CN105792190A - 通信系统中的数据加解密和传输方法 - Google Patents
通信系统中的数据加解密和传输方法 Download PDFInfo
- Publication number
- CN105792190A CN105792190A CN201410819920.6A CN201410819920A CN105792190A CN 105792190 A CN105792190 A CN 105792190A CN 201410819920 A CN201410819920 A CN 201410819920A CN 105792190 A CN105792190 A CN 105792190A
- Authority
- CN
- China
- Prior art keywords
- business
- kdc
- key
- cipher key
- agency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本申请公开了通信系统中的数据加解密和传输方法,包括:业务的发起终端通过KDC代理向KDC申请密钥,并通过KDC代理接收业务密钥;发起终端根据自身的根密钥提取业务密钥,并利用业务密钥对业务数据进行加密后发送给业务处理中心,并同时携带利用发起终端的根密钥作为信封保护的业务密钥。应用本申请,能够将业务流程与密钥流程耦合在一起,既能做到对业务流程改动较小,同时又保证密钥分发的可靠性。
Description
技术领域
本申请涉及加密技术,特别涉及通信系统中的数据加解密和传输方法。
背景技术
在某些特殊行业,系统内部通信需要加密。LTE标准空口加密特性或IPSec或SSL等加密,只对传输链路的某一节进行加密。但对于一些特殊的行业应用,例如军队、政府机关,需要移动通讯有更高的安全性。为满足高安全性的通信需求,需要建设基于移动交换网的端到端加密(E2EE)通信系统。端到端加密是发端通过专用加解密芯片进行加密,收端专用加解密芯片进行解密的加密通信方式,加密数据对传输管道透明。
Witen技术支持端到端加密接口,加密接口可开放,解决了国外集群技术在国内加密接口不开放导致的无法满足用户端到端加密的问题。具体地,在该技术中,终端通过硬件加密/解密模块,在话音经过数字语音编码之后对编码码流进行加密,从而实现发端数据加密。在接收端通过在话音解码器之前先送入硬件加密/解密模块实现数据解密。具体Witen中端到端加密过程的用户面处理如图1所示。
众所周知,在加密和解密处理中,需要使用加密密钥。有的IPSec或SSL等传输加密协议,加密密钥在源/目的用户之间直接协商,这种处理方式中,由终端产生加密密钥,但是密钥产生源为伪随机数,因此密钥的随机性不好。现有系统也有由网络节点产生业务密钥,再分别分发给源/目的用户的加密方式。但这种方式中,密钥分发流程和业务流程独立进行,因此异常处理机制复杂。
业务流程与密钥流程耦合方式,既要做到对业务流程改动小,又要保证密钥分发的可靠性。
发明内容
本申请提供通信系统中的数据加解密和传输方法,能够将业务流程与密钥流程耦合在一起,既能做到对业务流程改动较小,同时又保证密钥分发的可靠性。
为实现上述目的,本申请采用如下的技术方案:
一种通信系统中的数据加密方法,包括:
业务的发起终端进行业务数据传输时,通过第三方加密中心KDC代理向KDC申请密钥,并通过所述KDC代理接收所述KDC为所述业务分配的业务密钥;其中,所述业务密钥传输给所述发起终端时利用预先设置的所述业务发起终端的根密钥作为所述业务密钥的信封;
所述发起终端根据自身的根密钥提取业务密钥,并利用所述业务密钥对发送的业务数据进行加密后发送给业务处理中心,并同时携带利用所述发起终端的根密钥作为信封保护的所述业务密钥。
较佳地,所述KDC代理与KDC间使用私有接口进行信息交互;
所述KDC代理与所述终端之间采用IP连接。
一种通信系统中加密数据的传输方法,包括:
业务处理中心接收业务发起终端发送的加密业务数据和利用所述发起终端的根密钥作为信封保护的所述业务的业务密钥;
所述业务处理中心将所述业务的发起终端和接收终端的标识以及利用发起终端的根密钥作为信封保护的所述业务密钥,通过所述KDC代理发送给所述KDC,并通过KDC代理接收所述KDC反馈的利用所述接收终端的根密钥作为信封保护的所述业务密钥;
所述业务处理中心将所述发起终端发来的加密后的业务数据和利用所述接收终端的根密钥作为信封保护的所述业务密钥发送给所述接收终端。
较佳地,所述KDC代理与KDC间使用私有接口进行信息交互;
所述KDC代理与所述业务处理中心之间采用IP连接。
一种通信系统中的数据解密方法,包括:
业务的接收终端接收业务处理中心发送的加密后的业务数据和利用所述接收终端的根密钥作为信封保护的所述业务的业务密钥;
所述接收终端利用自身保存的根密钥从接收的信息中提取所述业务密钥,并利用该业务密钥对接收的业务数据进行解密。
一种通信系统中的数据加密方法,包括:
群组业务的发起终端进行业务数据传输时,通过第三方加密中心KDC代理向KDC申请密钥,并通过所述KDC代理接收所述KDC为所述业务分配的业务密钥;其中,所述业务密钥传输给所述发起终端时利用预先设置的所述业务发起终端的根密钥作为所述业务密钥的信封;
所述发起终端根据自身的根密钥提取业务密钥,并利用所述业务密钥对发送的业务数据进行加密后通过所述群组业务的业务处理中心发送给所述群组业务的接收终端,并同时携带利用所述群组的根密钥作为信封保护的所述业务密钥。
较佳地,所述KDC代理与KDC间使用私有接口进行信息交互;
所述KDC代理与所述终端之间采用IP连接。
一种通信系统中的数据解密方法,包括:
群组业务的接收终端接收业务处理中心转发的由群组业务的发起终端发来的所述群组业务的加密后业务数据和利用所述群组的根密钥作为信封保护的所述群组业务的业务密钥;
所述接收终端利用自身保存的所述群组的根密钥从接收的信息中提取所述业务密钥,并利用该业务密钥对接收的业务数据进行解密。
由上述技术方案可见,本申请中,引入第三方加密中心KDC和KDC代理实现业务密钥的生成,并将密钥生成和传输过程嵌入业务流程中,对业务流程改动小,同时又保证密钥分发的可靠性。
附图说明
图1为Witen中端到端加密过程的用户面处理示意图;
图2为本申请中数据加解密和传输系统的架构示意图;
图3为本申请中第一种数据加解密和传输方法的示意图;
图4为本申请中第二种数据加解密和传输方法的示意图。
具体实施方式
为了使本申请的目的、技术手段和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。
本申请中引入两个新的功能单元:第三方加密中心KDC和KDC代理。图2为本申请中引入KDC和KDC代理之后形成的数据加解密和传输系统的架构示意图。其中,KDC作为第三方加密中心,提供密钥生成、分发的基本功能,还可以进行数据包加解密功能;KDCAgent(即KDC代理)用于代理通信系统内加解密业务的各个处理单元与KDC之间的交互,从而实现对传输系统屏蔽第三方KDC的接口差异;KDCAgent和KDC之间定义私有接口,可以采用IP连接;KDCAgent和业务处理中心(例如短信中心等)可以采用IP连接,KDCAgent内部可以定义私有接口;KDCAgent的IP信息对所有终端可见,终端可采用域名解析方式获取;KDCAgent采用通用服务器平台,可和已有设备如网管、调度机共同部署或独立部署。
对应上述图2所示的系统架构,本申请给出两种数据加解密和传输方法。图3为第一种数据加解密和传输方法的基本流程示意图。其中,假定UEA和UEB分别为业务发起终端和接收终端,以短信业务为例进行说明,相应的业务处理中心为短信中心。如图3所示,该方法包括:
步骤301,UEA发起短信业务,首先通过KDC代理向KDC请求业务密钥。
KDC代理的IP信息对终端可见,因此,UEA可以直接向KDC代理请求业务密钥,KDC代理接收请求后转发给KDC。
步骤302,KDC通过KDC代理向UEA发送生成的业务密钥,该业务密钥使用UEA的根密钥K_A作为信封进行保护。
KDC接收密钥请求后生成短信业务密钥Message_Key,同时根据发送密钥请求的终端标识,在自身保存的各个终端的根密钥中提取UEA的根密钥K_A,利用该K_A当作信封保护短信业务密钥Message_Key,并通过KDC代理发送给UEA。也就是利用K_A对短信业务密钥Message_Key进行加密保护。下面描述中信封的意思也类似,就是指加密保护。
步骤303,UEA利用自身的根密钥K_A从KDC代理反馈的信息中提取短信业务密钥Message_Key,并在加密芯片中利用短信业务密钥Message_Key对发送的短信业务数据进行加密。
步骤304,UEA将加密后的短信业务数据发送给短信中心,并同时携带利用UEA的根密钥K_A作为信封保护的短信业务密钥Message_Key。
步骤305,短信中心接收加密后的短信业务数据,在确定为密文后,通过KDC代理将UE_A、UE_B的标识和利用K_A作为信封保护的Message_Key发送给KDC。
步骤306,KDC接收短信中心发来的信息后,利用将保护Message_Key的信封由UE_A的根密钥K_A替换为UE_B的根密钥K_B,并将替换信封后的Message_Key通过KDC代理反馈给短信中心。
步骤307,短信中心将KDC代理反馈的替换信封后的Message_Key和加密后的业务数据一起发送给接收端UE_B。
步骤308,UE_B接收加密后的业务数据以及带有信封的Message_Key,利用自身的根密钥K_B提取Message_Key,并利用该Message_Key对短信业务数据进行解密。
至此,第一种通信系统中的数据加解密和传输方法流程结束。在上述流程中,包括数据加密流程(步骤301~304中UE_A的处理)、数据传输流程(步骤305~307中短信中心的处理)和数据解密流程(步骤308的处理)。三个过程相互独立,又互相协作,使密钥分发穿插在业务流程中进行,从而使得异常处理更加简单,同时,对于现有业务流程的修改也很小。其中的数据加密流程使加密密钥的分发和数据加密过程串行进行,能够简化异常处理过程;数据传输流程简单、安全地实现业务密钥的传输;数据解密流程使解密密钥的分发和解密数据传输同步进行,在不影响正常业务流程的前提下,方便地实现了解密密钥的传输。
另外,在上述流程中,接收端UE_B可以是一个终端,即一对一的通信业务数据传输;或者,接收端也可以为多个UE_B,即一对多的群组业务数据传输,这种情况下,对应每个UE_B均采用上述处理流程。
对应上述图2所示的系统架构,图4为本申请中第二种数据加解密和传输方法的基本流程示意图,该方法适用于群组业务。其中,假定UEA是群组短信的发起者,UEB为群组的一个接收者,仍以短信业务为例进行说明,相应的业务处理中心为短信中心。如图4所示,该方法包括:
步骤401,UEA发起群组短信业务,首先通过KDC代理向KDC请求业务密钥。
步骤402,KDC通过KDC代理向UEA发送生成的业务密钥,该业务密钥使用UEA的根密钥作为信封进行保护。
上述步骤401和402的具体处理与前述图3中步骤301和302相同,这里就不再赘述。
步骤403,UEA利用自身的根密钥K_A从KDC代理反馈的信息中提取短信业务密钥Message_Key,并在加密芯片中利用短信业务密钥Message_Key对发送的短信业务数据进行加密。
步骤404,UEA将加密后的短信业务数据发送给短信中心,并同时携带利用群组的根密钥作为信封保护的短信业务密钥Message_Key。
步骤405,短信中心将UEA发送的短信业务数据和Message_Key转发给全体群组成员。
步骤406,UE_B接收加密后的业务数据以及带有信封的Message_Key,利用保存的群组的根密钥K_B提取Message_Key,并利用该Message_Key对短信业务数据进行解密。
至此,第二种通信系统中的数据加解密和传输方法流程结束。在上述流程中,包括数据加密流程(步骤401~403中UE_A的处理)、数据传输流程(步骤404~405中短信中心的处理)和数据解密流程(步骤406的处理)。三个过程相互独立,又互相协作,使密钥分发穿插在业务流程中进行,从而使得异常处理更加简单,同时,对于现有业务流程的修改也很小。其中,数据加密流程使加密密钥的分发和数据加密过程串行进行,能够简化异常处理过程;数据传输流程基本与现有方式相同,实现群组短信分发功能;数据解密流程使解密密钥的分发和解密数据传输同步进行,在不影响正常业务流程的前提下,方便地实现了解密密钥的传输。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种通信系统中的数据加密方法,其特征在于,包括:
业务的发起终端进行业务数据传输时,通过第三方加密中心KDC代理向KDC申请密钥,并通过所述KDC代理接收所述KDC为所述业务分配的业务密钥;其中,所述业务密钥传输给所述发起终端时利用预先设置的所述业务发起终端的根密钥作为所述业务密钥的信封;
所述发起终端根据自身的根密钥提取业务密钥,并利用所述业务密钥对发送的业务数据进行加密后发送给业务处理中心,并同时携带利用所述发起终端的根密钥作为信封保护的所述业务密钥。
2.根据权利要求1所述的方法,其特征在于,所述KDC代理与KDC间使用私有接口进行信息交互;
所述KDC代理与所述终端之间采用IP连接。
3.一种通信系统中加密数据的传输方法,其特征在于,包括:
业务处理中心接收业务发起终端发送的加密业务数据和利用所述发起终端的根密钥作为信封保护的所述业务的业务密钥;
所述业务处理中心将所述业务的发起终端和接收终端的标识以及利用发起终端的根密钥作为信封保护的所述业务密钥,通过所述KDC代理发送给所述KDC,并通过KDC代理接收所述KDC反馈的利用所述接收终端的根密钥作为信封保护的所述业务密钥;
所述业务处理中心将所述发起终端发来的加密后的业务数据和利用所述接收终端的根密钥作为信封保护的所述业务密钥发送给所述接收终端。
4.根据权利要求3所述的方法,其特征在于,所述KDC代理与KDC间使用私有接口进行信息交互;
所述KDC代理与所述业务处理中心之间采用IP连接。
5.一种通信系统中的数据解密方法,其特征在于,包括:
业务的接收终端接收业务处理中心发送的加密后的业务数据和利用所述接收终端的根密钥作为信封保护的所述业务的业务密钥;
所述接收终端利用自身保存的根密钥从接收的信息中提取所述业务密钥,并利用该业务密钥对接收的业务数据进行解密。
6.一种通信系统中的数据加密方法,其特征在于,包括:
群组业务的发起终端进行业务数据传输时,通过第三方加密中心KDC代理向KDC申请密钥,并通过所述KDC代理接收所述KDC为所述业务分配的业务密钥;其中,所述业务密钥传输给所述发起终端时利用预先设置的所述业务发起终端的根密钥作为所述业务密钥的信封;
所述发起终端根据自身的根密钥提取业务密钥,并利用所述业务密钥对发送的业务数据进行加密后通过所述群组业务的业务处理中心发送给所述群组业务的接收终端,并同时携带利用所述群组的根密钥作为信封保护的所述业务密钥。
7.根据权利要求6所述的方法,其特征在于,所述KDC代理与KDC间使用私有接口进行信息交互;
所述KDC代理与所述终端之间采用IP连接。
8.一种通信系统中的数据解密方法,其特征在于,包括:
群组业务的接收终端接收业务处理中心转发的由群组业务的发起终端发来的所述群组业务的加密后业务数据和利用所述群组的根密钥作为信封保护的所述群组业务的业务密钥;
所述接收终端利用自身保存的所述群组的根密钥从接收的信息中提取所述业务密钥,并利用该业务密钥对接收的业务数据进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410819920.6A CN105792190B (zh) | 2014-12-25 | 2014-12-25 | 通信系统中的数据加解密和传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410819920.6A CN105792190B (zh) | 2014-12-25 | 2014-12-25 | 通信系统中的数据加解密和传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105792190A true CN105792190A (zh) | 2016-07-20 |
| CN105792190B CN105792190B (zh) | 2021-01-15 |
Family
ID=56377774
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410819920.6A Active CN105792190B (zh) | 2014-12-25 | 2014-12-25 | 通信系统中的数据加解密和传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105792190B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230799A (zh) * | 2016-07-26 | 2016-12-14 | 深圳市金立通信设备有限公司 | 一种信息的发送方法、接收方法及相关终端 |
| CN108156112A (zh) * | 2016-12-02 | 2018-06-12 | 成都鼎桥通信技术有限公司 | 数据加密方法、电子设备及网络侧设备 |
| JP2018142955A (ja) * | 2017-02-28 | 2018-09-13 | ネイバー コーポレーションNAVER Corporation | メッセージ終端間暗号化のためのキーチェーン管理方法およびシステム |
| CN111182050A (zh) * | 2019-12-26 | 2020-05-19 | 上海掌门科技有限公司 | 一种实现应用与服务器间通信的方法与设备 |
| CN112073194A (zh) * | 2020-09-10 | 2020-12-11 | 四川长虹电器股份有限公司 | 一种抵抗密钥泄露的安全管理方法 |
| CN114401148A (zh) * | 2022-01-28 | 2022-04-26 | 中企云链(北京)金融信息服务有限公司 | 一种通信数据加解密优化方法 |
| CN114765546A (zh) * | 2020-12-30 | 2022-07-19 | 海能达通信股份有限公司 | 端到端硬加密方法、系统、加密设备、密钥管理服务器 |
| WO2023160375A1 (zh) * | 2022-02-24 | 2023-08-31 | 华为技术有限公司 | 会话秘钥生成方法、控制设备和设备集群系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101137123A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 集群系统的加密组呼、单呼、及动态重组呼叫实现方法 |
| CN101340443A (zh) * | 2008-08-28 | 2009-01-07 | 中国电信股份有限公司 | 一种通信网络中会话密钥协商方法、系统和服务器 |
| CN102006570A (zh) * | 2010-11-12 | 2011-04-06 | 中兴通讯股份有限公司 | 短信加密的装置及方法 |
| CN102857889A (zh) * | 2012-09-12 | 2013-01-02 | 中兴通讯股份有限公司 | 一种短消息加密的方法及装置 |
-
2014
- 2014-12-25 CN CN201410819920.6A patent/CN105792190B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101137123A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 集群系统的加密组呼、单呼、及动态重组呼叫实现方法 |
| CN101340443A (zh) * | 2008-08-28 | 2009-01-07 | 中国电信股份有限公司 | 一种通信网络中会话密钥协商方法、系统和服务器 |
| CN102006570A (zh) * | 2010-11-12 | 2011-04-06 | 中兴通讯股份有限公司 | 短信加密的装置及方法 |
| CN102857889A (zh) * | 2012-09-12 | 2013-01-02 | 中兴通讯股份有限公司 | 一种短消息加密的方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230799A (zh) * | 2016-07-26 | 2016-12-14 | 深圳市金立通信设备有限公司 | 一种信息的发送方法、接收方法及相关终端 |
| CN108156112A (zh) * | 2016-12-02 | 2018-06-12 | 成都鼎桥通信技术有限公司 | 数据加密方法、电子设备及网络侧设备 |
| CN108156112B (zh) * | 2016-12-02 | 2021-06-22 | 成都鼎桥通信技术有限公司 | 数据加密方法、电子设备及网络侧设备 |
| JP2018142955A (ja) * | 2017-02-28 | 2018-09-13 | ネイバー コーポレーションNAVER Corporation | メッセージ終端間暗号化のためのキーチェーン管理方法およびシステム |
| CN111182050A (zh) * | 2019-12-26 | 2020-05-19 | 上海掌门科技有限公司 | 一种实现应用与服务器间通信的方法与设备 |
| CN111182050B (zh) * | 2019-12-26 | 2022-10-11 | 上海掌门科技有限公司 | 一种实现应用与服务器间通信的方法与设备 |
| CN112073194A (zh) * | 2020-09-10 | 2020-12-11 | 四川长虹电器股份有限公司 | 一种抵抗密钥泄露的安全管理方法 |
| CN112073194B (zh) * | 2020-09-10 | 2021-06-22 | 四川长虹电器股份有限公司 | 一种抵抗密钥泄露的安全管理方法 |
| CN114765546A (zh) * | 2020-12-30 | 2022-07-19 | 海能达通信股份有限公司 | 端到端硬加密方法、系统、加密设备、密钥管理服务器 |
| CN114765546B (zh) * | 2020-12-30 | 2023-07-18 | 海能达通信股份有限公司 | 端到端硬加密方法、系统、加密设备、密钥管理服务器 |
| CN114401148A (zh) * | 2022-01-28 | 2022-04-26 | 中企云链(北京)金融信息服务有限公司 | 一种通信数据加解密优化方法 |
| WO2023160375A1 (zh) * | 2022-02-24 | 2023-08-31 | 华为技术有限公司 | 会话秘钥生成方法、控制设备和设备集群系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105792190B (zh) | 2021-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101340443B (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
| CN105792190B (zh) | 通信系统中的数据加解密和传输方法 | |
| CN103338437B (zh) | 一种移动即时消息的加密方法及系统 | |
| WO2017114123A1 (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
| CN101720071B (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| CN102088441B (zh) | 消息中间件的数据加密传输方法和系统 | |
| CN102036230B (zh) | 本地路由业务的实现方法、基站及系统 | |
| CN101677269B (zh) | 密钥传输的方法及系统 | |
| UA89784C2 (ru) | Способ шифрования и передачи данных между отправителем и получателем с помощью сети | |
| CN107147666A (zh) | 在物联网终端和云数据平台之间数据加解密的方法 | |
| CN101707767B (zh) | 一种数据传输方法及设备 | |
| CN103167494B (zh) | 信息发送方法和系统 | |
| CN106850522A (zh) | 一种即时通信中群组文件加密传输的实现方法 | |
| CN109600725A (zh) | 一种基于sm9算法的短信加密方法 | |
| CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN111884802B (zh) | 媒体流加密传输方法、系统、终端和电子设备 | |
| CN104270380A (zh) | 基于移动网络和通信客户端的端到端加密方法和加密系统 | |
| CN1649295A (zh) | 集群系统中端对端加解密的装置及其方法 | |
| CN102271330A (zh) | 终端、网络服务器及终端与网络服务器间的通讯方法 | |
| CN103916834A (zh) | 一种用户独享密钥的短信加密方法和系统 | |
| CN105262759A (zh) | 一种加密通信的方法和系统 | |
| CN106961330A (zh) | 量子密钥服务站 | |
| CN105827601A (zh) | 移动设备数据加密应用方法及系统 | |
| WO2012075761A1 (zh) | 一种加密mms的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |