CN101340443B - 一种通信网络中会话密钥协商方法、系统和服务器 - Google Patents
一种通信网络中会话密钥协商方法、系统和服务器 Download PDFInfo
- Publication number
- CN101340443B CN101340443B CN200810146415.4A CN200810146415A CN101340443B CN 101340443 B CN101340443 B CN 101340443B CN 200810146415 A CN200810146415 A CN 200810146415A CN 101340443 B CN101340443 B CN 101340443B
- Authority
- CN
- China
- Prior art keywords
- key
- terminal
- session
- message
- agreement server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种通信网络的密钥协商方法、系统和服务器,该方法包括步骤:第一终端向密钥协商服务器发送由密钥协商服务器的加密密钥对会话密钥加密后生成的会话密钥密文;密钥协商服务器对会话密钥密文解密获得会话密钥,用第二终端的加密密钥对会话密钥重新加密后生成会话密钥密文并发送给第二终端;第二终端对接收的会话密钥密文解密后获得会话密钥,向第一终端返回响应消息。本发明提供的会话密钥协商方法和系统,通过密钥协商服务器实现会话密钥的加密传输,实现流程简单,而且保证了密钥传输的安全性。通过使用非对称密码体制实现密钥协商、用对称密码体制实现加密通信,充分利用对称和非对称密码体制的优点。
Description
技术领域
本发明涉及网络信息安全技术,尤其涉及一种通信网络中会话密钥协商方法、系统和服务器。
背景技术
在各种通信系统中,如何实现用户之间交互信息的保护,保证通信内容的安全和保密是需要重点考虑的。特别是在移动通信系统中,交互的信息存在一段空中传输的过程,对信息的安全性要求尤为突出。对所传输的数据进行加密保护是实现安全通信的一种重要方式。目前的加密体制有对称密钥体制和非对称密钥体制。对称密钥体制相对于非对称密钥体制来说运算复杂度较高,同时对称密钥体制的保密强度也很高,因此对称密钥体制是一种比较适合于移动通信系统的加密算法。
基于对称密钥的加密体制中,通信的双方共享一个会话密钥。一种基于对称密钥的实现方法是通信双方预先存储一个共享的会话密钥,双方的每次加密通信中都使用该会话密钥进行加密通信。对于这种方式,通信终端需要保存与其他通信终端共享的所有会话密钥,密钥管理比较复杂。另一种实现方法是“一次一密”的方式,即通信双方在每次密文通信之前都协商一个共享的会话密钥,本次通信完成后即丢弃该密钥。但是在通信系统中,由于网络对用户的控制,一般情况下通信的双方无法直接进行密钥协商,因此,需要提供一种适合于通信网络的会话密钥协商的实现。
发明内容
本发明要解决的一个技术问题是提供一种通信网络中的会话密钥协商方法,具有较高的安全性。
本发明提供一种通信网络中的会话密钥协商方法,包括步骤:第一终端向密钥协商服务器发送用密钥协商服务器的加密密钥对会话密钥加密后生成的会话密钥密文;密钥协商服务器对接收的会话密钥密文用密钥协商服务器的解密密钥进行解密获得会话密钥,用第二终端的加密密钥对会话密钥重新加密后生成会话密钥密文并发送给第二终端;第二终端对接收的重新加密的会话密钥密文解密后获得会话密钥,向第一终端返回响应消息。
进一步,上述第一终端向密钥协商服务器发送用密钥协商服务器的加密密钥对会话密钥加密后生成的会话密钥密文的步骤包括:第一终端向密钥协商服务器发送密钥分发消息,消息中包括用密钥协商服务器的公钥对会话密钥加密后生成的会话密钥密文。上述密钥协商服务器用第二终端的加密密钥对会话密钥重新加密后生成会话密钥密文并发送给第二终端的步骤包括:密钥协商服务器利用第二终端的公钥对会话密钥重新加密生成会话密钥密文;密钥协商服务器向第二终端发送密钥下发消息,消息中包括重新加密后的会话密钥密文。
进一步,密钥分发消息中还包括密钥协商服务器的公钥的版本信息,在密钥协商服务器对接收的会话密钥密文解密之前包括步骤:密钥协商服务器判断密钥分发消息中的版本信息与密钥协商服务器的私钥的版本信息是否一致,如果一致则对密钥分发消息中的会话密钥密文进行解密,否则,向第一终端发送密钥更新消息以更新第一终端中的密钥协商服务器的公钥和版本信息。
进一步,密钥分发消息中包括第一终端和第二终端的用户号码,该方法还包括步骤:密钥协商服务器在收到密钥分发消息之后,根据第一终端和第二终端的用户号码判断用户的加密业务使用权限,如果通信双方都具有加密业务的使用权限,则继续会话密钥协商过程,否则,结束会话密钥协商过程。
本发明提供的通信网络的会话密钥协商方法,会话密钥利用会话密钥协商服务器的加密密钥进行加密后发送到会话密钥协商服务器,服务器对其进行解密后利用本地存储的目的终端的加密密钥重新加密后发送给目的终端,会话密钥在传输过程都经过加密,整个协商流程实现简单,具有较高的安全性。
本发明要解决的另一个技术问题是提供一种通信网络中的会话密钥协商系统,具有较高的安全性。
本发明提供一种会话密钥协商系统,包括第一终端,用于存储密钥协商服务器的加密密钥,产生会话密钥,用密钥协商服务器的加密密钥对会话密钥加密后生成会话密钥密文并发送;密钥协商服务器,用于存储密钥协商服务器的解密密钥和第二终端的加密密钥,接收来自第一终端的会话密钥密文,用密钥协商服务器的解密密钥对接收的会话密钥密文进行解密,获得会话密钥,对会话密钥用第二终端的加密密钥重新加密后生成会话密钥密文并发送;第二终端,用于存储第二终端的解密密钥,接收来自密钥协商服务器重新加密的会话密钥密文,用第二终端的解密密钥对接收的会话密钥密文进行解密,获得会话密钥。
其中,密钥协商服务器的加密密钥可以是非对称密钥对中的公钥,而密钥协商服务器的解密密钥为非对称密钥对中的私钥,第二终端的加密密钥为非对称密钥对中的公钥,第二终端的解密密钥为非对称密钥对中的私钥;或者,密钥协商服务器的加密密钥和解密密钥为对称密钥;第二终端的加密密钥和解密密钥为对称密钥。
根据本发明的会话密钥协商系统的一个实施例,第一终端还用于存储密钥协商服务器的加密密钥的版本信息,通过密钥分发消息发送会话密钥密文和密钥协商服务器的加密密钥的版本信息;密钥协商服务器还用于存储密钥协商服务器的解密密钥的版本信息,接收密钥分发消息,判断密钥分发消息的加密密钥的版本信息和密钥协商服务器的解密密钥的版本信息是否一致,如果一致,则对所述密钥分发消息中的会话密钥密文进行解密,否则,向所述第一终端发送密钥更新消息,所述密钥更新消息中包括所述密钥协商服务器的加密密钥及其版本信息。
根据本发明的会话密钥协商系统的一个实施例,第一终端还用于通过密钥分发消息发送所述会话密钥和第一终端及第二终端的用户号码;密钥协商服务器,还用于接收所述密钥分发消息,根据所述第一终端和第二终端的用户号码判断用户的加密业务使用权限,如果通信双方都具有加密业务的使用权限,则对所述密钥分发消息中的会话密钥密文进行解密,否则,向所述第一终端发送密钥协商失败消息。
本发明提供的通信网络中的会话密钥协商系统,第一终端利用会话密钥协商服务器的加密密钥对会话密钥进行加密发送到会话密钥协商服务器,会话密钥协商服务器解密后再用第二终端的加密密钥进行加密后发送到第二终端,整个协商过程中都对会话密钥进行加密,具有较高的安全性。
本发明还提供一种应用于上述方法和系统的密钥协商服务器,包括:信息存储模块,用于存储密钥协商服务器的解密密钥和第二终端的加密密钥;会话密钥解密模块,用于接收来自第一终端的会话密钥密文,利用所述密钥协商服务器的解密密钥对所述会话密钥密文进行解密,获得会话密钥,发送该会话密钥;会话密钥加密模块,用于接收来自会话密钥解密模块的会话密钥,利用第二终端的加密密钥对接收的会话密钥进行加密,并发送所述加密后的会话密钥。
进一步,信息存储模块还用于存储终端用户的权限信息;该密钥协商服务器还包括用户权限判断模块,用于接收密钥分发消息,获得消息中的第一终端的用户号码和第二终端的用户号码,根据存储的用户的权限信息判断所述第一终端和第二终端的用户的加密业务使用权限,如果所述第一终端和第二终端的用户都具有加密业务的使用权限,则将所述密钥分发消息中会话密钥密文发送给所述会话密钥解密模块,否则,返回密钥协商失败消息。
进一步,信息存储模块还用于存储所述密钥协商服务器的解密密钥的版本信息;该密钥协商服务器还包括:密钥更新模块,用于发送密钥更新消息,消息中包括密钥协商服务器的加密密钥以及版本信息。版本判断模块,用于接收密钥分发消息,获得消息中的所述加密密钥的版本信息,判断所述加密密钥的版本信息和所述密钥协商服务器的解密密钥的版本信息是否一致,如果一致,则将所述密钥分发消息中的会话密钥密文发送给所述会话密钥解密模块,如果不一致,则通知所述密钥更新模块发送密钥更新消息。
附图说明
图1为根据本发明的会话密钥协商系统的结构示意图;
图2为根据本发明的会话密钥协商方法的一个实施例的流程图;
图3为根据本发明的会话密钥协商方法的另一个实施例的流程图;
图4为根据本发明的带有公钥更新的会话密钥协商的流程图;
图5为根据本发明的会话密钥协商失败的消息流程图;
图6为根据本发明的会话密钥协商方法在移动通信网络中的应用例的流程图;
图7为根据本发明的密钥协商服务器的一个实施例的结构图;
图8为根据本发明的密钥协商服务器的另一个实施例的结构图;
图9为根据本发明的密钥协商服务器的另一个实施例的结构图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
图1为根据本发明的会话密钥协商系统的结构示意图。如图1所示,该系统包括通信终端11、密钥协商服务器12和通信终端13。其中,通信终端11存储密钥协商服务器12的加密密钥,产生会话密钥,用存储的密钥协商服务器12的加密密钥对会话密钥进行加密后生成会话密钥密文,然后将会话密钥密文发送给密钥协商服务器12。密钥协商服务器12存储密钥协商服务器的解密密钥和通信终端13的加密密钥,接收来自通信终端11的会话密钥密文,用密钥协商服务器的解密密钥对接收的会话密钥密文进行解密,获得会话密钥,然后用通信终端13的加密密钥对会话密钥重新加密,生成会话密钥密文,并将重新加密后的会话密钥密文发送给通信终端13。通信终端13,存储通信终端13的解密密钥,接收来自密钥协商服务器12的重新加密后的会话密钥密文,用存储的通信终端13的解密密钥对接收的会话密钥密文进行解密,获得由通信终端11分发的会话密钥。通信终端13在获得会话密钥后,可以向通信终端11发送响应消息,通知通信终端11它已经接收到会话密钥。
根据本发明的会话密钥协商系统的一个实施例,基于非对称密钥体制加密在通信终端和密钥协商服务器之间传输的会话密钥。在这种情况下,通信终端11存储密钥协商服务器12的公钥,密钥协商服务器12存储自身的私钥和通信终端13的公钥,通信终端13存储自身的私钥。
根据本发明的会话密钥协商系统的另一个实施例,基于对称密钥体制加密在通信终端和密钥协商服务器之间传输的会话密钥。在这种情况下,密钥协商服务器12的加密密钥和解密密钥相同,通信终端13的加密密钥和解密密钥相同。
在图1中只示出了通信终端11和13,在实际的通信网络中可以包括多个通信终端,而且每个通信终端都可以作为会话密钥协商的发起方和接受方。在这种情况下,密钥协商服务器中存储多个通信终端的加密密钥。例如,密钥协商服务器可以存储多个通信终端的公钥、以及自身的私钥,而通信终端存储密钥协商服务器的公钥以及自身的私钥。
图2为根据本发明的会话密钥协商方法的一个实施例的流程图。
如图2所示,在步骤202,第一终端向密钥协商服务器发送用密钥协商服务器的加密密钥对会话密钥加密后生成的会话密钥密文。
在步骤204,密钥协商服务器接收到会话密钥密文后,通过密钥协商服务器的解密密钥对其进行解密,获得会话密钥,然后用第二终端的加密密钥对会话密钥重新加密后生成会话密钥密文,并将重新加密后的会话密钥密文发送给第二终端。
在步骤206,第二终端通过第二终端的解密密钥对接收的重新加密后的会话密钥密文进行解密,获得会话密钥。第二终端获得会话密钥后向第一终端返回响应消息,第二终端可以通过密钥协商服务器返回响应消息,在第一终端和第二终端之间已经建立连接的情况下,第二终端也可以直接将响应消息返回第一终端。
图3为根据本发明的会话密钥协商方法的另一个实施例的流程图。
如图3所示,在步骤302,通信终端1发起会话密钥协商过程,产生随机数K作为本次会话的会话密钥,用本地预存的密钥协商服务器的公钥对会话密钥K进行加密生成密文K1;向密钥协商服务器发送密钥分发消息M1,消息中包括密文K1。
在步骤304,密钥协商服务器收到密钥分发消息M1之后,获得消息中的密文K1,用密钥协商服务器的私钥对密文K1进行解密,得到会话密钥K,然后用本地存储的通信终端2的公钥对K进行加密,得到密文K2;密钥协商服务器向通信终端2发送密钥下发消息M2,密钥下发消息M2中包括密文K2。
在步骤306,通信终端2收到密钥下发消息M2之后,提取消息中的密文K2,用通信终端2私钥进行解密,得到会话密钥K。然后向密钥协商服务器发送密钥下发响应消息M3,告知密钥协商服务器会话密钥提取成功。
在步骤308,密钥协商服务器在收到密钥下发响应消息M3之后,向通信终端1发送密钥分发响应,通知通信终端1会话密钥协商成功。
在步骤302之前,通信终端1和通信终端2之间可以已经通过常规方式建立一个明文通信,如标准语音通信、视频通信等。
图4为根据本发明的带有公钥更新的会话密钥协商的流程图。
如图4所示,在步骤402,通信终端1产生一个随机数K作为本次的会话密钥,同时用本地预存的密钥协商服务器公钥对会话密钥K进行加密,生成密文K1,并向密钥协商服务器发送密钥分发消息M1,该消息包括了密文K1,本端的用户号码,对方的用户号码、本机存储的密钥协商服务器公钥的版本信息。
在步骤404,密钥协商服务器收到密钥分发消息M1之后,验证消息中携带的公钥版本信息是否与本地的密钥协商服务器私钥的版本信息一致,如果一致,继续步骤408;如果不一致,则向通信终端1发送公钥更新消息M101,消息中携带密钥协商服务器的最新版本的公钥及公钥版本号。
在步骤406,通信终端1收到公钥更新消息M101后,更新本地存储的密钥协商服务器的公钥和版本信息,用更新后的密钥协商服务器公钥对会话密钥K进行加密,生成密文K1,并向密钥协商服务器重新发送密钥分发消息M1,该消息包括了密文K1,本端的用户号码,对方的用户号码、更新后的密钥协商服务器公钥版本信息。
在步骤408,密钥协商服务器收到密钥分发消息M1后,取出消息中的密文K1,用密钥协商服务器的私钥解密之后得到会话密钥K,然后根据对方的用户号码获得通信终端2的公钥,用通信终端2的公钥对K进行加密,得到密文K2;然后向被叫通信终端M2发送密钥下发消息M2,密钥下发消息M2包括密文K2、通信终端1和通信终端2的用户号码等信息。
在步骤410,通信终端2收到密钥下发消息M2之后,提取消息中的密文K2,并用本端的通信终端2的私钥进行解密,得到会话密钥K。并通过密钥下发响应消息M3告知密钥协商服务器会话密钥提取成功。
在步骤412,密钥协商服务器收到密钥下发响应消息M3之后,向通信终端1发送密钥分发响应消息M4,通知通信终端1本次会话密钥已经成功发送到通信终端2。
会话密钥协商成功后,通信双方利用会话密钥对发送/接收的信息进行加密/解密,实现信息的加密传输。
根据本发明的会话密钥协商方法的一个实施例,在上述步骤408中发送的密钥下发消息M2中,还包括通信终端2的公钥的版本信息。通信终端2在收到密钥下发消息M2之后,该方法还包括步骤:
(a)通信终端2验证密钥下发消息M2中携带的公钥版本信息和本机的通信终端2的私钥的版本信息是否一致,如果一致,继续步骤410;如果不一致,则向密钥协商服务器发送公钥更新消息M202,消息中携带通信终端2的最新版本的公钥及公钥版本号。
(b)密钥协商服务器收到公钥更新消息M202后,更新本地存储的通信终端2的公钥和版本信息,用更新后的通信终端2的公钥对会话密钥K进行加密,生成密文K2,并向通信终端2重新发送密钥分发消息M2,该消息包括了密文K2,本端的用户号码,对方的用户号码、更新后的通信终端2的公钥版本信息。
根据本发明的会话密钥协商方法的一个实施例,密钥协商服务器发送的密钥下发消息中还包括用密钥协商服务器的私钥对消息内容所做的签字信息。通信终端2在收到密钥下发消息后,首先使用密钥协商服务器的公钥对收到的消息进行签字验证,验证通过后进行后续流程,否则,通过密钥下发响应消息告知密钥协商服务器会话密钥提取失败。
根据本发明的会话密钥协商方法的一个实施例,密钥协商服务器收到密钥分发消息后,首先根据密钥分发消息中的通信终端1和通信终端2的用户号码,判断通信终端1和通信终端2的加密业务使用权限,如果通信双方都具备加密业务使用权限,则继续后续的流程,如果任意一方不具备加密业务的使用权限,则密钥协商服务器向通信终端1发送错误消息,结束本次会话密钥协商过程。错误消息中包含了通信双方的号码以及错误号,通信终端1可以根据错误号解析错误原因并在界面上呈现。图5示出了根据本发明的会话密钥协商方法的一个例子的协商失败时的消息流程图。如图5中所示,通信终端1向密钥协商服务器发送密钥分发消息,消息中包括主叫用户号码和被叫用户号码(步骤502);密钥协商服务器收到密钥分发消息后,根据主叫用户号码和被叫用户号码判断用户的加密业务使用权限,如果主叫方或者被叫方不具有该使用权限,则密钥协商服务器向通信终端1发送错误通知(步骤504),结束该会话协商流程。
需要指出的是,在上述的实施例中描述的与密钥版本信息判断、用户加密业务使用权限判断、签字验证等相关的步骤,可以在本发明的会话密钥协商方法中单独或者相互结合使用。本领域的熟练技术人员根据上述实施例的教导可以完成具体的实现。
图6为根据本发明的会话密钥协商方法的一个应用例的流程图。该应用例适用于移动通信网络,在移动通信网络中引入密钥协商服务器,用于对用户加密通信业务的管理和负责会话密钥的协商。移动通信网络中的通信终端都有一对公私钥,其中私钥保存在通信终端的安全区域,而密钥协商服务器存有每个通信终端的公钥;另外密钥协商服务器具有一对公私钥,其中私钥保存在密钥协商服务器的安全区域,而在通信终端上存储有密钥协商服务器的公钥;可以对密钥协商服务器的公私钥定期或者不定期地进行更新。在该应用例中,以移动通信网络为例,以短消息的方式实现密钥的协商和传输。该应用例包括步骤:
在步骤602,移动通信终端1发送密钥分发消息,密钥分发消息经过主叫侧的基站子系统BSS1、移动交换中心MSC/MSCe1到达密钥协商服务器。密钥分发消息中包括用密钥协商服务器的加密密钥加密后的会话密钥。
在步骤604,密钥协商服务器为了获取被叫用户的拜访地MSC地址,向被叫HLR 2发送SMSREQ消息,HLR 2返回smsreq消息,将用户的拜访地MSC地址告知密钥协商服务器。
在步骤606,密钥协商服务器发送密钥下发消息,密钥下发消息经过被叫侧MSC/MSCe 2、BSS 2到达移动通信终端2。密钥下发消息中包括用密钥协商服务器的解密密钥解密后、又用移动通信终端2的加密密钥加密的会话密钥。
在步骤608,移动通信终端2对接收到的加密后的会话密钥进行解密,获得会话密钥,然后移动通信终端2发送密钥下发响应,密钥下发响应经过被叫侧BSS2、MSC/MSCe 2到达密钥协商服务器。
在步骤610,密钥协商服务器向主叫HLR 1发送SMSREQ消息,获取主叫用户的拜访地MSC地址,HLR 1返回smsreq消息,将主叫用户的拜访地MSC地址告知密钥协商服务器。
在步骤612,密钥协商服务器发送密钥分发响应,密钥分发响应经过主叫侧MSC/MSCe 1、BSS1到达移动通信终端1,整个会话密钥协商完成。
在上文中描述的密钥协商服务器,可以通过一台或多台服务器、或者专门的计算控制设备实现。
图7为根据本发明的密钥协商服务器的一个实施例的结构图。如图7所示,该密钥协商服务器包括信息存储模块71、会话密钥解密模块72和会话密钥加密模块73。其中,信息存储模块71存储有密钥协商服务器的解密密钥和通信终端的加密密钥。会话密钥解密模块72接收会话密钥密文,利用信息存储模块71中存储的密钥协商服务器的解密密钥对会话密钥密文进行解密,获得会话密钥,将会话密钥发送给会话密钥加密模块。会话密钥加密模块73接收来自会话密钥解密模块72的会话密钥,利用信息存储模块71存储的通信终端的加密密钥对接收的会话密钥进行加密,并发送加密后的会话密钥。
图8为根据本发明的密钥协商服务器的另一个实施例的结构图。如图8所示,该密钥协商服务器包括用户权限判断模块80、信息存储模块81、会话密钥解密模块82和会话密钥加密模块83。其中,信息存储模块81、会话密钥解密模块82和会话密钥加密模块83的功能和图7中信息存储模块71、会话密钥解密模块72和会话密钥加密模块73的功能相似,信息存储模块81进一步还用于存储终端用户的权限信息。用户权限判断模块80用于接收密钥分发消息,获得消息中的第一终端的用户号码和第二终端的用户号码,根据信息存储模块81中存储的用户的权限信息判断第一终端和第二终端的用户的加密业务使用权限,如果第一终端和第二终端的用户都具有加密业务的使用权限,则将密钥分发消息中会话密钥密文发送给会话密钥解密模块82,否则,返回密钥协商失败消息。
图9为根据本发明的密钥协商服务器的另一个实施例的结构图。如图9所示,该密钥协商服务器包括信息存储模块91、会话密钥解密模块92、会话密钥加密模块93、版本判断模块90和密钥更新模块94。其中,信息存储模块91、会话密钥解密模块92和会话密钥加密模块93的功能和图7中信息存储模块71、会话密钥解密模块72和会话密钥加密模块73的功能相似,信息存储模块91进一步还用于存储密钥协商服务器的解密密钥的版本信息。密钥更新模块94,用于发送密钥更新消息,消息中包括密钥协商服务器的加密密钥以及版本信息。版本判断模块90,用于接收密钥分发消息,获得消息中的加密密钥的版本信息,判断加密密钥的版本信息和密钥协商服务器的解密密钥的版本信息是否一致,如果一致,则将密钥分发消息中的会话密钥密文发送给会话密钥解密模块92,如果不一致,则通知密钥更新模块94发送密钥更新消息。
需要注意,本发明的会话密钥的协商方法、系统和服务器,不仅可以应用于移动通信网络,也可以应用于其他的通信网络如Internet等。
本发明提供的会话密钥协商方法和系统,通过密钥协商服务器实现会话密钥的加密传输,实现流程简单,而且保证了密钥传输的安全性。进一步,通过对用户的加密业务使用权限的判断可以实现对用户加密权限的控制。进一步,通过使用非对称密码体制实现密钥协商、用对称密码体制实现加密通信,充分利用对称和非对称密码体制的优点。而终端在收到密钥下发消息的时候对密钥协商服务器的鉴别,可以避免非法消息。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (15)
1.一种通信网络中的会话密钥协商方法,其特征在于,包括步骤:
第一终端向密钥协商服务器发送用所述密钥协商服务器的加密密钥对会话密钥加密后生成的会话密钥密文;
所述密钥协商服务器对接收的所述会话密钥密文用所述密钥协商服务器的解密密钥进行解密获得所述会话密钥,用第二终端的加密密钥对所述会话密钥重新加密后生成会话密钥密文并发送给所述第二终端;
所述第二终端对接收的所述重新加密的会话密钥密文解密后获得所述会话密钥,向所述第一终端返回响应消息。
2.根据权利要求1所述的通信网络中的会话密钥协商方法,其特征在于,所述第一终端向密钥协商服务器发送用所述密钥协商服务器的加密密钥对会话密钥加密后生成的会话密钥密文的步骤包括:
第一终端向密钥协商服务器发送密钥分发消息,消息中包括用所述密钥协商服务器的公钥对所述会话密钥加密后生成的会话密钥密文;
所述密钥协商服务器用第二终端的加密密钥对所述会话密钥重新加密后生成会话密钥密文并发送给所述第二终端的步骤包括:
所述密钥协商服务器利用所述第二终端的公钥对所述会话密钥重新加密后生成会话密钥密文;
所述密钥协商服务器向所述第二终端发送密钥下发消息,消息中包括所述重新加密后的会话密钥密文。
3.根据权利要求2所述的通信网络中的会话密钥协商方法,其特征在于,所述密钥分发消息中还包括密钥协商服务器的公钥的版本信息,在所述密钥协商服务器对所述会话密钥密文解密之前包括步骤:
所述密钥协商服务器判断所述密钥分发消息中的版本信息与所述密钥协商服务器的私钥的版本信息是否一致,如果一致则对所述密钥分发消息中的会话密钥密文进行解密,否则,向所述第一终端发送密钥更新消息以更新所述第一终端中的密钥协商服务器的公钥和版本信息。
4.根据权利要求2或3所述的通信网络中的会话密钥协商方法,其特征在于,所述密钥下发消息中还包括所述第二终端的公钥的版本信息,在所述第二终端对所述重新加密的会话密钥密文解密之前包括步骤:
所述第二终端判断所述密钥下发消息中的公钥的版本信息与所述第二终端的私钥的版本信息是否一致,如果一致则对所述密钥下发消息中的会话密钥密文进行解密,否则,向所述密钥协商服务器发送密钥更新消息以更新所述密钥协商服务器中第二终端的公钥和版本信息。
5.根据权利要求2或3所述的通信网络中的会话密钥协商方法,其特征在于,所述密钥分发消息中包括所述第一终端和第二终端的用户号码,所述方法还包括步骤:
所述密钥协商服务器在收到所述密钥分发消息之后,根据所述第一终端和第二终端的用户号码判断用户的加密业务使用权限,如果通信双方都具有加密业务的使用权限,则继续会话密钥协商过程,否则,结束会话密钥协商过程。
6.根据权利要求1至3中任意一项所述的通信网络中的会话密钥协商方法,其特征在于,在第一终端向密钥协商服务器发送由所述密钥协商服务器的密钥加密后的会话密钥的步骤之前,还包括步骤:
在所述第一终端和第二终端之间建立明文通信。
7.根据权利要求1至3中任意一项所述的通信网络中的会话密钥协商方法,其特征在于,所述密钥协商服务器的密钥对分别存储在所述第一终端和所述密钥协商服务器的安全存储区,所述第二终端的密钥对分别存储在所述密钥协商服务器和所述第二终端的安全存储区中。
8.一种通信网络中的会话密钥协商系统,其特征在于,包括:
第一终端,用于存储密钥协商服务器的加密密钥,产生会话密钥,用所述密钥协商服务器的加密密钥对所述会话密钥加密后生成会话密钥密文,发送所述会话密钥密文;
所述密钥协商服务器,用于存储密钥协商服务器的解密密钥和第二终端的加密密钥,接收来自所述第一终端的会话密钥密文,用所述密钥协商服务器的解密密钥对接收的所述会话密钥密文进行解密获得所述会话密钥,对所述会话密钥用所述第二终端的加密密钥重新加密后生成会话密钥密文,发送所述重新加密的会话密钥密文;
所述第二终端,用于存储所述第二终端的解密密钥,接收来自所述密钥协商服务器的所述会话密钥密文,用所述第二终端的解密密钥对接收的所述会话密钥密文进行解密,获得所述会话密钥。
9.根据权利要求8所述的通信网络中的会话密钥协商系统,其特征在于,所述密钥协商服务器的加密密钥为非对称密钥对中的公钥,所述密钥协商服务器的解密密钥为非对称密钥对中的私钥,所述第二终端的加密密钥为非对称密钥对中的公钥,所述第二终端的解密密钥为非对称密钥对中的私钥;或者,所述密钥协商服务器的加密密钥和解密密钥为对称密钥;所述第二终端的加密密钥和解密密钥为对称密钥。
10.根据权利要求8或9所述的通信网络中的会话密钥协商系统,其特征在于:
所述第一终端还用于存储所述密钥协商服务器的加密密钥的版本信息,通过密钥分发消息发送所述会话密钥密文和所述密钥协商服务器的加密密钥的版本信息;
所述密钥协商服务器还用于存储所述存储密钥协商服务器的解密密钥的版本信息,接收所述密钥分发消息,判断所述密钥分发消息的加密密钥的版本信息和所述密钥协商服务器的解密密钥的版本信息是否一致,如果一致,则对所述密钥分发消息中的所述会话密钥密文进行解密,否则,向所述第一终端发送密钥更新消息,所述密钥更新消息中包括所述密钥协商服务器的加密密钥及其版本信息。
11.根据权利要求10所述的通信网络中的会话密钥协商系统,其特征在于:
所述密钥协商服务器还用于存储所述第二终端的加密密钥的版本信息,通过密钥下发消息发送所述重新加密的会话密钥密文和所述第二终端的加密密钥的版本信息;
所述第二终端还用于存储所述第二终端的解密密钥的版本信息,接收所述密钥下发消息,判断所述密钥下发消息中的加密密钥的版本信息和所述第二终端的解密密钥的版本信息是否一致,如果一致,则对所述密钥下发消息中的所述会话密钥密文进行解密,否则,向所述密钥协商服务器发送密钥更新消息,所述密钥更新消息中包括所述第二终端的加密密钥及其版本信息。
12.根据权利要求8或9所述的会话密钥协商系统,其特征在于:
所述第一终端还用于通过密钥分发消息发送所述会话密钥和所述第一终端和第二终端的用户号码;
所述密钥协商服务器,还用于接收所述密钥分发消息,根据所述第一终端和第二终端的用户号码判断用户的加密业务使用权限,如果通信双方都具有加密业务的使用权限,则对所述密钥分发消息中的所述会话密钥密文进行解密,否则,向所述第一终端发送密钥协商失败消息。
13.一种密钥协商服务器,其特征在于,包括:
信息存储模块,用于存储密钥协商服务器的解密密钥和第二终端的加密密钥;
会话密钥解密模块,用于接收来自第一终端的会话密钥密文,利用所述密钥协商服务器的解密密钥对所述会话密钥密文进行解密获得会话密钥,发送所述会话密钥;
会话密钥加密模块,用于接收来自所述会话密钥解密模块的会话密钥,利用所述第二终端的加密密钥对接收的会话密钥进行加密,并发送所述加密后的会话密钥。
14.根据权利要求13所述的密钥协商服务器,其特征在于,所述信息存储模块还用于存储终端用户的权限信息;所述密钥协商服务器还包括:
用户权限判断模块,用于接收密钥分发消息,获得消息中的第一终端的用户号码和第二终端的用户号码,根据存储的用户的权限信息判断所述第一终端和第二终端的用户的加密业务使用权限,如果所述第一终端和第二终端的用户都具有加密业务的使用权限,则将所述密钥分发消息中会话密钥密文发送给所述会话密钥解密模块,否则,返回密钥协商失败消息。
15.根据权利要求13所述的密钥协商服务器,其特征在于,所述信息存储模块还用于存储所述密钥协商服务器的解密密钥的版本信息;所述密钥协商服务器还包括:
密钥更新模块,用于发送密钥更新消息,消息中包括密钥协商服务器的加密密钥以及版本信息;
版本判断模块,用于接收密钥分发消息,获得消息中的所述加密密钥的版本信息,判断所述加密密钥的版本信息和所述密钥协商服务器的解密密钥的版本信息是否一致,如果一致,则将所述密钥分发消息中的所述会话密钥密文发送给所述会话密钥解密模块,如果不一致,则通知所述密钥更新模块发送密钥更新消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810146415.4A CN101340443B (zh) | 2008-08-28 | 2008-08-28 | 一种通信网络中会话密钥协商方法、系统和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810146415.4A CN101340443B (zh) | 2008-08-28 | 2008-08-28 | 一种通信网络中会话密钥协商方法、系统和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101340443A CN101340443A (zh) | 2009-01-07 |
| CN101340443B true CN101340443B (zh) | 2014-12-03 |
Family
ID=40214396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810146415.4A Active CN101340443B (zh) | 2008-08-28 | 2008-08-28 | 一种通信网络中会话密钥协商方法、系统和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101340443B (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2214374A1 (en) | 2009-01-30 | 2010-08-04 | Hewlett-Packard Development Company, L.P. | Communications system and method |
| CN101729533B (zh) * | 2009-06-26 | 2012-09-26 | 中兴通讯股份有限公司 | 一种ip多媒体子系统延迟媒体信息的传输方法及系统 |
| CN102045210B (zh) * | 2009-10-10 | 2014-05-28 | 中兴通讯股份有限公司 | 一种支持合法监听的端到端会话密钥协商方法和系统 |
| CN101834863B (zh) * | 2010-04-29 | 2012-03-28 | 西安西电捷通无线网络通信股份有限公司 | 一种局域网节点间安全连接建立方法及系统 |
| CN101814987B (zh) * | 2010-04-29 | 2012-06-13 | 西安西电捷通无线网络通信股份有限公司 | 一种节点间密钥的建立方法及系统 |
| CN101841414B (zh) * | 2010-05-20 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种端到端通信密钥的建立方法及系统 |
| CN101841547B (zh) * | 2010-05-20 | 2012-08-08 | 西安西电捷通无线网络通信股份有限公司 | 一种端到端共享密钥的建立方法及系统 |
| CN102036194B (zh) * | 2010-12-09 | 2014-09-10 | 中兴通讯股份有限公司 | 一种加密mms的方法及系统 |
| CN102035647B (zh) * | 2010-12-24 | 2013-10-23 | 北京工业大学 | 一种增强保护的非对称密钥协商方法 |
| CN102857479B (zh) * | 2011-06-30 | 2015-07-29 | 北京新媒传信科技有限公司 | 网络通讯的加密方法和系统 |
| US20140067689A1 (en) * | 2012-08-31 | 2014-03-06 | Ncr Corporation | Security module and method of securing payment information |
| CN103607277B (zh) * | 2013-11-18 | 2016-08-03 | 中国联合网络通信集团有限公司 | 密钥更新的处理方法、系统和密钥管理平台 |
| CN104683291B (zh) * | 2013-11-27 | 2020-04-10 | 北京大唐高鸿数据网络技术有限公司 | 基于ims系统的会话密钥协商方法 |
| CN105141568B (zh) * | 2014-05-28 | 2019-02-12 | 腾讯科技(深圳)有限公司 | 安全通信通道建立方法及系统、客户端和服务器 |
| CN104539433A (zh) * | 2014-10-30 | 2015-04-22 | 马洁韵 | 一种语音通话加密系统和加密方法 |
| CN105657693A (zh) * | 2014-11-13 | 2016-06-08 | 北京信威通信技术股份有限公司 | 短信和/或实时短数据的加密方法、装置和系统 |
| CN104486077B (zh) * | 2014-11-20 | 2017-09-15 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
| CN105792190B (zh) * | 2014-12-25 | 2021-01-15 | 成都鼎桥通信技术有限公司 | 通信系统中的数据加解密和传输方法 |
| CN106301767B (zh) * | 2015-05-13 | 2020-01-03 | 中兴通讯股份有限公司 | 一种加密通话的处理方法、装置、终端及kmc |
| CN105719120B (zh) * | 2016-04-25 | 2019-11-15 | 成都木马人网络科技有限公司 | 一种加密快递单隐私信息的方法 |
| CN105827401A (zh) * | 2016-05-13 | 2016-08-03 | 成都四象联创科技有限公司 | 一种采用多重数据加密的数据链系统 |
| CN106713264B (zh) * | 2016-11-18 | 2019-06-21 | 郑州信大捷安信息技术股份有限公司 | 一种用于车辆安全远程控制与诊断的方法及系统 |
| CN107070909A (zh) * | 2017-04-01 | 2017-08-18 | 广东欧珀移动通信有限公司 | 信息发送方法、信息接收方法、装置及系统 |
| CN107147491A (zh) * | 2017-06-01 | 2017-09-08 | 浙江九州量子信息技术股份有限公司 | 一种基于多终端通信的密钥服务架构及分配方法 |
| CN109922034B (zh) * | 2017-12-13 | 2021-06-04 | 台达电子工业股份有限公司 | 具有安控机制的传输系统及方法 |
| CN109639627B (zh) * | 2018-10-24 | 2021-12-17 | 视联动力信息技术股份有限公司 | 一种加密方式切换方法和装置 |
| US11133932B2 (en) * | 2018-12-20 | 2021-09-28 | Sony Interactive Entertainment LLC | Secure data channel in a networked gaming system |
| CN110475034B (zh) * | 2019-07-23 | 2020-12-22 | 深圳市六度人和科技有限公司 | 提高话机安全性的方法、用户端装置、服务器装置及系统 |
| CN111246407B (zh) * | 2020-01-10 | 2022-09-02 | 北京智信通联信息技术有限公司 | 用于短信传输的数据加密、解密方法及装置 |
| CN114301613B (zh) * | 2020-09-22 | 2023-08-22 | 华为技术有限公司 | 安全通信的方法和装置 |
| CN112437044B (zh) * | 2020-11-03 | 2022-12-13 | 建信金融科技有限责任公司 | 即时通讯方法和装置 |
| CN113297599B (zh) * | 2021-06-16 | 2023-11-03 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 数据传输系统、数据获取方法、终端和存储介质 |
| CN115001667B (zh) * | 2021-12-15 | 2023-05-26 | 荣耀终端有限公司 | 密钥协商方法、系统、电子设备和计算机可读存储介质 |
| CN114554485B (zh) * | 2021-12-22 | 2024-03-12 | 卓望数码技术(深圳)有限公司 | 异步会话密钥协商和应用方法、系统、电子设备及介质 |
| CN115549956A (zh) * | 2022-08-17 | 2022-12-30 | 青岛海尔科技有限公司 | 会话建立方法、装置、存储介质及电子装置 |
| CN117955649A (zh) * | 2024-03-26 | 2024-04-30 | 杭州海康威视数字技术股份有限公司 | 物联网数据安全高效传输方法、系统及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| CN1937489A (zh) * | 2006-09-23 | 2007-03-28 | 西安西电捷通无线网络通信有限公司 | 一种网络密钥管理及会话密钥更新方法 |
| CN101047494A (zh) * | 2006-05-14 | 2007-10-03 | 华为技术有限公司 | 一种pon系统中密钥协商的方法和系统 |
-
2008
- 2008-08-28 CN CN200810146415.4A patent/CN101340443B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| CN101047494A (zh) * | 2006-05-14 | 2007-10-03 | 华为技术有限公司 | 一种pon系统中密钥协商的方法和系统 |
| CN1937489A (zh) * | 2006-09-23 | 2007-03-28 | 西安西电捷通无线网络通信有限公司 | 一种网络密钥管理及会话密钥更新方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杨栋,谢永强.一种基于公钥体制的双向认证及密钥协商方案.《计算机安全》.2008, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101340443A (zh) | 2009-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101340443B (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
| CN102916869B (zh) | 即时通信方法和系统 | |
| CN102572817B (zh) | 实现移动通信保密的方法和智能存储卡 | |
| CN101102186B (zh) | 通用鉴权框架推送业务实现方法 | |
| CN101677269B (zh) | 密钥传输的方法及系统 | |
| CN101383698A (zh) | 会话密钥分发方法及系统 | |
| CN101867898A (zh) | 一种短信加密通信系统、方法及密钥中心 | |
| CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| CN102740239B (zh) | 媒体消息安全传输的方法和系统 | |
| CN103338437A (zh) | 一种移动即时消息的加密方法及系统 | |
| CN103167494B (zh) | 信息发送方法和系统 | |
| CN105792190A (zh) | 通信系统中的数据加解密和传输方法 | |
| CN102264068B (zh) | 共享密钥协商方法与系统、网络平台及终端 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN113365264B (zh) | 一种区块链无线网络数据传输方法、装置及系统 | |
| CN107104888B (zh) | 一种安全的即时通信方法 | |
| KR101760376B1 (ko) | 안전한 메신저 서비스를 제공하는 단말 및 방법 | |
| CN102036194B (zh) | 一种加密mms的方法及系统 | |
| JP4924943B2 (ja) | 認証付鍵交換システム、認証付鍵交換方法およびプログラム | |
| CN112054905B (zh) | 一种移动终端的安全通信方法及系统 | |
| CN112291196B (zh) | 适用于即时通信的端到端加密方法及系统 | |
| CN113392413A (zh) | 一种数据安全存储方法、装置、系统和存储介质 | |
| CN111698263A (zh) | 一种北斗卫星导航数据的传输方法和系统 | |
| CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
| KR20000050057A (ko) | 암호화된 단문 메시지 서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |