一种网络密钥管理及会话密钥更新方法

文档序号:7965344阅读:333来源:国知局
导航: 利记体育> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种网络密钥管理及会话密钥更新方法
技术领域
本发明涉及一种网络密钥管理及会话密钥更新方法,具体可应用于有线网络以及无线局域网(WLAN)、无线城域网(WMAN)、宽带无线多媒体(BWM)网络等无线网络。
背景技术
无线网络的安全问题远比有线以太网重要。美国IEEE制定了802.11和802.16系列标准来增强无线局域网和无线城域网的安全性,提供移动终端到基站的安全接入,中国也在2003年5月份颁布了无线局域网国家标准GB15629.11,通常称为WAPI协议。宽带无线多媒体网络融合了数据通信和广播通信,是一种新的无线网络体系结构,同样需要解决安全接入和保密通信问题。而解决保密通信的关键问题之一就是如何管理系统中的各种密钥。
IEEE802.11标准使用了WEP协议实现WLAN的安全性,它的密钥管理非常简单,即手工在移动终端和接入点之间设置共享密钥。存在的缺点是没有完善的密钥管理方案,不利于系统扩展,系统的灵活性较差。
WEP加密协议存在严重的安全漏洞。IEEE802.11i标准通过四次握手协议来管理和推导密钥,虽解决了WEP的安全问题,但存在如下缺陷(1)密钥管理无法区分业务等级。密钥的推导是针对确定的终端和接入点的,不能为不同的业务推导不同的密钥以实现业务等级划分。
(2)组播密钥的协商效率低。需要接入点与一组移动终端中的每一个分别进行组播密钥的协商。
(3)组播密钥的更新效率低。组播密钥的更新过程同样需要接入点与每一个移动终端分别进行,效率非常低。
(4)不能为不同的业务提供不同的组播加密密钥。
中国国家标准GB15629.11,克服了WEP存在的一些弊病,但其密钥管理协议仍存在与IEEE802.11i相同的缺点。
美国IEEE提出的WMAN标准IEE802.16,不能防止攻击者冒充基站来欺骗移动终端,其密钥管理也不安全。IEEE802.16e标准借鉴IEEE802.11i标准的方法提出了改进方案,但其密钥管理存在以下不足密钥管理采用时间同步的方式,状态管理比较复杂。新密钥的启用、禁用都依赖时间判断,在一个分布式系统中维护同步时钟比较复杂。系统状态多,管理复杂。

发明内容
本发明的目的在于提供一种网络密钥管理及会话密钥更新方法,其解决了背景技术中组播密钥的协商、更新效率低,系统状态管理复杂的技术问题。
本发明的技术解决方案是一种网络单播密钥管理方法,其特殊之处在于该方法的实现步骤包括(1)构造密钥协商请求分组初始密钥协商时,或移动终端要求密钥更新或收到基站发送的会话密钥更新通告分组时,移动终端向基站发送密钥协商请求分组,以激活密钥协商过程;(2)构造密钥协商响应分组(2.1)基站收到移动终端发送的密钥协商请求分组后,构造密钥协商响应分组;(2.2)如果基站在先发送了密钥更新通告分组,则基站检验密钥更新通告分组与密钥协商请求分组中相应字段的取值是否相同。如果相同,则构造密钥协商响应分组;不相同,丢弃密钥协商请求分组而不作任何处理;(2.3)基站向移动终端发送密钥协商响应分组,导出单播会话加密密钥和完整性校验密钥;(3)构造密钥协商确认分组移动终端收到基站发送的密钥协商响应分组后,利用授权密钥标识AKID对应的授权密钥所导出的密钥加密密钥解密得到会话密钥材料TEKM,并利用基站和移动终端选取的随机数导出会话加密密钥和完整性校验密钥,构造密钥协商确认分组;上述密钥更新通告分组的内容包括基站的身份IDBS、安全关联际识SAID、授权密钥标识AKID、会话密钥标识TEKID以及消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算。
上述的密钥协商请求分组的内容包括移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算;上述密钥协商响应分组的内容包括移动终端的身份IDMS、基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、基站选取的随机数NBS、由基站选取的并由授权密钥标识AKID对应的授权密钥导出的密钥加密密钥加密的会话密钥材料TEKM的密文EKEK(TEKM)、会话密钥材料TEKM的有效期LifeTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS的值应与密钥协商请求分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算;上述密钥协商确认分组的内容包括基站的身份IDBS、移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、基站选取的随机数NBS、消息完整性校验码MIC,其中,基站选取的随机数NBS的值应与密钥协商响应分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算。
一种组播密钥管理方法,其特殊之处在于该方法的实现步骤包括(1)组播主密钥协商协议(1.1)构造密钥更新通告分组基站需要会话密钥更新,而移动终端尚未提出更新会话密钥请求时,基站向移动终端发送密钥更新通告分组,通知移动终端进行会话密钥更新。会话密钥更新通告分组仅在会话密钥更新时使用,在初始密钥协商时不使用。
(1.2)构造密钥协商请求分组在初始密钥协商过程中,或移动终端收到基站发送的密钥更新通告分组时,移动终端向基站发送密钥协商请求分组,以激活密钥协商过程;(1.3)构造密钥协商响应分组(1.3.1)基站收到移动终端发送的密钥协商请求分组后,构造密钥协商响应分组;(1.3.2)如果基站在先发送了密钥更新通告分组,则基站检验密钥更新通告分组与密钥协商请求分组中相应字段的取值是否相同。如果相同,则构造密钥协商响应分组;不相同,则丢弃密钥协商请求分组而不作任何处理;(1.3.3)基站向移动终端发送密钥协商响应分组,导出组播密钥加密密钥GKEK和组播消息完整性校验密钥GMIK;(1.4)构造密钥协商确认分组移动终端收到基站发送的密钥协商响应分组后,利用授权密钥标识AKID对应的授权密钥所导出的密钥加密密钥解密,得到会话密钥材料明文TEKM,构造密钥协商确认分组;移动终端将密钥协商确认分组发送给基站。导出组播密钥加密密钥GKEK和组播消息完整性校验密钥GMIK;(2)组播会话密钥分发协议(2.1)组播会话密钥请求移动终端需要协商或更新组播会话密钥时,移动终端向基站发送组播会话密钥请求分组;
(2.2)组播会话密钥分发基站收到移动终端发送的组播会话密钥请求分组时,基站向移动终端发送组播会话密钥分发分组;或基站需要组播密钥更新时,基站向所有移动终端广播组播会话密钥分发分组。
上述密钥更新通告分组的内容包括基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算;上述密钥协商请求分组的内容包括移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算;上述密钥协商响应分组的内容包括移动终端的身份IDMS、基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、基站选取的随机数NBS、由基站选取的并由授权密钥标识AKID对应的授权密钥导出的密钥加密密钥加密的会话密钥材料TEKM的密文EKEK(TEKM)、会话密钥的有效期LifeTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS的值应与密钥协商请求分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算;上述密钥协商确认分组的内容包括基站的身份IDBS、移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、基站选取的随机数NBS、消息完整性校验码MIC,其中,基站选取的随机数NBS的值应与密钥协商响应分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算。
上述组播会话密钥请求分组的内容包括安全关联标识SAID、会话密钥标识TEKID、组播会话密钥标识GTEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,组播会话密钥标识GTEKID标识协商或请求的组播会话密钥,消息完整性校验码MIC的值使用TEKID对应的TEKM导出的组播消息完整性校验密钥GMIK计算;上述组播会话密钥分发分组的内容包括安全关联标识SAID、会话密钥标识TEKID、组播会话密钥标识GTEKID、移动终端选取的随机数NMS、由基站选取的并由TEKID对应的TEKM导出的组播密钥加密密钥GKEK加密后的组播会话密钥材料GTEKM的密文EGKEK(GTEKM)、组播会话密钥的有效期LifeGTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS必须与组播会话密钥请求分组中的随机数相同,但如果是由基站发起的密钥更新过程,该随机数的值可以由基站自已确定,消息完整性校验码MIC的值使用TEKID对应的TEKM导出的组播消息完整性校验密钥GMIK计算。
本发明具有以下优点(1)可为不同的业务实现不同等级的会话密钥。业务不同,加密密钥也不同。
(2)组播会话密钥协商合理地利用了广播信道,提高了性能。基站无需分别与每一个移动终端进行组播会话密钥协商。
(3)利用密钥协商协议及组播会话密钥分发协议来实现组播会话密钥的有效更新,使组播会话密钥的更新更为灵活。
(4)密钥启用机制采用消息确认的方式,避免了维护时间同步、状态多的弊病,简化了状态管理。


图1为本发明单播会话密钥及组播主密钥协商协议的示意图;图2为本发明组播会话密钥分发协议的示意图。
具体实施例方式
参见图1,本发明网络单播密钥管理方法的实现步骤如下(1)构造密钥协商请求分组初始密钥协商时,或移动终端要求密钥更新或收到基站发送的密钥更新通告分组时,移动终端向基站发送密钥协商请求分组,以激活密钥协商过程。
密钥更新通告分组的内容包括基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID以及消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算。
上述的密钥协商请求分组的内容包括移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,会话密钥标识TEKD用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算。
(2)构造密钥协商响应分组(2.1)基站收到移动终端发送的密钥协商请求分组后,构造密钥协商响应分组。
密钥协商响应分组的内容包括移动终端的身份IDMS、基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、基站选取的随机数NBS、由基站选取的并由授权密钥标识AKID对应的授权密钥导出的密钥加密密钥加密的会话密钥材料TEKM的密文EKEK(TEKM)、会话密钥材料TEKM的有效期LifeTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS的值应与密钥协商请求分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS、共同导出的完整性校验密钥计算。
(2.2)如果基站在先发送了密钥更新通告分组,则基站检验密钥更新通告分组与密钥协商请求分组中相应字段的取值是否相同。如果相同,则构造密钥协商响应分组;不相同,则丢弃密钥协商请求分组而不作任何处理;(2.3)基站向移动终端发送密钥协商响应分组,导出单播会话加密密钥和完整性校验密钥;(3)构造密钥协商确认分组移动终端收到基站发送的密钥协商响应分组后,利用授权密钥标识AKID对应的授权密钥所导出的密钥加密密钥解密得到会话密钥材料TEKM,构造密钥协商确认分组。
密钥协商确认分组的内容包括基站的身份IDBS、移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、基站选取的随机数NBS、消息完整性校验码MIC,其中,基站选取的随机数NBS的值应与密钥协商响应分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算。
参见图2,本发明组播密钥管理方法的实现步骤如下(1)组播主密钥协商协议(1.1)构造密钥更新通告分组基站需要会话密钥更新,而移动终端尚未提出更新会话密钥请求时,基站向移动终端发送密钥更新通告分组,通知移动终端进行会话密钥更新。密钥更新通告分组仅在会话密钥更新时使用,在初始密钥协商时不使用。
会话密钥更新通告分组的内容包括基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算。
(1.2)构造密钥协商请求分组在初始密钥协商过程中,或移动终端收到基站发送的密钥更新通告分组时,移动终端向基站发送密钥协商请求分组,以激活密钥协商过程;密钥协商请求分组的内容包括移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算。
(1.3)构造密钥协商响应分组(1.3.1)基站收到移动终端发送的密钥协商请求分组后,构造密钥协商响应分组。
密钥协商响应分组的内容包括移动终端的身份IDMS、基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、基站选取的随机数NBS、由基站选取的并由授权密钥标识AKID对应的授权密钥导出的密钥加密密钥加密的会话密钥材料TEKM的密文EKEK(TEKM)、会话密钥的有效期LifeTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS的值应与密钥协商请求分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算。
(1.3.2)如果基站在先发送了密钥更新通告分组,则基站检验密钥更新通告分组与密钥协商请求分组中相应字段的取值是否相同。如果相同,则构造密钥协商响应分组;不相同,丢弃密钥协商请求分组而不作任何处理;(1.3.3)基站向移动终端发送密钥协商响应分组,导出组播密钥加密密钥GKEK和组播消息完整性校验密钥GMIK;(1.4)构造密钥协商确认分组移动终端收到基站发送的密钥协商响应分组后,利用授权密钥标识AKID对应的授权密钥所导出的密钥加密密钥解密,得到会话密钥材料明文TEKM,构造密钥协商确认分组;移动终端将密钥协商确认分组发送给基站。导出组播密钥加密密钥GKEK和组播消息完整性校验密钥GMIK;密钥协商确认分组的内容包括基站的身份IDBS、移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、基站选取的随机数NBS、消息完整性校验码MIC,其中,基站选取的随机数NBS的值应与密钥协商响应分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算。
(2)组播会话密钥分发协议(2.1)组播会话密钥请求移动终端需要协商或更新组播会话密钥时,移动终端向基站发送组播会话密钥请求分组;组播会话密钥请求分组的内容包括安全关联标识SAID、会话密钥标识TEKID、组播会话密钥标识GTEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,组播会话密钥标识GTEKID标识协商或请求的组播会话密钥,消息完整性校验码MIC的值使用TEKID对应的TEKM导出的组播消息完整性校验密钥GMIK计算;(2.2)组播会话密钥分发基站收到移动终端发送的组播会话密钥请求分组时,基站向移动终端发送组播会话密钥分发分组;或基站需要组播密钥更新时,基站向所有移动终端广播组播会话密钥分发分组。
组播会话密钥分发分组的内容包括安全关联标识SAID、会话密钥标识TEKID、组播会话密钥标识GTEKID、移动终端选取的随机数NMS、由基站选取的并由TEKID对应的TEKM导出的组播密钥加密密钥GKEK加密后的组播会话密钥材料GTEKM的密文EGKEK(GTEKM)、组播会话密钥的有效期LifeGTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS必须与组播会话密钥请求中的随机数相同,但如果是由基站发起的密钥更新过程,该随机数的值可以由基站随机自己确定,消息完整性校验码MIC的值使用TEKID对应的TEKM导出的组播消息完整性校验密钥GMIK计算。
本发明技术代码注释AKID授权密钥标识;AKM会话密钥材料;TEKM会话密钥材料;BS基站;EK(M)使用密钥K对消息M进行对称加密;GKEK组播会话密钥加密密钥;GMIK组播消息完整性校验密钥;LifeAK授权密钥AK的生命期或有效期;LifeTEK会话密钥材料TEKM的有效期LifeTEK;NBS基站BS选取的随机数;NMS移动终端MS选取的随机数;IDBS基站BS的身份;IDMS移动终端MS的身份;MIC消息完整性校验码;MS移动终端或用户端;SAID安全关联标识,对应于一种具体的业务,由其ID可以区分出单播SA或组播SA;TEKID会话密钥标识。
权利要求
1.一种网络单播密钥管理方法,其特征在于该方法的实现步骤包括(1)构造密钥协商请求分组初始密钥协商时,或移动终端要求密钥更新或收到基站发送的会话密钥更新通告分组时,移动终端向基站发送密钥协商请求分组,以激活密钥协商过程;(2)构造密钥协商响应分组(2.1)基站收到移动终端发送的密钥协商请求分组后,构造密钥协商响应分组;(2.2)如果基站在先发送了密钥更新通告分组,则基站检验密钥更新通告分组与密钥协商请求分组中相应字段的取值是否相同;如果相同,则构造密钥协商响应分组;不相同,丢弃密钥协商请求分组而不作任何处理;(2.3)基站向移动终端发送密钥协商响应分组,导出单播会话加密密钥和完整性校验密钥;(3)构造密钥协商确认分组移动终端收到基站发送的密钥协商响应分组后,利用授权密钥标识AKID对应的授权密钥所导出的密钥加密密钥解密得到会话密钥材料TEKM,并利用基站和移动终端选取的随机数导出会话加密密钥和完整性校验密钥,构造密钥协商确认分组。
2.根据权利要求1所述的网络单播密钥管理方法,其特征在于所述密钥更新通告分组的内容包括基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID以及消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算;所述密钥协商请求分组的内容包括移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、消息完整性交验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算;所述密钥协商响应分组的内容包括移动终端的身份IDMS、基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、基站选取的随机数NBS、由基站选取的并由授权密钥标识AKID对应的授权密钥导出的密钥加密密钥加密的会话密钥材料TEKM的密文EKEK(TEKM)、会话密钥材料TEKM的有效期LifeTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS的值应与密钥协商请求分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算;所述密钥协商确认分组的内容包括基站的身份IDBS、移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、基站选取的随机数NBS、消息完整性校验码MIC,其中,基站选取的随机数NBS的值应与密钥协商响应分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算。
3.一种组播密钥管理方法,其特征在于该方法的实现步骤包括(1)组播主密钥协商协议(1.1)构造密钥更新通告分组基站需要会话密钥更新,而移动终端尚未提出更新会话密钥请求时,基站向移动终端发送密钥更新通告分组,通知移动终端进行会话密钥更新;会话密钥更新通告分组仅在会话密钥更新时使用,在初始密钥协商时不使用;(1.2)构造密钥协商请求分组在初始密钥协商过程中,或移动终端收到基站发送的密钥更新通告分组时,移动终端向基站发送密钥协商请求分组,以激活密钥协商过程;(1.3)构造密钥协商响应分组(1.3.1)基站收到移动终端发送的密钥协商请求分组后,构造密钥协商响应分组;(1.3.2)如果基站在先发送了密钥更新通告分组,则基站检验密钥更新通告分组与密钥协商请求分组中相应字段的取值是否相同;如果相同,则构造密钥协商响应分组;不相同,则丢弃密钥协商请求分组而不作任何处理;(1.3.3)基站向移动终端发送密钥协商响应分组,导出组播密钥加密密钥GKEK和组播消息完整性校验密钥GMIK;(1.4)构造密钥协商确认分组移动终端收到基站发送的密钥协商响应分组后,利用授权密钥标识AKID对应的授权密钥所导出的密钥加密密钥解密,得到会话密钥材料明文TEKM,构造密钥协商确认分组;移动终端将密钥协商确认分组发送给基站;导出组播密钥加密密钥GKEK和组播消息完整性校验密钥GMIK;(2)组播会话密钥分发协议(2.1)组播会话密钥请求移动终端需要协商或更新组播会话密钥时,移动终端向基站发送组播会话密钥请求分组;(2.2)组播会话密钥分发基站收到移动终端发送的组播会话密钥请求分组时,基站向移动终端发送组播会话密钥分发分组;或基站需要组播密钥更新时,基站向所有移动终端广播组播会话密钥分发分组。
4.根据权利要求3所述的组播密钥管理方法,其特征在于所述密钥更新通告分组的内容包括基站的身份IDBS安全关联际识SAID、授权密钥标识AKID、会话密钥标识TEKID、消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算;所述密钥协商请求分组的内容包括移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,会话密钥标识TEKID用于标识需要更新的会话密钥,消息完整性校验码MIC的值使用AKID对应的授权密钥AK导出的完整性校验密钥计算;所述密钥协商响应分组的内容包括移动终端的身份IDMS、基站的身份IDBS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、移动终端选取的随机数NMS、基站选取的随机数NBS、由基站选取的并由授权密钥标识AKID对应的授权密钥导出的密钥加密密钥加密的会话密钥材料TEKM的密文EKEK(TEKM)、会话密钥的有效期LifeTEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS的值应与密钥协商请求分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算;所述密钥协商确认分组的内容包括基站的身份IDBS、移动终端的身份IDMS、安全关联标识SAID、授权密钥标识AKID、会话密钥标识TEKID、基站选取的随机数NBS、消息完整性校验码MIC,其中,基站选取的随机数NBS的值应与密钥协商响应分组中对应字段取值相同,消息完整性校验码MIC的值使用TEKM、NMS和NBS共同导出的完整性校验密钥计算;所述组播会话密钥请求分组的内容包括安全关联标识SAID、会话密钥标识TEKID、组播会话密钥标识GTEKID、移动终端选取的随机数NMS、消息完整性校验码MIC,其中,组播会话密钥标识GTEKID标识协商或请求的组播会话密钥,消息完整性校验码MIC的值使用TEKID对应的TEKM导出的组播消息完整性校验密钥GMIK计算;所述组播会话密钥分发分组的内容包括安全关联标识SAID、会话密钥标识TEKID、组播会话密钥标识GTEKID、移动终端选取的随机数NMS、由基站选取的并由TEKID对应的TEKM导出的组播密钥加密密钥GKEK加密后的组播会话密钥材料GTEKM的密文EGKEK(GTEKM)、组播会话密钥的有效期LifeGEK、消息完整性校验码MIC,其中,移动终端选取的随机数NMS必须与组播会话密钥请求分组中的随机数相同,但如果是由基站发起的密钥更新过程,该随机数的值可以由基站自己确定,消息完整性校验码MIC的值使用TEKID对应的TEKM导出的组播消息完整性校验密钥GMIK计算。
全文摘要
一种网络密钥管理及会话密钥更新方法,其密钥管理方法的实现步骤包括构造密钥协商请求分组,构造密钥协商响应分组,构造密钥协商确认分组。组播密钥管理方法的实现步骤包括组播主密钥协商协议和组播会话密钥分发协议。组播主密钥协商协议即密钥更新通告分组、构造密钥协商请求分组、构造密钥协商响应分组及构造密钥协商确认分组,组播会话密钥分发协议即组播会话密钥请求、组播会话密钥分发。本发明解决了背景技术组播会话密钥的协商、更新效率低,系统状态管理复杂的问题。本发明可为不同业务实现不同等级的会话密钥,充分利用广播信道进行组播会话密钥协商,组播会话密钥的更新更灵活。
文档编号H04L12/28GK1937489SQ200610104679
公开日2007年3月28日 申请日期2006年9月23日 优先权日2006年9月23日
发明者庞辽军, 曹军, 田海博, 黄振海, 张变玲 申请人:西安西电捷通无线网络通信有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:庞辽军;曹军;田海博;黄振海;张变玲
  • 技术所有人:西安西电捷通无线网络通信有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
更新会话密钥间隔相关技术
会话密钥相关技术
会话密钥是如何产生的相关技术
什么是会话密钥相关技术
会话密钥协商相关技术
网络安全密钥是什么相关技术

使用协议| 关于我们| 联系利记体育

© 2008-2024 【利记体育】 版权所有,并保留所有权利。津ICP备16005673号-2