CN106162631A - 一种安全通信的方法、装置和系统 - Google Patents
一种安全通信的方法、装置和系统 Download PDFInfo
- Publication number
- CN106162631A CN106162631A CN201510176166.3A CN201510176166A CN106162631A CN 106162631 A CN106162631 A CN 106162631A CN 201510176166 A CN201510176166 A CN 201510176166A CN 106162631 A CN106162631 A CN 106162631A
- Authority
- CN
- China
- Prior art keywords
- information
- equipment
- key
- sender
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种安全通信的方法,应用于网络侧节点,该方法包括:在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。本发明能够通过动态的互认证建立安全关联和信任关系以保证D2D通信的高安全性。本发明还公开了一种安全通信的装置和系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及的是一种安全通信的方法、装置和系统。
背景技术
在基于基础设施的传统蜂窝移动通信网络中,基站(BS、NB或eNB)作为中心控制节点,是移动设备获得网络服务的唯一接入点。所有的移动设备都只能通过蜂窝系统的上行或下行信道与网络中的某个特定的基站进行通信。
在当前的3GPP(The 3rd Generation Partnership Project,第三代合作伙伴计划)LTE(Long Term Evolution,长期演进),以及LTE-A(LTE Advanced,LTE的演进)无线通信网络中,D2D(Device-to-Device,设备到设备)直接通信中的用户设备能够通过共享/重用无线通信网络的无线链路(上行链路或下行链路)资源来直接进行P2P(Peer to Peer,点到点)通信。当多个移动设备彼此接近时,支持移动设备间的直接通信会给传统的蜂窝通信带来很多的好处。这些好处包括:更长的设备电池使用时间、更高效的无线资源使用、更大的信号覆盖范围以及更低的系统干扰水平等。在这种运用D2D技术增强的蜂窝网络中,一方面,移动设备间的直接通信可以受益于蜂窝网络的集中式控制结构;另一方面,通过利用高质量D2D链路(从设备到设备的直接链路),传统蜂窝网络的传输效率可以被大大提高。
在通常的网络覆盖应用场景中,移动终端设备必须与网络进行互认证,以保证移动终端设备接入和通信的安全性。针对临近区域内的移动终端设备,在进行D2D通信时,必须保证移动终端设备间通信的安全性。而这种临近区域内移动终端设备直接通信的场景中,移动终端设备之间也必须进行互认证,但这种场景中的互认证目前还未进行标准化。
目前,相关技术提出通过预共享密钥机制进行D2D通信,这种方式安全性较高,但是,由于D2D通信通常是临时性的,也即,任意两个移动终端设备之间何时进行D2D通信通常难以预测,因此,预共享密钥机制无法实现动态认证。
因此,如何通过动态的互认证建立安全关联和信任关系以保证D2D通信的高安全性,是目前移动终端设备间安全通信需要解决的技术问题。
发明内容
本发明所要解决的技术问题是提供一种安全通信的方法、装置和系统,能够通过动态的互认证建立安全关联和信任关系以保证D2D通信的高安全性。
为了解决上述技术问题,本发明提供了一种安全通信的方法,应用于网络侧节点,该方法包括:
在接收到需要与接收方设备进行设备对设备D2D通信的发送方终端发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方终端发送携带所述第一信息的请求消息;
在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;
将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
进一步地,该方法还包括下述特点:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
进一步地,该方法还包括下述特点:
根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
进一步地,该方法还包括下述特点:
所述密钥生成算法包括第一密钥生成算法,所述共享密钥包括共享加解密密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者
所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
进一步地,该方法还包括下述特点:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
进一步地,该方法还包括下述特点:
所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
进一步地,该方法还包括下述特点:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
进一步地,该方法还包括下述特点:
向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
为了解决上述技术问题,本发明提供了一种安全通信的方法,应用于设备对设备通信的发送方设备,该方法包括:
在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;
在接收到所述网络侧节点发送的共享密钥和第二信息后,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
进一步地,该方法还包括下述特点:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
进一步地,该方法还包括下述特点:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
进一步地,该方法还包括下述特点:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
为了解决上述技术问题,本发明提供了一种安全通信的方法,应用于设备对设备通信的接收方设备,该方法包括:
在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;
在接收到所述网络侧节点发送的共享密钥后,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
进一步地,该方法还包括下述特点:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
进一步地,该方法还包括下述特点:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、所述第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的。
进一步地,该方法还包括下述特点:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
进一步地,该方法还包括下述特点:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
为了解决上述技术问题,本发明提供了一种安全通信的装置,应用于网络侧节点,包括:
通信模块,用于在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
密钥管理模块,用于根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
进一步地,该装置还包括下述特点:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
进一步地,该装置还包括下述特点:
密钥管理模块,用于根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
进一步地,该装置还包括下述特点:
密钥管理模块,用于在所述密钥生成算法包括第一密钥生成算法,且所述共享密钥包括共享加解密密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
进一步地,该装置还包括下述特点:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
进一步地,该装置还包括下述特点:
所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
进一步地,该装置还包括下述特点:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
进一步地,该装置还包括下述特点:
通信模块,用于向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
为了解决上述技术问题,本发明提供了一种安全通信的装置,应用于设备对设备通信的发送方设备,包括:
密钥管理模块,用于在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;在接收到所述网络侧节点发送的共享密钥和第二信息后,通知认证模块;
认证模块,用于基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
进一步地,该装置还包括下述特点:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
进一步地,该装置还包括下述特点:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
进一步地,该装置还包括下述特点:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
为了解决上述技术问题,本发明提供了一种安全通信的装置,应用于设备对设备通信的接收方设备,包括:
密钥管理模块,用于在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;在接收到所述网络侧节点发送的共享密钥后,通知认证模块;
认证模块,用于基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
进一步地,该装置还包括下述特点:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
进一步地,该装置还包括下述特点:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的
进一步地,该装置还包括下述特点:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
进一步地,该装置还包括下述特点:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
与现有技术相比,本发明提供的一种安全通信的方法、装置和系统,设备间需要进行设备对设备D2D通信时,网络侧节点获取通信双方的身份信息,根据双方设备的身份信息或双方设备的身份信息以及用于保证密钥新颖性的动态参数为D2D通信生成共享密钥并发送给通信双方设备,通信双方设备基于所述共享密钥进行D2D通信互认证,建立安全关联和信任关系以保证D2D通信的高安全性。
附图说明
图1为本发明实施例的一种安全通信的方法的流程图(网络侧节点)。
图2为本发明实施例的一种安全通信的方法的流程图(发送方设备)。
图3为本发明实施例的一种安全通信的方法的流程图(接收方设备)。
图4为本发明实施例的一种安全通信的装置的结构示意图(网络侧节点)。
图5为本发明实施例的一种安全通信的装置的结构示意图(发送方设备)。
图6为本发明实施例的一种安全通信的装置的结构示意图(接收方设备)。
图7为本发明实施例的一种安全通信的系统的结构示意图。
图8为本发明应用示例的一种安全通信的方法的信息交互图。
图9为本发明应用示例的另一种安全通信的方法的信息交互图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图1所示,本发明实施例提供了一种安全通信的方法,应用于网络侧节点,该方法包括:
S10,在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;
S20,在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
S30,根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;
S40,将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备;
所述方法还可以包括下述特点:
其中,所述网络侧节点包括:基站、HSS(Home Subscriber Server,归属签约用户服务器)、D2D功能节点ProSE Function、或SGSN(Serving GPRS SupportNode,服务GPRS支持节点);
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数;
其中,所述设备的身份信息包括以下至少一种:设备的IMEI(InternationalMobile Equipment Identity,国际移动设备标识)信息、设备的IMSI(InternationalMobile Subscriber Identification Number,国际移动用户识别码)信息、和需要进行D2D通信的应用的身份信息;
其中,根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
其中,所述密钥生成算法包括第一密钥生成算法,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者
所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,所述共享密钥包括共享加解密密钥和共享完整性保护密钥;使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥;
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
其中,所述根密钥由网络侧节点管理、维护;
其中,所述发送方设备与接收方设备均为经过网络AKA(Authenticationand Key Agreement,认证与密钥协商协议)认证的设备。
如图2所示,本发明实施例提供了一种安全通信的方法,应用于设备对设备通信的发送方设备,该方法包括:
S10,在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;
S20,在接收到所述网络侧节点发送的共享密钥和第二信息后,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备;
所述方法还可以包括下述特点:
其中,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN;
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数;
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息;
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的;
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的;
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
如图3所示,本发明实施例提供了一种安全通信的方法,应用于设备对设备通信的接收方设备,该方法包括:
S10,在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;
S20,在接收到所述网络侧节点发送的共享密钥后,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备;
所述方法还可以包括下述特点:
其中,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN;
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数;
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息;
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
其中,在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
如图4所示,本发明实施例提供了一种安全通信的装置,应用于网络侧节点,包括:
通信模块,用于在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
密钥管理模块,用于根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
所述装置还可以包括下述特点:
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
其中,密钥管理模块,用于根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
其中,密钥管理模块,用于在所述密钥生成算法包括第一密钥生成算法,所述共享密钥包括共享加解密密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,所述共享密钥包括共享加解密密钥和共享完整性保护密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
其中,通信模块,用于向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
如图5所示,本发明实施例提供了一种安全通信的装置,应用于设备对设备通信的发送方设备,包括:
密钥管理模块,用于在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;在接收到所述网络侧节点发送的共享密钥和第二信息后,通知认证模块;
认证模块,用于基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
所述装置还可以包括下述特点:
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
如图6所示,本发明实施例提供了一种安全通信的装置,应用于设备对设备通信的接收方设备,包括:
密钥管理模块,用于在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;在接收到所述网络侧节点发送的共享密钥后,通知认证模块;
认证模块,用于基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
所述装置还可以包括下述特点:
其中,所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
其中,认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的
其中,所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
其中,所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
如图7所示,本发明实施例提供了一种安全通信的系统,应用于设备对设备通信网络,包括:网络侧节点、发送方设备、和接收方设备。
应用示例
如图8所示,建立移动设备间安全通信过程的方法可以包括以下步骤:
步骤S101,发送方移动终端设备向网络侧节点发送请求信息,该请求信息包括第一信息;
其中,其中,所述第一信息包括发送方的身份信息,或者所述第一信息包括发送方的身份信息和一个随机数(第一随机数);
所述发送方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S102,网络侧节点接收到请求信息后,获取到第一信息,向接收方移动终端设备发送携带所述第一信息的请求信息。
步骤S103,接收方移动终端设备收到请求信息后,向网络侧节点发送响应消息。
其中,在所述响应消息表示同意时,所述响应消息中携带第二信息;
其中,在所述响应消息表示拒绝时,网络侧节点收到所述接收方移动终端设备的响应消息后,终止所述D2D通信过程;
其中,所述第二信息包括接收方的身份信息,或者,所述第二信息包括接收方的身份信息和一个随机数(第二随机数);
所述接收方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S104,网络侧节点在收到响应信息后,在该网络节点上生成用于D2D通信的共享加解密密钥。
其中,在所述第一信息包括发送方的身份信息且所述第二信息包括接收方的身份信息时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者
其中,在所述第一信息包括发送方的身份信息和第一随机数且所述第二信息包括接收方的身份信息和第二随机数时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一随机数和第二随机数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享加解密密钥;
步骤S105,网络侧节点将生成的共享加解密密钥和接收方移动终端设备的响应消息发送到发送方移动终端设备。
其中,发送方移动终端设备从所述响应消息中获取到第二信息;
步骤S106,网络节点将生成的共享加解密密钥发送到接收方移动终端设备。
步骤S107,发送方移动终端设备利用共享加解密密钥生成认证信息,并发送给接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息时,发送方移动终端设备使用所述共享加解密密钥对发送方移动终端设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,发送方移动终端设备使用所述共享加解密密钥对发送方移动终端设备的身份信息和第二随机数进行加密生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
步骤S108,接收方移动终端设备收到来自发送方移动终端设备的认证信息后,利用共享加解密密钥对发送方移动终端设备进行认证,在确定发送方移动终端设备通过认证后,利用共享加解密密钥生成认证信息,并发送给发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二随机数进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享加解密密钥对接收方移动终端设备的身份信息和第一随机数进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
步骤S109,发送方移动终端设备收到来自接收方移动终端设备的认证信息后,利用共享加解密密钥进行认证,在确定接收方移动终端设备通过认证后,双方建立安全通信连接;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,在接收到所述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方移动终端设备的身份信息进行比较,如二者一致,则确认所述接收方移动终端设备通过认证;
其中,在所述第一信息包括发送方移动终端设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,在接收到所述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方移动终端设备的身份信息和第一随机数进行比较,如二者一致,则确认所述接收方移动终端设备通过认证。
如图9所示,建立移动设备间安全通信过程的方法还可以包括以下步骤:
步骤S201,发送方移动终端设备向网络侧节点发送请求信息,该请求信息包括第一信息;
其中,所述第一信息包括发送方的身份信息,或者所述第一信息包括发送方的身份信息和一个随机数(第一随机数);
所述发送方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S202,网络侧节点接收到请求信息后,获取到第一信息,向接收方移动终端设备发送携带所述第一信息的请求信息。
步骤S203,接收方移动终端设备收到请求信息后,向网络侧节点发送响应消息。
其中,在所述响应消息表示同意时,所述响应消息中携带第二信息;
其中,在所述响应消息表示拒绝时,网络侧节点收到所述接收方移动终端设备的响应消息后,终止所述D2D通信过程;
其中,所述第二信息包括接收方的身份信息,或者,所述第二信息包括接收方的身份信息和一个随机数(第二随机数);
所述接收方移动终端设备的身份信息可以是设备身份信息IMEI,也可以是用户身份信息IMSI,还可以是需要进行D2D通信的应用的身份信息等;
步骤S204,网络侧节点在收到响应信息后,在该网络节点上生成用于D2D通信的共享加解密密钥和共享完整性保护密钥。
其中,在所述第一信息包括发送方的身份信息且所述第二信息包括接收方的身份信息时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的第一密钥生成算法的分散参数,使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的第二密钥生成算法的分散参数,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥;
其中,在所述第一信息包括发送方的身份信息和第一随机数且所述第二信息包括接收方的身份信息和第二随机数时,网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息、第一随机数和第二随机数作为部署的第一密钥生成算法的分散参数,使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;网络侧节点将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息、第一随机数和第二随机数作为部署的第二密钥生成算法的分散参数,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥;
步骤S205,网络侧节点将生成的共享加解密密钥和共享完整性保护密钥,以及接收方移动终端设备的响应消息发送到发送方移动终端设备。
其中,发送方移动终端设备从所述响应消息中获取到第二信息;
步骤S206,网络节点将生成的共享加解密密钥和共享完整性保护密钥发送到接收方移动终端设备。
步骤S207,发送方移动终端设备利用共享加解密密钥和共享完整性保护密钥生成认证信息,并发送给接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息时,使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息,使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,使用所述共享完整性保护密钥对发送方设备的身份信息和第二随机数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二随机数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息通过D2D通信链路直接发送给所述接收方移动终端设备;
步骤S208,接收方移动终端设备收到来自发送方移动终端设备的认证信息后,利用共享加解密密钥和共享完整性保护密钥对发送方移动终端设备进行认证,在确定发送方移动终端设备通过认证后,利用共享加解密密钥和共享完整性保护密钥生成认证信息,并发送给发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
其中,在所述第一信息包括发送方设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,接收方移动终端设备在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二随机数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二随机数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方移动终端设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一随机数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一随机数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息通过D2D通信链路直接发送给所述发送方移动终端设备;
步骤S209,发送方移动终端设备收到来自接收方移动终端设备的认证信息后,利用共享加解密密钥和共享完整性保护密钥进行认证,在确定接收方移动终端设备通过认证后,双方建立安全通信连接;
其中,在所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,在接收到所述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方移动终端设备通过认证;
其中,在所述第一信息包括发送方移动终端设备的身份信息和第一随机数且所述第二信息包括接收方设备的身份信息和第二随机数时,在接收到所述接收方移动终端设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一随机数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一随机数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方移动终端设备通过认证。
上述实施例提供的一种安全通信的方法、装置和系统,设备间需要进行设备对设备D2D通信时,网络侧节点获取通信双方的身份信息,根据双方设备的身份信息或双方设备的身份信息以及用于保证密钥新颖性的动态参数为D2D通信生成共享密钥并发送给通信双方设备,通信双方设备基于所述共享密钥进行D2D通信互认证,建立安全关联和信任关系以保证D2D通信的高安全性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (48)
1.一种安全通信的方法,应用于网络侧节点,该方法包括:
在接收到需要与接收方设备进行设备对设备D2D通信的发送方终端发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方终端发送携带所述第一信息的请求消息;
在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;
将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
2.如权利要求1所述的方法,其特征在于:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
3.如权利要求2所述的方法,其特征在于:
根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
4.如权利要求3所述的方法,其特征在于:
所述密钥生成算法包括第一密钥生成算法,所述共享密钥包括共享加解密密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括: 使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者
所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
5.如权利要求2或3或4所述的方法,其特征在于:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
6.如权利要求1或2或3或4所述的方法,其特征在于:
所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
7.如权利要求1或2或3或4所述的方法,其特征在于:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
8.如权利要求1所述的方法,其特征在于:
向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
9.一种安全通信的方法,应用于设备对设备通信的发送方设备,该方法包括:
在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;
在接收到所述网络侧节点发送的共享密钥和第二信息后,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
10.如权利要求9所述的方法,其特征在于:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
11.如权利要求10所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
12.如权利要求10所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述 共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
13.如权利要求10所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
14.如权利要求10所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信 息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
15.如权利要求9-14中任一所述的方法,其特征在于:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
16.如权利要求9-14中任一项所述的方法,其特征在于:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
17.一种安全通信的方法,应用于设备对设备通信的接收方设备,该方法包括:
在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;
在接收到所述网络侧节点发送的共享密钥后,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
18.如权利要求17所述的方法,其特征在于:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
19.如权利要求18所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
20.如权利要求18所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确 认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
21.如权利要求18所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
22.如权利要求18所述的方法,其特征在于:
在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、所述第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的。
23.如权利要求17-22中任一项所述的方法,其特征在于:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
24.如权利要求17-22中任一项所述的方法,其特征在于:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
25.一种安全通信的装置,应用于网络侧节点,包括:
通信模块,用于在接收到需要与接收方设备进行设备对设备D2D通信的发送方设备发送的请求消息后,从所述请求消息中获取第一信息,向所述接收方设备发送携带所述第一信息的请求消息;在接收到所述接收方设备返回的指示同意的响应消息后,从所述响应消息中获取第二信息;
密钥管理模块,用于根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥;将所述共享密钥分别发送给所述发送方设备和接收方设备,并将所述第二信息发送给所述发送方设备。
26.如权利要求25所述的装置,其特征在于:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
27.如权利要求26所述的装置,其特征在于:
密钥管理模块,用于根据所述第一信息和第二信息生成用于所述D2D通信的共享密钥,包括:
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥;或者
将根密钥作为种子密钥,将所述发送方设备和接收方设备的身份信息以及用于保证密钥新颖性的第一动态参数和第二动态参数作为部署的密钥生成算法的分散参数,使用所述密钥生成算法生成用于所述D2D通信的共享密钥。
28.如权利要求27所述的装置,其特征在于:
密钥管理模块,用于在所述密钥生成算法包括第一密钥生成算法,且所述共享密钥包括共享加解密密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥;或者在所述密钥生成算法包括第一密钥生成算法和第二密钥生成算法,且所述共享密钥包括共享加解密密钥和共享完整性保护密钥时,使用所述密钥生成算法生成用于所述D2D通信的共享密钥,包括:使用所述第一密钥生成算法生成用于所述D2D通信的共享加解密密钥,使用所述第二密钥生成算法生成用于所述D2D通信的共享完整性保护密钥。
29.如权利要求26或27或28所述的装置,其特征在于:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机 数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
30.如权利要求25或26或27或28所述的装置,其特征在于:
所述网络侧节点包括:基站、归属签约用户服务器HSS、D2D功能节点ProSE Function、或服务GPRS支持节点SGSN。
31.如权利要求25或26或27或28所述的装置,其特征在于:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
32.如权利要求25所述的装置,其特征在于:
通信模块,用于向所述接收方设备发送携带所述第一信息的请求消息后,还包括:在接收到所述接收方设备返回的指示拒绝的响应消息后,终止所述D2D通信过程。
33.一种安全通信的装置,应用于设备对设备通信的发送方设备,包括:
密钥管理模块,用于在需要与接收方设备进行设备对设备D2D通信时,向网络侧节点发送携带第一信息的请求消息;在接收到所述网络侧节点发送的共享密钥和第二信息后,通知认证模块;
认证模块,用于基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证;
其中,所述第二信息由所述接收方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述发送方设备。
34.如权利要求33所述的装置,其特征在于:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
35.如权利要求34所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息进行加密后生成的。
36.如权利要求34所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,将解密后获得的信息与本地保存的接收方设备的身份信息和第一动态参数进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密后生成的。
37.如权利要求34所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息和所述第一完整性保护信息进行加密生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成的。
38.如权利要求34所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述接收方设备进行相互认证,包括:
使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成第一完整性保护信息;使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和所述第一完整性保护信息进行加密,加密后生成第一加密信息,将所述第一加密信息作为认证信息发送给所述接收方设备;
在接收到所述接收方设备发送的用于认证的第二加密信息后,使用所述共享加解密密钥对所述第二加密信息进行解密,用所述共享完整性保护密钥对本地保存的接收方设备的身份信息和第一动态参数进行处理,生成所述接收方设备的完整性保护信息,将解密后获得的信息与本地保存的接收方设备的身份信息、第一动态参数和本终端生成的接收方设备的完整性保护信息进行比较,如二者一致,则确认所述接收方设备通过认证;
其中,所述第二加密信息是所述接收方设备使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和第二完整性保护信息进行加密后生成的,所述第二完整性保护信息是所述接收方设备使用所述共享完整性保护密钥对接收方设备的身份信息和第一动态参数进行处理生成的。
39.如权利要求33-38中任一所述的装置,其特征在于:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
40.如权利要求33-38中任一项所述的装置,其特征在于:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
41.一种安全通信的装置,应用于设备对设备通信的接收方设备,包括:
密钥管理模块,用于在接收到网络侧节点发送的携带第一信息的请求消息后,向所述网络侧节点返回响应消息;其中,所述响应消息在指示同意时携带第二信息;在接收到所述网络侧节点发送的共享密钥后,通知认证模块;
认证模块,用于基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证;
其中,所述第一信息由所述发送方设备发送给所述网络侧节点,再由所述网络侧节点发送给所述接收方设备。
42.如权利要求41所述的装置,其特征在于:
所述第一信息包括发送方设备的身份信息,且所述第二信息包括接收方设备的身份信息;或者所述第一信息包括发送方设备的身份信息和第一动态参数,且所述第二信息包括接收方设备的身份信息和第二动态参数。
43.如权利要求42所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息进行加密后生成的。
44.如权利要求42所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,将解密后获得的信息与本地保存的发送方设备的身份信息和第二动态参数进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享加解密密钥对接收方设备的身份信息和第一动态参数进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第二动态参数进行加密后生成的。
45.如权利要求42所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息且所述第二信息包括接收方设备的身份信息时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整性保护密钥对接收方设备的身份信息进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息进行处理生成的。
46.如权利要求42所述的装置,其特征在于:
认证模块,用于在所述共享密钥包括共享加解密密钥和共享完整性保护密钥、所述第一信息包括发送方设备的身份信息和第一动态参数且所述第二信息包括接收方设备的身份信息和第二动态参数时,基于所述共享密钥、第一信息和第二信息与所述发送方设备进行相互认证,包括:
在接收到所述发送方设备发送的用于认证的第一加密信息后,使用所述共享加解密密钥对所述第一加密信息进行解密,用所述共享完整性保护密钥对本地保存的发送方设备的身份信息和第二动态参数进行处理,生成所述发送方设备的完整性保护信息,将解密后获得的信息与本地保存的发送方设备的身份信息、第二动态参数和本终端生成的发送方设备的完整性保护信息进行比较,如二者一致,则确认所述发送方设备通过认证,使用所述共享完整 性保护密钥对接收方设备的身份信息、第一动态参数进行处理生成第二完整性保护信息,使用所述共享加解密密钥对接收方设备的身份信息、第一动态参数和所述第二完整性保护信息进行加密生成第二加密信息,将所述第二加密信息作为认证信息发送给所述发送方设备;
其中,所述第一加密信息是所述发送方设备使用所述共享加解密密钥对发送方设备的身份信息、第二动态参数和第一完整性保护信息进行加密后生成的,所述第一完整性保护信息是所述发送方设备使用所述共享完整性保护密钥对发送方设备的身份信息和第二动态参数进行处理生成的。
47.如权利要求41-46中任一项所述的装置,其特征在于:
所述第一动态参数包括第一随机数,且所述第二动态参数包括第二随机数;或者所述第一动态参数包括与所述D2D通信的时间相关的第一时间参数,且所述第二动态参数包括与所述D2D通信的时间相关的第二时间参数。
48.如权利要求41-46中任一项所述的装置,其特征在于:
所述设备的身份信息包括以下至少一种:设备的国际移动设备标识IMEI信息、设备的国际移动用户识别码IMSI信息、和需要进行D2D通信的应用的身份信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510176166.3A CN106162631A (zh) | 2015-04-14 | 2015-04-14 | 一种安全通信的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510176166.3A CN106162631A (zh) | 2015-04-14 | 2015-04-14 | 一种安全通信的方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106162631A true CN106162631A (zh) | 2016-11-23 |
Family
ID=57337034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510176166.3A Pending CN106162631A (zh) | 2015-04-14 | 2015-04-14 | 一种安全通信的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106162631A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018072152A1 (zh) * | 2016-10-19 | 2018-04-26 | 中兴通讯股份有限公司 | 一种安全通信的方法、装置和系统 |
| CN108521641A (zh) * | 2018-03-29 | 2018-09-11 | 维沃移动通信有限公司 | 一种d2d通信生成密钥的方法、装置和系统 |
| CN111404667A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
| CN112040486A (zh) * | 2020-08-19 | 2020-12-04 | 广东以诺通讯有限公司 | 一种基于5gd2d业务的安全直连通信方法及终端 |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100169669A1 (en) * | 2008-12-31 | 2010-07-01 | Ned Smith | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption |
| CN103415010A (zh) * | 2013-07-18 | 2013-11-27 | 中国联合网络通信集团有限公司 | D2d网络鉴权方法及系统 |
| WO2014037277A1 (en) * | 2012-09-06 | 2014-03-13 | Koninklijke Kpn N.V. | Establishing a device-to-device communication session |
| WO2014059657A1 (en) * | 2012-10-19 | 2014-04-24 | Nokia Corporation | Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment |
| CN103813309A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种基于sip的mtc设备间安全通信方法、装置及系统 |
-
2015
- 2015-04-14 CN CN201510176166.3A patent/CN106162631A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100169669A1 (en) * | 2008-12-31 | 2010-07-01 | Ned Smith | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption |
| WO2014037277A1 (en) * | 2012-09-06 | 2014-03-13 | Koninklijke Kpn N.V. | Establishing a device-to-device communication session |
| WO2014059657A1 (en) * | 2012-10-19 | 2014-04-24 | Nokia Corporation | Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment |
| CN103813309A (zh) * | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种基于sip的mtc设备间安全通信方法、装置及系统 |
| CN103415010A (zh) * | 2013-07-18 | 2013-11-27 | 中国联合网络通信集团有限公司 | D2d网络鉴权方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| DAJIANG ZHANG,MIRKO CANO SIVERI: "TS 33.401:System Architecture Evolution (SAE); Security architecture", 《3GPP》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018072152A1 (zh) * | 2016-10-19 | 2018-04-26 | 中兴通讯股份有限公司 | 一种安全通信的方法、装置和系统 |
| CN108521641A (zh) * | 2018-03-29 | 2018-09-11 | 维沃移动通信有限公司 | 一种d2d通信生成密钥的方法、装置和系统 |
| CN111404667A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
| CN111404667B (zh) * | 2019-01-02 | 2023-05-09 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN112449323B (zh) * | 2019-08-14 | 2022-04-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN112040486A (zh) * | 2020-08-19 | 2020-12-04 | 广东以诺通讯有限公司 | 一种基于5gd2d业务的安全直连通信方法及终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10943005B2 (en) | Secure authentication of devices for internet of things | |
| US11240218B2 (en) | Key distribution and authentication method and system, and apparatus | |
| TWI451735B (zh) | 用於在通訊系統中將用戶認證與設備認證結合的方法和裝置 | |
| Alam et al. | Secure device-to-device communication in LTE-A | |
| KR101350538B1 (ko) | 직접 링크 통신의 향상된 보안 | |
| US11582233B2 (en) | Secure authentication of devices for Internet of Things | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| KR101877733B1 (ko) | 기기간 통신 환경에서 그룹 통신을 보안하는 방법 및 시스템 | |
| US20190068591A1 (en) | Key Distribution And Authentication Method And System, And Apparatus | |
| US20240129746A1 (en) | A method for operating a cellular network | |
| US20160065362A1 (en) | Securing peer-to-peer and group communications | |
| JP6904363B2 (ja) | システム、基地局、コアネットワークノード、及び方法 | |
| CN105706390A (zh) | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 | |
| CN101621434A (zh) | 无线网状网络系统以及密钥分配的方法 | |
| CN101500229A (zh) | 建立安全关联的方法和通信网络系统 | |
| US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
| CN106162631A (zh) | 一种安全通信的方法、装置和系统 | |
| CN105578457B (zh) | 一种终端认证方法、管理终端及申请终端 | |
| WO2018072152A1 (zh) | 一种安全通信的方法、装置和系统 | |
| KR102923415B1 (ko) | 온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치 | |
| CN116918300A (zh) | 用于操作蜂窝网络的方法 | |
| Wang et al. | Comprehensive Analysis of Security Risks in Android File Sharing Applications: Reverse Engineering, Methodologies, and Optimization | |
| WO2023141914A1 (zh) | 信息保护方法和设备 | |
| CN118402262A (zh) | 中继通信的方法及设备 | |
| CN119450473A (zh) | 会话建立方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161123 |