CN105450392B - 一种用于确定密钥对的方法及装置、数据处理方法 - Google Patents

一种用于确定密钥对的方法及装置、数据处理方法 Download PDF

Info

Publication number
CN105450392B
CN105450392B CN201510885208.0A CN201510885208A CN105450392B CN 105450392 B CN105450392 B CN 105450392B CN 201510885208 A CN201510885208 A CN 201510885208A CN 105450392 B CN105450392 B CN 105450392B
Authority
CN
China
Prior art keywords
key
data
key pair
index value
indicate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510885208.0A
Other languages
English (en)
Other versions
CN105450392A (zh
Inventor
邱吉刚
吴新勇
杨佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Jiuzhou Electric Group Co Ltd
Original Assignee
Sichuan Jiuzhou Electric Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Jiuzhou Electric Group Co Ltd filed Critical Sichuan Jiuzhou Electric Group Co Ltd
Priority to CN201510885208.0A priority Critical patent/CN105450392B/zh
Priority to US15/739,693 priority patent/US10601586B2/en
Priority to PCT/CN2015/098482 priority patent/WO2017092092A1/zh
Publication of CN105450392A publication Critical patent/CN105450392A/zh
Priority to ZA2018/00005A priority patent/ZA201800005B/en
Application granted granted Critical
Publication of CN105450392B publication Critical patent/CN105450392B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation

Abstract

一种用于确定秘钥对的方法及装置、数据处理方法,该用于确定密钥对的方法包括:密钥对索引值生成步骤,根据预设密钥对索引初值、扰码值以及进行数据通信的设备的ID或组播/广播ID,生成密钥对索引值;密钥对数据确定步骤,根据密钥对索引值从安全存储区域内确定所需要的密钥对数据;密钥对确定步骤,利用预设高层密钥对密钥对数据进行解密,得到所需要的密钥对。该密钥对确定方法使得数据收发双方无需通过KTC/KDC等密钥管理实体,即可“约定”加密密钥,从而实现语音及数据信息的加密传输,解决了当前无线通信过程中的信息泄密问题。

Description

一种用于确定密钥对的方法及装置、数据处理方法
技术领域
本发明涉及通信技术领域,具体地说,涉及一种用于确定密钥对的方法及装置、数据处理方法。
背景技术
随着移动通信产业的迅猛发展,手机不仅仅在个人生活中得到广泛的应用,而且在诸如政府公务以及商务活动等诸多领域中也扮演着愈来愈重要的角色。然而,现有的移动通信网络存在一些安全隐患,导致无线窃听等事件屡有发生。例如,作为移动通信主流制式的GSM系统,其仅支持空口加密,不能提供端到端的安全加密通信。利用GSM系统的这一特点,不法分子可以利用伪基站等设备来进行语音窃听和数据盗取。
为此,国内外有关厂家对端到端加密传输体制进行了深入的技术研究。相应的技术解决方案主要包括三种:其一、收发端通过外置的硬件设备对原始的语音或者数据进行额外的AD转换、DA转换和加/解密处理;其二、加/解密设备内置于手机中,对AD转换及信源编码处理后的语音等信息进行加/解密处理;其三、设计专门的VoIP类通信软件,对使用者的短信与通话信息进行加/解密处理。
由上可知,现有的端到端加密机制一般基于通信运营商的通信链路,增加了额外的一层加密防护措施,但是出于成本、安全等因素,现有的端到端加密机制无法借助通信运营商已有的KDC/KTC等基础设施。在此情况下,通信双方如何协定加密的密钥来实现数据的端到端加密传输,成为一个迫切需要解决的技术难题。
发明内容
为解决上述问题,本发明提供了一种用于确定秘钥对的方法,所述方法包括:
密钥对索引值生成步骤,根据预设密钥对索引初值、扰码值以及进行数据通信的设备的ID或组播/广播ID,生成密钥对索引值;
密钥对数据确定步骤,根据所述密钥对索引值从安全存储区域内确定所需要的密钥对数据;
密钥对确定步骤,利用预设高层密钥对所述密钥对数据进行解密,得到所需要的密钥对。
根据本发明的一个实施例,当所述数据收发双方的数据传输方式为点对点传输时,
在所述密钥对索引值生成步骤中,根据预设密钥对索引初值、扰码值、进行数据通信的设备的ID以及用于支持点对点传输的密钥对数量,利用预设算法生成所述密钥对索引值。
根据本发明的一个实施例,在所述密钥对索引值生成步骤中,根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDA,IDB,Pt,Ikey_int)mod(N-k)
其中,Ikey表示密钥对索引值,IDA和IDB分别表示数据接收设备和数据发送设备的ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
根据本发明的一个实施例,当所述数据收发双方的数据传输方式为组播/广播传输时,
在所述密钥对索引值生成步骤中,根据预设密钥对索引初值、扰码值、组播/广播ID以及用于支持组播/广播传输的密钥对数量,利用预设算法生成所述密钥对索引值。
根据本发明的一个实施例,在所述密钥对索引值生成步骤中,根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDC,0,Pt,Ikey_int)mod(k)+(N-k)
其中,Ikey表示密钥对索引值,IDC表示组播/广播ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
根据本发明的一个实施例,以当前时间t为输入,采用m级PN序列码发生器生成所述扰码值Pt
根据本发明的一个实施例,所述预设密钥对索引初值是进行数据通信的设备在首次通信过程中,利用预设高层加密秘钥构建的加密通道协定得到的。
本发明还提供了一种用于确定密钥对的装置,所述装置包括:
密钥对数据存储模块,其用于存储密钥对数据,所述密钥对数据为经预设高层密钥加密的密钥对。
密钥对索引值生成模块,其用于根据预设密钥对索引初值、扰码值以及进行数据通信的设备的ID,确定密钥对索引值;
密钥对数据确定模块,其与所述密钥对数据存储模块和密钥对索引值生成模块连接,用于从所述密钥对数据存储模块中选取与所述密钥对索引值相对应的密钥对数据;
密钥对数据解密模块,其与所述密钥对数据确定模块连接,用于利用所述预设高层密钥对所述密钥对数据进行解密,从而得到所需要的密钥对。
根据本发明的一个实施例,所述密钥对索引值生成模块配置为根据预设密钥对索引初值、扰码值、进行数据通信的设备的ID以及用于支持点对点传输的密钥对数量,利用预设算法生成所述密钥对索引值。
根据本发明的一个实施例,所述密钥对索引值生成模块配置为根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDA,IDB,Pt,Ikey_int)mod(N-k)
其中,Ikey表示密钥对索引值,IDA和IDB分别表示数据接收设备和数据发送设备的ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
根据本发明的一个实施例,所述密钥对索引值生成模块配置为根据根据预设密钥对索引初值、扰码值、数据收发双方的设备ID以及用于支持组播/广播传输的密钥对数量,利用预设算法生成所述密钥对索引值。
根据本发明的一个实施例,所述密钥对索引值生成模块配置为根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDC,0,Pt,Ikey_int)mod(k)+(N-k)
其中,Ikey表示密钥对索引值,IDC表示组播ID或广播ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
本发明还提供了一种数据处理方法,所述方法包括:
利用如上任一项所述的方法确定密钥对;
根据所述密钥对对需要发送的数据进行加密,或对接收到的数据进行解密
本发明提供了一种基于非交换式的密钥对确定方法以及装置,以及使用该方法所确定的密钥对来进行数据加密或解密的数据处理方法。该密钥对确定方法使得数据收发双方无需通过KTC/KDC等密钥管理实体,即可“约定”加密密钥,从而实现语音及数据信息的加密传输,解决了当前无线通信过程中的信息泄密问题。
本发明所提供的确定密钥对的方法由于不需要新建企业级的KTC/KDC等密钥管理实体,因此在节约部署开支的同时,还避免了因KTC/KDC被攻击而导致的安全风险。同时,在该方法中,数据收发双方通过按照预定的规则进行密钥对索引的确定,而实际密钥固化于手机的安全区域,从而确保了通信过程的高保密性和完整性。此外,该方法通过引入与用于组播、广播的密钥对相对应的特殊索引值,还能够确保多播/组播等业务的保密传输。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要的附图做简单的介绍:
图1是根据本发明一个实施例的数据处理方法的流程图;
图2是根据本发明一个实施例的安全存储区域的结构示意图;
图3是根据本发明一个实施例的用于确定密钥对的装置的结构示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
同时,在以下说明中,出于解释的目的而阐述了许多具体细节,以提供对本发明实施例的彻底理解。然而,对本领域的技术人员来说显而易见的是,本发明可以不用这里的具体细节或者所描述的特定方式来实施。
另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
目前,针对端到端加密传输尤其是语音加密传输的密钥管理体制正逐渐引起业内各界人士关注,所提出的技术方案已在特定场合采用。
其中一种比较直接的方式是为端加密传输建立集中式的KDC/KTC中心,由KDC/KTC为收发双方选取密钥,并通过特定的保密信道发送给收发双方。该方案的主要缺陷在于需要额外建立企业级的KDC/KTC中心,投资较大。此外,KDC/KTC中心及保密通道的安全性和稳定性至为重要,一旦失效或者被攻击,将导致所有通信链路中断或者全系统数据的泄密。
另一种方法是由数据发送端和数据接收端利用特定的信令通道通过点对点方式进行密码协商,并将用于语音或者数据加密的公钥通过特定的信道传送至对端。采用此技术方案,一方面需要考虑更严密或者更高层次的加密措施确保密钥传输渠道的安全;另一方面,每次数据通讯都需要协商密钥,将导致额外的信令开销和连接建立时延。
针对现有技术中存在的上述问题,本发明提供了一种基于非交换式的密钥协作机制来进行数据处理,使得收发双方无需通过KTC/KDC等密钥管理实体,即可“约定”加密密钥,实现语音及数据信息的加密传输,解决当前无线通信过程中的信息泄密问题。
图1示出了本实施例所提供的数据处理方法的流程图。
如图1所示,本实施例所提供的数据处理方法在步骤S101中数据收发双方通过运营商技术设施建立通信连接。
在密钥对索引值生成步骤S102中,该方法根据预设密钥对索引初值、扰码值以及进行数据通信的设备的ID,确定密钥对索引值。本实施例中,用于数据加密和解密的密钥对是以码本形式固化到一个ROM或者手机Trustzone等安全存储区域中的。从图2所示,本实施例中安全存储区域中所存储的密钥对数据既包括用于点对点通信的密钥对数据,也包括用于组播/广播的密钥对数据,其中,用于对点通信的密钥对数据为N-k组,而用于组播/广播的密钥对数据为k组。
需要说明的是,在本发明的其他实施例中,当数据收发设备的数据传输方式为点对点传输时,安全存储区域中还可以仅存储用于对点通信的密钥对,而当数据收发设备的数据传输方式为组播或广播时,安全存储区域中还可以仅存储用于组播/广播的密钥对,本发明不限于此。
同时,还需要指出的是,在本发明的不同实施例中,密码本的大小可以根据整个加密系统的用户规模(即整个加密系统中所包含的设备数量)来进行估算和设置。ROM或者手机Trustzone等安全存储区域实体存储的密钥采用更高层次的密钥进行加密处理,其只能由特定的设备或应用来进行读取或解密,以防备密钥的外泄。同时,在包含安全存储区域的设备(例如手机)遗失的情况下,还可以通过远程管理中心向包含安全存储区域的设备发送指令来进行数据锁定或删除,从而确保密钥以及相关数据的安全。
具体地,本实施例中,在步骤S102中通过不可溯源的内置模块来确定密钥对索引值。其中,密钥对索引值是基于数据收发双方的用户ID、密码对索引初值Ikey_int、扰码值Pt等数据利用预设算法(例如Harsh算法)映射得到。具体地,本实施例中,可以根据如下表达式确定密钥对索引值Ikey
Ikey=FHarsh(IDA,IDB,Pt,Ikey_int)mod(N-k) (1)
其中,IDA和IDB分别表示数据接收设备和数据发送设备的ID,Pt表示基于时间跳变的扰码值,Ikey_int表示预设密钥对索引初值,N=2n表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
本实施例中,预设密钥对索引初值Ikey_int优选地为零。需要指出的是,在本发明的其他实施例中,基于安全性增强的考虑,预设密钥对索引初值Ikey_int还可以在通信连接建立前由数据收发双方通过点对点的数据签名过程协商得出,本发明不限于此。
扰码值Pt是与当前时间t有关的PN序列码,它是以当前时间t为输入采用m级PN序列码生成器生成的。从表达式(1)中可以看出,由于通信连接建立时间的不同将使得扰码值Pt随时间随机跳变,再结合Harsh值计算过程的不可追溯性,因此本实施例所提供的方法能够有效确保密钥对的抗攻击能力。
再次如图1所示,当在步骤S102中得到密钥对索引值后,在步骤S103中根据所得到的密钥对索引值从安全存储区域中确定出所述需要的密钥对数据。具体地,当在步骤S102中得到的密钥对索引值为i(0≤i≤N-k)时,在步骤S103中则会从安全存储区域中提取该密钥对索引值所对应的密钥对数据,即经高层密钥加密的第i个密钥对数据。
在密钥对确定步骤S104中,利用高层密钥对步骤S104中所得到的密钥对数据进行解密,从而得到所需要的密钥对(包括公钥和私钥)。
至此,数据收发双方便完成了密钥对的确定过程。
当得到所需要的密钥对后,在步骤S105中判断通信连接是否建立成功。如果通信连接建立成功,则执行步骤S106以利用公钥对待发送数据进行加密,或是利用私钥对接收到的数据进行解密;而如果通信连接没有建立成功,那么则返回步骤S101以重新建立通信连接。
在步骤S107中会判断本次通信是否结束。如果通信未结束,则继续执行步骤S106;否则执行步骤S108以删除所得到密钥对,以防止其他非法应用窃取该密钥对,从而保证了密钥对的安全性,继而保证了传输数据的安全性。
需要说明的是,在本发明的其他实施例中,数据的收发还可以是以组播或广播加密通信的方式进行传输的,在这种情况下,在步骤S102中则会根据组播ID或广播ID、扰码值Pt以及密码对索引初值Ikey_int来确定密钥对索引值Ikey
具体地,在该实施例中,根据如下表达式确定密钥对索引值Ikey
Ikey=FHarsh(IDC,0,Pt,Ikey_int)mod(k)+(N-k) (2)
其中,IDC表示组播ID或广播ID。
本实施例还提供了一种用于确定密钥对的装置,图3示出了该装置的结构示意图。
如图3所示,本实施例所提供的用于确定密钥对的装置包括:密钥对数据存储模块301、密钥对索引值生成模块302、密钥对数据确定模块303以及密钥对数据解密模块304。其中,密钥对数据存储模块301用于存储密钥对数据,密钥对数据为经预设高层密钥加密的密钥对。
密钥对数据存储模块301即为安全存储区域,其采用更高层次的密钥(即预设高层密钥)来对所存储的数据进行加密。本实施例中,密钥对数据存储模块采用ROM来实现。需要说明的是,在本发明的不同实施例中,密钥对数据存储模块301还可以采用其他合理的元器件或电路来实现,本发明不限于此。例如在本发明的一个实施例中,密钥对数据存储模块301还可以采用Trustzone来实现。
如图2所示,本实施例中,密钥对数据存储模块301中既存储了用户点对点通信的密钥对数据,也存储了用于组播、广播通信的密钥对数据。
密钥对索引值生成模块302用于根据预设密钥对索引初值、扰码值以及进行数据通信的设备的ID,确定密钥对索引值。其中,当数据收发双方为点到点通信时,密钥对索引值生成模块302会根据数据收发双方的用户ID、密码对索引初值Ikey_int、扰码值Pt等数据利用预设算法(例如Harsh算法)来确定出密钥对索引值。
具体地,本实施例中,当数据收发双方为点到点通信时,密钥对索引值生成模块302根据如下表达式来确定密钥对索引值Ikey
Ikey=FHarsh(IDA,IDB,Pt,Ikey_int)mod(N-k) (3)
其中,IDA和IDB分别表示数据接收设备和数据发送设备的ID,Pt表示基于时间跳变的扰码值,Ikey_int表示预设密钥对索引初值,N=2n表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
本实施例中,预设密钥对索引初值Ikey_int优选地为零。需要指出的是,在本发明的其他实施例中,基于安全性增强的考虑,预设密钥对索引初值Ikey_int还可以在通信连接建立前由数据收发双方通过点对点的数据签名过程协商得出,本发明不限于此。
当数据收发双方通过组播或广播的方式来进行数据通信时,密钥对索引值生成模块302则会根据组播ID或广播ID、扰码值Pt以及密码对索引初值Ikey_int来确定密钥对索引值Ikey。具体地,本实施例中,密钥对索引值生成模块302会根据表达式(2)来确定密钥对索引值Ikey
密钥对数据确定模块303与密钥对数据存储模块301和密钥对索引值生成模块302连接,其用于从密钥对数据存储模块301中选取与密钥对索引值相对应的密钥对数据。具体地,当密钥对索引值生成模块302所生成的密钥对索引值为i(0≤i≤N-k)时,密钥对数据确定模块303则会从密钥对数据存储模块301中提取该密钥对索引值所对应的密钥对数据,即第i个密钥对数据,该第i个密钥对数据为经高层密钥加密的第i个密钥对。
密钥对数据解密模块304与密钥对数据确定模块303连接,其用于利用预设高层密钥对密钥对数据确定模块303传输来的密钥对数据进行解密,从而得到所需要的密钥对。
从上述描述中可以看出,本实施例提供了一种基于非交换式的密钥对确定方法以及使用该方法所确定的密钥对来进行数据加密或解密的数据处理方法,该密钥对确定方法使得数据收发双方无需通过KTC/KDC等密钥管理实体,即可“约定”加密密钥,从而实现语音及数据信息的加密传输,解决了当前无线通信过程中的信息泄密问题。
本实施例所提供的确定密钥对的方法由于不需要新建企业级的KTC/KDC等密钥管理实体,因此在节约部署开支的同时,还避免了因KTC/KDC被攻击而导致的安全风险。同时,在该方法中,数据收发双方通过按照预定的规则进行密钥对索引的确定,而实际密钥固化于手机的安全区域,从而确保了通信过程的高保密性和完整性。此外,该方法通过引入与用于组播、广播的密钥对相对应的特殊索引值,还能够确保多播/组播等业务的保密传输。
应该理解的是,本发明所公开的实施例不限于这里所公开的特定处理步骤,而应当延伸到相关领域的普通技术人员所理解的这些特征的等同替代。还应当理解的是,在此使用的术语仅用于描述特定实施例的目的,而并不意味着限制。
虽然上述示例用于说明本发明在一个或多个应用中的原理,但对于本领域的技术人员来说,在不背离本发明的原理和思想的情况下,明显可以在形式上、用法及实施的细节上作各种修改而不用付出创造性劳动。因此,本发明由所附的权利要求书来限定。

Claims (9)

1.一种用于确定密钥对的方法,其特征在于,所述方法包括:
密钥对索引值生成步骤,根据预设密钥对索引初值、扰码值以及进行数据通信的设备的ID,生成密钥对索引值;
密钥对数据确定步骤,根据所述密钥对索引值从安全存储区域内确定所需要的密钥对数据;
密钥对确定步骤,利用预设高层密钥对所述密钥对数据进行解密,得到所需要的密钥对;
其中,当数据收发双方的数据传输方式为点对点传输时,根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDA,IDB,Pt,Ikey_int)mod(N-k)
其中,Ikey表示密钥对索引值,FHarsh表示Harsh算法,IDA和IDB分别表示数据接收设备和数据发送设备的ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
2.如权利要求1所述的方法,其特征在于,以当前时间t为输入,采用m级PN序列码发生器生成所述扰码值Pt
3.如权利要求1或2所述的方法,其特征在于,所述预设密钥对索引初值是进行数据通信的设备在首次通信过程中,利用预设高层加密密钥构建的加密通道协定得到的。
4.一种用于确定密钥对的方法,其特征在于,所述方法包括:
密钥对索引值生成步骤,根据预设密钥对索引初值、扰码值以及进行数据通信的组播/广播ID,生成密钥对索引值;
密钥对数据确定步骤,根据所述密钥对索引值从安全存储区域内确定所需要的密钥对数据;
密钥对确定步骤,利用预设高层密钥对所述密钥对数据进行解密,得到所需要的密钥对;
其中,当数据收发双方的数据传输方式为组播/广播传输时,根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDC,0,Pt,Ikey_int)mod(k)+(N-k)
其中,Ikey表示密钥对索引值,FHarsh表示Harsh算法,IDC表示组播/广播ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
5.如权利要求4所述的方法,其特征在于,以当前时间t为输入,采用m级PN序列码发生器生成所述扰码值Pt
6.如权利要求4或5所述的方法,其特征在于,所述预设密钥对索引初值是进行数据通信的设备在首次通信过程中,利用预设高层加密密钥构建的加密通道协定得到的。
7.一种用于确定密钥对的装置,其特征在于,所述装置包括:
密钥对数据存储模块,其用于存储密钥对数据,所述密钥对数据为经预设高层密钥加密的密钥对;
密钥对索引值生成模块,其用于根据预设密钥对索引初值、扰码值以及进行数据通信的设备的ID,确定密钥对索引值;
密钥对数据确定模块,其与所述密钥对数据存储模块和密钥对索引值生成模块连接,用于从所述密钥对数据存储模块中选取与所述密钥对索引值相对应的密钥对数据;
密钥对数据解密模块,其与所述密钥对数据确定模块连接,用于利用所述预设高层密钥对所述密钥对数据进行解密,从而得到所需要的密钥对;
其中,所述密钥对索引值生成模块配置为根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDA,IDB,Pt,Ikey_int)mod(N-k)
其中,Ikey表示密钥对索引值,FHarsh表示Harsh算法,IDA和IDB分别表示数据接收设备和数据发送设备的ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
8.一种用于确定密钥对的装置,其特征在于,所述装置包括:
密钥对数据存储模块,其用于存储密钥对数据,所述密钥对数据为经预设高层密钥加密的密钥对;
密钥对索引值生成模块,其用于根据预设密钥对索引初值、扰码值以及进行数据通信的组播/广播ID,确定密钥对索引值;
密钥对数据确定模块,其与所述密钥对数据存储模块和密钥对索引值生成模块连接,用于从所述密钥对数据存储模块中选取与所述密钥对索引值相对应的密钥对数据;
密钥对数据解密模块,其与所述密钥对数据确定模块连接,用于利用所述预设高层密钥对所述密钥对数据进行解密,从而得到所需要的密钥对;
其中,所述密钥对索引值生成模块配置为根据如下表达式生成所述密钥对索引值:
Ikey=FHarsh(IDC,0,Pt,Ikey_int)mod(k)+(N-k)
其中,Ikey表示密钥对索引值,FHarsh表示Harsh算法,IDC表示组播ID或广播ID,Pt表示与当前时间t有关的扰码值,Ikey_int表示预设密钥对索引初值,N表示安全存储区内存储的密钥对的总数量,k表示安全存储区内存储的用于支持组播/广播的密钥对的数量。
9.一种数据处理方法,其特征在于,所述方法包括:
利用如权利要求1~6中任一项所述的方法确定密钥对;
根据所述密钥对对需要发送的数据进行加密,或对接收到的数据进行解密。
CN201510885208.0A 2015-12-04 2015-12-04 一种用于确定密钥对的方法及装置、数据处理方法 Active CN105450392B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201510885208.0A CN105450392B (zh) 2015-12-04 2015-12-04 一种用于确定密钥对的方法及装置、数据处理方法
US15/739,693 US10601586B2 (en) 2015-12-04 2015-12-23 Method and apparatus for key management of end encrypted transmission
PCT/CN2015/098482 WO2017092092A1 (zh) 2015-12-04 2015-12-23 一种端加密传输的密钥管理的方法及装置
ZA2018/00005A ZA201800005B (en) 2015-12-04 2018-01-02 Method and apparatus for key management ofend encrypted transmission

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510885208.0A CN105450392B (zh) 2015-12-04 2015-12-04 一种用于确定密钥对的方法及装置、数据处理方法

Publications (2)

Publication Number Publication Date
CN105450392A CN105450392A (zh) 2016-03-30
CN105450392B true CN105450392B (zh) 2019-01-25

Family

ID=55560213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510885208.0A Active CN105450392B (zh) 2015-12-04 2015-12-04 一种用于确定密钥对的方法及装置、数据处理方法

Country Status (4)

Country Link
US (1) US10601586B2 (zh)
CN (1) CN105450392B (zh)
WO (1) WO2017092092A1 (zh)
ZA (1) ZA201800005B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106022584A (zh) * 2016-05-13 2016-10-12 成都镜杰科技有限责任公司 小型企业资源管理方法
CN106412891B (zh) * 2016-09-06 2019-12-03 北京汇通金财信息科技有限公司 一种lte专网终端提升安全性的方法及装置
CN108494549B (zh) * 2018-02-27 2020-10-02 北京赛博兴安科技有限公司 基于fpga的密钥索引协商装置、系统及方法
CN109413092B (zh) * 2018-11-20 2021-03-12 国网浙江省电力有限公司电力科学研究院 一种密钥异构防御方法
US11528601B1 (en) * 2021-06-09 2022-12-13 T-Mobile Usa, Inc. Determining and ameliorating wireless telecommunication network functionalities that are impaired when using end-to-end encryption

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104660412A (zh) * 2014-10-22 2015-05-27 南京泽本信息技术有限公司 一种移动设备无密码安全认证方法及系统

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI114061B (fi) * 2002-05-17 2004-07-30 Nokia Corp Menetelmä ja järjestelmä digitaalisessa langattomassa tiedonsiirtoverkossa datasalauksen järjestämiseksi ja vastaava palvelin
US7233664B2 (en) * 2003-03-13 2007-06-19 New Mexico Technical Research Foundation Dynamic security authentication for wireless communication networks
US7981064B2 (en) 2005-02-18 2011-07-19 So Sound Solutions, Llc System and method for integrating transducers into body support structures
CN101212642B (zh) * 2006-12-25 2012-06-27 北京握奇数据系统有限公司 一种广播信号处理方法、系统及接收终端
CN101277181A (zh) * 2008-05-04 2008-10-01 福州大学 一种流媒体数字权限管理的动态多层加密方法
US20120102322A1 (en) * 2008-12-18 2012-04-26 O'brien William G Processing of communication device signatures for use in securing nomadic electronic transactions
WO2010069033A1 (en) * 2008-12-18 2010-06-24 Bce Inc Validation method and system for use in securing nomadic electronic transactions
JP2010268417A (ja) 2009-04-16 2010-11-25 Toshiba Corp 記録装置及びコンテンツデータ再生システム
JP5198539B2 (ja) * 2010-11-05 2013-05-15 株式会社東芝 記憶装置、アクセス装置およびプログラム
CN104038930B (zh) 2013-03-04 2017-10-10 北京信威通信技术股份有限公司 一种端到中心ip数据分组加密的方法
JP2016518075A (ja) * 2013-04-05 2016-06-20 インターデイジタル パテント ホールディングス インコーポレイテッド ピアツーピア通信およびグループ通信のセキュリティ保護
CN103580859B (zh) * 2013-11-11 2017-05-10 国家电网公司 一种用于智能用电互动的非对称加密方法
CN104184591B (zh) 2014-09-10 2018-01-09 爱康普科技(大连)有限公司 一种ttf认证方法
CN104836664B (zh) * 2015-03-27 2019-05-14 腾讯科技(深圳)有限公司 一种执行业务处理的方法、装置和系统
US9960911B2 (en) * 2015-09-11 2018-05-01 Signalchip Innovations Private Limited System and method for securing wireless communication through physical layer control and data channel

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104660412A (zh) * 2014-10-22 2015-05-27 南京泽本信息技术有限公司 一种移动设备无密码安全认证方法及系统

Also Published As

Publication number Publication date
ZA201800005B (en) 2018-11-28
WO2017092092A1 (zh) 2017-06-08
US20180199191A1 (en) 2018-07-12
CN105450392A (zh) 2016-03-30
US10601586B2 (en) 2020-03-24

Similar Documents

Publication Publication Date Title
CN105450392B (zh) 一种用于确定密钥对的方法及装置、数据处理方法
CN104641617B (zh) 一种密钥交互方法及装置
CN101340443B (zh) 一种通信网络中会话密钥协商方法、系统和服务器
CN101420303B (zh) 一种语音数据的通信方法及其装置
CN101917711B (zh) 一种移动通信系统及其语音通话加密的方法
CN106134231B (zh) 密钥生成方法、设备及系统
CN109995513A (zh) 一种低延迟的量子密钥移动服务方法
CN102223231B (zh) M2m终端认证系统及认证方法
CN106096424B (zh) 一种对本地数据进行加密方法和终端
CN109995514A (zh) 一种安全高效的量子密钥移动服务方法
CN103166757B (zh) 一种动态保护用户隐私数据的方法及系统
CN103167494B (zh) 信息发送方法和系统
CN109600725A (zh) 一种基于sm9算法的短信加密方法
CN101895882A (zh) 一种WiMAX系统中的数据传输方法、系统及装置
CN102857889A (zh) 一种短消息加密的方法及装置
CN103391540A (zh) 密钥信息生成方法及系统、终端设备、接入网设备
CN102420642A (zh) 蓝牙设备及其通信方法
CN103179559A (zh) 一种低成本终端的安全通信方法、装置及系统
CN104602208B (zh) 一种基于移动网络的短信加密通信方法
CN102123361B (zh) 加密信息通信的实现方法及装置
CN102487503B (zh) 一种多级安全动态群组密钥管理方法
CN110166410A (zh) 一种安全传输数据的方法、终端及多模通信终端
CN105262759A (zh) 一种加密通信的方法和系统
CN102036194B (zh) 一种加密mms的方法及系统
CN105827601A (zh) 移动设备数据加密应用方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant