WO2018072152A1 - 一种安全通信的方法、装置和系统 - Google Patents
一种安全通信的方法、装置和系统 Download PDFInfo
- Publication number
- WO2018072152A1 WO2018072152A1 PCT/CN2016/102597 CN2016102597W WO2018072152A1 WO 2018072152 A1 WO2018072152 A1 WO 2018072152A1 CN 2016102597 W CN2016102597 W CN 2016102597W WO 2018072152 A1 WO2018072152 A1 WO 2018072152A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- key
- shared
- identity information
- sender
- Prior art date
Links
- 230000006854 communication Effects 0.000 title claims abstract description 243
- 238000004891 communication Methods 0.000 title claims abstract description 233
- 238000000034 method Methods 0.000 title claims abstract description 71
- 230000004044 response Effects 0.000 claims abstract description 48
- 238000012545 processing Methods 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 9
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 6
- 230000001413 cellular effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
Abstract
本文公开了一种安全通信的方法,应用于网络侧节点,该方法包括:在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
Description
本文涉及但不限于通信技术领域,尤其涉及的是一种安全通信的方法、装置和系统。
在基于基础设施的传统蜂窝移动通信网络中,基站(BS(Base Station)、NB(Node B)或eNB(evolved Node B))作为中心控制节点,是移动设备获得网络服务的唯一接入点。所有的移动设备都只能通过蜂窝系统的上行或下行信道与网络中的某个特定的基站进行通信。
在当前的3GPP(The 3rd Generation Partnership Project,第三代合作伙伴计划)LTE(Long Term Evolution,长期演进),以及LTE-A(LTE Advanced,LTE的演进)无线通信网络中,D2D(Device-to-Device,设备到设备)直接通信中的用户设备能够通过共享/重用无线通信网络的无线链路(上行链路或下行链路)资源来直接进行P2P(Peer to Peer,点到点)通信。当多个移动设备彼此接近时,支持移动设备间的直接通信会给传统的蜂窝通信带来很多的好处。这些好处包括:更长的设备电池使用时间、更高效的无线资源使用、更大的信号覆盖范围以及更低的系统干扰水平等。在这种运用D2D技术增强的蜂窝网络中,一方面,移动设备间的直接通信可以受益于蜂窝网络的集中式控制结构;另一方面,通过利用高质量D2D链路(从设备到设备的直接链路),传统蜂窝网络的传输效率可以被大大提高。
在通常的网络覆盖应用场景中,移动终端设备必须与网络进行互认证,以保证移动终端设备接入和通信的安全性。针对临近区域内的移动终端设备,在进行D2D通信时,必须保证移动终端设备间通信的安全性。而这种临近区域内移动终端设备直接通信的场景中,移动终端设备之间也必须进行互认证,但这种场景中的互认证目前还未进行标准化。
目前,相关技术提出通过预共享密钥机制进行D2D通信,这种方式安
全性较高,但是,由于D2D通信通常是临时性的,也即,任意两个移动终端设备之间何时进行D2D通信通常难以预测,因此,预共享密钥机制无法实现动态认证。
因此,如何通过动态的互认证建立安全关联和信任关系以保证D2D通信的高安全性,是目前移动终端设备间安全通信需要解决的技术问题。
发明内容
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
本文提供一种安全通信的方法、装置和系统,能够通过动态的互认证建立安全关联和信任关系以保证设备到设备通信的高安全性。
本发明实施例提供了一种安全通信的方法,应用于网络侧节点,该方法包括:
在接收到需要与接收方设备进行设备对设备D2D通信的发送方终端发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方终端发送携带所述第一信息的请求消息;
在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;
将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
可选地,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
可选地,根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
可选地,所述密钥生成算法包括第一密钥生成算法,所述共享密钥包括共享加解密密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者
所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
可选地,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
可选地,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
可选地,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
可选地,向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
本发明实施例还提供了一种安全通信的方法,应用于设备对设备通信的发送方设备,该方法包括:
在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;
在接收到所述网络侧节点发送的共享密钥和第二信息后,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
可选地,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
可选地,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
可选地,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进
行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
可选地,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
可选地,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息
包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
可选地,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
可选地,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
本发明实施例还提供了一种安全通信的方法,应用于设备对设备通信的接收方设备,该方法包括:
在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;
在接收到所述网络侧节点发送的共享密钥后,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
可选地,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
可选地,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
可选地,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为
认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
可选地,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
可选地,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进
行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、所述第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的。
可选地,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
可选地,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
本发明实施例还提供了一种安全通信的装置,应用于网络侧节点,包括:
通信模块,设置为在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
密钥管理模块,设置为根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
可选地,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
可选地,密钥管理模块,设置为采用以下方式根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
可选地,密钥管理模块,设置为在所述密钥生成算法包括第一密钥生成算法,且所述共享密钥包括共享加解密密钥时,采用以下方式使用所述密钥生成算法生成用于所述D2D通信的共享密钥:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥时,采用以下方式使用所述密钥生成算法生成用于所述D2D通信的共享密钥:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
可选地,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
可选地,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
可选地,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
可选地,通信模块,还设置为向所述接收方设备发送携带所述第一信息
的请求消息后,还在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
本发明实施例还提供了一种安全通信的装置,应用于设备对设备通信的发送方设备,包括:
密钥管理模块,设置为在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;在接收到所述网络侧节点发送的共享密钥和第二信息后,通知认证模块;
认证模块,设置为基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
可选地,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥、所述
第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二
完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
可选地,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
可选地,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
本发明实施例提供了一种安全通信的装置,应用于设备对设备通信的接收方设备,包括:
密钥管理模块,设置为在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;在接收到所述网络侧节点发送的共享密钥后,通知认证模块;
认证模块,设置为基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
可选地,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括
接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
可选地,认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数
且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的
可选地,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
可选地,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被处理器执行时实现上述方法。
与相关技术相比,本发明实施例提供的一种安全通信的方法、装置和系统,设备间需要进行设备对设备D2D通信时,网络侧节点获取通信双方的
身份信息,根据双方设备的身份信息或双方设备的身份信息以及用于保证密钥新颖性的动态参数为D2D通信生成共享密钥并发送给通信双方设备,通信双方设备基于所述共享密钥进行D2D通信互认证,建立安全关联和信任关系以保证D2D通信的高安全性。
在阅读并理解了附图和详细描述后,可以明白其他方面。
附图概述
图1为本发明实施例的一种安全通信的方法的流程图(网络侧节点)。
图2为本发明实施例的一种安全通信的方法的流程图(发送方设备)。
图3为本发明实施例的一种安全通信的方法的流程图(接收方设备)。
图4为本发明实施例的一种安全通信的装置的结构示意图(网络侧节点)。
图5为本发明实施例的一种安全通信的装置的结构示意图(发送方设备)。
图6为本发明实施例的一种安全通信的装置的结构示意图(接收方设备)。
图7为本发明实施例的一种安全通信的系统的结构示意图。
图8为本发明应用示例的一种安全通信的方法的信息交互图。
图9为本发明应用示例的另一种安全通信的方法的信息交互图。
下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图1所示,本发明实施例提供了一种安全通信的方法,应用于网络侧节点,该方法包括:
S110,在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;
S120,在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
S130,根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;
S140,将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备;
所述方法还可以包括下述特点:
其中,所述网络侧节点包括:基站、HSS(Home Subscriber Server,归属签约用户服务器)、D2D功能节点ProSE Function、或SGSN(Serving GPRS Support Node,服务GPRS支持节点);
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数;
其中,所述设备的身份信息包括以下至少一种:设备的IMEI(International Mobile Equipment Identity,国际移动设备标识)信息、设备的IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)信息、和需要进行D2D通信的应用的身份信息;
其中,根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以
及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
其中,所述密钥生成算法包括第一密钥生成算法,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者
所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,所述共享密钥包括共享加解密密钥和共享完整性保护密钥;使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥;
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
其中,所述根密钥由网络侧节点管理、维护;
其中,所述发送方设备与接收方设备均为经过网络AKA(Authentication and Key Agreement,认证与密钥协商协议)认证的设备。
如图2所示,本发明实施例提供了一种安全通信的方法,应用于设备对设备通信的发送方设备,该方法包括:
S210,在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;
S220,在接收到所述网络侧节点发送的共享密钥和第二信息后,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备;
所述方法还可以包括下述特点:
其中,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN;
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数;
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息;
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接
收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的;
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息
和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的;
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
如图3所示,本发明实施例提供了一种安全通信的方法,应用于设备对设备通信的接收方设备,该方法包括:
S310,在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;
S320,在接收到所述网络侧节点发送的共享密钥后,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所
述网络侧节点发送给所述接收方设备;
所述方法还可以包括下述特点:
其中,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN;
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数;
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息;
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确
认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发
送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
如图4所示,本发明实施例提供了一种安全通信的装置,应用于网络侧节点,包括:
通信模块401,设置为在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
密钥管理模块402,设置为根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
所述装置还可以包括下述特点:
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第
一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
其中,密钥管理模块402,设置为采用以下方式根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
其中,密钥管理模块402,设置为在所述密钥生成算法包括第一密钥生成算法,所述共享密钥包括共享加解密密钥时,采用以下方式使用所述密钥生成算法生成用于所述D2D通信的共享密钥:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,所述共享密钥包括共享加解密密钥和共享完整性保护密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
其中,通信模块401,还设置为向所述接收方设备发送携带所述第一信息的请求消息后,还在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
如图5所示,本发明实施例提供了一种安全通信的装置,应用于设备对设备通信的发送方设备,包括:
密钥管理模块501,设置为在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;在接收到所述网络侧节点发送的共享密钥和第二信息后,通知认证模块;
认证模块502,设置为基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
所述装置还可以包括下述特点:
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
其中,认证模块502,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
其中,认证模块502,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
其中,认证模块502,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所
述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
其中,认证模块502,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
如图6所示,本发明实施例提供了一种安全通信的装置,应用于设备对设备通信的接收方设备,包括:
密钥管理模块601,设置为在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;在接收到所述网络侧节点发送的共享密钥后,通知认证模块;
认证模块602,设置为基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
所述装置还可以包括下述特点:
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
其中,认证模块602,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设
备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
其中,认证模块602,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
其中,认证模块602,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
其中,认证模块602,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的。
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通
信的应用的身份信息。
如图7所示,本发明实施例提供了一种安全通信的系统,应用于设备对设备通信网络,包括:网络侧节点、发送方设备、和接收方设备。
应用示例
如图8所示,建立移动设备间安全通信过程的方法可以包括以下步骤:
步骤S101,发送方移动终端设备向网络侧节点发送请求信息,该请求信息包括第一信息;
其中,所述第一信息包括发送方的身份信息,或者所述第一信息包括发送方的身份信息和一个随机数(第一随机数);
所述发送方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S102,网络侧节点接收到请求信息后,获取到第一信息,向接收方移动终端设备发送携带所述第一信息的请求信息。
步骤S103,接收方移动终端设备收到请求信息后,向网络侧节点发送响应消息。
其中,在所述响应消息表示同意时,所述响应消息中携带第二信息;
其中,在所述响应消息表示拒绝时,网络侧节点收到所述接收方移动终端设备的响应消息后,终止所述D2D通信过程;
其中,所述第二信息包括接收方的身份信息,或者,所述第二信息包括接收方的身份信息和一个随机数(第二随机数);
所述接收方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S104,网络侧节点在收到响应信息后,在该网络节点上生成用于
D2D通信的共享加解密密钥。
其中,在所述第一信息包括发送方的身份信息且所述第二信息包括接收方的身份信息时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者
其中,在所述第一信息包括发送方的身份信息和第一随机数且所述第二信息包括接收方的身份信息和第二随机数时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一随机数和第二随机数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享加解密密钥;
步骤S105,网络侧节点将生成的共享加解密密钥和接收方移动终端设备的响应消息发送到发送方移动终端设备。
其中,发送方移动终端设备从所述响应消息中获取到第二信息;
步骤S106,网络节点将生成的共享加解密密钥发送到接收方移动终端设备。
步骤S107,发送方移动终端设备利用共享加解密密钥生成认证信息,并发送给接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息时,发送方移动终端设备使用所述共享加解密密钥对发送方移动终端设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,发送方移动终端设备使用所述共享加解密密钥对发送方移动终端设备的身份信息和第二随机数进行加密生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
步骤S108,接收方移动终端设备收到来自发送方移动终端设备的认证信息后,利用共享加解密密钥对发送方移动终端设备进行认证,在确定发送
方移动终端设备通过认证后,利用共享加解密密钥生成认证信息,并发送给发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二随机数进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享加解密密钥对接收方移动终端设备的身份信息和第一随机数进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
步骤S109,发送方移动终端设备收到来自接收方移动终端设备的认证信息后,利用共享加解密密钥进行认证,在确定接收方移动终端设备通过认证后,双方建立安全通信连接;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,在接收到所述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方移动终端设备的身份信息进行比较,如二者一致,则确认所述接收方移动终端设备通过认证;
其中,在所述第一信息包括发送方移动终端设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,在接收到所
述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方移动终端设备的身份信息和第一随机数进行比较,如二者一致,则确认所述接收方移动终端设备通过认证。
如图9所示,建立移动设备间安全通信过程的方法还可以包括以下步骤:
步骤S201,发送方移动终端设备向网络侧节点发送请求信息,该请求信息包括第一信息;
其中,所述第一信息包括发送方的身份信息,或者所述第一信息包括发送方的身份信息和一个随机数(第一随机数);
所述发送方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S202,网络侧节点接收到请求信息后,获取到第一信息,向接收方移动终端设备发送携带所述第一信息的请求信息。
步骤S203,接收方移动终端设备收到请求信息后,向网络侧节点发送响应消息。
其中,在所述响应消息表示同意时,所述响应消息中携带第二信息;
其中,在所述响应消息表示拒绝时,网络侧节点收到所述接收方移动终端设备的响应消息后,终止所述D2D通信过程;
其中,所述第二信息包括接收方的身份信息,或者,所述第二信息包括接收方的身份信息和一个随机数(第二随机数);
所述接收方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S204,网络侧节点在收到响应信息后,在该网络节点上生成用于D2D通信的共享加解密密钥和共享完整性保护密钥。
其中,在所述第一信息包括发送方的身份信息且所述第二信息包括接收
方的身份信息时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的第一密钥生成算法的分散参数,使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的第二密钥生成算法的分散参数,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥;
其中,在所述第一信息包括发送方的身份信息和第一随机数且所述第二信息包括接收方的身份信息和第二随机数时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息、第一随机数和第二随机数作为部署的第一密钥生成算法的分散参数,使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息、第一随机数和第二随机数作为部署的第二密钥生成算法的分散参数,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥;
步骤S205,网络侧节点将生成的共享加解密密钥和共享完整性保护密钥,以及接收方移动终端设备的响应消息发送到发送方移动终端设备。
其中,发送方移动终端设备从所述响应消息中获取到第二信息;
步骤S206,网络节点将生成的共享加解密密钥和共享完整性保护密钥发送到接收方移动终端设备。
步骤S207,发送方移动终端设备利用共享加解密密钥和共享完整性保护密钥生成认证信息,并发送给接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息时,使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息,使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,使用所述共享完整性
保护密钥对发送方设备的身份信息和第二随机数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二随机数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
步骤S208,接收方移动终端设备收到来自发送方移动终端设备的认证信息后,利用共享加解密密钥和共享完整性保护密钥对发送方移动终端设备进行认证,在确定发送方移动终端设备通过认证后,利用共享加解密密钥和共享完整性保护密钥生成认证信息,并发送给发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二随机数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二随机数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一随机数进行处理生成第二完整性
保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一随机数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
步骤S209,发送方移动终端设备收到来自接收方移动终端设备的认证信息后,利用共享加解密密钥和共享完整性保护密钥进行认证,在确定接收方移动终端设备通过认证后,双方建立安全通信连接;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,在接收到所述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方移动终端设备通过认证;
其中,在所述第一信息包括发送方移动终端设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,在接收到所述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一随机数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一随机数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方移动终端设备通过认证。
此外,本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被处理器执行时实现上述方法。
上述实施例提供的一种安全通信的方法、装置和系统,设备间需要进行设备对设备D2D通信时,网络侧节点获取通信双方的身份信息,根据双方设备的身份信息或双方设备的身份信息以及用于保证密钥新颖性的动态参
数为D2D通信生成共享密钥并发送给通信双方设备,通信双方设备基于所述共享密钥进行D2D通信互认证,建立安全关联和信任关系以保证D2D通信的高安全性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,例如通过集成电路来实现其相应功能,也可以采用软件功能模块的形式实现,例如通过处理器执行存储于存储器中的程序指令来实现其相应功能。本申请不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本申请还可有其他多种实施例,在不背离本申请精神及其实质的情况下,熟悉本领域的技术人员可根据本申请作出各种相应的改变和变形,但这些相应的改变和变形都应属于本申请所附的权利要求的保护范围。
本发明实施例提供的技术方案,设备间需要进行设备对设备D2D通信时,网络侧节点获取通信双方的身份信息,根据双方设备的身份信息或双方设备的身份信息以及用于保证密钥新颖性的动态参数为D2D通信生成共享密钥并发送给通信双方设备,通信双方设备基于所述共享密钥进行D2D通信互认证,建立安全关联和信任关系以保证D2D通信的高安全性。
Claims (48)
- 一种安全通信的方法,应用于网络侧节点,该方法包括:在接收到需要与接收方设备进行设备对设备D2D通信的发送方终端发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方终端发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
- 如权利要求1所述的方法,其中:所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
- 如权利要求2所述的方法,其中:根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
- 如权利要求3所述的方法,其中:所述密钥生成算法包括第一密钥生成算法,所述共享密钥包括共享加解密密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括: 使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
- 如权利要求2或3或4所述的方法,其中:所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
- 如权利要求1或2或3或4所述的方法,其中:所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
- 如权利要求1或2或3或4所述的方法,其中:所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
- 如权利要求1所述的方法,其中:向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
- 一种安全通信的方法,应用于设备对设备通信的发送方设备,该方法包括:在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;在接收到所述网络侧节点发送的共享密钥和第二信息后,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
- 如权利要求9所述的方法,其中:所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
- 如权利要求10所述的方法,其中:在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
- 如权利要求10所述的方法,其中:在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述 共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
- 如权利要求10所述的方法,其中:在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
- 如权利要求10所述的方法,其中:在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信 息与所述接收方设备进行相互认证,包括:使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
- 如权利要求9-14中任一所述的方法,其中:所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
- 如权利要求9-14中任一项所述的方法,其中:所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
- 一种安全通信的方法,应用于设备对设备通信的接收方设备,该方法包括:在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;在接收到所述网络侧节点发送的共享密钥后,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
- 如权利要求17所述的方法,其中:所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
- 如权利要求18所述的方法,其中:在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
- 如权利要求18所述的方法,其中:在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确 认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
- 如权利要求18所述的方法,其中:在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
- 如权利要求18所述的方法,其中:在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、所述第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的。
- 如权利要求17-22中任一项所述的方法,其中:所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
- 如权利要求17-22中任一项所述的方法,其中:所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
- 一种安全通信的装置,应用于网络侧节点,包括:通信模块,设置为在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;密钥管理模块,设置为根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
- 如权利要求25所述的装置,其中:所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
- 如权利要求26所述的装置,其中:密钥管理模块,是设置为采用以下方式根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥:将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
- 如权利要求27所述的装置,其中:密钥管理模块,是设置为在所述密钥生成算法包括第一密钥生成算法,且所述共享密钥包括共享加解密密钥时,采用以下方式使用所述密钥生成算法生成用于所述D2D通信的共享密钥:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
- 如权利要求26或27或28所述的装置,其中:所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机 数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
- 如权利要求25或26或27或28所述的装置,其中:所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
- 如权利要求25或26或27或28所述的装置,其中:所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
- 如权利要求25所述的装置,其中:通信模块,还设置为向所述接收方设备发送携带所述第一信息的请求消息后,还在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
- 一种安全通信的装置,应用于设备对设备通信的发送方设备,包括:密钥管理模块,设置为在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;在接收到所述网络侧节点发送的共享密钥和第二信息后,通知认证模块;认证模块,设置为基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
- 如权利要求33所述的装置,其中:所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
- 如权利要求34所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
- 如权利要求34所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
- 如权利要求34所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
- 如权利要求34所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证:使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
- 如权利要求33-38中任一所述的装置,其中:所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
- 如权利要求33-38中任一项所述的装置,其中:所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
- 一种安全通信的装置,应用于设备对设备通信的接收方设备,包括:密钥管理模块,设置为在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;在接收到所述网络侧节点发送的共享密钥后,通知认证模块;认证模块,设置为基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
- 如权利要求41所述的装置,其中:所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
- 如权利要求42所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
- 如权利要求42所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
- 如权利要求42所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
- 如权利要求42所述的装置,其中:认证模块,设置为在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,采用以下方式基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证:在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发 送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的。
- 如权利要求41-46中任一项所述的装置,其中:所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
- 如权利要求41-46中任一项所述的装置,其中:所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2016/102597 WO2018072152A1 (zh) | 2016-10-19 | 2016-10-19 | 一种安全通信的方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2016/102597 WO2018072152A1 (zh) | 2016-10-19 | 2016-10-19 | 一种安全通信的方法、装置和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2018072152A1 true WO2018072152A1 (zh) | 2018-04-26 |
Family
ID=62018204
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2016/102597 WO2018072152A1 (zh) | 2016-10-19 | 2016-10-19 | 一种安全通信的方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2018072152A1 (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103595750A (zh) * | 2012-08-17 | 2014-02-19 | 华为技术有限公司 | 用于端对端通信的方法、终端以及网络侧 |
CN104285422A (zh) * | 2012-04-30 | 2015-01-14 | 阿尔卡特朗讯公司 | 用于利用邻近服务的计算设备的安全通信 |
CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
CN105706390A (zh) * | 2013-10-30 | 2016-06-22 | 三星电子株式会社 | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 |
CN106162631A (zh) * | 2015-04-14 | 2016-11-23 | 中兴通讯股份有限公司 | 一种安全通信的方法、装置和系统 |
-
2016
- 2016-10-19 WO PCT/CN2016/102597 patent/WO2018072152A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104285422A (zh) * | 2012-04-30 | 2015-01-14 | 阿尔卡特朗讯公司 | 用于利用邻近服务的计算设备的安全通信 |
CN103595750A (zh) * | 2012-08-17 | 2014-02-19 | 华为技术有限公司 | 用于端对端通信的方法、终端以及网络侧 |
CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
CN105706390A (zh) * | 2013-10-30 | 2016-06-22 | 三星电子株式会社 | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 |
CN106162631A (zh) * | 2015-04-14 | 2016-11-23 | 中兴通讯股份有限公司 | 一种安全通信的方法、装置和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10943005B2 (en) | Secure authentication of devices for internet of things | |
KR101350538B1 (ko) | 직접 링크 통신의 향상된 보안 | |
ES2734989T3 (es) | Comunicaciones seguras para dispositivos informáticos que utilizan servicios de proximidad | |
Alam et al. | Secure device-to-device communication in LTE-A | |
KR101054202B1 (ko) | 인프라스트럭쳐 기반의 무선 멀티홉 네트워크 내의 보안 인증 및 키 관리 | |
EP3735787A1 (en) | System and method for end-to-end secure communication in device-to-device communication networks | |
KR20160078426A (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
JP6904363B2 (ja) | システム、基地局、コアネットワークノード、及び方法 | |
US20210185042A1 (en) | Secure authentication of devices for internet of things | |
WO2008021855A2 (en) | Ad-hoc network key management | |
KR102119586B1 (ko) | 통신 네트워크를 통해 데이터를 릴레이하는 시스템 및 방법 | |
KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
WO2017197596A1 (zh) | 通信方法、网络侧设备和用户设备 | |
EP3231151B1 (en) | Commissioning of devices in a network | |
US20240129746A1 (en) | A method for operating a cellular network | |
CN114362944B (zh) | 一种基于量子密钥的d2d安全移动通信方法及系统 | |
CN106162631A (zh) | 一种安全通信的方法、装置和系统 | |
US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
JP6471039B2 (ja) | 無線通信システムおよび無線端末 | |
KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
WO2018072152A1 (zh) | 一种安全通信的方法、装置和系统 | |
WO2017009714A1 (en) | Establishing a temporary subscription with isolated e-utran network | |
Usman et al. | Role of D2D Communications in Mobile Health Applications: Security Threats and Requirements | |
CN116918300A (zh) | 用于操作蜂窝网络的方法 | |
Bista et al. | Neighbor and Service Discovery Protocols with Security Enhancement for Device-to-Device Communication in LTE {LTE-A Cellular Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16919098 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 16919098 Country of ref document: EP Kind code of ref document: A1 |