CN105848140A - 一种5g网络中能够实现通信监管的端到端安全建立方法 - Google Patents

Abstract

本发明公开了一种5G网络中能够实现通信监管的端到端安全建立方法，请求用户端点和目标用户端点分别发送他们的交互式临时公钥以及相关信息给对方；请求用户端点和目标用户端点终止交互后，协商出主密钥；每当请求用户端点需要和目标用户端点进行通信，在主密钥加密下协商出域内会话密钥或跨域会话密钥，对随后传输的信息进行加密及完整性保护。本发明在不涉及各安全域安全体制的情况下，仅需要一次端到端的主密钥协商，就能在用户通信时安全协商出会话密钥，使得信息所经由的传输设备不能够获取明文信息；同时，监管部门应该能够解密所传输的信息，以实现监管、反恐等目的；可用于在5G通信中实现信息同一域内或跨域端到端的安全传输。

Description

一种5G网络中能够实现通信监管的端到端安全建立方法

技术领域

本发明属于通信技术领域，尤其涉及一种5G网络中能够实现通信监管的端到端安全建立方法。

背景技术

随着无线通信技术的高速发展，可实现的用户体验速率飞速增长。5G网络作为第五代移动通信网络，其最高理论传输速度可达每秒数十Gb，这比4G网络的传输速度快数百倍。面对无线通信技术的飞速发展以及多种无线通信网络的泛在共存，用户对无线通信系统传输性能的需求不断提升，同时也对安全性能提出了越来越高的要求。无线安全的威胁主要来自于无线链路的脆弱性，因其天然的开放性和广播性特点，极易受到窃听和干扰等安全威胁。这一问题在3G、4G系统正逐步改善，但是采用的安全手段还是沿用有线通信中的高层加密认证机制，对弥补无线通信的短板没有直接作用。在传统的无线通信网络中，其安全性通常都是依靠认证和密码技术，在通信协议栈的上层来解决，这就使得“水桶效应”越来越明显，目前仍缺少结合无线传输特点的有效解决方案。近年来，从物理层的角度对无线通信安全性的研究正蓬勃发展，物理层安全技术已成为无线通信领域的一个研究热点。无线通信系统经历了前四代的发展历程，已经向着全IP的下一代无线通信系统逐步演进。无线安全问题变得尤为重要，一直是业界研究的重点和热点，并且随着各种无线通信技术及异构网络共存、融合的趋势，未来无线通信系统的安全问题将变得复杂，5G所面临的安全压力和负荷比以往更大，安全威胁更加多样化。因此，有必要在5G通信技术的研究起步之初，兼顾通信和安全的双重需求，在研究高频谱效率、高吞吐率的无线传输技术的同时，同步开展针对无线传播特点的安全防护机制研究，力求在不显著降低通信效率的前提下实现消息的源端到目的端的身份认证及密钥协商，对随后传输的信息进行加密及完整性保护，使得信息所经由的传输设备不能够获取明文信息。在2014年第九届International Conference on Broadband andWireless Computing，Communication and Application中，会议论文《A SecureEnd-to-End Mobile Chat Scheme》中提出了一种安全的移动端到端传输方式。该传输方式通过密码的身份认证，为端到端之间提供相同的认证，从而阻止密码猜测攻击以及未被检测到的在线密码猜测攻击。这种方法可以保障不同安全域之间端到端传输的安全性，但是只针对于移动智能设备提出，适用于交互频繁的端到端操作，不能直接应用于空间信息网，因为其拓扑结构具有高动态性，端到端之间不适合频繁交互。《International Journal of Security and Its Application》在2014年8月发表的《End-to-End Authentication Protocols for Personal/PortableDevices over Cognitive Radio Networks》一文针对端到端传输的安全性，提出了两种基于本地认证的协议，它使用本地信息认证作为安全凭证，减少了端与端之间的交互，并且该协议可以整合进现有的可扩展协议中来。这种方法在端到端传输过程中交互动作较少，满足空间信息网拓扑结构高动态性以及结点能力有限的特点，但是该方法只关注个人便携式设备以及在无线电网络中的应用，无法完成多个域间的安全协同，不适用于空间信息网中多安全域并存的状态。2015年1月第12届IBCAST的会议记录《Secure End-to-End SMS Communicationover GSM Networks》一文提出了一种使用对称密钥和身份认证技术进行加密和密钥认证的方式，它可以在信息传输中断、泄漏以及被检测的情况下保障端到端的安全性。这种方法在端到端传输过程中需要的交互动作较少，同时延迟时间短，满足空间信息网结点距离远以及拓扑结构高动态性的特点，但是该仅限于特定的网络环境以及特定的网络服务，同时也未考虑空间信息网周期性运动的特点。

现有的5G网络中能够实现通信监管的端到端安全建立方法不能直接应用于空间信息网，只关注个人便携式设备以及在无线电网络中的应用，无法完成多个域间的安全协同，不适用于空间信息网中多安全域并存的状态，未考虑空间信息网周期性运动的特点。

发明内容

本发明的目的在于提供一种5G网络中能够实现通信监管的端到端安全建立方法，旨在解决现有的5G网络中能够实现通信监管的端到端安全建立方法不能直接应用于空间信息网，只关注个人便携式设备以及在无线电网络中的应用，无法完成多个域间的安全协同，不适用于空间信息网中多安全域并存的状态，未考虑空间信息网周期性运动特点的问题。

本发明是这样实现的，一种5G网络中能够实现通信监管的端到端安全建立方法，所述5G网络中能够实现通信监管的端到端安全建立方法利用密钥对随后传输的信息进行加密及完整性保护，使得信息所经由的传输设备不能够获取明文信息；同时，监管部门应该能够解密所传输的信息；包括：请求用户端点和目标用户端点分别发送他们的交互式临时公钥以及相关信息给对方；请求用户端点和目标用户端点终止交互后，协商出主密钥；每当请求用户端点需要和目标用户端点进行通信，在主密钥加密下协商出域内会话密钥或跨域会话密钥，对随后传输的信息进行加密及完整性保护。

进一步，所述5G网络中能够实现通信监管的端到端安全建立方法包括以下步骤：

步骤一，主密钥协商阶段，目标用户C2作为响应者，接收请求用户C1发送的信息，消息中包括公钥g^x1modq、签名Sig_A(g^x1)、随机数Nonce1，身份标识ID₁；

步骤二，如果目标用户C2和请求用户C1跨域，目标用户C2收到请求用户C1的信息后，根据公钥g^x1modq和私钥X₂计算主密钥Master key，并计算应答MIC₁，将MIC₁、公钥g^x2modq、签名Sig_B(g^x2)、随机数Nonce2，身份标识ID₂一起发送给用户C1；如果目标用户C2和请求用户C1在同一域内，步骤二上述过程将Sig_B(g^x2)改为Sig_A(g^x2)；

步骤三，请求用户C1收到响应后，验证应答MIC₁，根据公钥g^x2modq和私钥X₁计算主密钥Master key，并计算应答MIC₂，将随机数Nonce2和MIC₂发送给目标用户C2；

步骤四，目标用户C2收到响应后，验证应答MIC₂，如果正确，则用户C1和用户C2在主密钥协商阶段协商出新的主密钥Master key后，每当用户C1和用户C2进行通信时，执行步骤五；

步骤五，会话密钥协商阶段，用户C1和用户C2执行四步握手协议，协商出用于本次通信的域内会话密钥或者跨域会话密钥。

进一步，所述步骤一中请求用户端点C1向目标用户端点C2发送主密钥协商请求，按如下步骤进行：

第一步，请求用户端点C1计算随机数Nonce1，将请求(Nonce1，g^x1modq，Sig_A(g^x1)，ID₁)发送给代理A，其中g^x1modq表示用户C1的公钥，Sig_A(g^x1)表示第一安全域代理A对公钥g^x1modq的签名，ID₁表示用户C1的身份；

第二步，第一安全域代理A向目标用户端点C2所在的第二安全域代理B发送请求消息；

第三步，第二安全域B将消息发给目标用户端点C2。

进一步，所述步骤二中目标用户端点C2发送响应，按如下步骤进行：

第一步，目标用户端点C2接收到消息后，解析出随机数Nonce1、公钥g^x1modq、身份标识ID₁，其中g^x1modq表示用户C1的公钥；

第二步，目标用户端点C2计算应答MIC₁＝Hash(Master key||g^x2modq||Sig_B(g^x2)||Nonce2||Nonce1)，其中Master key表示主密钥，g^x2modq表示用户端点C2的公钥，Sig_B(g^x2)表示第二安全域代理B对公钥g^x2modq的签名，Nonce2表示用户C2计算的随机数，Nonce1表示用户C1计算的随机数；

第三步，目标用户端点C2将响应(g^x2modq，Sig_B(g^x2)，Nonce2，MIC₁，ID₂)发送给请求用户端点C1。

上述步骤一到步骤三中，如果请求用户端点C1和目标用户端点C2在同一域内，则将安全域代理A和安全域代理B视为同一个安全域代理A，并将Sig_B(g^x2)改为Sig_A(g^x2)。

进一步，所述步骤三中请求用户端点C1发送响应，按如下步骤进行：

第一步，请求用户端点C1接收到消息后，解析出随机数Nonce2、公钥g^x2modq，其中g^x2modq表示用户C2的公钥；

第二步，请求用户端点C1计算MIC₁，将计算出的MIC₁与用户C2发送的MIC₁进行对比，如果两者相同，验证通过，否则验证失败；

第三步，如果通过，计算应答MIC₂＝Hash(Master key||Nonce2||Nonce1)，其中Master key表示主密钥，Nonce2表示用户C2计算的随机数，Nonce1表示用户C1计算的随机数；

第四步，将响应(Nonce2，MIC₂)发送给目标用户端点C2。

进一步，所述步骤四中目标用户端点C2接收响应后，按如下步骤进行：

第一步，目标用户端点C2接收到消息后，解析出随机数Nonce2，应答MIC₂；

第二步，计算MIC₂，将计算出的MIC₁与用户C1发送的MIC₁进行对比，如果两者相同，验证通过，否则验证失败；

第三步，如果正确，则用户C1和C2协商出主密钥Master key，以上主密钥协商过程对于用户C1和用户C2只运行一次；

所述步骤四中用户端点C1和C2经过主密钥协商后，按如下步骤进行：

请求用户端点C1和目标用户端点C2执行四步握手协议，协商出用于本次通信的域内会话密钥或者跨域会话密钥，利用该密钥对随后传输的信息进行加密及完整性保护；

本发明的另一目的在于提供一种应用所述5G网络中能够实现通信监管的端到端安全建立方法的智能终端。

本发明的另一目的在于提供一种应用所述5G网络中能够实现通信监管的端到端安全建立方法的通信控制系统。

现有的移动通信系标准中的安全机制只保证了用户信息在无线信道上传输的机密性与完整性，通信信息在移动通信系统的节点设备上仍然以明文形式存在，移动通信系统尚未提供用户数据的端到端加密传输服务，不能保证用户数据的传输安全。我们假定共有2k个用户，其中k个是消息的发起者，k个是消息的接受者，每两个用户进行n次会话，则主密钥和会话密钥协商过程中，消息交互轮数为(3+4n)k，每个用户的计算量为1次模指+(2n+2)次Hash，代理的计算量为0。如果一个安全域里面k值很大，即用户数量很大，则要考虑代理的承受能力。移动通信网正是具有这个特点。

另外，考虑到移动用户的漫游需求，可将用户1和用户2漫游分三种情况：用户1或用户2漫游到其他域，用户1和用户2都漫游到不同的域，用户1和用户2漫游到相同的域。

无论哪种情况，如果监管部门想获取用户的通信内容，则用户1漫游域的代理可以将主密钥协商阶段的第一条消息发送给用户2注册域代理，由用户2注册域代理根据消息中用户1的公钥结合用户2的私钥计算出用户1和用户2的主密钥Master key；或者用户2漫游域的代理将主密钥协商阶段的第二条消息发送给用户1注册域代理，由用户1注册域代理根据消息中用户2的公钥结合用户1的私钥计算出用户1和用户2的主密钥Master key。

本发明提供的5G网络中能够实现通信监管的端到端安全建立方法，与现有技术相比，本发明具有如下优点：

1)代理A和B的工作量小，仅仅在用户1和用户2注册的时候(可以是在用户申请SIM卡的时候或者是在用户入网接入认证的时候)给用户发放一对公私钥。之后再不参与用户1和用户2之间的密钥协商。减轻了用户对他们的依赖，适合5G网络中用户数量大的场景。

2)本发明在两个用户通信前仅需要一次端到端的主密钥协商，并且该协商过程无安全域代理参与计算，减轻了代理的负担，保证了后续会话密钥协商的安全性。

3)本发明在安全域代理和用户端点的共同协助下，仅需一次端到端的主密钥协商，就能实现消息从源端到目的端的身份认证及会话密钥协商，利用会话密钥对随后传输的信息进行加密及完整性保护。

4)由于安全域代理能够计算出用户之间协商的主密钥Master key，所以监管部门可以获取用户间所传输的消息明文，以实现监管、反恐等目的。

5)当前移动网络中，端对端的通信信息在核心网传输过程中是未经过加密的，存在被截获、窃取的风险，本发明利用会话密钥对传输的信息进行加密及完整性保护，使得信息所经由的传输设备不能够获取明文信息，信息在发送端加密后到接收端阅读解密前的整个过程都是以密文形式存在，具有很高的安全性。

附图说明

图1是本发明实施例提供的5G网络中能够实现通信监管的端到端安全建立方法流程图。

图2是本发明实施例提供的跨域网络安全模型示意图。

图3是本发明实施例提供的域内网络安全模型示意图。

图4是本发明实施例提供的跨域通信密钥协商过程示意图。

图5是本发明实施例提供的域内通信密钥协商过程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明针对5G网络的特点，提出一种5G网络中域内或跨域端到端的身份认证以及密钥协商方法，利用密钥对随后传输的信息进行加密及完整性保护，使得信息所经由的传输设备不能够获取明文信息；同时，监管部门应该能够解密所传输的信息；所述5G网络中能够实现通信监管的端到端安全建立方法请求用户端点和目标用户端点通过交换各自的公钥和相关信息，协商出主密钥，在主密钥的加密下，通过四步握手协议协商出会话密钥。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例的5G网络中能够实现通信监管的端到端安全建立方法包括以下步骤：

S101：请求用户端点和目标用户端点在注册阶段接收来自代理分发的公私钥和签名，当请求用户端点与目标用户端点进行第一次通信时，双方分别发送他们的交互式临时公钥以及各自的签名给以及相关信息对方；

S102：请求用户端点和目标用户端点经过三轮消息交互后，协商出主密钥；

S103：每当请求用户端点需要和目标用户端点进行通信，在主密钥加密下，经过四步握手协议，协商出域内会话密钥或跨域会话密钥，对随后传输的信息进行加密及完整性保护。

下面结合具体实施例对本发明的应用原理作详细的说明。

参照图2，本发明所适用的跨域网络模型包括第一安全域1和第二安全域2这两个安全域。其中第一安全域1有第一安全域代理A和第一用户端点C1：第二安全域2有第二安全域代理B和第二用户端点C2。

安全域有如下特点：

1)端到端传输的信息所经过的传输设备是不可信的，攻击者可能监听和盗取用户所传输的信息。

2)安全域1和安全域2之间相互信任；

3)代理A和代理B分别是安全域1和安全域2中的代理，负责用户的接入认证，两者相互信任；

4)用户1是安全域1中的用户，他信任代理A；用户2是安全域2中的用户，他信任代理B；

5)代理A和代理B之间已经完成了相互身份认证，并建立了共享密钥K_AB。用户1和A完成了相互认证，加入到了安全域1中，建立了同A之间的共享密钥K₁；用户2和B完成了相互认证，加入到了安全域2中，建立了同B之间共享的密钥K₂。

6)注册阶段，若用户1和用户2在不同安全域，即用户在申请SIM卡的时候，第一安全域代理，即该域的认证服务器A，计算交互式临时公钥S1，向该域用户1发送如下信息：用户1的公钥g^x1modq，用户1的私钥X₁，第一安全域代理A对公钥g^x1modq的签名Sig_A(g^x1)；

类似的，注册阶段，第二安全域代理B，即该域的认证服务器B，计算交互式临时公钥S2，向该域用户2发送如下信息：用户2的公钥g^x2modq，用户2的私钥X₂，第二安全域代理B对公钥g^x2modq的签名SigB(g^x2)；

其中，计算交互式临时公钥是借鉴Diffie-Hellman算法，按如下步骤计算：

第一步，请求网络端点C1选取大素数q和其本原根g，其中，大素数q和其本原根g是两个公开的整数；

第二步，请求网络端点C1选取一个随机整数x1作为临时私钥，其中x₁<q；

第三步，得到交互式临时公钥：S1＝g^x1mod q。

用户接收并存储密钥对信息后，即表示注册阶段完成；

在上述安全模型中，用户1和用户2希望协商一个共享密钥，但A和B能够获取该密钥，以实现对通信监管的目的。

安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的实体组成的网络。对于每一个安全域而言，至少存在一个安全域代理用来实现安全域代理与域内网络端点的安全关联以及域内网络端点间的安全关联。同时，安全域代理也为安全域间或跨域网络端点间的安全提供支持。

参照图3，本发明所适用的域内网络模型为第一安全域1。该模型与参照图2相比，不同的地方在于：注册阶段，若用户1和用户2在同一安全域，则只有一个安全域代理A，向该域用户1发送如下信息：用户1的公钥g^x1modq，用户1的私钥X₁，第一安全域代理A对公钥g^x1modq的签名Sig_A(g^x1)；第一安全域代理A向该域用户2发送如下信息：用户2的公钥g^x2modq，用户2的私钥X₂，第一安全域代理A对公钥g^x2modq的签名SigA(g^x2)。

参照图4，本发明所使用的密钥协商过程如下：

主密钥协商阶段，用户C1和用户C2交换各自的公钥和签名，经过三轮交互，可以计算出主密钥。会话密钥协商阶段，用户C1和用户C2执行四步握手协议，协商出本次跨域会话的密钥。

参照图5，本发明所使用的密钥协商过程如下：

主密钥协商阶段，用户C1和用户C2交换各自的公钥和签名，经过三轮交互，可以计算出主密钥。会话密钥协商阶段，用户C1和用户C2执行四步握手协议，协商出本次域内会话的密钥。

本发明在上述网络安全模型下进行5G网络端到端的密钥协商包括：主密钥协商阶段，跨域会话密钥协商，域内会话密钥协商阶段三部分。

一、主密钥协商阶段

本步骤的具体实现如下：

步骤1、请求用户端点C1作为发起者，发送如下信息给目标用户端点C2：

用户C1的公钥g^x1modq，

第一安全域代理A对公钥g^x1modq的签名Sig_A(g^x1)；

随机数Nonce1，

用户C1身份标识ID₁；

步骤2、目标用户端点C2作为响应者，接收请求用户端点C1发送的信息，并计算应答MIC₁＝Hash(Master key||g^x2modq||Sig_B(g^x2)||Nonce2||Nonce1)，其中MIC₁包括如下信息：

主密钥Master key＝prf(g^x1x2)modq，

用户端点C2的公钥g^x2modq，

第二安全域代理B对公钥g^x2modq的签名Sig_B(g^x2)，

随机数Nonce2，

随机数Nonce1；

步骤3、如果请求用户端点C1和目标用户端点C2跨域，用户C2发送如下信息给请求用户端点C1：

用户C2对用户C1的应答MIC₁，

用户C2的公钥g^x2modq，

第二安全域代理B对公钥g^x2modq的签名Sig_B(g^x2)，

随机数Nonce2,

用户C2身份标识ID₂，

如果请求用户端点C1和目标用户端点C2在同一域内，则上述第二安全域代理B对公钥g^x2modq的签名Sig_B(g^x2)改为Sig_A(g^x2)；

步骤4、请求用户端点C1收到目标用户端点C2返回的信息后，验证应答MIC₁的有效性并发送应答MIC₂。

4a)用户端点C1解析收到的消息，得到用户C2的公钥g^x2modq，第二安全域代理B对公钥g^x2modq的签名Sig_B(g^x2)，随机数Nonce2，如果请求用户端点C1和用户端点C2在同一域内，则上述第二安全域代理B对公钥g^x2modq的签名Sig_B(g^x2)改为Sig_A(g^x2)；

4b)计算MIC₁，并与收到的用户C2对用户C1的应答MIC₁进行对比，如果两者相同，验证通过，否则验证失败；

4c)如果通过，计算应答MIC₂＝Hash(Master key||Nonce2||Nonce1)，其中MIC₂包括如下信息：

主密钥Master key＝prf(g^x1x2)modq，

随机数Nonce2，

随机数Nonce1；

步骤5、请求用户端点C1发送如下信息给目标用户端点C2：

用户C1对用户C2的应答MIC₂，

随机数Nonce2；

步骤6、目标用户端点C2收到请求用户端点C1发送的信息后，验证应答MIC₂的有效性。

6a)计算MIC₂，并与收到的用户C1对用户C2的应答MIC₂进行对比，如果两者相同，验证通过，否则验证失败。

6b)如果正确，则执行步骤(7)。以上主密钥协商过程对于用户C1和用户C2只运行一次。

二、跨域会话密钥协商阶段

本步骤的具体实现如下：

步骤7、在经过主密钥协商后，用户C1和用户C2执行四步握手协议，协商出用于本次通信的跨域会话密钥，利用该密钥对随后传输的信息进行加密及完整性保护。

三、域内会话密钥协商阶段

本步骤的具体实现如下：

步骤8、在经过主密钥协商后，用户C1和用户C2执行四步握手协议，协商出用于本次通信的域内会话密钥，利用该密钥对随后传输的信息进行加密及完整性保护。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种5G网络中能够实现通信监管的端到端安全建立方法，其特征在于，所述5G网络中能够实现通信监管的端到端安全建立方法利用密钥对随后传输的信息进行加密及完整性保护，使得信息所经由的传输设备不能够获取明文信息；同时，监管部门应该能够解密所传输的信息；包括：请求用户端点和目标用户端点分别发送他们的交互式临时公钥以及相关信息给对方；请求用户端点和目标用户端点终止交互后，协商出主密钥；每当请求用户端点需要和目标用户端点进行通信，在主密钥加密下协商出域内会话密钥或跨域会话密钥，对随后传输的信息进行加密及完整性保护。

2.如权利要求1所述的5G网络中能够实现通信监管的端到端安全建立方法，其特征在于，所述5G网络中能够实现通信监管的端到端安全建立方法包括以下步骤：

步骤一，主密钥协商阶段，目标用户C2作为响应者，接收请求用户C1发送的信息，消息中包括公钥g^x1modq、签名Sig_A(g^x1)、随机数Nonce1、身份标识ID₁；

步骤二，如果用户C1和用户C2跨域，目标用户C2收到请求用户C1的信息后，根据公钥g^x1modq和私钥X₂计算主密钥Master key，并计算应答MIC₁，将MIC₁、公钥g^x2modq、签名Sig_B(g^x2)、随机数Nonce2、身份标识ID₂一起发送给用户C1；如果目标用户C2和请求用户C1在同一域内，步骤二上述过程需要将Sig_B(g^x2)改为Sig_A(g^x2)；

步骤三，请求用户C1收到响应后，验证应答MIC₁，根据公钥g^x2modq和私钥X₁计算主密钥Master key，并计算应答MIC₂，将随机数Nonce2和MIC₂发送给目标用户C2；

步骤四，目标用户C2收到响应后，验证应答MIC₂，如果无误，则用户C1和用户C2在主密钥协商阶段协商出新的主密钥Master key，执行步骤五；

步骤五，会话密钥协商阶段，每当用户C1和用户C2进行通信，用户C1和用户C2执行四步握手协议，协商出用于本次通信的域内会话密钥或者跨域会话密钥，利用该密钥对随后传输的信息进行加密及完整性保护。

3.如权利要求2所述的5G网络中能够实现通信监管的端到端安全建立方法，其特征在于，所述步骤一中请求用户端点C1向目标用户端点C2发送主密钥协商请求，按如下步骤进行：

第一步，请求用户端点C1计算随机数Nonce1，将请求(Nonce1，g^x1modq，Sig_A(g^x1)，ID₁)发送给代理A，其中g^x1modq表示用户C1的公钥，Sig_A(g^x1)表示第一安全域代理A对公钥g^x1modq的签名；

第二步，第一安全域代理A向目标用户端点C2所在的第二安全域代理B发送请求消息；

第三步，第二安全域代理B将消息发给目标用户端点C2；如果请求用户端点C1和目标用户端点C2在同一域内，则将安全域代理A和安全域代理B视为同一个安全域代理A。

4.如权利要求2所述的5G网络中能够实现通信监管的端到端安全建立方法，其特征在于，所述步骤二中目标用户端点C2发送响应，按如下步骤进行：

第一步，目标用户端点C2接收到消息后，解析出随机数Nonce1、公钥g^x1modq，其中g^x1modq表示用户C1的公钥；

第二步，目标用户端点C2计算应答MIC₁＝Hash(Master key||g^x2modq||Sig_B(g^x2)||Nonce2||Nonce1)，其中Master key表示主密钥，g^x2modq表示用户端点C2的公钥，Sig_B(g^x2)表示第二安全域代理B对公钥g^x2modq的签名，Nonce2表示用户C2计算的随机数，Nonce1表示用户C1计算的随机数；

第三步，目标用户端点C2将响应(g^x2modq，Sig_B(g^x2)，Nonce2，MIC₁，ID₂)发送给请求用户端点C1，如果目标用户C2和请求用户C1在同一域内，需要将发送的签名Sig_B(g^x2)改为Sig_A(g^x2)；如果请求用户端点C1和目标用户端点C2在同一域内，则将安全域代理A和安全域代理B视为同一个安全域代理A。

5.如权利要求2所述的5G网络中能够实现通信监管的端到端安全建立方法，其特征在于，所述步骤三中请求用户端点C1发送响应，按如下步骤进行：

第一步，请求用户端点C1接收到消息后，解析出随机数Nonce2、公钥g^x2modq，其中g^x2modq表示用户C2的公钥；

第二步，请求用户端点C1计算MIC₁，将计算出的MIC₁与用户C2发送的MIC₁进行对比，如果两者相同，验证通过，否则验证失败；

第三步，如果通过，计算应答MIC₂＝Hash(Master key||Nonce2||Nonce1)，其中Master key表示主密钥，Nonce2表示用户C2计算的随机数，Nonce1表示用户C1计算的随机数；

第四步，请求用户端点C1将响应(Nonce2，MIC₂)发送给目标用户端点C2。

6.如权利要求2所述的5G网络中能够实现通信监管的端到端安全建立方法，其特征在于，所述步骤四中目标用户端点C2接收响应后，按如下步骤进行：

第一步，目标用户端点C2接收到消息后，解析出随机数Nonce2，应答MIC₂；

第二步，目标用户端点C2计算MIC₂，将计算出的MIC₂与用户C1发送的MIC₂进行对比，如果两者相同，验证通过，否则验证失败；

第三步，如果正确，则请求用户端点C1和目标用户端点C2协商出主密钥Master key，以上主密钥协商过程对于用户C1和用户C2只运行一次。

7.如权利要求2所述的5G网络中能够实现通信监管的端到端安全建立方法，其特征在于，所述步骤五中用户端点C1和C2经过主密钥协商后，按如下步骤进行：

请求用户端点C1和目标用户端点C2执行四步握手协议，协商出用于本次通信的域内会话密钥或者跨域会话密钥，利用该密钥对随后传输的信息进行加密及完整性保护。

8.一种应用权利要求1-7任意一项所述5G网络中能够实现通信监管的端到端安全建立方法的智能终端。

9.一种应用权利要求1-7任意一项所述5G网络中能够实现通信监管的端到端安全建立方法的智能终端。