CN101005359B - 一种实现终端设备间安全通信的方法及装置 - Google Patents
一种实现终端设备间安全通信的方法及装置 Download PDFInfo
- Publication number
- CN101005359B CN101005359B CN2006100015233A CN200610001523A CN101005359B CN 101005359 B CN101005359 B CN 101005359B CN 2006100015233 A CN2006100015233 A CN 2006100015233A CN 200610001523 A CN200610001523 A CN 200610001523A CN 101005359 B CN101005359 B CN 101005359B
- Authority
- CN
- China
- Prior art keywords
- key
- kmc
- request end
- correspondent node
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims abstract description 91
- 238000000034 method Methods 0.000 title claims abstract description 91
- 230000004044 response Effects 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 239000000203 mixture Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现终端设备间安全通信的方法,该方法包括:通信对端将接收到的来自请求端的请求端信息发送给密钥管理中心,密钥管理中心根据所述请求端信息验证请求端身份,并在验证出请求端合法后,根据请求端信息及自身预设安全信息生成通信对端与请求端的共享密钥;密钥管理中心将生成的共享密钥作为密钥信息下发给通信对端,请求端与通信对端利用所述共享密钥进行安全通信;本发明还公开了一种实现终端设备间安全通信的装置。本发明方案通过在终端设备间协商本地通信的共享密钥,保证了终端设备之间的安全通信,尤其地,保证了ME/UICC/PE和PE间的安全通信。
Description
技术领域
本发明涉及安全通信技术,尤指一种实现终端设备间安全通信的方法及装置。
背景技术
随着网络技术的发展,以及市场需求的推动,网络融合已经成为人们关注的焦点。对于用户来说,在多种网络融合中,可使用任一终端设备如移动台、个人数字助理(PDA)、个人计算机(PC)等,通过任一方式接入网络如无线局域网(WLAN)、DSL、通用分组无线业务(GPRS)等,而且不同的终端设备可以采用唯一的号码、唯一的帐单。换句话说就是,一个用户可以具备多种用户终端设备(UE),并且这些UE共享该用户的一个通用集成电路卡(UICC)中的用户信息,在这种情况下,不仅仅需要保证UICC或者移动设备(ME)能够安全接入网络,而且还需要保证与UICC通信的外围设备(PE,Peripheral Equipment)也能通过UICC安全接入网络。这里,UE是ME和UICC/用户身份模块(SIM)卡的总称;UICC是可以插入终端设备,也可以从终端设备中拔出的一种IC卡或者智能卡,UICC可以包含多种应用,比如通用用户身份模块(USIM)应用等;ME是UE中除了用户身份模块之外的部分。
PE访问UICC的消息有时终止于UICC,即UICC采用承载无关协议(BIP)直接与PE通信;有时终止于ME,即PE直接与ME通信,由ME向UICC发送指令并读取UICC中的用户信息,然后再发送给PE。比如在WLAN-interworking中,无线局域网用户终端设备(WLAN-UE)可能采用以上两种方式获得UICC中的用户信息。由于PE要使用UICC中的用户信息进行认证以接入网络,因此PE与UE之间的本地接口必定会传送一些诸如网络认证参数的秘密信息;另外,PE有可能利用UICC或者ME上的GBA功能,计算出访问要求采用通用鉴权框架(GAA)认证的网络业务应用(NAF)的密钥。然而,目前尚未提出一种有效保证秘密信息在ME/UICC和PE之间传送的解决方案,从而不能保证ME/UICC和PE间的安全通信。
发明内容
有鉴于此,本发明的主要目的在于提供一种终端设备间安全通信的方法,能够保证终端设备之间的通信是安全的。
本发明的另一目的在于提供一种终端设备间安全通信的装置,能够保证终端设备之间的通信是安全的。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种实现终端设备间安全通信的方法,在用于协商通信对端和请求端之间的通信密钥的密钥管理中心KMC中预先设置用于获得通信对端与请求端间共享密钥的安全信息,该方法包括以下步骤:
A.在所述通信对端中预设所述通信对端允许接入的请求端的设备标识信息,所述通信对端判断所述预设的请求端的设备标识信息中,是否存在请求端信息中的请求端的设备标识,若存在,则允许该请求端接入;若不存在,则不允许该请求端接入,所述通信对端向该请求端发送接入失败响应,结束本发明流程;或者,将所述请求端信息中携带的请求端的设备标识通过预设界面显示给通信对端用户,由通信对端用户通过预设界面进行选择是否允许
B.通信对端将接收到的来自请求端的请求端信息发送给所述KMC;
C.所述KMC根据所述请求端信息验证请求端身份,并在验证出请求端合法后,根据所述请求端信息及安全信息生成通信对端与请求端的共享密钥;
D.所述KMC将生成的共享密钥作为密钥信息下发给通信对端,请求端与通信对端利用所述共享密钥进行安全通信。
所述通信对端为用户设备终端UE,所述请求端为PE;
所述UE为通用集成电路卡UICC或移动设备ME。
所述安全信息包括所述PE的根密钥Ki;
所述请求端信息包括:所述PE的根密钥Ki的密钥标识K_ID、外围设备的设备标识PE_ID。
步骤C中,所述KMC验证请求端身份之前,该方法还包括:
所述KMC随机生成一个可变值,并将该可变值经由所述UE发送给所述PE,所述PE存储并利用该可变值获取PE的身份认证码,并将获得的身份认证码发送给KMC。
所述请求端信息还包括:用于获取PE的身份认证码的由所述PE产生的可变值,以及获得的身份认证码。
所述获得PE的身份认证码的方法为:利用所述PE的根密钥Ki对所述PE_ID、K_ID以及所述可变值进行哈希hash计算来获得PE的身份认证码。
所述可变值为时间戳。
步骤C中所述KMC验证请求端身份的方法为:
所述KMC利用所述K_ID对应的根密钥Ki对身份认证码进行认证,若认证成功,则验证出所述请求端合法;若认证失败,则验证出所述请求端不合法。
步骤C中所述生成通信对端与请求端的共享密钥的方法为:
所述KMC根据所述K_ID对应的根密钥Ki、可变值、所述PE_ID,采用预设衍生算法计算出共享密钥。
步骤D中所述KMC将生成的共享密钥作为密钥信息下发给通信对端的方法为:
C11.所述KMC将生成的共享密钥下发给所述UE,所述UE存储该共享密钥,并向所述PE发送接入成功响应消息;
C12.所述PE接收到接入成功响应消息后,利用自身根密钥Ki、自身PE_ID及所述可变值,采用与所述KMC中一致的衍生算法计算获得Ki衍生密钥,并将该Ki衍生密钥作为与所述UE安全通信的共享密钥。
步骤D中所述KMC将生成的共享密钥作为密钥信息下发给通信对端的方法为:
C21.所述KMC将生成的共享密钥下发给所述UE,所述UE存储该共享密钥,并向所述PE发送接入成功响应消息;
C22.所述PE接收到接入成功响应消息后,利用自身根密钥Ki、自身PE_ID及所述可变值,采用与所述KMC中一致的衍生算法计算获得Ki衍生密钥,并将该Ki衍生密钥作为与所述UE安全通信的共享密钥。
所述安全信息包括所述PE的公钥证书;
所述请求端信息包括:作为身份认证码的PE的数字签名、公钥证书序列号和外围设备的设备标识PE_ID。
所述请求端信息还包括:时间戳。
步骤C中所述验证请求端身份的方法为:
所述KMC验证所述公钥证书的有效性,并使用该公钥证书中的公钥验证PE的身份,若验证成功,则验证出所述请求端合法;否则,所述请求端不合法。
步骤C中所述KMC验证请求端身份之前,或步骤C中所述KMC验证请求端身份之后,所述生成共享密钥之前,该方法还包括:
所述KMC验证当前时间减去所述时间戳是否在预设允许延迟范围内,若是,则继续执行步骤C;否则,结束本方法流程。
步骤C中所述生成通信对端与请求端的共享密钥的方法为:
所述KMC产生一个可变值,作为请求端与通信对端进行安全通信的共享密钥;或者,所述KMC根据所述安全信息、所述时间戳、所述PE_ID,采用预设衍生算法产生会话密钥;或者,所述KMC与所述请求端之间采用DH协商方式协商出共享密钥;
所述KMC利用所述PE的公钥证书中携带的公钥对生成的共享密钥进行加密。
步骤D中所述KMC将生成的共享密钥作为密钥信息下发给通信对端的方法为:
所述KMC将所述生成的共享密钥发送给所述通信对端,所述通信对端采用该共享密钥作为与所述请求端进行安全通信的共享密钥并存储;
所述KMC利用所述请求端的公钥对该共享密钥进行加密,并将经过加密的共享密钥仅由所述通信对端发送给所述请求端,所述请求端利用自身的私钥对该经过公钥加密的共享密钥解密,获得与所述通信对端进行安全通信的共享密钥并存储。
若所述KMC与所述请求端之间采用DH协商方式协商出共享密钥,在所述DH协商之前,该方法还包括:
所述请求端与KMC之间通过所述通信对端采用公钥证书的方式进行双向认证,并通过所述通信对端转发所述KMC与所述请求端之间交互的信息。
在所述KMC中预先设置所述通信对端与请求端的绑定关系,步骤C中,所述KMC验证请求端的身份之前,该方法进一步包括:
所述KMC根据所述请求端信息中携带的请求端的设备标识,以及自身预设的绑定关系判断是否允许所述请求端接入,若绑定关系中存在所述请求端信息中携带的请求端的设备标识,则允许接入,继续执行步骤C;否则,不允许接入,所述KMC经由所述通信对端向该请求端发送接入失败响应,结束本发明流程。
步骤B中,所述通信对端将请求端信息发送给所述KMC之前,该方法还包括:所述通信对端与KMC进行双向认证并建立安全通信密钥。
所述通信对端与KMC进行双向认证并建立安全通信密钥的方法为:
所述KMC为网络业务应用NAF,采用已有通用鉴权架构GAA中的GBA密钥进行双向认证与密钥协商;
或者,所述KMC通过已有GAA中执行用户身份初始检查验证的Bootstrapping服务功能BSF实体与归属用户服务器HSS的Zh接口,从HSS获得鉴权向量,再利用所述鉴权向量与所述UE进行双向认证与密钥协商;
或者,采用证书形式实现双向认证与密钥协商。
步骤B中,所述请求端信息被携带在密钥信息请求消息中发送给所述通信对端;所述请求端信息被携带在密钥信息请求消息中发送给所述KMC。
所述通信对端为外围设备PE,所述请求端为PE。
一种实现终端设备间安全通信的装置,该装置包括:
用于协商通信对端和请求端之间的通信密钥的密钥管理中心KMC,接收来自通信对端的密钥信息请求,验证请求端身份合法,生成通信对端与请求端间共享密钥并将生成的共享密钥发送给通信对端;
通信对端,接到来自请求端的接入请求,向所述KMC发送密钥信息请求;或者将接入请求中携带的请求端的设备标识通过预设界面显示给用户,由用户通过预设界面进行选择是否允许接入;接收并存储来自所述KMC的共享密钥,向请求端转发该共享密钥,或向请求端发送接入成功响应;
请求端,接收来自通信对端的共享密钥,或者接收来自通信对端的接入成功响应,生成共享密钥;
所述通信对端与请求端利用所述共享密钥进行安全通信。
所述通信对端还包括:判断所述请求端是否为允许接入的请求端,若是,则向所述KMC发送密钥信息请求;否则,向请求端发送接入失败响应;
所述请求端还包括:接收来自通信对端的接入失败响应后,结束本次通信。
所述KMC还包括:判断所述请求端是否为允许接入的请求端,若是,则验证请求端身份;否则,所述KMC经由所述通信对端向该请求端发送接入失败响应。
在所述KMC与所述通信对端通信之前,双方需要进行双向认证并建立安全通信密钥。
所述通信对端为用户设备终端UE或外围设备PE,所述请求端为PE;
所述UE为通用集成电路卡UICC或移动设备ME。
由上述技术方案可见,本发明通过在终端设备间协商本地通信的共享密钥,保证了终端设备之间的安全通信,尤其地,保证了秘密信息在ME/UICC和PE之间的传送,从而保证了ME/UICC和PE间的安全通信,也保证了PE通过本地接口安全地获得UICC中的用户信息,从而使得PE利用获得的信息安全地接入网络。进一步地,本发明利用时间戳,有效地防止了攻击者不断进行的重放攻击。本发明同样适用于PE与PE间的安全通信。
附图说明
图1是本发明实现终端设备间安全通信的装置的组成示意图;
图2a是本发明实现终端设备间安全通信的装置应用实施例一的示意图;
图2b是本发明实现终端设备间安全通信的装置应用实施例二的示意图;
图3是本发明实现终端设备间安全通信的方法的流程图;
图4是本发明实现UE与PE间安全通信的实施例一的流程图;
图5是本发明实现UE与PE间安全通信的实施例二的流程图。
具体实施方式
本发明的核心思想是:通信对端将接收到的来自请求端的请求端信息发送给密钥管理中心,密钥管理中心根据所述请求端信息验证请求端身份,并在验证出请求端合法后,根据所述请求端信息及密钥管理中心预设的用于获得通信对端与请求端间共享密钥的安全信息生成通信对端与请求端的共享密钥;密钥管理中心将生成的共享密钥作为密钥信息下发给通信对端,请求端与通信对端利用所述共享密钥进行安全通信。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
图1是本发明实现终端设备间安全通信的装置的组成示意图,该装置包括密钥管理中心(KMC)、通信对端和请求端。
其中,KMC位于网络侧,为用于协商通信对端和请求端之间的通信密钥的服务器,KMC与通信对端通过Uy接口连接。KMC接收来自通信对端的密钥信息请求,根据所述密钥信息请求中携带的请求端信息验证请求端身份合法后,根据所述请求端信息及KMC中预设的用于获得通信对端与请求端间共享密钥的安全信息生成请求端与通信对端间的共享密钥;将生成的共享密钥发送给通信对端;KMC在协商共享密钥之前,还可以进一步包括:根据所述请求端信息,判断是否允许当前请求端接入,若不允许,通知通信对端结束本次通信;若允许,验证请求端身份的合法性;
通信对端与请求端之间通过Ux接口连接。通信对端接到来自请求端的接入请求后,根据自身预设的允许接入的请求端的请求端设备标识信息,判断接入请求中携带的请求端信息中的请求端的设备标识是否存在于所述预设的请求端设备标识信息中,若存在,则将接入请求中携带的请求端信息携带在密钥信息请求中,并发送给KMC;若不存在,则向请求端发送接入失败响应;或者将接收到的请求端信息中携带的请求端的设备标识通过预设界面显示给终端设备用户,由终端设备用户通过预设界面进行选择是否允许;接收并存储来自KMC的共享密钥,向请求端转发该共享密钥,或向请求端发送接入成功响应;利用所述共享密钥与请求端之间进行安全通信;通信对端进一步包括:接收到来自KMC的通知结束本次通信后,向请求端发送接入失败响应;
需要说明的是,通信对端和KMC中,至少有一方对是否允许请求端接入进行判断、或者双方都对是否允许请求端接入进行判断,此时,只有双方均判定出允许时,才允许接入当前请求端。
请求端将接收来自通信对端的共享密钥,并将该共享密钥作为自身与通信对端安全通信的密钥,或者接收来自通信对端的接入成功响应,根据自身信息(包括安全信息)生成共享密钥;利用所述共享密钥与通信对端之间进行安全通信;请求端接收来自通信对端的接入失败响应后,结束本次通信。
在KMC与UE通信之前,需要进行双向认证并建立安全通信密钥。
本发明中,通信对端可以为UE或PE,请求端为PE,其中UE即可以指UICC,也可以指ME。图2a是本发明实现终端设备间安全通信的装置应用实施例一的示意图,图2a中,通信对端为UE,请求端为PE;图2b是本发明实现终端设备间安全通信的装置应用实施例二的示意图,图2b中,通信对端和请求端均为PE。
需要说明的是,Ux接口和Uy接口只是表明通信对端与请求端之间,以及KMC与通信对端之间存在接口关系,接口的实现与实际应用中UE或PE或KMC能支持的接口相关,只要保证连接双方保持一致的接口即可,比如,Ux接口可以是蓝牙接口、红外接口等,Uy接口可以是GAA中的Ua接口、Ub接口等。本发明不对Ux和Uy接口做具体限制。
图3是本发明实现终端设备间安全通信的方法的流程图,下面结合图1,具体描述本发明方法的实现过程。
步骤300:通信对端将接收到的来自请求端的请求端信息发送给密钥管理中心,以请求密钥信息。
本发明中,假设KMC能够管理请求端,即在KMC中预先设置有用于获得通信对端与请求端间共享密钥的请求端的安全信息,且在KMC中预先设置有请求端的设备标识如外围设备的设备标识(PE_ID)、根密钥Ki的密钥标识(K_ID)或公钥证书的证书序列号、与所述安全信息的对应关系。比如请求端为PE,则所述安全信息包括PE的根密钥Ki或者公钥证书。
请求端可以将请求端信息携带在接入请求消息中发送给通信对端。
若在KMC中预先设置的安全信息为PE的根密钥Ki,则所述请求端信息至少包括:请求端自身的K_ID和PE_ID,还可以进一步包括用于计算PE的身份认证码的可变值RAND以及计算得到的身份认证码。当请求端为PE时,PE可以利用根密钥Ki对PE_ID,K_ID以及RAND进行哈希hash计算来获得PE的身份认证码。进一步地,为了防止攻击者不断进行重放攻击,该RAND可以是一个时间戳,这样,计算身份认证码的参数中加入了时间值,而KMC可以根据当前时间与该时间值之差是否在预设允许时间范围之内,来判断密钥信息请求是否为重复其他密钥信息请求,若密钥信息请求在时间戳加上预设允许延迟范围内到达KMC,则该密钥信息请求是有效的;否则,KMC判定接收到的密钥信息请求为重放攻击,丢弃该密钥信息请求;
若KMC中预先设置的安全信息为公钥证书,则所述请求端信息至少包括:请求端自身的身份认证码公钥证书序列号和PE_ID,所述身份认证码可以是数字签名;或者由可变值RAND计算得到的身份认证码。当请求端为PE时,PE可以利用自身私钥对RAND和PE_ID等信息进行签名以获得PE的身份认证码。进一步地,为了防止攻击者不断进行重放攻击,该RAND可是一个时间戳,这样,在时间戳加上预设允许延迟范围内到达KMC的密钥信息请求是有效的,否则,KMC丢弃接收到的密钥信息请求。
从上述可知,获得身份认证码的方法有两种:采用PE的根密钥Ki计算获得或者采用公钥证书方式获得,进一步地,可以为生成的请求端的身份认证码中加入时间值,以防止重放攻击。
本步骤中,在KMC与UE通信之前,需要进行双向认证,并协商KMC与UE间通信的加密密钥。KMC与UE之间进行双向认证并建立安全通信密钥的方式可以采用以下方法:
1)采用GAA中的GBA密钥进行双向认证与密钥协商。此时,KMC相当于GAA中的NAF,需要通过Zn接口从GAA中的执行用户身份初始检查验证的Bootstrapping服务功能(BSF)实体获得GBA密钥。GAA属于本领域技术人员公知技术,这里不再赘述,这里需要强调的是,KMC与UE之间的通信是基于有安全保护的通信。
2)KMC重用GAA中BSF与归属用户服务器(HSS)的Zh接口,即KMC通过Zh接口从HSS获得鉴权向量,再利用获得的鉴权向量与UE进行双向认证与密钥协商。此时,KMC相当BSF。同样,GAA属于本领域技术人员公知技术,这里不再赘述,这里需要强调的是,KMC与UE之间的通信是基于有安全保护的通信。
3)KMC与UE之间采用证书形式实现双向认证并建立安全通信密钥。证书形式双向认证属于本领域技术人员公知技术,这里不再赘述,这里需要强调的是,KMC与UE之间的通信是基于有安全保护的通信。
本步骤中还可以进一步包括:判断是否允许该请求端的接入,方法如下:
假设在通信对端中预设有自身允许接入的请求端的设备标识信息,则通信对端判断自身是否设置有接入请求中携带的请求端的设备标识,若有,则允许该请求端接入;若没有,则不允许该请求端接入,向该请求端发送接入失败响应后结束本次通信,即结束本发明方法的流程。如UE根据自身预设的存储UE允许接入的PE对应的PE_ID的PE_ID表,判断接入请求中携带的PE_ID是否存在与所述PE_ID表中,若存在,则允许该PE接入UE,否则,不允许该PE接入UE;也可以将接入请求中携带的请求端的设备标识通过预设界面显示给UE用户,由UE用户通过预设界面进行选择是否允许。
步骤301:密钥管理中心根据请求端信息验证请求端身份,并在验证出请求端合法后,根据请求端信息及自身预设安全信息生成通信对端与请求端的共享密钥。
KMC根据请求端信息如身份认证码来验证用户的身份,具体实现包括下面两种情况:
如果步骤300中包括利用根密钥Ki对PE_ID,K_ID以及RAND进行hash计算来获得PE的身份认证码,那么,KMC首先验证当前时间减去时间戳即RAND所得的值是否在预设允许延迟范围内,若是,则利用K_ID对应的根密钥Ki对身份认证码进行认证,若认证成功,则验证出所述请求端合法;否则,所述请求端不合法;
需要说明的是,该RAND还可能是KMC生成的,此时,PE向UE发送的连接请求中不携带身份认证码及RAND,由UE转发给KMC的请求端信息中同样不存在请求端的身份认证码及RAND,KMC接收到密钥信息请求后,会随机生成一个可变值如RANDk,并经UE将该RANDk发送给PE,PE则利用自身根密钥Ki对PE_ID,K_ID以及该RANDk进行hash计算来获得PE的身份认证码,然后再将获得的身份认证码发送给KMC,同样,KMC利用K_ID对应的根密钥Ki对该身份认证码进行认证。
如果步骤300中包括利用私钥对RAND进行签名而获得的PE的身份认证码,则KMC采用证书方式验证PE的身份。具体包括:KMC验证当前时间减去时间戳是否在预设允许延迟范围内,若是,则验证公钥证书的有效性,最后使用公钥证书中的公钥验证PE的身份。
本步骤中,在KMC验证请求端的身份之前,还可以进一步包括:判断是否允许该请求端的接入,方法如下:
在KMC中预先设置通信对端与请求端的注册信息即绑定关系,在KMC接收到请求端信息后,根据该请求端信息中携带的请求端的设备标识,以及自身预设的绑定关系判断是否允许该请求端接入,若绑定关系中存在该请求端的设备标识,则允许接入,继续执行本步骤;否则,不允许接入,所述KMC经由所述通信对端向该请求端发送接入失败响应,结束本发明流程。
所述绑定关系可以通过外围设备允许列表来体现,在这个外围设备允许列表中包括UE与一组自身允许的PE的设备标识的对应关系,每个PE与允许的一组业务类型对应;该外围设备允许列表中也可以不存在业务类型项,即一个PE一旦注册与某UE绑定,那么这个PE就可以使用此UE的所有业务类型。
需要说明的是,步骤300与步骤301中至少存在一次判断是否允许该请求端的接入;也可以两次判断均存在,即步骤300中,在通信对端判断是否允许该请求端的接入后,KMC可以再进行一次判断,若两次判断结果均为允许,则允许该请求端接入;否则,不允许该请求端接入。
本步骤中,根据请求端信息及自身预设安全信息生成通信对端与请求端的共享密钥的方法可以有下面两种:
1)KMC根据根密钥Ki、可变值、请求端的设备标识等,采用预设衍生算法计算出Ki衍生密钥即共享密钥,当UE指UICC时,将该共享密钥表示为Ks_Local_int;当UE指ME时,将该共享密钥表示为Ks_Local_ext。其中,可变值可以是PE发送给KMC的RAND,也可以是KMC自身随机产生的RANDk;
2)KMC可以产生一个可变值RANDy,作为请求端与通信对端进行安全通信的共享密钥,也称为会话密钥;或者,KMC也可以根据用户的相关信息如身份信息等,通过一个预设密钥产生函数产生一个会话密钥;或者,KMC还可以与请求端之间采用Diffie-Hellman(DH)协商方式来协商一个会话密钥;
然后,KMC利用PE的公钥对该会话密钥进行加密。需要说明的是,在DH协商过程中,通信对端的作用是转发KMC与请求端之间交互的信息,进一步地,在DH协商方式下,为了防止中间设备攻击,请求端与KMC之间首先需要通过通信对端采用公钥证书的方式进行双向认证。
步骤302:密钥管理中心将生成的共享密钥作为密钥信息下发给通信对端,请求端与通信对端利用所述共享密钥进行安全通信。
本步骤的处理方法可以为:
一种方法是,若共享密钥是利用根密钥Ki和可变值等计算得到的,则KMC将生成的共享密钥作为密钥信息下发给通信对端,通信对端存储该共享密钥,并向请求端发送接入成功响应消息;请求端接收到接入成功响应消息后,利用自身根密钥Ki、自身设备标识及可变值,采用与KMC中一致的衍生算法计算获得Ki衍生密钥,并将该Ki衍生密钥作为与通信对端安全通信的共享密钥。需要说明的是,若可变值是由KMC产生的,则步骤301中,在KMC请求认证PE身份时已将该可变值发送给PE,并且PE已存储该值。。
另一种方法是,若共享密钥是KMC产生一个随机数RAND、或KMC根据用户的密钥信息产生一个会话密钥、或KMC与请求端之间采用DH协商方式来协商一个会话密钥,那么,KMC一方面将得到的会话密钥发送给通信对端,通信对端采用该会话密钥作为与请求端进行安全通信的共享密钥并存储;另一方面,KMC将经过请求端的公钥加密的会话密钥发送给请求端,请求端则利用自身的私钥对该经过公钥加密的会话密钥解密,获得会话密钥,并将该会话密钥作为与通信对端进行安全通信的共享密钥并存储。
下面分别对采用请求端根密钥Ki、公钥证书方式进行共享密钥协商的不同实施例,具体描述本发明的方法。
图4是本发明实现UE与PE间安全通信的实施例一的流程图,实施例一中,采用请求端根密钥Ki来协商共享密钥;假设通信对端为UE,UE既可以是UICC,也可以是ME;请求端为PE;KMC能够管理PE,即在KMC中预先设置有请求端的安全信息,包括PE的根密钥Ki,且在KMC中预先设置有PE_ID、K_ID、与根密钥Ki的对应关系;并假设KMC与UE之间已进行过双向认证,具体实现步骤包括:
步骤400:PE向UE发送接入请求,在接入请求中携带有PE的K_ID、PE_ID、身份认证码及RAND。
本步骤中,假设PE利用根密钥Ki对PE_ID,K_ID以及RAND进行hash计算来获得PE的身份认证码;RAND是PE随机产生的,为一时间戳。
步骤401:UE根据自身预设的用于存储允许接入的PE的PE_ID表,判断所述PE_ID表中是否存在接入请求中携带的PE_ID,若存在,则允许该PE接入;若不存在,则不允许该PE接入,并向该PE发送接入失败响应后结束本次通信,即结束本流程。
本步骤中假设UE允许该PE接入。
步骤402:UE将接收到的K_ID、P_ID、身份认证码及RAND携带在密钥信息请求中发送给KMC。
步骤403~步骤404:KMC根据接收到的K_ID和PE_ID,以及RAND验证PE的身份,以免其它设备冒充PE访问UE。验证PE合法后,KMC根据K_ID对应的根密钥Ki、接收到的RAND和PE_ID,采用预设衍生算法计算出共享密钥。
KMC首先验证当前时间减去时间戳即接收到的RAND所得的值是否在预设允许延迟范围内,若是,则利用K_ID对应的根密钥Ki对身份认证码进行认证,具体认证过程属于本领域技术人员公知技术,可以参考相关规定,这里不再赘述。
目前,计算Ki衍生密钥的衍生算法很多,属于本领域技术人员公知技术,这里不限定于某一种。需要强调的是,只要KMC中使用的衍生算法与PE中使用的一致即可。
步骤405~步骤406:KMC将获得的共享密钥下发给UE,UE存储接收到的共享密钥,并向PE发送接入成功响应。
步骤407:PE接收到来自UE点接入成功响应后,根据自身K_ID对应的根密钥Ki、PE_ID和自身随机产生的RAND,采用预设衍生算法计算出共享密钥并保存该共享密钥。
步骤408:PE与UE间采用各自获得的共享密钥进行安全通信。
图5是本发明实现UE与PE间安全通信的实施例二的流程图,实施例二中,采用公钥证书方式来协商共享密钥,假设通信对端为UE,UE既可以是UICC,也可以是ME;请求端为PE;KMC能够管理PE,即在KMC中预先设置有请求端的安全信息,包括PE的公钥证书,且在KMC中预先设置有PE_ID、公钥证书的序列号、与公钥证书的对应关系;并假设KMC与UE之间已进行过双向认证,具体实现步骤包括:
步骤500:PE向UE发送接入请求,在接入请求中携带有时间戳、身份认证码、公钥证书序列号及PE_ID。
本步骤中,假设PE利用自身私钥对时间戳、PE_ID等信息进行签名以获得PE的身份认证码;时间戳是PE产生的。
所述公钥证书中携带PE的公钥。
步骤501:UE根据自身预设的用于存储允许接入的PE的PE_ID表,判断所述PE_ID表是否存在接入请求中携带的PE_ID,若存在,则允许该PE接入;若不存在,则不允许该PE接入,并向该PE发送接入失败响应后结束本次通信,即结束本流程。本步骤中假设UE允许该PE接入。
步骤502:UE将接收到的时间戳、身份认证码、公钥证书序列号及PE_ID携带在密钥信息请求中发送给KMC。
步骤503~步骤504:KMC采用证书方式验证PE。具体包括:KMC验证当前时间减去时间戳是否在允许延迟范围内,若是,则验证公钥证书的有效性,最后使用公钥证书中的公钥验证PE的身份;验证PE合法后,KMC随机生成一可变值RAND,作为会话密钥;KMC利用PE的公钥对该会话密钥进行加密。
使用公钥证书的公钥验证PE的身份的具体过程属于本领域技术人员公知技术,可以参考相关规定,这里不再赘述。
步骤505~步骤506:KMC将获得的会话密钥和经过公钥加密的会话密钥同时下发给UE,UE存储接收到的会话密钥,并将经过公钥加密的会话密钥发送给PE。
步骤507:PE利用自身的私钥对经过公钥加密的会话密钥解密,获得会话密钥,将该会话密钥作为与通信对端进行安全通信的共享密钥并存储。
步骤508:PE与UE间采用各自获得的共享密钥进行安全通信。
需要说明的是,如果PE在接入请求中携带公钥证书,并发送给KMC,则KMC只需对接收到的PE的公钥证书进行认证即可,而无需保存PE的公钥证书。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (27)
1.一种实现终端设备间安全通信的方法,其特征在于,在用于协商通信对端和请求端之间的通信密钥的密钥管理中心KMC中预先设置用于获得通信对端与请求端间共享密钥的安全信息,该方法包括以下步骤:
A.在所述通信对端中预设所述通信对端允许接入的请求端的设备标识信息,所述通信对端判断所述预设的请求端的设备标识信息中,是否存在请求端信息中的请求端的设备标识,若存在,则允许该请求端接入;若不存在,则不允许该请求端接入,所述通信对端向该请求端发送接入失败响应,结束本发明流程;或者,将所述请求端信息中携带的请求端的设备标识通过预设界面显示给通信对端用户,由通信对端用户通过预设界面进行选择是否允许;
B.通信对端将接收到的来自请求端的请求端信息发送给所述KMC;
C.所述KMC根据所述请求端信息验证请求端身份,并在验证出请求端合法后,根据所述请求端信息及安全信息生成通信对端与请求端的共享密钥;
D.所述KMC将生成的共享密钥作为密钥信息下发给通信对端,请求端与通信对端利用所述共享密钥进行安全通信。
2.根据权利要求1所述的方法,其特征在于,所述通信对端为用户设备终端UE,所述请求端为PE;
所述UE为通用集成电路卡UICC或移动设备ME。
3.根据权利要求2所述的方法,其特征在于,所述安全信息包括所述PE的根密钥Ki;
所述请求端信息包括:所述PE的根密钥Ki的密钥标识K_ID、外围设备的设备标识PE_ID。
4.根据权利要求3所述的方法,其特征在于,步骤C中,所述KMC验证请求端身份之前,该方法还包括:
所述KMC随机生成一个可变值,并将该可变值经由所述UE发送给所述PE,所述PE存储并利用该可变值获取PE的身份认证码,并将获得的身份认证码发送给KMC。
5.根据权利要求3所述的方法,其特征在于,所述请求端信息还包括:用于获取PE的身份认证码的由所述PE产生的可变值,以及获得的身份认证码。
6.根据权利要求4或5所述的方法,其特征在于,所述获得PE的身份认证码的方法为:利用所述PE的根密钥Ki对所述PE_ID、K_ID以及所述可变值进行哈希hash计算来获得PE的身份认证码。
7.根据权利要求4或5所述的方法,其特征在于:所述可变值为时间戳。
8.根据权利要求7所述的方法,其特征在于,步骤C中所述KMC验证请求端身份的方法为:
所述KMC利用所述K_ID对应的根密钥Ki对身份认证码进行认证,若认证成功,则验证出所述请求端合法;若认证失败,则验证出所述请求端不合法。
9.根据权利要求4或5所述的方法,其特征在于,步骤C中所述生成通信对端与请求端的共享密钥的方法为:
所述KMC根据所述K_ID对应的根密钥Ki、可变值、所述PE_ID,采用预设衍生算法计算出共享密钥。
10.根据权利要求4所述的方法,其特征在于,步骤D中所述KMC将生成的共享密钥作为密钥信息下发给通信对端的方法为:
C11.所述KMC将生成的共享密钥下发给所述UE,所述UE存储该共享密钥,并向所述PE发送接入成功响应消息;
C12.所述PE接收到接入成功响应消息后,利用自身根密钥Ki、自身PE_ID及所述可变值,采用与所述KMC中一致的衍生算法计算获得Ki衍生密钥,并将该Ki衍生密钥作为与所述UE安全通信的共享密钥。
11.根据权利要求5所述的方法,其特征在于,步骤D中所述KMC将生成的共享密钥作为密钥信息下发给通信对端的方法为:
C21.所述KMC将生成的共享密钥下发给所述UE,所述UE存储该共享密钥,并向所述PE发送接入成功响应消息;
C22.所述PE接收到接入成功响应消息后,利用自身根密钥Ki、自身PE_ID及所述可变值,采用与所述KMC中一致的衍生算法计算获得Ki衍生密钥,并将该Ki衍生密钥作为与所述UE安全通信的共享密钥。
12.根据权利要求2所述的方法,其特征在于,所述安全信息包括所述PE的公钥证书;
所述请求端信息包括:作为身份认证码的PE的数字签名、公钥证书序列号和外围设备的设备标识PE_ID。
13.根据权利要求12所述的方法,其特征在于,所述请求端信息还包括:时间戳。
14.根据权利要求13所述的方法,其特征在于,步骤C中所述验证请求端身份的方法为:
所述KMC验证所述公钥证书的有效性,并使用该公钥证书中的公钥验证PE的身份,若验证成功,则验证出所述请求端合法;否则,所述请求端不合法。
15.根据权利要求8或14所述的方法,其特征在于,步骤C中所述KMC验证请求端身份之前,或步骤C中所述KMC验证请求端身份之后,所述生成共享密钥之前,该方法还包括:
所述KMC验证当前时间减去所述时间戳是否在预设允许延迟范围内,若是,则继续执行步骤C;否则,结束本方法流程。
16.根据权利要求13所述的方法,其特征在于,步骤C中所述生成通信对端与请求端的共享密钥的方法为:
所述KMC产生一个可变值,作为请求端与通信对端进行安全通信的共享密钥;或者,所述KMC根据所述安全信息、所述时间戳、所述PE_ID,采用预设衍生算法产生会话密钥;或者,所述KMC与所述请求端之间采用DH协商方式协商出共享密钥;
所述KMC利用所述PE的公钥证书中携带的公钥对生成的共享密钥进行加密。
17.根据权利要求16所述的方法,其特征在于,步骤D中所述KMC将生成的共享密钥作为密钥信息下发给通信对端的方法为:
所述KMC将所述生成的共享密钥发送给所述通信对端,所述通信对端采用该共享密钥作为与所述请求端进行安全通信的共享密钥并存储;
所述KMC利用所述请求端的公钥对该共享密钥进行加密,并将经过加密的共享密钥仅由所述通信对端发送给所述请求端,所述请求端利用自身的私钥对该经过公钥加密的共享密钥解密,获得与所述通信对端进行安全通信的共享密钥并存储。
18.根据权利要求16所述的方法,其特征在于:若所述KMC与所述请求端之间采用DH协商方式协商出共享密钥,在所述DH协商之前,该方法还包括:
所述请求端与KMC之间通过所述通信对端采用公钥证书的方式进行双向认证,并通过所述通信对端转发所述KMC与所述请求端之间交互的信息。
19.根据权利要求1或18所述的方法,其特征在于,在所述KMC中预先设置所述通信对端与请求端的绑定关系,步骤C中,所述KMC验证请求端的身份之前,该方法进一步包括:
所述KMC根据所述请求端信息中携带的请求端的设备标识,以及自身预设的绑定关系判断是否允许所述请求端接入,若绑定关系中存在所述请求端信息中携带的请求端的设备标识,则允许接入,继续执行步骤C;否则,不允许接入,所述KMC经由所述通信对端向该请求端发送接入失败响应,结束本发明流程。
20.根据权利要求1所述的方法,其特征在于,步骤B中,所述通信对端将请求端信息发送给所述KMC之前,该方法还包括:所述通信对端与KMC进行双向认证并建立安全通信密钥。
21.根据权利要求20所述的方法,其特征在于,所述通信对端与KMC进行双向认证并建立安全通信密钥的方法为:
所述KMC为网络业务应用NAF,采用已有通用鉴权架构GAA中的GBA密钥进行双向认证与密钥协商;
或者,所述KMC通过已有GAA中执行用户身份初始检查验证的Bootstrapping服务功能BSF实体与归属用户服务器HSS的Zh接口,从HSS获得鉴权向量,再利用所述鉴权向量与所述UE进行双向认证与密钥协商;
或者,采用证书形式实现双向认证与密钥协商。
22.根据权利要求1所述的方法,其特征在于,步骤B中,所述请求端信息被携带在密钥信息请求消息中发送给所述通信对端;所述请求端信息被携带在密钥信息请求消息中发送给所述KMC。
23.根据权利要求1所述的方法,其特征在于,所述通信对端为外围设备PE,所述请求端为PE。
24.一种实现终端设备间安全通信的装置,其特征在于,该装置包括:
用于协商通信对端和请求端之间的通信密钥的密钥管理中心KMC,接收来自通信对端的密钥信息请求,验证请求端身份合法,生成通信对端与请求端间共享密钥并将生成的共享密钥发送给通信对端;
通信对端,接到来自请求端的接入请求,向所述KMC发送密钥信息请求;或者将接入请求中携带的请求端的设备标识通过预设界面显示给用户,由用户通过预设界面进行选择是否允许接入;接收并存储来自所述KMC的共享密钥,向请求端转发该共享密钥,或向请求端发送接入成功响应;
请求端,接收来自通信对端的共享密钥,或者接收来自通信对端的接入成功响应,生成共享密钥;
所述通信对端与请求端利用所述共享密钥进行安全通信。
所述通信对端还包括:判断所述请求端是否为允许接入的请求端,若是,则向所述KMC发送密钥信息请求;否则,向请求端发送接入失败响应;
所述请求端还包括:接收来自通信对端的接入失败响应后,结束本次通信。
25.根据权利要求24所述的装置,其特征在于,所述KMC还包括:判断所述请求端是否为允许接入的请求端,若是,则验证请求端身份;否则,所述KMC经由所述通信对端向该请求端发送接入失败响应。
26.根据权利要求24所述的装置,其特征在于,在所述KMC与所述通信对端通信之前,双方需要进行双向认证并建立安全通信密钥。
27.根据权利要求24所述的装置,其特征在于,所述通信对端为用户设备终端UE或外围设备PE,所述请求端为PE;
所述UE为通用集成电路卡UICC或移动设备ME。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100015233A CN101005359B (zh) | 2006-01-18 | 2006-01-18 | 一种实现终端设备间安全通信的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100015233A CN101005359B (zh) | 2006-01-18 | 2006-01-18 | 一种实现终端设备间安全通信的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101005359A CN101005359A (zh) | 2007-07-25 |
| CN101005359B true CN101005359B (zh) | 2010-12-08 |
Family
ID=38704254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100015233A Expired - Fee Related CN101005359B (zh) | 2006-01-18 | 2006-01-18 | 一种实现终端设备间安全通信的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101005359B (zh) |
Families Citing this family (81)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857912A (zh) * | 2007-10-05 | 2013-01-02 | 交互数字技术公司 | 由内部密钥中心(ikc)使用的用于安全通信的方法 |
| AU2009233837B2 (en) | 2008-04-07 | 2013-02-07 | Interdigital Patent Holdings, Inc | Secure session key generation |
| US20100241852A1 (en) * | 2009-03-20 | 2010-09-23 | Rotem Sela | Methods for Producing Products with Certificates and Keys |
| CN101729533B (zh) * | 2009-06-26 | 2012-09-26 | 中兴通讯股份有限公司 | 一种ip多媒体子系统延迟媒体信息的传输方法及系统 |
| CN101729536B (zh) * | 2009-06-29 | 2012-07-18 | 中兴通讯股份有限公司 | 一种ip多媒体子系统延迟媒体信息传输方法及系统 |
| JP4817153B2 (ja) * | 2009-11-06 | 2011-11-16 | Necインフロンティア株式会社 | 情報端末に組み込まれたソフトウェアの更新時の認証方法、そのシステム及びそのプログラム |
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
| CN102196426B (zh) * | 2010-03-19 | 2014-11-05 | 中国移动通信集团公司 | 一种接入ims网络的方法、装置和系统 |
| CN101834863B (zh) * | 2010-04-29 | 2012-03-28 | 西安西电捷通无线网络通信股份有限公司 | 一种局域网节点间安全连接建立方法及系统 |
| CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
| CN102315935A (zh) * | 2010-07-02 | 2012-01-11 | 中国人民解放军总参谋部第六十一研究所 | 无线传感器网与计算机网融合网络密钥管理方法 |
| CN101895962A (zh) * | 2010-08-05 | 2010-11-24 | 华为终端有限公司 | Wi-Fi接入方法、接入点及Wi-Fi接入系统 |
| CN101917272B (zh) | 2010-08-12 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 一种邻居用户终端间保密通信方法及系统 |
| CN102457373B (zh) * | 2010-10-19 | 2016-09-07 | 鸿富锦精密工业(深圳)有限公司 | 手持设备双向验证系统及方法 |
| CN101964802B (zh) * | 2010-10-25 | 2013-02-13 | 西安西电捷通无线网络通信股份有限公司 | 集中式安全连接建立系统及方法 |
| EP2700255B1 (en) * | 2011-04-18 | 2018-02-21 | Hewlett-Packard Development Company, L.P. | Access control |
| CN102316110A (zh) * | 2011-09-14 | 2012-01-11 | 福建三元达软件有限公司 | 一种数据终端接入服务器的鉴权方法 |
| US9727511B2 (en) | 2011-12-30 | 2017-08-08 | Bedrock Automation Platforms Inc. | Input/output module with multi-channel switching capability |
| US8862802B2 (en) | 2011-12-30 | 2014-10-14 | Bedrock Automation Platforms Inc. | Switch fabric having a serial communications interface and a parallel communications interface |
| US9191203B2 (en) | 2013-08-06 | 2015-11-17 | Bedrock Automation Platforms Inc. | Secure industrial control system |
| US11967839B2 (en) | 2011-12-30 | 2024-04-23 | Analog Devices, Inc. | Electromagnetic connector for an industrial control system |
| US9600434B1 (en) | 2011-12-30 | 2017-03-21 | Bedrock Automation Platforms, Inc. | Switch fabric having a serial communications interface and a parallel communications interface |
| US9437967B2 (en) | 2011-12-30 | 2016-09-06 | Bedrock Automation Platforms, Inc. | Electromagnetic connector for an industrial control system |
| US8868813B2 (en) | 2011-12-30 | 2014-10-21 | Bedrock Automation Platforms Inc. | Communications control system with a serial communications interface and a parallel communications interface |
| US8971072B2 (en) | 2011-12-30 | 2015-03-03 | Bedrock Automation Platforms Inc. | Electromagnetic connector for an industrial control system |
| US11314854B2 (en) | 2011-12-30 | 2022-04-26 | Bedrock Automation Platforms Inc. | Image capture devices for a secure industrial control system |
| US12061685B2 (en) | 2011-12-30 | 2024-08-13 | Analog Devices, Inc. | Image capture devices for a secure industrial control system |
| US10834094B2 (en) | 2013-08-06 | 2020-11-10 | Bedrock Automation Platforms Inc. | Operator action authentication in an industrial control system |
| US10834820B2 (en) | 2013-08-06 | 2020-11-10 | Bedrock Automation Platforms Inc. | Industrial control system cable |
| US11144630B2 (en) | 2011-12-30 | 2021-10-12 | Bedrock Automation Platforms Inc. | Image capture devices for a secure industrial control system |
| US9467297B2 (en) | 2013-08-06 | 2016-10-11 | Bedrock Automation Platforms Inc. | Industrial control system redundant communications/control modules authentication |
| CN103297961B (zh) * | 2012-03-05 | 2018-03-09 | 上海诺基亚贝尔股份有限公司 | 一种用于设备间安全通信的设备与系统 |
| CN102624740B (zh) * | 2012-03-30 | 2016-05-11 | 北京奇虎科技有限公司 | 一种数据交互方法及客户端、服务器 |
| EP2842359A4 (en) | 2012-04-27 | 2015-04-29 | Hewlett Packard Development Co | ACCESS CONTROL TO SERVICES |
| CN103546886B (zh) * | 2012-07-17 | 2016-09-07 | 中国移动通信集团公司 | 通用集成电路卡的数据配置方法、装置及系统 |
| US10613567B2 (en) | 2013-08-06 | 2020-04-07 | Bedrock Automation Platforms Inc. | Secure power supply for an industrial control system |
| WO2015058378A1 (zh) * | 2013-10-23 | 2015-04-30 | 华为技术有限公司 | 用户设备之间进行安全通信的方法及装置 |
| CN104683103B (zh) * | 2013-11-29 | 2018-02-23 | 中国移动通信集团公司 | 一种终端设备登录认证的方法和设备 |
| CN104702450A (zh) * | 2013-12-04 | 2015-06-10 | 腾讯科技(北京)有限公司 | 合法性检测方法、装置及系统 |
| CN104917605B (zh) * | 2014-03-14 | 2018-06-19 | 华为技术有限公司 | 一种终端设备切换时密钥协商的方法和设备 |
| CN105007254B (zh) * | 2014-04-17 | 2019-04-12 | 腾讯科技(深圳)有限公司 | 数据传输方法和系统、终端 |
| JP2016019281A (ja) * | 2014-07-07 | 2016-02-01 | ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド | 産業用制御システムのオペレータ・アクション認証 |
| JP6425984B2 (ja) * | 2014-07-07 | 2018-11-21 | ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド | 産業用制御システム冗長通信/制御モジュール認証 |
| CN104978144A (zh) * | 2015-06-26 | 2015-10-14 | 中国工商银行股份有限公司 | 手势密码输入设备和系统,及基于该系统进行交易的方法 |
| EP3357187B1 (en) | 2015-09-30 | 2020-10-21 | Nokia Technologies Oy | Message verification |
| CN105262759B (zh) * | 2015-10-29 | 2018-11-27 | 桂林力拓信息科技有限公司 | 一种加密通信的方法和系统 |
| CN106982419B (zh) * | 2016-01-18 | 2020-05-08 | 普天信息技术有限公司 | 一种宽带集群系统单呼端到端加密方法及系统 |
| CN107317789B (zh) * | 2016-04-27 | 2020-07-21 | 华为技术有限公司 | 密钥分发、认证方法,装置及系统 |
| EP3387576B1 (en) | 2016-07-14 | 2020-12-16 | Huawei Technologies Co., Ltd. | Apparatus and method for certificate enrollment |
| WO2018160863A1 (en) | 2017-03-01 | 2018-09-07 | Apple Inc. | System access using a mobile device |
| WO2018165983A1 (zh) * | 2017-03-17 | 2018-09-20 | 华为技术有限公司 | 一种eUICC配置文件的删除方法和设备 |
| WO2018189885A1 (ja) * | 2017-04-14 | 2018-10-18 | 三菱電機株式会社 | 鍵管理システム、通信機器および鍵共有方法 |
| CN113411805A (zh) | 2017-04-27 | 2021-09-17 | 华为技术有限公司 | 一种实现访问网络的认证方法、认证设备及用户设备 |
| US20200245143A1 (en) * | 2017-08-03 | 2020-07-30 | Ipcom Gmbh & Co. Kg | Ue adapted to transmit service validation messages |
| CN107645548A (zh) * | 2017-09-13 | 2018-01-30 | 广东乐心医疗电子股份有限公司 | 一种数据的处理方法、设备服务器以及公用设备 |
| CN108111497B (zh) * | 2017-12-14 | 2021-01-22 | 深圳市共进电子股份有限公司 | 摄像机与服务器相互认证方法和装置 |
| US10437745B2 (en) * | 2018-01-05 | 2019-10-08 | Denso International America, Inc. | Mobile de-whitening |
| CN110417706B (zh) * | 2018-04-27 | 2022-05-31 | 中泓慧联技术有限公司 | 一种基于交换机的安全通信方法 |
| CN109088900A (zh) * | 2018-10-31 | 2018-12-25 | 北京元安物联技术有限公司 | 一种用于发送方和接收方的通信方法及通信装置 |
| CN109039657B (zh) * | 2018-11-02 | 2021-01-08 | 美的集团股份有限公司 | 密钥协商方法、设备、终端、存储介质以及系统 |
| CN109039627A (zh) * | 2018-11-02 | 2018-12-18 | 美的集团股份有限公司 | 密钥协商方法、设备、存储介质以及系统 |
| WO2020168546A1 (zh) * | 2019-02-22 | 2020-08-27 | 云图有限公司 | 密钥迁移方法和装置 |
| CN112118568B (zh) * | 2019-06-21 | 2022-02-25 | 华为技术有限公司 | 一种设备身份鉴权的方法及设备 |
| CN110266485B (zh) * | 2019-06-28 | 2022-06-24 | 宁波奥克斯电气股份有限公司 | 一种基于NB-IoT的物联网安全通信控制方法 |
| CN112491533B (zh) * | 2019-09-12 | 2022-09-02 | 华为技术有限公司 | 一种密钥生成方法及装置 |
| CN111490988B (zh) * | 2020-04-10 | 2022-07-15 | 海南简族信息技术有限公司 | 一种数据传输方法、装置、设备及计算机可读存储介质 |
| CN111586442B (zh) * | 2020-04-23 | 2022-05-20 | 深圳奇迹智慧网络有限公司 | 流媒体加密方法、装置、计算机设备和存储介质 |
| CN114070550B (zh) * | 2020-07-31 | 2024-07-02 | 马上消费金融股份有限公司 | 一种信息处理方法、装置、设备和存储介质 |
| CN114258013B (zh) * | 2020-09-11 | 2023-10-31 | 中国联合网络通信集团有限公司 | 数据加密方法、设备和存储介质 |
| CN114362925A (zh) * | 2020-09-29 | 2022-04-15 | 中国移动通信有限公司研究院 | 一种密钥协商方法、装置及终端 |
| CN112688909B (zh) * | 2020-09-29 | 2021-09-21 | 北京海泰方圆科技股份有限公司 | 一种数据传输系统、方法、装置、介质和设备 |
| CN114362950A (zh) * | 2020-09-29 | 2022-04-15 | 中国移动通信有限公司研究院 | 一种信息传输方法、装置及终端 |
| CN115701068A (zh) * | 2021-07-15 | 2023-02-07 | 美的集团股份有限公司 | 家用电器的区块链注册方法及装置 |
| CN113556355B (zh) * | 2021-07-30 | 2023-04-28 | 广东电网有限责任公司 | 配电网智能设备的密钥处理系统及方法 |
| CN113691530B (zh) * | 2021-08-24 | 2023-04-07 | 上海瓶钵信息科技有限公司 | 一种基于sgx的对称秘钥生成管理系统、方法、设备及介质 |
| CN113890730B (zh) * | 2021-09-23 | 2024-09-20 | 上海华兴数字科技有限公司 | 数据传输方法及系统 |
| CN114513781B (zh) * | 2022-02-11 | 2024-08-06 | 青岛民航空管实业发展有限公司 | 一种空管智慧台站的身份认证方法及数据加解密方法 |
| CN115529128B (zh) * | 2022-09-23 | 2023-09-29 | 中科海川(北京)科技有限公司 | 基于sd-wan的端端协商通信方法、终端设备、服务器 |
| CN116193387B (zh) * | 2023-02-27 | 2024-07-02 | 小米汽车科技有限公司 | 车载单元数据的处理方法、装置、存储介质及电子设备 |
| CN116782210B (zh) * | 2023-08-07 | 2024-04-30 | 数盾信息科技股份有限公司 | 一种高速加密算法的动态加密密钥生成方法 |
| CN116709325B (zh) * | 2023-08-07 | 2023-10-27 | 北京数盾信息科技有限公司 | 一种基于高速加密算法的移动设备安全认证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1671099A (zh) * | 2004-03-16 | 2005-09-21 | 株式会社东芝 | 自动更新共享密钥的加密密钥共享方案 |
| CN1694570A (zh) * | 2005-06-17 | 2005-11-09 | 中兴通讯股份有限公司 | 一种在移动用户和应用服务器之间建立安全信道的方法 |
| CN1700636A (zh) * | 2004-05-21 | 2005-11-23 | 华为技术有限公司 | 无线局域网移动终端申请证书的方法及证书管理系统 |
-
2006
- 2006-01-18 CN CN2006100015233A patent/CN101005359B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1671099A (zh) * | 2004-03-16 | 2005-09-21 | 株式会社东芝 | 自动更新共享密钥的加密密钥共享方案 |
| CN1700636A (zh) * | 2004-05-21 | 2005-11-23 | 华为技术有限公司 | 无线局域网移动终端申请证书的方法及证书管理系统 |
| CN1694570A (zh) * | 2005-06-17 | 2005-11-09 | 中兴通讯股份有限公司 | 一种在移动用户和应用服务器之间建立安全信道的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101005359A (zh) | 2007-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101005359B (zh) | 一种实现终端设备间安全通信的方法及装置 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CN100550725C (zh) | 一种用户与应用服务器协商共享密钥的方法 | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| CN100558035C (zh) | 一种双向认证方法及系统 | |
| CN100488280C (zh) | 一种鉴权方法及相应的信息传递方法 | |
| EP1886438B1 (en) | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method | |
| CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
| US9693226B2 (en) | Method and apparatus for securing a connection in a communications network | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN105791272A (zh) | 一种物联网中的安全通信方法及装置 | |
| CN101102186B (zh) | 通用鉴权框架推送业务实现方法 | |
| CN103491540A (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN104821933A (zh) | 证书生成的设备和方法 | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN114765534B (zh) | 基于国密标识密码算法的私钥分发系统和方法 | |
| CN101267301A (zh) | 通信网络中基于身份的认证和密钥协商方法及装置 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN100450305C (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| CN105848140A (zh) | 一种5g网络中能够实现通信监管的端到端安全建立方法 | |
| KR101509079B1 (ko) | 스마트카드 및 동적 id 기반 전기 자동차 사용자 인증 기법 | |
| CN102264069B (zh) | 基于通用引导架构的认证控制方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 |