CN1661954B - 产生密码同步的方法 - Google Patents

Abstract

一种产生密码同步的方法，在该方法中，根据第二密码同步的值得到用于通信会话的第一密码同步的值。第二密码同步的寿命长于第一密码同步。

Description

产生密码同步的方法

背景技术

加密已广泛应用于各种领域，例如无线通信，因特网等。要被加密的消息、数据、语音等一般被称为明文，加密处理的结果被称为密文。通常，加密处理涉及对明文执行加密算法，从而获得密文。许多加密算法，例如DES、AES等涉及加密处理中密钥的使用。加密密钥是加密算法中用于产生密文的位序列。该加密密钥在通信的发送方和接收方都已知，并在接收方被用于把密文解密成明文。

无线通信环境中的加密的一个例子涉及对在基站和移动站之间发送的信息帧加密。不幸的是，如果在两个不同帧内发送相同的信息(即相同的明文)，那么产生相同的密文。这样，认为关于密文的信息已泄漏。该处理还允许重放攻击，其中恶意攻击者发送先前发送的密文。由于密文将被解密成与无意义的文本相反的明文，重放攻击在通信的接收器方能够产生严重破坏。

为了防止重放攻击，开发了使用密码同步(cryptosync)的加密技术。密码同步是例如在每次使用密码同步加密之后被递增的计数值。这样，密码同步随时间变化。在密码同步的一种典型应用中，对密码同步应用加密算法，好像密码同步是明文。所得到的输出被称为掩码。所述掩码随后经历与用于加密的信息(例如语音、数据等)的异-或运算，以产生明文。如同加密密钥的情况一样，密码同步在发送方和接收方都已知，并在接收方被用于把密文解密成明文。

如同将理解的那样，每次使用时密码同步改变，从而即使在通信会话的不同帧内信息保持不变，所得到的密文也会发生变化。

发明内容

本发明提供一种产生供两个通信设备之间的通信会话之用的密码同步的方法。

如果密码同步不同步，丢失等，那么可以重置密码同步。通过每次把密码同步设置成相同值使密码同步重新同步使利用密码同步的目的落空。例如，如果对于每个新的通信会话，密码同步被重置为相同值或者被重置成先前使用的值，而加密密钥仍然保持不变，并在每个通信会话的开始传送相同的信息，那么会产生相同的密文。

在本发明的一个实施例中，从第二密码同步得到供在通信会话中使用的密码同步。第二密码同步在通信会话之间改变，从而对于每个通信会话，所得到的密码同步发生变化。

在一个例证实施例中，作为至少一部分第二密码同步得到密码同步。例如，可作为至少一部分第二密码同步和固定位序列得到密码同步。

在另一例证实施例中，对第二密码同步执行伪随机函数，从伪随机函数的输出得到所述所得到的密码同步。

附图说明

根据下面给出的详细说明以及附图，将更充分地理解本发明，其中相同的部件由相同的附图标记表示，所述附图只是对本发明的举例说明，并不是对本发明的限制，其中：

图1图解说明根据本发明的一个实施例，由长效密码同步产生短效密码同步。

具体实施方式

为了所述说明的理解和简化，将在符合系列CDMA2000标准的无线通信的语境中描述本发明的实施例。但是，应明白所述方法并不局限于该通信标准，或者局限于无线通信。

在无线通信中，移动站通过空中与基站通信。移动站可以是移动电话机、无线计算机等。基站服务某一地理区域；即，服务于往来于该区域中的移动站的通信。所述通信通常被加密。例如在CDMA2000中，存在几个长效密钥，例如与移动站相关的，分别用在加密处理和消息接发完整性保护处理中的加密密钥(CK)和完整性密钥(IK)。一般来说，CDMA2000还提供长效密码同步(例如CDMA2000中的TX_EXT_SSEQ和RX_EXT_SSEQ)。长效密码同步(LLCS)被用于对基站和移动站之间的消息(例如信令消息)加密和解密，核实消息完整性，或者实现这两种功能。在每次应用之后，按照通常的方式递增LLCS，以致利用LLCS产生的密文能够抵抗重放攻击。一开始，当需要或者应请求时，利用任意公知的鉴权协议，例如在CDMA2000中陈述的鉴权协议，可得到LLCS。

除了通常的语音通信之外，CDMA2000和其它标准还提供数据通信(例如因特网冲浪，电子邮件下载等)。用于在基站和移动站之间传送信息(例如语音、数据等)的通信通道一般被称为无线电链路，用于数据通信的一种协议被称为无线电链路协议(RLP)。为了建立RLP通信，按照众所周知的方式，例如通过利用LLCS的消息完整性，建立移动站和基站之间的通信通道。当RLP通信结束时，通信通道被断开。其间存在通信通道，以便传送信息(例如语音、数据等)的时间一般被称为通信会话。

在通信会话期间，可传送由RLP定义的数帧。根据本发明，利用这里将被称为短效密码同步(SLCS)的密码同步对每帧加密。与LLCS相比，SLCS寿命短，因为SLCS的寿命受限于通信会话的持续时间。即，如下详细所述，重新得到用于下一通信会话的SLCS的值。

相反，LLCS的寿命并不局限于单一RLP会话。例如，在CDMA2000中，LLCS的自然寿命依赖于加密密钥(CK)和完整性密钥(IK)的持续时间。例如某些类型的注册(例如在新的访问位置登记器的注册)导致新的CK和新的IK。因此，这终止在先CK和IK的寿命，与之一道，终止与这些密钥相关的LLCS的寿命。另外，诸如移动站断电和失去LLCS之类事件会结束LLCS的寿命。但是一般来说，LLCS的寿命延续多个通信会话。换句话说，在SLCS的期间以及在SLCS期满之后，LLCS可继续使用。如同下面详细所述，本发明的方法利用了SLCS和LLCS之间的这种差异。

LLCS在通信会话之间部分改变，因为利用LLCS保护用于启动通信会话的消息的完整性。这样，在每次使用之后，LLCS的值被递增，至少按照这种方式，对于每个通信会话，LLCS将具有不同的值。要认识到由于LLCS的其它多次应用的结果，在通信会话之间会发生LLCS的进一步递增。如下详细所述，由于SLCS得自于LLCS，因此关于不同的通信会话得到的SLCS将具有不同的值；从而，有助于防止重放攻击。

根据本发明的一个实施例，利用一部分或者整个LLCS得到SLCS。图1图解说明根据本实施例的SLCS的一个例子。在图1中所示的例子中，假定SLCS的长度大于LLCS的长度。更具体地说，图1的例子设想64位SLCS和32位LLCS的情况。如图所示，SLCS的最高32位是LLCS的32位。SLCS的剩余的最低32位是固定位流。就图1来说，所述固定位流是一串零。

所述固定位串不必都是0或都是1。此外，代替使用整个LLCS来形成一部分SLCS，可以只使用一部分的LLCS；但是，要认识到这不能提供防范重复SLCS的最高程度的保护。

根据本发明的另一实施例，可对LLCS应用任意公知的伪随机函数。结果随后被用于产生SLCS。例如，可按照和前述实施例中的LLCS相同的方式使用所得到的伪随机数来产生SLCS。另一方面，所得到的伪随机数可被用作SLCS。

要认识到存在从LLCS得到SLCS的其它各种变化，并且这些具体实施例落入本发明的整体构思的范围之内。

由于在移动站和基站都知道相同的LLCS，因此为它们之间的通信会话得到相同的SLCS。随后按照常规方式使用得到的SLCS在发送方(基站或移动站)对一帧信息加密，并在接收方(移动站或基站)对该帧信息解密。在每次加密和解密之后，SLCS的值被递增，并被用于下一帧的加密和解密。当通信会话结束时，SLCS的寿命也结束。对于下一通信会话，如上详细所述重新得到SLCS。

上面说明了本发明，显然可按照许多方式改变本发明。这样的变化不应被看作脱离了本发明的精神和范围，所有这样的修改都包括在本发明的范围之内。

Claims (10)

1.一种产生用于两个通信设备之间的通信会话的密码同步的方法，包括：

根据第二密码同步的值，得到用于通信会话的第一密码同步的值，其中所述第一密码同步的寿命受限于所述通信会话的持续时间，而所述第二密码同步的寿命延续多个通信会话。

2.按照权利要求1所述的方法，其中所述第二密码同步由所述两个通信设备中的至少一个用于消息加密。

3.按照权利要求1所述的方法，其中所述第二密码同步由所述两个通信设备中的至少一个用于核实消息完整性。

4.按照权利要求1所述的方法，其中所述第二密码同步的值在通信会话之间发生改变。

5.按照权利要求1所述的方法，其中在所述得到第一密码同步的值的步骤中，将所述第二密码同步的值的一部分用作所述第一密码同步的值。

6.按照权利要求1所述的方法，其中在所述得到第一密码同步的值的步骤中，将所述第二密码同步的值用作所述第一密码同步的值的第一部分，以及将一固定位序列用作所述第一密码同步的值的第二部分。

7.按照权利要求6所述的方法，其中所述固定位序列是一串零。

8.按照权利要求1所述的方法，其中所述得到第一密码同步的值的步骤包括：

对所述第二密码同步的值执行伪随机函数；和

根据所述伪随机函数的输出产生所述第一密码同步的值。

9.按照权利要求8所述的方法，其中在所述产生步骤中，将所述伪随机函数的输出用作所述第一密码同步的值。

10.按照权利要求1所述的方法，还包括：

利用所述第一密码同步对帧信息进行加密和解密之一。