CN111162901B - 非sim终端的应用共享密钥获取方法 - Google Patents
非sim终端的应用共享密钥获取方法 Download PDFInfo
- Publication number
- CN111162901B CN111162901B CN201911263465.5A CN201911263465A CN111162901B CN 111162901 B CN111162901 B CN 111162901B CN 201911263465 A CN201911263465 A CN 201911263465A CN 111162901 B CN111162901 B CN 111162901B
- Authority
- CN
- China
- Prior art keywords
- key
- index
- shared
- ciphertext
- security server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Abstract
一种非SIM终端的应用共享密钥获取方法,涉及通信安全技术领域,所解决的是非SIM终端与应用服务器通信的技术问题。该方法利用一个带SIM卡的密钥生成器与安全服务器进行通信生成两者的共享密钥Ks和密钥索引Ks_ID;然后再由密钥生成器、安全服务器为非SIM终端生成密钥Ka、密钥索引Ka_ID,非SIM终端从密钥生成器上获取Ka密文并解密后得到密钥Ka、密钥索引Ka_ID;非SIM终端再将明文密钥索引Ka_ID发送至应用服务器,应用服务器通过密钥索引Ka_ID向安全服务器查询得到密钥Ka,非SIM终端与应用服务器即可利用该密钥Ka进行数据通信。本发明提供的方法,能让不带SIM卡的M2M终端通过应用层共享密钥与应用服务器实现通信。
Description
技术领域
本发明涉及通信安全的技术,特别是涉及一种非SIM终端的应用共享密钥获取方法的技术。
背景技术
终端和应用服务器之间的认证和通信私密性往往依赖于两者之间存在共享密钥。针对移动终端,由于SIM卡和HLR/HSS事先内置了相同的密钥,目前已有相应的方法(比如3GPP的GBA机制)来基于这个密钥生成上述应用层共享密钥。
但是不带SIM卡的M2M(机器对机器)终端却没有办法通过应用层共享密钥与应用服务器实现通信,目前这些非SIM终端只能采用人工按照文件配置等费时费力且有安全隐患(密钥暴露给安装人员)的方法实现与应用服务器的通信。
发明内容
针对上述现有技术中存在的缺陷,本发明所要解决的技术问题是提供一种能让非SIM终端通过应用层共享密钥与应用服务器实现通信的非SIM终端的应用共享密钥获取方法。
为了解决上述技术问题,本发明所提供的一种非SIM终端的应用共享密钥获取方法,其特征在于,具体步骤如下:
1)利用一个带SIM卡的密钥生成器与安全服务器进行通信,并采用基于SIM卡的共享密钥生成方法,使得密钥生成器和安全服务器得到共享密钥Ks和密钥索引Ks_ID;
2)密钥生成器生成一个随机数RandA,并采用信息摘要算法,利用共享密钥Ks对随机数RandA进行加密,形成RandA密文,并将共享密钥Ks作为输入参数形成RandA摘要;然后再构建一个包含有密钥索引Ks_ID、RandA密文、RandA摘要的请求通信包发送给安全服务器;
3)安全服务器收到密钥生成器发送来的请求通信包后,先根据请求通信包中的密钥索引Ks_ID找到共享密钥Ks,再采用信息摘要算法,利用共享密钥Ks对RandA密文进行解密后得到随机数RandA,并通过校验RandA摘要的方式对密钥生成器进行认证;
对密钥生成器认证成功后,安全服务器生成一个随机数RandB,并采用RSA密钥生成算法,利用共享密钥Ks、随机数RandB生成密钥Ka和密钥索引Ka_ID;
然后再采用信息摘要算法,利用共享密钥Ks对密钥索引Ka_ID、随机数RandB进行加密,形成包含密钥索引Ka_ID、随机数RandB的应答密文,并将共享密钥Ks作为输入参数形成RandB摘要;然后再构建一个包含有应答密文、RandB摘要的应答通信包发送给密钥生成器;
4)密钥生成器收到安全服务器发送来的应答通信包后,先采用信息摘要算法,利用共享密钥Ks对应答密文进行解密后得到密钥索引Ka_ID及随机数RandB,并通过校验RandB摘要的方式对安全服务器进行认证;
对安全服务器认证成功后,密钥生成器定义一个密钥Km,并采用RSA密钥生成算法,利用共享密钥Ks、随机数RandB生成密钥Ka,再采用对称密钥生成算法,利用密钥Km对密钥Ka、密钥索引Ka_ID进行加密,形成包含密钥Ka、密钥索引Ka_ID的Ka密文;
5)非SIM终端从密钥生成器上获取Ka密文,再采用对称密钥生成算法,利用密钥Km对Ka密文进行解密后得到密钥Ka、密钥索引Ka_ID;
6)非SIM终端向应用服务器发出携带明文密钥索引Ka_ID的请求通信包,应用服务器从该请求通信包中提取密钥索引Ka_ID,并将该密钥索引Ka_ID发送给安全服务器进行密钥查询,安全服务器根据该密钥索引Ka_ID找出对应的密钥Ka后返回给应用服务器;非SIM终端与应用服务器即可利用该密钥Ka进行数据通信。
本发明提供的非SIM终端的应用共享密钥获取方法,利用一个带SIM卡的密钥生成器与安全服务器进行交互,双方基于相应参数生成相应的应用层共享密钥,非SIM终端从密钥生成器安全读取应用层共享密钥,云端应用服务器可以从安全服务器安全获得对应的应用层共享密钥,使得非SIM终端可以通过应用层共享密钥与应用服务器进行数据通信。
具体实施方式
以下结合具体实施例对本发明的技术方案作进一步详细描述,但本实施例并不用于限制本发明,凡是采用本发明的相似结构及其相似变化,均应列入本发明的保护范围,本发明中的顿号均表示和的关系,本发明中的英文字母区分大小写。
本发明实施例所提供的一种非SIM终端的应用共享密钥获取方法,其特征在于,具体步骤如下:
1)利用一个带SIM卡的密钥生成器与安全服务器进行通信,并采用基于SIM卡的共享密钥生成方法,使得密钥生成器和安全服务器得到共享密钥Ks和密钥索引Ks_ID;
基于SIM卡的共享密钥生成方法为现有技术,常规的方法有A8算法、AES算法、DES算法等;
2)密钥生成器生成一个随机数RandA,并采用信息摘要算法,利用共享密钥Ks对随机数RandA进行加密,形成RandA密文,并将共享密钥Ks作为输入参数形成RandA摘要;然后再构建一个包含有密钥索引Ks_ID、RandA密文、RandA摘要的请求通信包发送给安全服务器;
信息摘要算法为现有技术,常规的算法有MD5算法、SH算法等;
3)安全服务器收到密钥生成器发送来的请求通信包后,先根据请求通信包中的密钥索引Ks_ID找到共享密钥Ks,再采用信息摘要算法(该算法与RandA密文的加密算法相同),利用共享密钥Ks对RandA密文进行解密后得到随机数RandA,并通过校验RandA摘要的方式对密钥生成器进行认证;
对密钥生成器认证成功后,安全服务器生成一个随机数RandB,并采用RSA密钥生成算法,利用共享密钥Ks、随机数RandB生成密钥Ka和密钥索引Ka_ID;
然后再采用信息摘要算法(可以使用MD5算法、SH算法等),利用共享密钥Ks对密钥索引Ka_ID、随机数RandB进行加密,形成包含密钥索引Ka_ID、随机数RandB的应答密文,并将共享密钥Ks作为输入参数形成RandB摘要;然后再构建一个包含有应答密文、RandB摘要的应答通信包发送给密钥生成器;
4)密钥生成器收到安全服务器发送来的应答通信包后,先采用信息摘要算法(该算法与应答密文的加密算法相同),利用共享密钥Ks对应答密文进行解密后得到密钥索引Ka_ID及随机数RandB,并通过校验RandB摘要的方式对安全服务器进行认证;
对安全服务器认证成功后,密钥生成器定义一个密钥Km,并采用RSA密钥生成算法,利用共享密钥Ks、随机数RandB生成密钥Ka,再采用对称密钥生成算法,利用密钥Km对密钥Ka、密钥索引Ka_ID进行加密,形成包含密钥Ka、密钥索引Ka_ID的Ka密文;对称密钥生成算法为现有技术,常规的算法有、A8算法、AES算法、DES算法等;
5)非SIM终端从密钥生成器上获取密钥Km及Ka密文,再采用对称密钥生成算法(该算法与Ka密文的加密算法相同),利用密钥Km对Ka密文进行解密后得到密钥Ka、密钥索引Ka_ID;
6)非SIM终端向应用服务器发出携带明文密钥索引Ka_ID的请求通信包,应用服务器从该请求通信包中提取密钥索引Ka_ID,并将该密钥索引Ka_ID发送给安全服务器进行密钥查询,安全服务器根据该密钥索引Ka_ID找出对应的密钥Ka后返回给应用服务器;非SIM终端与应用服务器即可利用该密钥Ka进行数据通信。
本发明实施例中,由于密钥生成器可以多次变更生成应用层共享密钥的相应参数,因此一个密钥生成器可以为多个非SIM终端生成各自不同的应用层基础密钥,而且对密钥生成器的处理能力要求远低于现有的基于PKI证书的终端处理能力要求,而且非SIM终端、密钥生成器、安全服务器、应用服务器的交互全流程能提供足够的安全交互机制(加密等),保证了密钥不泄露(针对网络黑客和安装人员)。
Claims (1)
1.一种非SIM终端的应用共享密钥获取方法,其特征在于,具体步骤如下:
1)利用一个带SIM卡的密钥生成器与安全服务器进行通信,并采用基于SIM卡的共享密钥生成方法,使得密钥生成器和安全服务器得到共享密钥Ks和密钥索引Ks_ID;
2)密钥生成器生成一个随机数RandA,并采用信息摘要算法,利用共享密钥Ks对随机数RandA进行加密,形成RandA密文,并将共享密钥Ks作为输入参数形成RandA摘要;然后再构建一个包含有密钥索引Ks_ID、RandA密文、RandA摘要的请求通信包发送给安全服务器;
3)安全服务器收到密钥生成器发送来的请求通信包后,先根据请求通信包中的密钥索引Ks_ID找到共享密钥Ks,再采用信息摘要算法,利用共享密钥Ks对RandA密文进行解密后得到随机数RandA,并通过校验RandA摘要的方式对密钥生成器进行认证;
对密钥生成器认证成功后,安全服务器生成一个随机数RandB,并采用RSA密钥生成算法,利用共享密钥Ks、随机数RandB生成密钥Ka和密钥索引Ka_ID;
然后再采用信息摘要算法,利用共享密钥Ks对密钥索引Ka_ID、随机数RandB进行加密,形成包含密钥索引Ka_ID、随机数RandB的应答密文,并将共享密钥Ks作为输入参数形成RandB摘要;然后再构建一个包含有应答密文、RandB摘要的应答通信包发送给密钥生成器;
4)密钥生成器收到安全服务器发送来的应答通信包后,先采用信息摘要算法,利用共享密钥Ks对应答密文进行解密后得到密钥索引Ka_ID及随机数RandB,并通过校验RandB摘要的方式对安全服务器进行认证;
对安全服务器认证成功后,密钥生成器定义一个密钥Km,并采用RSA密钥生成算法,利用共享密钥Ks、随机数RandB生成密钥Ka,再采用对称密钥生成算法,利用密钥Km对密钥Ka、密钥索引Ka_ID进行加密,形成包含密钥Ka、密钥索引Ka_ID的Ka密文;
5)非SIM终端从密钥生成器上获取Ka密文,再采用对称密钥生成算法,利用密钥Km对Ka密文进行解密后得到密钥Ka、密钥索引Ka_ID;
6)非SIM终端向应用服务器发出携带明文密钥索引Ka_ID的请求通信包,应用服务器从该请求通信包中提取密钥索引Ka_ID,并将该密钥索引Ka_ID发送给安全服务器进行密钥查询,安全服务器根据该密钥索引Ka_ID找出对应的密钥Ka后返回给应用服务器;非SIM终端与应用服务器即可利用该密钥Ka进行数据通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911263465.5A CN111162901B (zh) | 2019-12-11 | 2019-12-11 | 非sim终端的应用共享密钥获取方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911263465.5A CN111162901B (zh) | 2019-12-11 | 2019-12-11 | 非sim终端的应用共享密钥获取方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111162901A CN111162901A (zh) | 2020-05-15 |
| CN111162901B true CN111162901B (zh) | 2022-05-27 |
Family
ID=70556991
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911263465.5A Active CN111162901B (zh) | 2019-12-11 | 2019-12-11 | 非sim终端的应用共享密钥获取方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111162901B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006072746A1 (fr) * | 2005-01-05 | 2006-07-13 | France Telecom | Procede de securisation d’une communication entre une carte sim et un terminal mobile |
| WO2007028328A1 (fr) * | 2005-09-05 | 2007-03-15 | Huawei Technologies Co., Ltd. | Procede, systeme et dispositif de negociation a propos d'une cle de chiffrement partagee par equipement utilisateur et equipement externe |
| CN103024735A (zh) * | 2011-09-26 | 2013-04-03 | 中国移动通信集团公司 | 无卡终端的业务访问方法及设备 |
| CN107592624A (zh) * | 2016-07-07 | 2018-01-16 | 中国电信股份有限公司 | 用于自动生成共享密钥的方法和系统 |
| CN108390755A (zh) * | 2018-01-10 | 2018-08-10 | 芯盾(北京)信息技术有限公司 | 基于内置安全芯片的sim贴膜卡的安全输入法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10172000B2 (en) * | 2016-03-17 | 2019-01-01 | M2MD Technologies, Inc. | Method and system for managing security keys for user and M2M devices in a wireless communication network environment |
-
2019
- 2019-12-11 CN CN201911263465.5A patent/CN111162901B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006072746A1 (fr) * | 2005-01-05 | 2006-07-13 | France Telecom | Procede de securisation d’une communication entre une carte sim et un terminal mobile |
| WO2007028328A1 (fr) * | 2005-09-05 | 2007-03-15 | Huawei Technologies Co., Ltd. | Procede, systeme et dispositif de negociation a propos d'une cle de chiffrement partagee par equipement utilisateur et equipement externe |
| CN103024735A (zh) * | 2011-09-26 | 2013-04-03 | 中国移动通信集团公司 | 无卡终端的业务访问方法及设备 |
| CN107592624A (zh) * | 2016-07-07 | 2018-01-16 | 中国电信股份有限公司 | 用于自动生成共享密钥的方法和系统 |
| CN108390755A (zh) * | 2018-01-10 | 2018-08-10 | 芯盾(北京)信息技术有限公司 | 基于内置安全芯片的sim贴膜卡的安全输入法 |
Non-Patent Citations (1)
| Title |
|---|
| 移动NFC双向安全认证方法研究;宋攀飞;《中国优秀硕士学位论文全文数据库-信息科技辑》;20180415(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111162901A (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107317789B (zh) | 密钥分发、认证方法,装置及系统 | |
| US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
| US11349675B2 (en) | Tamper-resistant and scalable mutual authentication for machine-to-machine devices | |
| KR20190073472A (ko) | 데이터 송신 방법, 장치 및 시스템 | |
| CN1939028B (zh) | 从多个设备存取网络存储器上的保护数据 | |
| CN108282329B (zh) | 一种双向身份认证方法及装置 | |
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| CN108347404B (zh) | 一种身份认证方法及装置 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| CN108989325A (zh) | 加密通信方法、装置及系统 | |
| CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
| KR20150079489A (ko) | 실시간 통신 방법 및 시스템 | |
| US10693645B2 (en) | Security management system for performing a secure transmission of data from a token to a service provider server by means of an identity provider server | |
| CN104468126A (zh) | 一种安全通信系统及方法 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN105142134A (zh) | 参数获取以及参数传输方法和装置 | |
| CN103354637B (zh) | 一种物联网终端m2m通信加密方法 | |
| CN102281303A (zh) | 一种数据交换方法 | |
| US11463251B2 (en) | Method for secure management of secrets in a hierarchical multi-tenant environment | |
| CN111162901B (zh) | 非sim终端的应用共享密钥获取方法 | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
| CN103312671B (zh) | 校验服务器的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |