的方法,其特征在于,所述UE根据所述第二鉴权信息对所述网络侧设备进行鉴权,包括:
根据用户口令计算所述加密传输密钥对应的MAC值,并且当本地计算的所述MAC值与第二鉴权信息中的所述MAC值相同时,确定对所述网络侧设备鉴权通过。
11.如权利要求7所述的方法,其特征在于,所述UE在利用该UE对应的初始密钥对所述加密后的传输密钥进行解密后,该方法还包括:
利用该UE的用户口令,对解密后的传输密钥进行加密,并保存加密后的传输密钥。
12.如权利要求7所述的方法,其特征在于,该方法还包括:
当所述UE作为主叫UE发起即时消息业务时,主叫UE随机生成第一随机数,并利用本端对应的传输密钥对第一随机数进行加密得到加密第一随机数,利用本端对应的传输密钥和第一随机数对即时消息进行加密得到加密即时消息;
主叫UE将加密第一随机数和加密即时消息发送给所述网络侧设备;
被叫UE接收所述网络侧设备发送的加密即时消息密钥和加密即时消息,其中,所述即时消息密钥由所述网络侧设备生成,所述加密即时消息密钥由所述网络侧设备利用被叫UE对应的传输密钥对即时消息密钥进行加密得到,所述加密即时消息由所述网络侧设备利用即时消息密钥对即时消息进行加密得到;
被叫UE利用本端对应的传输密钥对加密即时消息密钥进行解密得到即时消息密钥,利用即时消息密钥对加密即时消息进行解密得到即时消息。
13.一种保密通信实现装置,其特征在于,该装置包括:
模块鉴权单元,用于接收用户设备UE发送的第一鉴权信息,根据所述第一鉴权信息对该UE的保密模块进行鉴权;
信息处理单元,用于对该UE的保密模块鉴权通过时,生成该UE对应的传输密钥以及第二鉴权信息,并利用该UE对应的初始密钥对所述传输密钥进行加密,将所述第二鉴权信息以及加密后的传输密钥发送给该UE,其中,所述第二鉴权信息用于该UE对所述网络侧设备进行鉴权;
会话请求处理单元,用于当所述UE利用所述第二鉴权信息对所述网络侧设备鉴权通过后,接收到该UE作为主叫UE发送的会话建立请求时,生成用于对该主叫UE与被叫UE之间传输的会话消息进行加密的会话密钥,利用该主叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该主叫UE,以及利用该被叫UE对应的传输密钥对会话密钥进行加密并将加密后的会话密钥发送给该被叫UE。
14.如权利要求13所述的装置,其特征在于,所述第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的所述加密随机数对应的消息认证码MAC值,其中,所述加密随机数为利用UE对应的初始密钥加密后的随机数。
15.如权利要求14所述的装置,其特征在于,所述模块鉴权单元在根据所述第一鉴权信息对该UE的保密模块进行鉴权时,具体用于:
根据用户标识确定本地用户口令哈希值,并且当本地用户口令哈希值与第一鉴权信息中的用户口令哈希值相同时,利用本地该UE对应的初始密钥对随机数进行加密,当利用本地该UE对应的初始密钥加密后的随机数与第一鉴权信息中的所述加密随机数相同时,根据用户口令计算加密随机数对应的MAC值,当该MAC值与第一鉴权信息中所述MAC值相同时,确定对UE的保密模块鉴权通过。
16.如权利要求13所述的装置,其特征在于,所述信息处理单元在生成第二鉴权信息时,具体用于:
利用本地该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到加密传输密钥;
根据用户口令计算所述加密传输密钥对应的MAC值,并将所述MAC值作为第二鉴权信息。
17.如权利要求16所述的装置,其特征在于,所述信息处理单元在生成该UE对应的传输密钥后,还用于:
建立所述传输密钥与该传输密钥对应的UE的用户标识之间的对应关系;
利用该UE的用户口令,对该UE对应的传输密钥进行加密,并保存加密后的传输密钥、以及所述对应关系。
18.如权利要求17所述的装置,其特征在于,该装置还包括:
即时业务处理单元,用于当所述UE发起即时消息业务时,接收该UE作为主叫UE发送的加密第一随机数和加密即时消息,其中,所述第一随机数由主叫UE随机生成,所述加密第一随机数由主叫UE利用本端对应的传输密钥对第一随机数进行加密得到,所述加密即时消息由主叫UE利用本端对应的传输密钥和第一随机数对即时消息进行加密得到;
利用主叫UE对应的传输密钥对加密第一随机数进行解密,利用主叫UE对应的传输密钥和第一随机数对加密即时消息进行解密;
生成即时消息密钥,并利用被叫UE对应的传输密钥对即时消息密钥进行加密得到加密即时消息密钥,利用即时消息密钥对即时消息进行加密得到加密即时消息;
将加密即时消息密钥和加密即时消息发送给被叫UE。
19.一种保密通信实现装置,其特征在于,该装置包括:
第一信息处理单元,用于生成第一鉴权信息,并将第一鉴权信息发送给网络侧设备,其中,所述第一鉴权信息用于所述网络侧设备对该UE的保密模块进行鉴权;
第二信息处理单元,用于接收所述网络侧设备发送的第二鉴权信息以及加密后的传输密钥,根据所述第二鉴权信息对所述网络侧设备进行鉴权,其中,所述加密后的传输密钥为所述网络侧设备利用该UE对应的初始密钥对生成的该UE对应的传输密钥进行加密得到的;利用该UE对应的初始密钥对所述加密后的传输密钥进行解密;
会话请求处理单元,用于当利用所述第二鉴权信息对所述网络侧设备鉴权通过后,向所述网络侧设备发送会话建立请求;接收所述网络侧设备发送的加密会话密钥,利用解密后得到的传输密钥对加密会话密钥进行解密;利用解密后得到的会话密钥对本端UE与对端UE之间传输的会话消息进行加密并传输。
20.如权利要求19所述的装置,其特征在于,所述第一鉴权信息包括用户标识、用户口令哈希值、随机数、加密随机数、以及根据用户口令计算的加密随机数对应的消息认证码MAC值,其中,所述加密随机数为利用UE对应的初始密钥加密后的随机数。
21.如权利要求19所述的装置,其特征在于,所述第二鉴权信息包括所述网络侧设备根据用户口令计算的加密传输密钥对应的MAC值,其中,所述加密传输密钥为所述网络侧设备利用本地该UE对应的初始密钥对该UE对应的传输密钥进行加密得到的。
22.如权利要求21所述的装置,其特征在于,所述第二信息处理单元在根据所述第二鉴权信息对所述网络侧设备进行鉴权时,具体用于:
根据用户口令计算所述加密传输密钥对应的MAC值,并且当本地计算的所述MAC值与第二鉴权信息中的所述MAC值相同时,确定对所述网络侧设备鉴权通过。
23.如权利要求19所述的装置,其特征在于,所述第二信息处理单元在利用该UE对应的初始密钥对所述加密后的传输密钥进行解密后,还用于:
利用该UE的用户口令,对解密后的传输密钥进行加密,并保存加密后的传输密钥。
24.如权利要求19所述的装置,其特征在于,该装置还包括:
即时业务处理单元,用于当发起即时消息业务时,随机生成第一随机数,并利用本端对应的传输密钥对第一随机数进行加密得到加密第一随机数,利用本端对应的传输密钥和第一随机数对即时消息进行加密得到加密即时消息;
将加密第一随机数和加密即时消息发送给所述网络侧设备;
接收所述网络侧设备发送的加密即时消息密钥和加密即时消息,其中,所述即时消息密钥由所述网络侧设备生成,所述加密即时消息密钥由所述网络侧设备利用被叫UE对应的传输密钥对即时消息密钥进行加密得到,所述加密即时消息由所述网络侧设备利用即时消息密钥对即时消息进行加密得到;
利用本端对应的传输密钥对加密即时消息密钥进行解密得到即时消息密钥,利用即时消息密钥对加密即时消息进行解密得到即时消息。
CN201410231671.9A 2014-05-28 2014-05-28 一种保密通信实现方法及装置 Pending CN103987037A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201410231671.9A CN103987037A (zh) 2014-05-28 2014-05-28 一种保密通信实现方法及装置
EP15800408.5A EP3151597B1 (en) 2014-05-28 2015-05-27 Method and apparatus for achieving secret communications
PCT/CN2015/079985 WO2015180654A1 (zh) 2014-05-28 2015-05-27 一种保密通信实现方法及装置
US15/314,232 US9871656B2 (en) 2014-05-28 2015-05-27 Encrypted communication method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410231671.9A CN103987037A (zh) 2014-05-28 2014-05-28 一种保密通信实现方法及装置

Publications (1)

Publication Number Publication Date
CN103987037A true CN103987037A (zh) 2014-08-13

Family

ID=51278839

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410231671.9A Pending CN103987037A (zh) 2014-05-28 2014-05-28 一种保密通信实现方法及装置

Country Status (4)

Country Link
US (1) US9871656B2 (zh)
EP (1) EP3151597B1 (zh)
CN (1) CN103987037A (zh)
WO (1) WO2015180654A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104602231A (zh) * 2015-02-10 2015-05-06 杭州华三通信技术有限公司 一种更新预共享密钥的方法和装置
WO2015180654A1 (zh) * 2014-05-28 2015-12-03 大唐移动通信设备有限公司 一种保密通信实现方法及装置
WO2015180604A1 (zh) * 2014-05-28 2015-12-03 大唐移动通信设备有限公司 一种保密通信控制、保密通信方法及装置
CN106685906A (zh) * 2016-06-29 2017-05-17 腾讯科技(深圳)有限公司 鉴权处理方法、节点及系统
CN106888206A (zh) * 2017-02-13 2017-06-23 海信集团有限公司 密钥交换方法、装置及系统
CN110213045A (zh) * 2019-05-30 2019-09-06 全链通有限公司 会话密钥的传输方法、设备及计算机可读存储介质
WO2023039871A1 (zh) * 2021-09-18 2023-03-23 海能达通信股份有限公司 一种数据监听方法、装置、设备以及系统

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6404928B2 (ja) * 2014-07-28 2018-10-17 エンクリプティア株式会社 ユーザ情報管理システム、及びユーザ情報管理方法
EP3284233B1 (en) * 2015-04-14 2019-02-27 Telefonaktiebolaget LM Ericsson (publ) In-session communication for service application
AU2015416630B2 (en) * 2015-12-07 2020-02-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for authenticating a communication device
WO2019137792A1 (en) * 2018-01-12 2019-07-18 Telefonaktiebolaget Lm Ericsson (Publ) Validation of subscription concealed identifiers in mobile networks
CN108964886B (zh) * 2018-05-04 2022-03-04 霍尼韦尔环境自控产品(天津)有限公司 包含加密算法的通信方法、包含解密算法的通信方法及设备
CN108712410A (zh) * 2018-05-11 2018-10-26 济南浪潮高新科技投资发展有限公司 秘钥可配的p-cscf服务器、会话系统及方法
US10993110B2 (en) * 2018-07-13 2021-04-27 Nvidia Corp. Connectionless fast method for configuring Wi-Fi on displayless Wi-Fi IoT device
US11184162B1 (en) * 2018-09-28 2021-11-23 NortonLifeLock Inc. Privacy preserving secure task automation
CN111404667B (zh) * 2019-01-02 2023-05-09 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN111404669B (zh) * 2019-01-02 2023-05-09 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
US20200279258A1 (en) * 2019-03-01 2020-09-03 Visa International Service Association Mobile payments using multiple cryptographic protocols
CN113329399A (zh) * 2020-02-28 2021-08-31 阿里巴巴集团控股有限公司 数据传输、配网与管理方法、设备、系统及存储介质
WO2021216765A1 (en) * 2020-04-22 2021-10-28 Visa International Service Association Online secret encryption
CN113676448B (zh) * 2021-07-13 2023-06-16 上海瓶钵信息科技有限公司 一种基于对称秘钥的离线设备双向认证方法和系统
CN115022024B (zh) * 2022-05-31 2023-09-29 中国电信股份有限公司 用于加密通话的方法及装置、存储介质及电子设备
CN115001713B (zh) * 2022-06-10 2023-08-25 深圳市马博士网络科技有限公司 一种基于医疗领域商用密码算法的即时消息加密系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1725896A (zh) * 2004-07-20 2006-01-25 华为技术有限公司 一种cdma系统端对端加密通讯方法
CN1816213A (zh) * 2005-02-05 2006-08-09 华为技术有限公司 一种端到端加密语音通信的方法
US7181015B2 (en) * 2001-07-31 2007-02-20 Mcafee, Inc. Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique
CN101471943A (zh) * 2007-12-20 2009-07-01 英特尔公司 用于验证硬件装置并为发布数据提供安全通道的方法
CN101635924A (zh) * 2009-08-27 2010-01-27 成都卫士通信息产业股份有限公司 一种cdma端到端加密通信系统及其密钥分发方法

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
WO2001084761A1 (en) * 2000-04-28 2001-11-08 Swisscom Mobile Ag Method for securing communications between a terminal and an additional user equipment
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
US20050195975A1 (en) * 2003-01-21 2005-09-08 Kevin Kawakita Digital media distribution cryptography using media ticket smart cards
US20060149962A1 (en) * 2003-07-11 2006-07-06 Ingrian Networks, Inc. Network attached encryption
CN1894923A (zh) * 2003-10-08 2007-01-10 史蒂芬·J·英格博格 用改进保密性技术来建立通讯的方法和系统
US8126145B1 (en) * 2005-05-04 2012-02-28 Marvell International Ltd. Enhanced association for access points
GB0517592D0 (en) * 2005-08-25 2005-10-05 Vodafone Plc Data transmission
US7861078B2 (en) * 2005-10-14 2010-12-28 Juniper Networks, Inc. Password-authenticated asymmetric key exchange
CN101009551B (zh) * 2006-01-24 2010-12-08 华为技术有限公司 基于ip多媒体子系统的媒体流的密钥管理系统和方法
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8341397B2 (en) * 2006-06-26 2012-12-25 Mlr, Llc Security system for handheld wireless devices using-time variable encryption keys
CN101272297B (zh) 2007-03-20 2011-10-26 中兴通讯股份有限公司 一种WiMAX网络用户EAP认证方法
US8230219B2 (en) * 2008-08-12 2012-07-24 Texas Instruments Incorporated Reduced computation for bit-by-bit password verification in mutual authentication
CA2694500C (en) * 2010-02-24 2015-07-07 Diversinet Corp. Method and system for secure communication
CA2789291A1 (en) * 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
JP2011217025A (ja) 2010-03-31 2011-10-27 Nomura Research Institute Ltd 秘密通信方法および装置
US8661254B1 (en) * 2010-12-03 2014-02-25 Ca, Inc. Authentication of a client using a mobile device and an optical link
US9565558B2 (en) * 2011-10-21 2017-02-07 At&T Intellectual Property I, L.P. Securing communications of a wireless access point and a mobile device
CN102724041B (zh) * 2012-06-07 2014-12-24 北京航空航天大学 一种基于隐写术的密钥传输与密钥更新方法
CN104683304B (zh) 2013-11-29 2019-01-01 中国移动通信集团公司 一种保密通信业务的处理方法、设备和系统
CN104683098B (zh) * 2013-11-29 2019-09-10 中国移动通信集团公司 一种保密通信业务的实现方法、设备及系统
CN103987037A (zh) 2014-05-28 2014-08-13 大唐移动通信设备有限公司 一种保密通信实现方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181015B2 (en) * 2001-07-31 2007-02-20 Mcafee, Inc. Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique
CN1725896A (zh) * 2004-07-20 2006-01-25 华为技术有限公司 一种cdma系统端对端加密通讯方法
CN1816213A (zh) * 2005-02-05 2006-08-09 华为技术有限公司 一种端到端加密语音通信的方法
CN101471943A (zh) * 2007-12-20 2009-07-01 英特尔公司 用于验证硬件装置并为发布数据提供安全通道的方法
CN101635924A (zh) * 2009-08-27 2010-01-27 成都卫士通信息产业股份有限公司 一种cdma端到端加密通信系统及其密钥分发方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015180654A1 (zh) * 2014-05-28 2015-12-03 大唐移动通信设备有限公司 一种保密通信实现方法及装置
WO2015180604A1 (zh) * 2014-05-28 2015-12-03 大唐移动通信设备有限公司 一种保密通信控制、保密通信方法及装置
US9871656B2 (en) 2014-05-28 2018-01-16 Datang Mobile Communications Equipment Co., Ltd. Encrypted communication method and apparatus
CN104602231A (zh) * 2015-02-10 2015-05-06 杭州华三通信技术有限公司 一种更新预共享密钥的方法和装置
CN106685906A (zh) * 2016-06-29 2017-05-17 腾讯科技(深圳)有限公司 鉴权处理方法、节点及系统
CN106888206A (zh) * 2017-02-13 2017-06-23 海信集团有限公司 密钥交换方法、装置及系统
CN106888206B (zh) * 2017-02-13 2020-06-09 海信集团有限公司 密钥交换方法、装置及系统
CN110213045A (zh) * 2019-05-30 2019-09-06 全链通有限公司 会话密钥的传输方法、设备及计算机可读存储介质
WO2023039871A1 (zh) * 2021-09-18 2023-03-23 海能达通信股份有限公司 一种数据监听方法、装置、设备以及系统

Also Published As

Publication number Publication date
US9871656B2 (en) 2018-01-16
EP3151597A4 (en) 2017-05-03
US20170118026A1 (en) 2017-04-27
EP3151597A1 (en) 2017-04-05
WO2015180654A1 (zh) 2015-12-03
EP3151597B1 (en) 2019-03-06

Similar Documents

Publication Publication Date Title
CN103987037A (zh) 一种保密通信实现方法及装置
US10142305B2 (en) Local security key generation
CN102006294B (zh) Ims多媒体通信方法和系统、终端及ims核心网
EP3364595A1 (en) Key configuration method and key management center, and network element
CN102754386B (zh) 用于多媒体通信系统中的安全通信的分级密钥管理
JP2011505736A (ja) Imsシステムにおけるエンド・ツー・エッジのメディア保護のための方法および装置
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
CN104683291B (zh) 基于ims系统的会话密钥协商方法
CN109698746B (zh) 基于主密钥协商生成绑定设备的子密钥的方法和系统
CN103986723B (zh) 一种保密通信控制、保密通信方法及装置
EP1313287A2 (en) SIP-level confidentiality protection
CN106936788A (zh) 一种适用于voip语音加密的密钥分发方法
CN104683343B (zh) 一种终端快速登录WiFi热点的方法
Zhang et al. Cryptanalysis and improvement of password‐authenticated key agreement for session initiation protocol using smart cards
CN108833943A (zh) 码流的加密协商方法、装置及会议终端
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
EP3132627B1 (en) Gsm a3/a8 authentication in an ims network
EP3471365A1 (en) Key acquisition method and apparatus
CN103997405A (zh) 一种密钥生成方法及装置
WO2016041374A1 (zh) Sip信令解密参数的获取方法及装置
CN103685181A (zh) 一种基于srtp的密钥协商方法
WO2017197968A1 (zh) 一种数据传输方法及装置
Belvin A secure text messaging protocol
Chen et al. An efficient end-to-end security mechanism for IP multimedia subsystem
CN105827661B (zh) 安全通信的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20140813