CN102143487A - 一种端对端会话密钥协商方法和系统 - Google Patents
一种端对端会话密钥协商方法和系统 Download PDFInfo
- Publication number
- CN102143487A CN102143487A CN2010101112608A CN201010111260A CN102143487A CN 102143487 A CN102143487 A CN 102143487A CN 2010101112608 A CN2010101112608 A CN 2010101112608A CN 201010111260 A CN201010111260 A CN 201010111260A CN 102143487 A CN102143487 A CN 102143487A
- Authority
- CN
- China
- Prior art keywords
- pki
- access node
- module
- user terminal
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种端对端会话密钥协商方法,用于身份标识与位置分离的网络架构中,包括:当第一接入节点接收到第一用户终端发起的加密呼叫请求时,利用该加密呼叫请求中携带的第二用户终端的身份标识,查询第二接入节点的路由标识和有效的公钥;所述第一接入节点生成端对端会话密钥,并将所述端对端会话密钥发送给所述第一用户终端,并利用查询到的有效的公钥将该端对端会话密钥加密后发送给所述第二接入节点;所述第二接入节点利用所述有效的公钥对应的私钥解密并获取该端对端会话密钥,并将所述端对端会话密钥发送给所述第二用户终端。相应的,本发明还提供了一种端对端会话密钥协商系统。上述方法和系统实现了端对端数据报文加密,能满足合法监听的需求。
Description
技术领域
本发明涉及移动通讯领域,尤其涉及一种端对端会话密钥协商方法及系统。
背景技术
现有因特网广泛使用的传输控制协议/因特网互联协议(TransmissionControl Protocol/Internet Protocol,TCP/IP)中IP地址具有双重功能,既作为网络层主机的网络接口在网络拓扑中的位置标识,又作为传输层的主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况。但是,当主机移动越来越普遍时,这种IP地址的语义过载缺陷日益明显。如:当主机的IP地址发生变化时,不仅路由要发生变化,通信终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化会导致应用和连接的中断。
身份标识和位置分离问题提出的目的是为了解决IP地址的语义过载和路由负载严重以及安全等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。
为了解决上述问题,目前已经提出了多种身份标识与位置分离的网络的架构。其中一种身份标识和位置分离网络架构如图1所示,该身份标识和位置分离网络架构包含接入服务节点(Access Service Node,ASN)、用户终端(User Equipment,UE)、身份位置寄存器(Identification&Location Register,ILR)等。其中,接入服务节点负责实现用户终端的接入,并承担计费以及切换等功能;ILR承担用户的位置注册和身份识别的功能,每一个用户终端都存在唯一的身份标识符,即身份标识(AID)。图1中,接入服务节点ASN1和ASN2分别用来接入用户终端UE1和UE2,ASN1和ASN2分别具有路由标识RID1和RID2,UE1和UE2分别存在唯一的身份标识AID1和AID2。为描述方便,下文将图1所示的身份标识和位置分离网络简称为SILSN(Subscriber Identifier&Locator Separation Network)。
在SILSN网络中,数据报文在传输中需要经过很多中间网络节点转发,如经过核心路由器等。通常情况下,SILSN的普通用户无法访问这些中间节点,但网络管理员、网络测试者或网络调试者则可能访问这些中间节点。在数据报文未被加密而透明传输的情况下,网络管理员或网络调试者就有可能看到用户传输的信息。如果这些信息是机密的,则可能对客户带来很大危害。例如,如果用户在数据报文中传输的上市公司年报信息被SILSN管理员提前了解,可能会造成客户或者第三方利益损失,引起不必要的纠纷。因此,当SILSN用户需要在网络中传递高度机密的信息时,仍需要在网络节点进行加密。
但是,目前在身份标识和位置标识的网络架构中,尤其是SILSN网络中,还没有较为完善的端对端加密的方案。
发明内容
本发明要解决的技术问题是提供一种端对端会话密钥协商方法及系统,在身份标识和位置分离的网络架构中,尤其是SILSN网络架构中,简化了端对端会话密钥协商的方法,从而可以实现对端对端的数据报文加密。
通常的通信加密方案有两种:一种是采用端对端加密,一种是采用逐段加密。其中,
端对端加密是一种由主叫用户终端加密、被叫用户终端解密,且中间的网络节点不参与加密和解密的方法。这种加密方法对网络性能影响小,但密钥协商方法较为复杂,且不易实现合法监听,应用相对困难。
逐段加密是将主叫用户终端到被叫用户终端的路径分为几段,在这几段路径上分别对传输的数据报文分别进行加密和解密。这种方案实现方法较为简单,容易实现合法监听,但整体安全性不如端对端的安全性有保证,且会给中间的网络节点性能带来一些负担。
一种可以克服上述缺陷的方法是将端对端加密和逐段加密的优点结合起来,即:利用逐段加密来协商端对端会话密钥,而使用端对端会话密钥来对数据报文加密,从而在简化端对端会话密钥协商的基础上,实现对端对端数据报文的加密。这种方法将数据报文的加密和解密都放在用户终端实现,可降低加密和解密对网络性能的影响,也可以使合法监听容易实现。本发明所提供的用户数据报文在网络节点之间安全传输的方法兼顾了逐段加密和端对端加密的优点,为身份标识和位置分离的网络提供一种支持合法监听的高性能安全传输的方法。
本发明使用的逐段加密方案中,将SILSN中用户UE1到用户UE2的数据传输分为三段,分别是从主叫用户终端(UE1)到该主叫用户终端所接入的接入节点(图1所示的ASN1)的路径101、从ASN1到被叫用户终端所接入的接入节点(ASN2)的路径102和从ASN2到被叫用户终端(UE2)的路径103,如图1所示。其中,路径101和路径103是用户终端到其所接入的接入节点的传输途径,下文称之为路径一;路径102是两个接入节点之间传输的路径,下文称为路径二。
路径一是从用户终端与接入节点之间的通道,此路径通常在用户终端注册时,认证通过后就会建立的一条具有数据加密和数据完整性校验的安全数据通道,如宽带码分多址移动通信系统(Wideband Code Division MultipleAccess,WCDMA)中的认证密钥协商方法(AKA),也可以是独立的物理链路。这段路径在用户终端接入后已固定,该路径的接入密钥的协商只和主叫终端(或被叫)与所接入的ASN有关,所以路径一的安全传输,可以用UE和该UE所接入的ASN之间固定的接入密钥进行加密和解密。
对于路径二,对于同一个主叫用户终端,由于每次通话中的通信对端(即被叫用户终端)可能是不同的,其通信对端所接入的ASN也可能不同,也就是说主叫用户终端所接入的ASN和被叫用户终端的所接入的ASN这条路径会随着通话的用户终端的不同而变化,因此一般情况下,路径二上很难存在预先建立的安全数据通道。所以,必须根据通话双方的不同,来确定ASN1到ASN2之间的安全数据通道,这是SILSN网络中实现逐段安全的关键。
从上面说明知道,路径一的安全已经可以通过接入认证这种固定的方法来保证,而路径二的安全则需要根据每次通话的被叫来确定,所以只要实现路径二的安全,就可以通过逐段安全来协商端对端的安全密钥,通信双方的安全性就有了全面保证,采用逐段安全来协商端对端密钥的一个好处是,接入节点如ASN参与了媒体密钥协商后,就能够参与合法监听,满足了合法监听的需求。
为了解决上述问题,本发明提供了一种利用接入节点的公钥来加密的方法和系统来实现路径二的加密,并可以利用加密的路径二来传递端对端会话密钥,从而实现了端对端会话密钥的协商。
为了解决上述问题,本发明提供了一种端对端会话密钥协商方法,用于身份标识与位置分离的网络架构中,包括:
当第一接入节点接收到第一用户终端发起的加密呼叫请求时,利用该加密呼叫请求中携带的第二用户终端的身份标识,查询第二接入节点的路由标识和有效的公钥;
所述第一接入节点生成端对端会话密钥,并将所述端对端会话密钥发送给所述第一用户终端,并利用查询到的有效的公钥将该端对端会话密钥加密后发送给所述第二接入节点;
所述第二接入节点利用所述有效的公钥对应的私钥解密并获取该端对端会话密钥,并将所述端对端会话密钥发送给所述第二用户终端。
进一步地,上述方法还具有如下特点:
映射转发平面中保存有接入节点的路由标识、公钥和公钥的有效期;
所述第一接入节点向映射转发平面查询第二接入节点的路由标识和有效的公钥,所述映射转发平面将第二接入节点的路由标识和有效的公钥返回给所述第一接入节点。
进一步地,上述方法还具有如下特点:
所述映射转发平面具体通过如下方式保存接入节点的路由标识、公钥和公钥的有效期:
用户终端通过其所接入的接入节点向所述映射转发平面注册的同时,该接入节点也将自己的公钥和该公钥对应的有效期传递给所述映射转发平面,所述映射转发平面保存接入节点的公钥以及该公钥的有效期。
进一步地,上述方法还具有如下特点:
所述映射转发平面根据公钥的有效期判断该公钥是否有效;
如果该公钥的有效期在有效期内,则所述公钥为有效的公钥;如果公钥的不在有效期内,则所述公钥为无效的公钥;
如果所述映射转发平面查询不到有效的公钥,则向第二接入节点索取新的公钥及有效期。
进一步地,上述方法还具有如下特点:
接入节点中保存有其他接入节点的路由标识、公钥和公钥的有效期;
所述第一接入节点在本地查询第二接入节点的路由标识和有效的公钥。
进一步地,上述方法还具有如下特点:
如果所述第一接入节点在本地查询到所述第二接入节点的路由标识且所述公钥为无效的公钥,则根据所述第二接入节点的路由标识向所述第二接入节点索取新的公钥及有效期,并保存新的公钥和公钥的有效期;
如果第一接入节点在本地查询不到第二接入节点的路由标识,则向所述映射转发平面查询所述第二接入节点的路由标识和有效的公钥,所述映射转发平面将第二接入节点的路由标识和有效的公钥返回给所述第一接入节点;所述映射转发平面中保存有接入节点的路由标识、公钥和公钥的有效期。
进一步地,上述方法还具有如下特点:
接入节点为接入服务节点,用户终端向映射转发平面中该用户终端归属的身份位置寄存器注册,在用户终端注册过程中该接入服务节点还将自己的公钥和公钥的有效期传递给该身份位置寄存器。
进一步地,上述方法还具有如下特点:
用户终端通过其所接入的接入节点向所述映射转发平面注册时,在所述用户终端和该用户终端所接入的接入节点之间生成接入密钥;
所述第一接入节点利用其与所述第一用户终端之间的接入密钥将所述端对端会话密钥加密后发送给所述第一用户终端;
所述第二接入节点利用其与所述第二用户终端之间的接入密钥将所述端对端会话密钥加密后发送给所述第二用户终端。
为了解决上述问题,本发明还提供了一种端对端会话密钥协商系统,用于身份标识与位置分离的网络架构中,所述系统包括用户终端和接入节点;
所述用户终端包括加密呼叫请求模块和端对端会话密钥接收模块;其中,
所述加密呼叫请求模块,用于向所述主叫加密呼叫接收模块发送加密呼叫请求,其中携带的被叫用户终端的身份标识;
所述端对端会话密钥接收模块,用于接收端对端会话密钥;
所述接入节点包括主叫加密呼叫接收模块、主叫公钥查询模块、主叫会话密钥生成模块和被叫会话密钥获取模块;
所述主叫加密呼叫接收模块,用于接收所述加密呼叫请求模块的加密呼叫请求,并将加密呼叫请求中携带的被叫用户终端的身份标识发送给所述主叫公钥查询模块;
所述主叫公钥查询模块,用于利用所述被叫用户终端的身份标识查询被叫终端所接入的接入节点的路由标识和有效的公钥,查询到之后发送给所述主叫会话密钥生成模块;
所述主叫会话密钥处理模块,用于生成端对端会话密钥,并将所述端对端会话密钥发送给所述端对端会话密钥接收模块,并利用所述有效的公钥将该端对端会话密钥加密后发送给被叫会话密钥获取模块;
所述被叫会话密钥获取模块,用于通过所述有效的公钥对应的私钥解密并获取该端对端会话密钥,并将所述端对端会话密钥发送所述端对端会话密钥接收模块。
进一步地,上述系统还具有如下特点:
所述系统还包括映射转发平面;
所述接入节点还包括自身信息存储模块和自身信息发送模块;
所述自身信息存储模块,用于保存本接入节点的路由标识、公钥和公钥的有效期;
所述自身信息发送模块,用于在接入本接入节点的用户终端注册时,将自身公钥存储模块中存储的本接入节点的路由标识、公钥和公钥的有效期发送到所述映射转发平面;
所述映射转发平面包括接入节点信息接收存储模块、公钥获取模块;所述接入节点的主叫公钥查询模块向所述公钥获取模块发送查询请求;
所述接入节点信息接收存储模块,用于接收并保存所述自身信息发送模块发送来的路由标识、公钥和公钥的有效期;
所述公钥获取发送模块,用于从所述接入节点信息接收存储模块中获取有效的公钥,并将有效的公钥返回给所述主叫公钥查询模块。
进一步地,上述系统还具有如下特点:
所述公钥获取发送模块根据公钥的有效期判断该公钥是否有效;如果该公钥在有效期内,则所述公钥为有效的公钥;如果公钥的不在有效期内,则所述公钥为无效的公钥;如果所述公钥获取发送模块查询不到有效的公钥,则向所述接入节点发送公钥索取信号;
所述接入节点还包括公钥索取信号接收模块;
所述公钥索取信号接收模块,用于接收所述映射转发平面发送来的公钥索取信号,并指示所述自身信息发送模块;
所述自身信息发送模块,还用于在接收到公钥索取信号后,将自身公钥存储模块中存储的公钥和公钥的有效期发送到所述映射转发平面。
进一步地,上述系统还具有如下特点:
所述接入节点还包括其他接入节点信息存储模块;
所述其他接入节点信息存储模块,用于保存有其他接入节点的路由标识、公钥和公钥的有效期;
所述主叫公钥查询模块,还用于通过所述其他接入节点信息存储模块中查询被叫终端所接入的接入节点的路由标识和有效的公钥。
进一步地,上述系统还具有如下特点:
所述接入节点还包括自身信息存储模块、公钥索取信号接收模块和自身信息发送模块;
如果所述主叫公钥查询模块在本地查询到所述被叫终端所接入的接入节点的路由标识且所述公钥为无效的公钥,则根据该路由标识向所述公钥索取信号接收模块发送公钥索取信号;
所述自身信息存储模块,用于保存本接入节点的路由标识、公钥和公钥的有效期;
所述公钥索取信号接收模块,用于接收所述主叫公钥查询模块的公钥索取信号,并指示所述自身信息发送模块;
所述自身信息发送模块,用于在接收到公钥索取信号后,将自身公钥存储模块中存储的公钥和公钥的有效期发送到所述主叫公钥查询模块;
如果所述主叫公钥查询模块在本地查询不到被叫终端所接入的接入节点的路由标识,则向所述公钥获取发送模块发送查询请求。
进一步地,上述系统还具有如下特点:
接入节点为接入服务节点,用户终端向映射转发平面中该用户终端归属的身份位置寄存器注册,在用户终端注册过程中该接入服务节点还将自己的公钥和公钥的有效期传递给该身份位置寄存器。
进一步地,上述系统还具有如下特点:
用户终端通过其所接入的接入节点向所述映射转发平面注册时,在所述用户终端和该用户终端所接入的接入节点之间生成接入密钥;
所述主叫会话密钥处理模块和所述被叫会话密钥获取模块,将所述端对端会话密钥发送给所述端对端会话密钥接收模块时,利用本接入节点所述接入密钥将所述端对端会话密钥加密后发送给所述端对端会话密钥接收模块。
上述方法和系统提供了一种利用逐段加密来协商端对端会话密钥的方法,在简化端对端会话密钥协商的基础上,实现端对端数据报文加密,还能满足合法监听的需求。利用上述方法和系统,可以传递两个用户终端之间端对端加密的密钥,从而实现端对端数据的高安全性传输。在具体应用中,电信运营商可以将此端对端加密作为一种收费性的电信业务,只提供给对数据传输有高安全性需求的用户使用,可以提高电信企业的竞争力以及收入。
附图说明
图1为SILSN网络的系统架构图;
图2为本发明实施例中SILSN网络的密钥传输路径示意图;
图3为本发明应用示例中SILSN网络用户终端注册的流程;
图4为本发明应用示例中SILSN网络中采用逐段加密来实现端对端密钥协商示意图;
图5为本发明实施例中端对端会话密钥协商系统的结构图。
具体实施方式
下面结合附图及具体实施方法对本发明的技术方案做详细的说明,以便进一步了解本发明之目的、方案及功效,但并非作为对本发明所附权利要求保护范围的限制。
本发明中,当第一接入节点接收到第一用户终端发起的加密呼叫请求时,利用该加密呼叫请求中携带的第二用户终端的身份标识,查询第二接入节点的路由标识和有效的公钥;有效的公钥为在有效期内的公钥;
第一接入节点生成端对端会话密钥,并将端对端会话密钥发送给第一用户终端,并利用有效的公钥将该端对端会话密钥加密后发送给第二接入节点;
第二接入节点获取该端对端会话密钥,并将端对端会话密钥发送给第二用户终端。
其中,第一接入节点通过在本地或在映射转发平面查询第二接入节点的路由标识和有效的公钥。
下文中,第一用户终端为主叫用户终端,第一接入节点为主叫用户终端所接入的接入节点;第二用户终端为被叫用户终端,第二接入节点为被叫用户终端所接入的接入节点。
本实施例中具体包括如下步骤:
第一步,映射转发平面中配置接入节点的公钥和公钥的有效期;
优选的,该配置过程可以通过如下方式实现:
用户终端通过其所接入的接入节点向映射转发平面注册的同时,该接入节点也将自己的公钥和该公钥对应的有效期传递给映射转发平面,映射转发平面保存接入节点的公钥以及该公钥的有效期;
其中,映射转发平面为包括多个ILR的一个用户位置存储和数据报文转发系统。
优选的,用户终端在首次开机和每次接入位置改变时,都需要向映射转发平面注册,接入节点在用户终端注册时同时将其公钥和该公钥对应的有效期发送给映射转发平面;
对于SILSN网络架构,接入节点为ASN,用户终端向映射转发平面中该用户终端归属的身份位置寄存器注册,该接入节点也将自己的公钥传递给该身份位置寄存器;
其中,主叫用户终端UE1通过其所接入的ASN1向UE1所归属的ILR1注册的同时,ASN1也同时将自己的公钥传递给ILR1,ILR1记录ASN1的公钥以及相应的有效期;同样,被叫用户终端UE2通过其所接入的ASN2向ILR2注册位置的同时,ASN2也同时将自己的公钥传递给ILR2,ILR2记录ASN2的公钥以及相应的有效期。当UE1和UE2归属于同一个ILR时,ILR1和ILR2为一个ILR。
图3为以SILSN网络为例的一个用户终端注册应用示例。在本应用示例中,用户终端UE注册的时候,该用户终端UE所接入的ASN不仅要向ILR报告UE注册的当前ASN路由标识RID,还需要将ASN自身的公钥以及有效期传递到ILR,ILR记录ASN的公钥,以及对应的有效期。具体包括如下步骤:
步骤301,用户终端UE向其所接入的ASN注册,其中携带有用户终端UE的身份标识;
步骤302,该ASN向用户终端归属的ILR发起注册,除了携带用户的身份标识和ASN的路由标识RID以外,还需要携带ASN的公钥及此公钥对应的有效期;
步骤303,ILR通过ASN对UE进行双向认证,并在该双向认证过程中ILR和UE之间生成了共享的接入密钥;
步骤304,在ILR通过对UE的认证后,ILR将此接入密钥通知给ASN,ASN和UE使用此接入密钥来保证路径一的安全;
步骤305,ASN通知UE注册成功。
在上述流程中,除了步骤302的携带ASN公钥和公钥有效期之外,其他流程和参数都可以通过现有技术实现,如WCDMA中的AKA(认证和密钥协商)技术。
第二步,当主叫用户终端接入的接入节点接收到主叫用户终端向被叫用户终端发起加密呼叫请求时,利用该加密呼叫请求中携带的被叫用户终端的身份标识,向映射转发平面查询被叫用户终端所接入的接入节点的路由标识和有效的公钥;其中,有效的公钥即在有效期内的公钥;
对于SILSN网络架构,主叫用户终端所接入的接入节点向被叫用户终端归属的身份位置寄存器查询该被叫用户终端所接入的接入节点的路由标识和公钥;
其中,主叫用户终端所接入的接入节点可以通过被叫用户终端的身份标识的号码段分析出被叫用户终端所属的身份位置寄存器,从而可以确定被叫用户终端所属的身份位置寄存器。
第三步,映射转发平面将查询到的被叫用户终端所接入的接入节点的路由标识和有效的公钥返回给主叫用户终端所接入的接入节点;
其中,映射转发平面根据公钥的有效期判断该公钥是否有效,如果该公钥在有效期内,则公钥有效;如果公钥不在有效期内,则为无效的公钥。
如果映射转发平面查询不到有效的公钥,则重新向被叫用户终端所接入的接入节点索取新的公钥,然后映射转发平面将索取到的被叫用户终端所接入的接入节点的有效的公钥以及路由标识返回给主叫用户终端所接入的接入节点。
第四步,主叫用户终端所接入的接入节点生成端对端会话密钥,将端对端会话密钥用主叫的接入密钥加密后发送给主叫用户终端,并利用接收到的被叫接入节点有效的公钥将该端对端会话密钥加密后发送给被叫用户终端所接入的接入节点;被叫所接入的节点获取该端对端会话密钥,并将该端对端会话密钥发送给被叫用户终端。
之后,主叫用户终端和被叫用户终端即可利用该端对端会话密钥通信。
图4所示为本发明一应用示例,在SILSN网络采用逐段加密来实现端对端密钥协商示意图。在主叫用户终端UE1向被叫用户终端UE2发起加密呼叫前,还需要协商端对端会话密钥。该协商过程具体包括如下步骤:
步骤401,UE1向其接入的ASN1发起一个加密呼叫请求,其中携带UE2的身份标识AID2;
步骤402,ASN1收到此加密呼叫请求后,根据UE2的身份标识查询UE2所接入的ASN2的路由标识以及有效的公钥;本实施例中,ASN1是根据UE2的身份标识向该UE2归属的ILR发送查询请求,然后执行步骤403;
其中,ASN1可以根据UE2的身份标识所属号段可以确定向哪一个ILR发送查询请求;
在另一实施例中,ASN1上保存有之前查询到的AID与RID的映射关系以及该RID所标识的ASN的公钥及该公钥的有效期。步骤402中,ASN1可以根据AID2在本地查询;如果查询到AID2对应的RID和有效的公钥,直接执行步骤406;
如果ASN1在本地查询到AID2对应的RID,但是公钥为无效的公钥,则ASN1根据查询到的RID向ASN2索取其公钥及公钥的有效期,并将其保存后执行步骤406;
如果ASN1在本地查询不到AID2对应的RID,则向UE2归属的ILR发送查询请求,查询ASN2的RID及其公钥和公钥的有效期,然后执行步骤403。
步骤403,ILR接收到查询请求后,查询UE2是否注册,如果未注册,向ASN1返回失败;如果已经注册,查询UE2接入的ASN2的路由标识RID2,以及ASN2的公钥以及该公钥的有效期,如果该公钥在有效期内,则执行步骤405;如果已超过公钥的有效期,则向ASN2发起公钥查询请求并执行步骤404;
步骤404,ASN2向ILR返回自己新的公钥以及相应的有效期;
步骤405,ILR将查询到的ASN2的路由标识RID2、ASN2的公钥、ASN2的公钥有效期返回给ASN1;
步骤406,ASN1生成一个端对端会话密钥,将此端对端会话密钥用ASN2的有效的公钥加密后发送给ASN2;
步骤407,ASN2收到加密的会话密钥后,用自己的私钥解密,得到端对端会话密钥,并将此端对端会话密钥用UE2的接入密钥加密后,传递给UE2;
步骤408,ASN2通知ASN1端对端会话密钥传递成功;
步骤409,ASN1通知UE1此端对端加密会话已经建立,并利用UE1的接入密钥将端对端会话密钥加密后传递给UE1;
步骤410,UE1和UE2直接用ASN1生成的会话密钥进行加密通信。
基于上述实施例,本发明还提供了一种实现上述方法的端对端会话密钥协商系统,用于身份标识与位置分离的网络架构中,如图5所示,该系统包括用户终端和接入节点;
用户终端包括加密呼叫请求模块和端对端会话密钥接收模块;其中,
加密呼叫请求模块,用于向主叫加密呼叫接收模块发送加密呼叫请求,其中携带的被叫用户终端的身份标识;
端对端会话密钥接收模块,用于接收端对端会话密钥;
接入节点包括主叫加密呼叫接收模块、主叫公钥查询模块、主叫会话密钥生成模块和被叫会话密钥获取模块;
主叫加密呼叫接收模块,用于接收加密呼叫请求模块的加密呼叫请求,并将加密呼叫请求中携带的被叫用户终端的身份标识发送给主叫公钥查询模块;
主叫公钥查询模块,用于利用被叫用户终端的身份标识查询被叫终端所接入的接入节点的路由标识和有效的公钥,查询到之后发送给主叫会话密钥生成模块;
主叫会话密钥处理模块,用于生成端对端会话密钥,并将端对端会话密钥发送给端对端会话密钥接收模块,并利用有效的公钥将该端对端会话密钥加密后发送给被叫会话密钥获取模块;
被叫会话密钥获取模块,用于通过有效的公钥对应的私钥解密并获取该端对端会话密钥,并将端对端会话密钥发送所述端对端会话密钥接收模块。
进一步地,上述系统还包括映射转发平面;
接入节点还包括自身信息存储模块和自身信息发送模块;
自身信息存储模块,用于保存本接入节点的路由标识、公钥和公钥的有效期;
自身信息发送模块,用于在接入本接入节点的用户终端注册时,将自身公钥存储模块中存储的本接入节点的路由标识、公钥和公钥的有效期发送到映射转发平面;
映射转发平面包括接入节点信息接收存储模块、公钥获取模块;接入节点的主叫公钥查询模块向公钥获取模块发送查询请求;
接入节点信息接收存储模块,用于接收并保存自身信息发送模块发送来的路由标识、公钥和公钥的有效期;
公钥获取发送模块,用于从接入节点信息接收存储模块中获取有效的公钥,并将有效的公钥返回给主叫公钥查询模块。
进一步地,公钥获取发送模块根据公钥的有效期判断该公钥是否有效;如果该公钥在有效期内,则公钥为有效的公钥;如果公钥不在有效期内,则公钥为无效的公钥;如果公钥获取发送模块查询不到有效的公钥,则向接入节点发送公钥索取信号;
接入节点还包括公钥索取信号接收模块;
公钥索取信号接收模块,用于接收映射转发平面发送来的公钥索取信号,并指示自身信息发送模块;
自身信息发送模块,还用于在接收到公钥索取信号后,将自身公钥存储模块中存储的公钥和公钥的有效期发送到映射转发平面。
进一步地,接入节点还包括其他接入节点信息存储模块;
其他接入节点信息存储模块,用于保存有其他接入节点的路由标识、公钥和公钥的有效期;
主叫公钥查询模块,还用于通过其他接入节点信息存储模块中查询被叫终端所接入的接入节点的路由标识和有效的公钥。
进一步地,接入节点还包括自身信息存储模块、公钥索取信号接收模块和自身信息发送模块;
如果主叫公钥查询模块在本地查询到被叫终端所接入的接入节点的路由标识且公钥为无效的公钥,则根据该路由标识向所述公钥索取信号接收模块发送公钥索取信号;
自身信息存储模块,用于保存本接入节点的路由标识、公钥和公钥的有效期;
公钥索取信号接收模块,用于接收主叫公钥查询模块的公钥索取信号,并指示自身信息发送模块;
自身信息发送模块,用于在接收到公钥索取信号后,将自身公钥存储模块中存储的公钥和公钥的有效期发送到主叫公钥查询模块;
如果主叫公钥查询模块在本地查询不到被叫终端所接入的接入节点的路由标识,则向公钥获取发送模块发送查询请求。
进一步地,接入节点为接入服务节点,用户终端向映射转发平面中该用户终端归属的身份位置寄存器注册,在用户终端注册过程中该接入服务节点还将自己的公钥和公钥的有效期传递给该身份位置寄存器。
进一步地,用户终端通过其所接入的接入节点向映射转发平面注册时,在用户终端和该用户终端所接入的接入节点之间生成接入密钥;
主叫会话密钥处理模块和所述被叫会话密钥获取模块,将端对端会话密钥发送给端对端会话密钥接收模块时,利用本接入节点所述接入密钥将端对端会话密钥加密后发送给端对端会话密钥接收模块。
Claims (15)
1.一种端对端会话密钥协商方法,用于身份标识与位置分离的网络架构中,其特征在于,包括:
当第一接入节点接收到第一用户终端发起的加密呼叫请求时,利用该加密呼叫请求中携带的第二用户终端的身份标识,查询第二接入节点的路由标识和有效的公钥;
所述第一接入节点生成端对端会话密钥,并将所述端对端会话密钥发送给所述第一用户终端,并利用查询到的有效的公钥将该端对端会话密钥加密后发送给所述第二接入节点;
所述第二接入节点利用所述有效的公钥对应的私钥解密并获取该端对端会话密钥,并将所述端对端会话密钥发送给所述第二用户终端。
2.如权利要求1所述的协商方法,其特征在于,映射转发平面中保存有接入节点的路由标识、公钥和公钥的有效期;
所述第一接入节点向映射转发平面查询第二接入节点的路由标识和有效的公钥,所述映射转发平面将第二接入节点的路由标识和有效的公钥返回给所述第一接入节点。
3.如权利要求2所述的协商方法,其特征在于,所述映射转发平面具体通过如下方式保存接入节点的路由标识、公钥和公钥的有效期:
用户终端通过其所接入的接入节点向所述映射转发平面注册的同时,该接入节点也将自己的公钥和该公钥对应的有效期传递给所述映射转发平面,所述映射转发平面保存接入节点的公钥以及该公钥的有效期。
4.如权利要求2或3所述的协商方法,其特征在于:
所述映射转发平面根据公钥的有效期判断该公钥是否有效;
如果该公钥的有效期在有效期内,则所述公钥为有效的公钥;如果公钥的不在有效期内,则所述公钥为无效的公钥;
如果所述映射转发平面查询不到有效的公钥,则向第二接入节点索取新的公钥及有效期。
5.如权利要求1所述的协商方法,其特征在于,接入节点中保存有其他接入节点的路由标识、公钥和公钥的有效期;
所述第一接入节点在本地查询第二接入节点的路由标识和有效的公钥。
6.如权利要求5所述的协商方法,其特征在于,
如果所述第一接入节点在本地查询到所述第二接入节点的路由标识且所述公钥为无效的公钥,则根据所述第二接入节点的路由标识向所述第二接入节点索取新的公钥及有效期,并保存新的公钥和公钥的有效期;
如果第一接入节点在本地查询不到第二接入节点的路由标识,则向所述映射转发平面查询所述第二接入节点的路由标识和有效的公钥,所述映射转发平面将第二接入节点的路由标识和有效的公钥返回给所述第一接入节点;所述映射转发平面中保存有接入节点的路由标识、公钥和公钥的有效期。
7.如权利要求3所述的协商方法,其特征在于,
接入节点为接入服务节点,用户终端向映射转发平面中该用户终端归属的身份位置寄存器注册,在用户终端注册过程中该接入服务节点还将自己的公钥和公钥的有效期传递给该身份位置寄存器。
8.如权利要求3所述的协商方法,其特征在于,
用户终端通过其所接入的接入节点向所述映射转发平面注册时,在所述用户终端和该用户终端所接入的接入节点之间生成接入密钥;
所述第一接入节点利用其与所述第一用户终端之间的接入密钥将所述端对端会话密钥加密后发送给所述第一用户终端;
所述第二接入节点利用其与所述第二用户终端之间的接入密钥将所述端对端会话密钥加密后发送给所述第二用户终端。
9.一种端对端会话密钥协商系统,用于身份标识与位置分离的网络架构中,其特征在于,所述系统包括用户终端和接入节点;
所述用户终端包括加密呼叫请求模块和端对端会话密钥接收模块;其中,
所述加密呼叫请求模块,用于向所述主叫加密呼叫接收模块发送加密呼叫请求,其中携带的被叫用户终端的身份标识;
所述端对端会话密钥接收模块,用于接收端对端会话密钥;
所述接入节点包括主叫加密呼叫接收模块、主叫公钥查询模块、主叫会话密钥生成模块和被叫会话密钥获取模块;
所述主叫加密呼叫接收模块,用于接收所述加密呼叫请求模块的加密呼叫请求,并将加密呼叫请求中携带的被叫用户终端的身份标识发送给所述主叫公钥查询模块;
所述主叫公钥查询模块,用于利用所述被叫用户终端的身份标识查询被叫终端所接入的接入节点的路由标识和有效的公钥,查询到之后发送给所述主叫会话密钥生成模块;
所述主叫会话密钥处理模块,用于生成端对端会话密钥,并将所述端对端会话密钥发送给所述端对端会话密钥接收模块,并利用所述有效的公钥将该端对端会话密钥加密后发送给被叫会话密钥获取模块;
所述被叫会话密钥获取模块,用于通过所述有效的公钥对应的私钥解密并获取该端对端会话密钥,并将所述端对端会话密钥发送所述端对端会话密钥接收模块。
10.如权利要求9所述的协商系统,其特征在于,所述系统还包括映射转发平面;
所述接入节点还包括自身信息存储模块和自身信息发送模块;
所述自身信息存储模块,用于保存本接入节点的路由标识、公钥和公钥的有效期;
所述自身信息发送模块,用于在接入本接入节点的用户终端注册时,将自身公钥存储模块中存储的本接入节点的路由标识、公钥和公钥的有效期发送到所述映射转发平面;
所述映射转发平面包括接入节点信息接收存储模块、公钥获取模块;所述接入节点的主叫公钥查询模块向所述公钥获取模块发送查询请求;
所述接入节点信息接收存储模块,用于接收并保存所述自身信息发送模块发送来的路由标识、公钥和公钥的有效期;
所述公钥获取发送模块,用于从所述接入节点信息接收存储模块中获取有效的公钥,并将有效的公钥返回给所述主叫公钥查询模块。
11.如权利要求10所述的协商系统,其特征在于,
所述公钥获取发送模块根据公钥的有效期判断该公钥是否有效;如果该公钥在有效期内,则所述公钥为有效的公钥;如果公钥的不在有效期内,则所述公钥为无效的公钥;如果所述公钥获取发送模块查询不到有效的公钥,则向所述接入节点发送公钥索取信号;
所述接入节点还包括公钥索取信号接收模块;
所述公钥索取信号接收模块,用于接收所述映射转发平面发送来的公钥索取信号,并指示所述自身信息发送模块;
所述自身信息发送模块,还用于在接收到公钥索取信号后,将自身公钥存储模块中存储的公钥和公钥的有效期发送到所述映射转发平面。
12.如权利要求11所述的协商系统,其特征在于,所述接入节点还包括其他接入节点信息存储模块;
所述其他接入节点信息存储模块,用于保存有其他接入节点的路由标识、公钥和公钥的有效期;
所述主叫公钥查询模块,还用于通过所述其他接入节点信息存储模块中查询被叫终端所接入的接入节点的路由标识和有效的公钥。
13.如权利要求12所述的协商系统,其特征在于:
所述接入节点还包括自身信息存储模块、公钥索取信号接收模块和自身信息发送模块;
如果所述主叫公钥查询模块在本地查询到所述被叫终端所接入的接入节点的路由标识且所述公钥为无效的公钥,则根据该路由标识向所述公钥索取信号接收模块发送公钥索取信号;
所述自身信息存储模块,用于保存本接入节点的路由标识、公钥和公钥的有效期;
所述公钥索取信号接收模块,用于接收所述主叫公钥查询模块的公钥索取信号,并指示所述自身信息发送模块;
所述自身信息发送模块,用于在接收到公钥索取信号后,将自身公钥存储模块中存储的公钥和公钥的有效期发送到所述主叫公钥查询模块;
如果所述主叫公钥查询模块在本地查询不到被叫终端所接入的接入节点的路由标识,则向所述公钥获取发送模块发送查询请求。
14.如权利要求10或11或12或13所述的协商系统,其特征在于:
接入节点为接入服务节点,用户终端向映射转发平面中该用户终端归属的身份位置寄存器注册,在用户终端注册过程中该接入服务节点还将自己的公钥和公钥的有效期传递给该身份位置寄存器。
15.如权利要求10所述的协商系统,其特征在于,
用户终端通过其所接入的接入节点向所述映射转发平面注册时,在所述用户终端和该用户终端所接入的接入节点之间生成接入密钥;
所述主叫会话密钥处理模块和所述被叫会话密钥获取模块,将所述端对端会话密钥发送给所述端对端会话密钥接收模块时,利用本接入节点所述接入密钥将所述端对端会话密钥加密后发送给所述端对端会话密钥接收模块。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010111260.8A CN102143487B (zh) | 2010-02-03 | 2010-02-03 | 一种端对端会话密钥协商方法和系统 |
| PCT/CN2010/080261 WO2011095039A1 (zh) | 2010-02-03 | 2010-12-24 | 一种端对端会话密钥协商方法、系统和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010111260.8A CN102143487B (zh) | 2010-02-03 | 2010-02-03 | 一种端对端会话密钥协商方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102143487A true CN102143487A (zh) | 2011-08-03 |
| CN102143487B CN102143487B (zh) | 2015-06-10 |
Family
ID=44354932
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010111260.8A Expired - Fee Related CN102143487B (zh) | 2010-02-03 | 2010-02-03 | 一种端对端会话密钥协商方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102143487B (zh) |
| WO (1) | WO2011095039A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104521210A (zh) * | 2012-06-21 | 2015-04-15 | 诺基亚通信公司 | 网络辅助的邻近服务会话管理 |
| WO2015062314A1 (zh) * | 2013-11-04 | 2015-05-07 | 华为技术有限公司 | 密钥协商处理方法和装置 |
| CN105940644A (zh) * | 2013-12-02 | 2016-09-14 | 阿卡麦科技公司 | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 |
| CN106982419A (zh) * | 2016-01-18 | 2017-07-25 | 普天信息技术有限公司 | 一种宽带集群系统单呼端到端加密方法及系统 |
| WO2017133485A1 (zh) * | 2016-02-02 | 2017-08-10 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| WO2017215443A1 (zh) * | 2016-06-16 | 2017-12-21 | 中兴通讯股份有限公司 | 报文传输方法、装置及系统 |
| CN110048842A (zh) * | 2019-05-30 | 2019-07-23 | 全链通有限公司 | 会话密钥处理方法、设备及计算机可读存储介质 |
| CN110048843A (zh) * | 2019-05-30 | 2019-07-23 | 全链通有限公司 | 会话密钥传输方法、设备及计算机可读存储介质 |
| CN110176993A (zh) * | 2019-05-30 | 2019-08-27 | 全链通有限公司 | 基于联盟区块链的会话密钥分发方法、设备及存储介质 |
| CN114553422A (zh) * | 2022-04-26 | 2022-05-27 | 中电信量子科技有限公司 | VoLTE语音加密通信方法、终端及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139769B (zh) * | 2011-11-30 | 2016-05-11 | 大唐联诚信息系统技术有限公司 | 一种无线通信方法及网络子系统 |
| CN117579392B (zh) * | 2024-01-16 | 2024-04-16 | 北京富通亚讯网络信息技术有限公司 | 基于加密处理的可靠数据传输方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120572A (zh) * | 2005-02-18 | 2008-02-06 | 艾利森电话股份有限公司 | 主机标识协议方法和设备 |
| US20090300168A1 (en) * | 2008-06-02 | 2009-12-03 | Microsoft Corporation | Device-specific identity |
-
2010
- 2010-02-03 CN CN201010111260.8A patent/CN102143487B/zh not_active Expired - Fee Related
- 2010-12-24 WO PCT/CN2010/080261 patent/WO2011095039A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120572A (zh) * | 2005-02-18 | 2008-02-06 | 艾利森电话股份有限公司 | 主机标识协议方法和设备 |
| US20090300168A1 (en) * | 2008-06-02 | 2009-12-03 | Microsoft Corporation | Device-specific identity |
Non-Patent Citations (2)
| Title |
|---|
| BRUNO QUOITIN等: "《Evaluating the Benefits of the Locator/Identifier Separation》", 31 August 2007 * |
| D. FARINACCI: "《Locator/ID Separation Protocol (LISP)》", 2 March 2009 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10616065B2 (en) | 2012-06-21 | 2020-04-07 | Nokia Solutions And Networks Oy | Network assisted proximity service session management |
| CN104521210A (zh) * | 2012-06-21 | 2015-04-15 | 诺基亚通信公司 | 网络辅助的邻近服务会话管理 |
| WO2015062314A1 (zh) * | 2013-11-04 | 2015-05-07 | 华为技术有限公司 | 密钥协商处理方法和装置 |
| CN104618903A (zh) * | 2013-11-04 | 2015-05-13 | 华为技术有限公司 | 密钥协商处理方法和装置 |
| CN105940644A (zh) * | 2013-12-02 | 2016-09-14 | 阿卡麦科技公司 | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 |
| CN105940644B (zh) * | 2013-12-02 | 2019-11-12 | 阿卡麦科技公司 | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 |
| US10270809B2 (en) | 2013-12-02 | 2019-04-23 | Akamai Technologies, Inc. | Virtual private network (VPN)-as-a-service with delivery optimizations while maintaining end-to-end data security |
| CN106982419A (zh) * | 2016-01-18 | 2017-07-25 | 普天信息技术有限公司 | 一种宽带集群系统单呼端到端加密方法及系统 |
| CN106982419B (zh) * | 2016-01-18 | 2020-05-08 | 普天信息技术有限公司 | 一种宽带集群系统单呼端到端加密方法及系统 |
| US11140160B2 (en) | 2016-02-02 | 2021-10-05 | Banma Zhixing Network (Hongkong) Co., Limited | Method and system for establishing inter-device communication |
| CN107026727B (zh) * | 2016-02-02 | 2019-03-29 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| WO2017133485A1 (zh) * | 2016-02-02 | 2017-08-10 | 阿里巴巴集团控股有限公司 | 一种建立设备间通信的方法、装置和系统 |
| WO2017215443A1 (zh) * | 2016-06-16 | 2017-12-21 | 中兴通讯股份有限公司 | 报文传输方法、装置及系统 |
| CN110048843A (zh) * | 2019-05-30 | 2019-07-23 | 全链通有限公司 | 会话密钥传输方法、设备及计算机可读存储介质 |
| CN110176993A (zh) * | 2019-05-30 | 2019-08-27 | 全链通有限公司 | 基于联盟区块链的会话密钥分发方法、设备及存储介质 |
| CN110048842B (zh) * | 2019-05-30 | 2021-09-10 | 全链通有限公司 | 会话密钥处理方法、设备及计算机可读存储介质 |
| CN110048843B (zh) * | 2019-05-30 | 2021-09-10 | 全链通有限公司 | 会话密钥传输方法、设备及计算机可读存储介质 |
| CN110048842A (zh) * | 2019-05-30 | 2019-07-23 | 全链通有限公司 | 会话密钥处理方法、设备及计算机可读存储介质 |
| CN114553422A (zh) * | 2022-04-26 | 2022-05-27 | 中电信量子科技有限公司 | VoLTE语音加密通信方法、终端及系统 |
| CN114553422B (zh) * | 2022-04-26 | 2022-07-01 | 中电信量子科技有限公司 | VoLTE语音加密通信方法、终端及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102143487B (zh) | 2015-06-10 |
| WO2011095039A1 (zh) | 2011-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102143487B (zh) | 一种端对端会话密钥协商方法和系统 | |
| CN101867530B (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
| CN109995513B (zh) | 一种低延迟的量子密钥移动服务方法 | |
| US8935529B2 (en) | Methods and systems for end-to-end secure SIP payloads | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN102045210B (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| US20130080779A1 (en) | Indentifiers in a communication system | |
| EP1374533B1 (en) | Facilitating legal interception of ip connections | |
| US20060233376A1 (en) | Exchange of key material | |
| CN111787533B (zh) | 加密方法、切片管理方法、终端及接入和移动性管理实体 | |
| CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
| CN101667916A (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
| WO2012024906A1 (zh) | 一种移动通信系统及其语音通话加密的方法 | |
| CN102088441A (zh) | 消息中间件的数据加密传输方法和系统 | |
| AU2013269845A1 (en) | Method for tracking a mobile device onto a remote displaying unit | |
| CN110808834A (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| Mjolsnes et al. | Private identification of subscribers in mobile networks: status and challenges | |
| WO2022067667A1 (en) | A method for preventing encrypted user identity from replay attacks | |
| Angermeier et al. | PAL-privacy augmented LTE: A privacy-preserving scheme for vehicular LTE communication | |
| Berthier et al. | Reconciling security protection and monitoring requirements in advanced metering infrastructures | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| Khan et al. | An HTTPS approach to resist man in the middle attack in secure SMS using ECC and RSA | |
| CN106789026A (zh) | Cdn服务器及其与客户端连接方法、私钥服务器及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150610 Termination date: 20180203 |