專利名稱:會(huì)話密鑰分發(fā)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域和網(wǎng)絡(luò)信息安全領(lǐng)域�����,尤其涉及一種會(huì) 話密鑰分發(fā)的方法及系統(tǒng)����。
背景技術(shù):
在各種通信系統(tǒng)中,為了確保用戶通信內(nèi)容的安全和保密性�,實(shí) 現(xiàn)通信用戶雙方的保密通信非常重要,以移動(dòng)通信系統(tǒng)為例��,交互信 息存在著一段在空中進(jìn)行傳輸?shù)倪^程���,容易被截獲����,因此對(duì)保密通信 的需求就更為突出�����。
目前的加密機(jī)制主要有兩類對(duì)稱密鑰體制和非對(duì)稱密鑰體制���。 對(duì)稱密鑰體制相對(duì)于非對(duì)稱密鑰體制來說��,具有運(yùn)算復(fù)雜度較低�����,保 密強(qiáng)度大的特點(diǎn)���,因此比較適合作為移動(dòng)通信系統(tǒng)的加密算法��。
在基于對(duì)稱密鑰的密碼機(jī)制中�����,通信雙方需要共享一個(gè)會(huì)話密 鑰��,通常有兩種會(huì)話密鑰共享的實(shí)現(xiàn)方式�。 一種是通信雙方預(yù)先在各 自的通信終端存儲(chǔ)共享的會(huì)話密鑰�����,雙方在每次加密通信時(shí)都使用該 會(huì)話密鑰進(jìn)行加密通信�����。這種密鑰管理方式復(fù)雜���,可能需要保存許多 對(duì)應(yīng)于不同通信終端的會(huì)話密鑰��,并且也存在著一定的安全隱患��。另 一種是所謂的"一次一密"的方法���,通信雙方在每次的加密通信之前 先進(jìn)行密鑰協(xié)商,并在加密通信結(jié)束后拋棄該密鑰�����,這種方式相對(duì)更 為安全���。
這種"一次一密"的方法利用了非對(duì)稱密碼體制便于密鑰協(xié)商和 傳輸?shù)膬?yōu)點(diǎn)完成密鑰協(xié)商�����。舉例來說�����,如果用戶A和用戶B要進(jìn)行加 密通信�,用戶A可以生成一個(gè)隨機(jī)數(shù)作為本次會(huì)話的會(huì)話密碼����,并在 自身的數(shù)據(jù)庫(kù)中查找用戶B的公鑰,然后利用該公鑰對(duì)會(huì)話密碼進(jìn)行 加密�,并直接傳送給用戶B,用戶B接收到后��,利用私鑰解密就可以
獲得該會(huì)話密碼,從而完成加密會(huì)話�。這種方式在理論上是可行的, 但是在很多的通信系統(tǒng)中�����,網(wǎng)絡(luò)系統(tǒng)尤其是移動(dòng)通信網(wǎng)絡(luò)沒有很好的 條件支持通信雙方直接進(jìn)行密鑰協(xié)商��,因此需要尋求一種適合于各種 通信系統(tǒng)的會(huì)話密鑰分發(fā)方法及系統(tǒng)�。
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種會(huì)話密鑰分發(fā)方法及系統(tǒng),能夠?yàn)橛屑?密需求的通信雙方分發(fā)會(huì)話密鑰����,保障通信雙方的通信安全。
為實(shí)現(xiàn)上述目的�,本發(fā)明提供了一種會(huì)話密鑰分發(fā)方法,包括以
下步驟
接收主叫方通信終端發(fā)送的第一密鑰請(qǐng)求消息�����,該第一密鑰請(qǐng)求 消息中包括主叫方通信終端生成的第一臨時(shí)公鑰�;
根據(jù)所述第一密鑰請(qǐng)求消息生成通信會(huì)話密鑰,并向與主叫方通 信終端進(jìn)行通信的被叫方通信終端發(fā)送加密通知消息�;
接收被叫方通信終端根據(jù)所述加密通知消息發(fā)送的第二密鑰請(qǐng) 求消息,該第二密鑰請(qǐng)求消息中包括被叫方通信終端生成的第二臨時(shí) 公鑰���;
分別利用所述第 一 臨時(shí)公鑰和所述第二臨時(shí)公鑰對(duì)所述通信會(huì) 話密鑰進(jìn)行加密��,并將包括利用所述第一臨時(shí)公鑰加密后的第一密鑰 響應(yīng)消息發(fā)回主叫方通信終端�,以及將包括利用所述第二臨時(shí)公鑰加 密后的笫二密鑰響應(yīng)消息發(fā)回被叫方通信終端�����。
進(jìn)一步的�����,所述第一密鑰請(qǐng)求消息中還包括主叫方通信終端存有 的密鑰管理中心公鑰版本�����,在生成通信會(huì)話密鑰之前���,還包括以下步 驟判斷所述密鑰管理中心公鑰版本是否與本地的最新公鑰版本一致��, 是則生成通信會(huì)話密鑰���,否則向主叫方通信終端發(fā)送公鑰更新消息, 所述公鑰更新消息中包括所述最新版本的公鑰和公鑰版本號(hào)�����。
進(jìn)一步的,所述第二密鑰請(qǐng)求消息中還包括被叫方通信終端存有 的密鑰管理中心公鑰版本����,在加密通信會(huì)話密鑰之前,還包括以下步 驟判斷所述密鑰管理中心公鑰版本是否與本地的最新公鑰版本一致�,
是則利用所述第二臨時(shí)公鑰加密通信會(huì)話密鑰,否則向被叫方通信終 端發(fā)送公鑰更新消息�����,所述公鑰更新消息中包括所述最新版本的公鑰 和公鑰版本號(hào)�����。
進(jìn)一步的����,在主叫方通信終端發(fā)送第一密鑰請(qǐng)求消息之前,還包
括以下步驟主叫方通信終端生成包括第一臨時(shí)公鑰和第一臨時(shí)私鑰 的臨時(shí)7>私密鑰對(duì)�����。
進(jìn)一步的��,當(dāng)主叫方通信終端接收到包括加密后的所述通信會(huì)話 密鑰的第一密鑰響應(yīng)消息時(shí),利用所述第一臨時(shí)私鑰對(duì)所述通信會(huì)話 密鑰進(jìn)行解密��。
進(jìn)一步的����,在被叫方通信終端發(fā)送第二密鑰請(qǐng)求消息之前,還包 括以下步驟被叫方通信終端生成包括第二臨時(shí)公鑰和第二臨時(shí)私鑰 的臨時(shí)公私密鑰對(duì)�。
進(jìn)一步的����,當(dāng)被叫方通信終端接收到包括加密后的所述通信會(huì)話 密鑰的第二密鑰響應(yīng)消息時(shí),利用所述第二臨時(shí)私鑰對(duì)所述通信會(huì)話
密鑰進(jìn)行解密����。
為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種會(huì)話密鑰分發(fā)系統(tǒng)����,設(shè)于密 鑰管理中心中,包括
密鑰請(qǐng)求接收模塊����,用于接收主叫方通信終端發(fā)送的第一密鑰請(qǐng) 求消息以及與主叫方通信終端進(jìn)行通信的被叫方通信終端的第二密鑰 請(qǐng)求,所述第 一密鑰請(qǐng)求消息中包括主叫方通信終端生成的第 一臨時(shí) 公鑰�����,所述第二密鑰請(qǐng)求消息中包括被叫方通信終端生成的第二臨時(shí) 公鑰;
會(huì)話密鑰生成模塊����,用于根據(jù)所述第 一密鑰請(qǐng)求消息生成通信會(huì) 話密鑰;
第 一密鑰加密模塊����,用于利用所述第 一臨時(shí)公鑰對(duì)所述通信會(huì)話 密鑰進(jìn)行加密;
第一密鑰分發(fā)模塊���,用于將包括加密后的所述通信會(huì)話密鑰的第 一密鑰響應(yīng)消息發(fā)回主叫方通信終端����;
加密通知模塊���,用于在接收到第一密鑰請(qǐng)求消息時(shí)����,向被叫方通
信終端發(fā)送加密通知消息�����;
第二密鑰加密模塊,用于利用所述第二臨時(shí)公鑰對(duì)所述通信會(huì)話 密鑰進(jìn)行加密�;
第二密鑰分發(fā)模塊,用于將包括加密后的所述通信會(huì)話密鑰的第 二密鑰響應(yīng)消息發(fā)回被叫方通信終端��。
進(jìn)一步的����,系統(tǒng)還包括公鑰版本驗(yàn)證模塊,與所述會(huì)話密鑰生 成模塊相連��,用于判斷接收到請(qǐng)求方發(fā)送的密鑰請(qǐng)求消息包括的所述 密鑰管理中心公鑰版本是否與本地的最新公鑰版本一致�����,是則通知所 述會(huì)話密鑰生成模塊���,否則向請(qǐng)求方發(fā)送公鑰更新消息,所述公鑰更 新消息中包括所述最新版本的公鑰和公鑰版本號(hào)���。
基于上述技術(shù)方案��,本發(fā)明在網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)了對(duì)有加密需求的通信 雙方的密鑰分發(fā)��,并利用非對(duì)稱密鑰方式對(duì)會(huì)話密鑰進(jìn)行保護(hù)��,確保 通信雙方的通信安全���。除此之外�,會(huì)話密鑰由網(wǎng)絡(luò)側(cè)分發(fā)���,使通信終 端免于復(fù)雜的密鑰管理�����,同時(shí)還可以實(shí)現(xiàn)一話一密�,進(jìn)一步保證通話 安全����。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng) 的一部分��,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明�,并不構(gòu)
成對(duì)本發(fā)明的不當(dāng)限定�。在附圖中
圖1為本發(fā)明會(huì)話密鑰分發(fā)方法的一實(shí)施例的流程示意圖。 圖2為本發(fā)明會(huì)話密鑰分發(fā)方法的另一實(shí)施例的流程示意圖����。 圖3為前述各方法實(shí)施例應(yīng)用于移動(dòng)通信網(wǎng)絡(luò)的一實(shí)例的信令示意圖����。
圖4為本發(fā)明會(huì)話密鑰分發(fā)系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意圖����。 圖5為本發(fā)明會(huì)話密鑰分發(fā)系統(tǒng)的另一實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
下面通過附圖和實(shí)施例�����,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描
述���。
由于在很多的通信系統(tǒng)中��,網(wǎng)絡(luò)系統(tǒng)并不允許通信雙方直接進(jìn)行 密鑰協(xié)商�����,因此本發(fā)明通過網(wǎng)絡(luò)側(cè)向通話雙方分發(fā)會(huì)話密鑰,既適用 于各種類型的通信系統(tǒng)�����,又使通信終端免于復(fù)雜的密鑰管理���。
如圖l所示��,為本發(fā)明會(huì)話密鑰分發(fā)方法的一實(shí)施例的流程示意
圖����。本實(shí)施例可以由網(wǎng)絡(luò)側(cè)的密鑰管理中心實(shí)現(xiàn),具體包括以下步驟 步驟IOI�、密鑰管理中心接收主叫方通信終端發(fā)送的第一密鑰請(qǐng) 求消息,該第一密鑰請(qǐng)求消息中包括主叫方通信終端生成的第一臨時(shí) 公鑰Pa;
步驟102���、密鑰管理中心根據(jù)所述笫一密鑰請(qǐng)求消息生成通信會(huì) 話密鑰Ks�,并向與主叫方通信終端進(jìn)行通信的被叫方通信終端發(fā)送加 密通知消息��;
步驟103����、密鑰管理中心接收到被叫方通信終端根據(jù)所述加密通 知消息發(fā)送的第二密鑰請(qǐng)求消息,該第二密鑰請(qǐng)求消息中包括被叫方 通信終端生成的第二臨時(shí)公鑰Pb;
步驟104�����、密鑰管理中心分別利用第一臨時(shí)公鑰Pa和第二臨時(shí) 公鑰Pb對(duì)通信會(huì)話密鑰Ks進(jìn)行加密���,并將包括利用第一臨時(shí)公鑰 Pa加密后的通信會(huì)話密鑰Ks'的第一密鑰響應(yīng)消息發(fā)回主叫方通信終 端�,以及將包括利用第二臨時(shí)公鑰Pb加密后的通信會(huì)話密鑰Ks"的 第二密鑰響應(yīng)消息發(fā)回被叫方通信終端。
本實(shí)施例考慮到非對(duì)稱密鑰體制相對(duì)于對(duì)稱密鑰體制更利于密 鑰協(xié)商和傳輸�����,因此將非對(duì)稱密鑰體制應(yīng)用在通信終端和網(wǎng)絡(luò)側(cè)的密 鑰管理中心之間的密鑰協(xié)商和傳輸����。密鑰管理中心為通話雙方提供通 話時(shí)的會(huì)話密鑰,該會(huì)話密鑰一般是在接收到密鑰請(qǐng)求消息后����,隨機(jī) 或依照預(yù)定規(guī)則為該次會(huì)話生成的特定密鑰,即"一話一密"���。
在主叫方通信終端發(fā)送第一密鑰請(qǐng)求消息之前�,還可以先生成包 括第一臨時(shí)公鑰Pa和第一臨時(shí)私鑰Ka的臨時(shí)公私密鑰對(duì)�����,也可以直 接調(diào)用主叫方通信終端中預(yù)存的某組公私密鑰對(duì)作為本次與密鑰管理 中心之間的通信的臨時(shí)公私密鑰對(duì)����。當(dāng)主叫方通信終端接收到包括加
密后的所述通信會(huì)話密鑰Ks'的笫一密鑰響應(yīng)消息時(shí),就可以利用臨 時(shí)公私密鑰對(duì)中的第一臨時(shí)私鑰Ka對(duì)通信會(huì)話密鑰Ks'進(jìn)行解密�����,得 到Ks�����。
同理���,被叫方終端在發(fā)送第一密鑰請(qǐng)求消息之前��,還可以先生成 包括第二臨時(shí)公鑰Pb和第二臨時(shí)私鑰Kb的臨時(shí)公私密鑰對(duì)��,也可以 直接調(diào)用被叫方通信終端中預(yù)存的某組公私密鑰對(duì)作為本次與密鑰管 理中心之間的通信的臨時(shí)公私密鑰對(duì)���。當(dāng)被叫方通信終端接收到包括 加密后的所述通信會(huì)話密鑰Ks"的第二密鑰響應(yīng)消息時(shí),就可以利用 臨時(shí)公私密鑰對(duì)中的第二臨時(shí)私鑰Kb對(duì)通信會(huì)話密鑰Ks"進(jìn)行解密����, 得到Ks。
如圖2所示�,本發(fā)明會(huì)話密鑰分發(fā)方法的另一實(shí)施例的流程示意 圖。與上一實(shí)施例相比��,本實(shí)施例的步驟101和103均可增加判斷密 鑰管理中心公鑰版本的操作。
具體來說�,在步驟101a中第一密鑰請(qǐng)求消息中還可以包括主叫 方通信終端存有的密鑰管理中心公鑰版本,這樣在生成通信會(huì)話密鑰 Ks之前��,在步驟101b中對(duì)密鑰管理中心公鑰版本是否與密鑰管理中 心本地的最新公鑰版本一致(也就是比較公鑰版本號(hào)是否一致)進(jìn)行 判斷���,如果一致�����,則執(zhí)行步驟102來生成通信會(huì)話密鑰Ks,否則執(zhí)行 步驟101c�,即向主叫方通信終端發(fā)送公鑰更新消息���,所迷公鑰更新消 息中包括所述最新版本的公鑰和公鑰版本號(hào)�。
主叫方通信終端在接收到公鑰更新消息后��,用最新版本的公鑰和 公鑰版本號(hào)來更新存儲(chǔ)的密鑰管理中心公鑰以及公鑰版本號(hào)���,然后再 次發(fā)送第一密鑰請(qǐng)求消息���,此次消息中包括的是更新后的密鑰管理中 心公鑰版本號(hào)。
同理在步驟103a-103c中��,被叫方通信終端發(fā)給密鑰管理中心的 第二密鑰請(qǐng)求消息中可以包括密鑰管理中心公鑰版本,并且在加密通
信會(huì)話密鑰之前���,對(duì)密鑰管理中心公鑰版本是否與本地的最新公鑰版 本一致進(jìn)行判斷,如果一致���,則執(zhí)行步驟104來利用所述第二臨時(shí)公 鑰加密通信會(huì)話密鑰�����,否則向被叫方通信終端發(fā)送公鑰更新消息����,所
述公鑰更新消息中包括所述最新版本的公鑰和公鑰版本號(hào)����。
被叫方通信終端在接收到公鑰更新消息后,用最新版本的公鑰和 公鑰版本號(hào)來更新存儲(chǔ)的密鑰管理中心公鑰以及公鑰版本號(hào)��,然后再 次發(fā)送第二密鑰請(qǐng)求消息��,此次消息中包括的是更新后的密鑰管理中 心公鑰版本號(hào)�。
接下來,通過圖3提供一個(gè)本發(fā)明實(shí)施例應(yīng)用于移動(dòng)通信網(wǎng)絡(luò)的 一個(gè)實(shí)例����,該實(shí)例僅為說明�,不應(yīng)理解為本發(fā)明僅限于移動(dòng)通信網(wǎng)絡(luò)�����。 在步驟1中通信終端A經(jīng)過基站子系統(tǒng)BSS1�、移動(dòng)交換中心 MSC/MSCel將密鑰請(qǐng)求消息發(fā)送給密鑰管理中心,此時(shí)密鑰管理中 心生成通信會(huì)話密鑰�����,但也可以在步驟3收到被叫(終端B)密鑰請(qǐng) 求消息后生成���,在步驟2中密鑰管理中心經(jīng)過MSC/MSCe2���、 BSS2向 通信終端B發(fā)送加密通知消息,通信終端B接收到加密通知消息后�, 在步驟3中經(jīng)過BSS2、 MSC/MSCe2向密鑰管理中心發(fā)送密鑰請(qǐng)求消 息���,密鑰管理中心收到請(qǐng)求之后��,如果還未生成通信會(huì)話密鑰則先生 成通信會(huì)話密鑰�����,利用通信終端A在密鑰請(qǐng)求消息1中提供的公鑰 Pa對(duì)生成的通信會(huì)話密鑰Ks進(jìn)行加密��,并在步驟4a中經(jīng)過 MSC/MSCel���、 BSS1將加密后的通信會(huì)話密鑰Ks'發(fā)送給通信終端A, 同時(shí)密鑰管理中心利用通信終端B在密鑰請(qǐng)求消息3中提供的公鑰Pb 對(duì)通信會(huì)話密鑰Ks進(jìn)行加密���,并在步驟4b中經(jīng)過MSC/MSCe2�、BSS2 將加密后的通信會(huì)話密鑰Ks〃發(fā)送到通信終端B,通信終端A利用私 鑰Ka對(duì)Ks'解密得到Ks�����,并在步驟5中經(jīng)過BSS1����、 MSC/MSCel向 密鑰管理中心發(fā)送密鑰分發(fā)響應(yīng)消息,通信終端B利用私鑰Kb對(duì)Ks〃 解密得到Ks�,并在步驟6中經(jīng)過BSS2、 MSC/MSCe2向密鑰管理中 心發(fā)送密鑰分發(fā)響應(yīng)消息��。�。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部 分步驟可以通過程序指令相關(guān)的硬件來完成�����,前述的程序可以存儲(chǔ)于 一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí)�����,執(zhí)行包括上述方法實(shí) 施例的步驟���;而前述的存儲(chǔ)介質(zhì)包括ROM��、 RAM��、 f茲碟或者光盤 等各種可以存儲(chǔ)程序代碼的介質(zhì)�。
如圖4所示��,為本發(fā)明會(huì)話密鑰分發(fā)系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意 圖����。本系統(tǒng)可以設(shè)置在密鑰管理中心中,具體包括以下模塊密鑰請(qǐng) 求接收模塊11���、會(huì)話密鑰生成模塊12����、第一密鑰加密模塊13、第一 密鑰分發(fā)模塊14����、加密通知模塊15、第二密鑰加密模塊16和第二密 鑰分發(fā)模塊17�����。
密鑰請(qǐng)求接收模塊11負(fù)責(zé)接收主叫方通信終端發(fā)送的第一密鑰 請(qǐng)求消息以及與主叫方通信終端進(jìn)行通信的被叫方通信終端的第二密 鑰請(qǐng)求��,所述第一密鑰請(qǐng)求消息中包括主叫方通信終端生成的第一臨 時(shí)公鑰���,所述第二密鑰請(qǐng)求消息中包括被叫方通信終端生成的第二臨 時(shí)公鑰。
會(huì)話密鑰生成模塊12可以根據(jù)所述第一密鑰請(qǐng)求消息生成通信 會(huì)話密鑰����。第 一密鑰加密模塊13可以利用所述第 一臨時(shí)公鑰對(duì)所述通 信會(huì)話密鑰進(jìn)行加密。第一密鑰分發(fā)模塊14負(fù)責(zé)將包括加密后的所述 通信會(huì)話密鑰的第一密鑰響應(yīng)消息發(fā)回主叫方通信終端��。
加密通知模塊15負(fù)責(zé)在將接收到第一密鑰請(qǐng)求消息時(shí)�,向被叫 方通信終端發(fā)送加密通知消息。第二密鑰加密模塊16可以利用所述第 二臨時(shí)公鑰對(duì)所述通信會(huì)話密鑰進(jìn)行加密。第二密鑰分發(fā)模塊17負(fù)責(zé) 將包括加密后的所述通信會(huì)話密鑰的第二密鑰響應(yīng)消息發(fā)回被叫方通 信終端�。
本實(shí)施例在網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)了對(duì)有加密需求的通信雙方的密鑰分發(fā), 并利用非對(duì)稱密鑰方式對(duì)會(huì)話密鑰進(jìn)行保護(hù)�,確保會(huì)話密鑰傳輸?shù)陌?全。除此之外��,會(huì)話密鑰由網(wǎng)絡(luò)側(cè)分發(fā)�����,使通信終端免于復(fù)雜的密鑰 管理��,同時(shí)還可以實(shí)現(xiàn)一話一密��,進(jìn)一步保證通話安全��。
如圖5所示���,為本發(fā)明會(huì)話密鑰分發(fā)系統(tǒng)的另一實(shí)施例的結(jié)構(gòu)示 意圖���。與上一實(shí)施例相比,本實(shí)施例還包括7〉鑰版本驗(yàn)證才莫塊18����,該 模塊與所述會(huì)話密鑰生成模塊12相連,可以判斷接收到請(qǐng)求方發(fā)送的 密鑰請(qǐng)求消息包括的所述密鑰管理中心公鑰版本是否與本地的最新公 鑰版本一致,是則通知所述會(huì)話密鑰生成模塊���,否則向請(qǐng)求方發(fā)送公 鑰更新消息����,所述公鑰更新消息中包括所述最新版本的公鑰和公鑰版本號(hào)���。
最后應(yīng)當(dāng)說明的是:以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而
非對(duì)其限制����;盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明�,所屬 領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對(duì)本發(fā)明的具體實(shí)施方式
進(jìn) 行修改或者對(duì)部分技術(shù)特征進(jìn)行等同替換;而不脫離本發(fā)明技術(shù)方案 的精神��,其均應(yīng)涵蓋在本發(fā)明請(qǐng)求保護(hù)的技術(shù)方案范圍當(dāng)中�����。
權(quán)利要求
1���、一種會(huì)話密鑰分發(fā)方法,包括以下步驟:接收主叫方通信終端發(fā)送的第一密鑰請(qǐng)求消息����,該第一密鑰請(qǐng)求消息中包括主叫方通信終端生成的第一臨時(shí)公鑰����;根據(jù)所述第一密鑰請(qǐng)求消息生成通信會(huì)話密鑰���,并向與主叫方通信終端進(jìn)行通信的被叫方通信終端發(fā)送加密通知消息�����;接收被叫方通信終端根據(jù)所述加密通知消息發(fā)送的第二密鑰請(qǐng)求消息���,該第二密鑰請(qǐng)求消息中包括被叫方通信終端生成的第二臨時(shí)公鑰;分別利用所述第一臨時(shí)公鑰和所述第二臨時(shí)公鑰對(duì)所述通信會(huì)話密鑰進(jìn)行加密��,并將包括利用所述第一臨時(shí)公鑰加密后的第一密鑰響應(yīng)消息發(fā)回主叫方通信終端�,以及將包括利用所述第二臨時(shí)公鑰加密后的第二密鑰響應(yīng)消息發(fā)回被叫方通信終端。
2��、 根據(jù)權(quán)利要求1所述的會(huì)話密鑰分發(fā)方法���,其中所述第一密 鑰請(qǐng)求消息中還包括主叫方通信終端存有的密鑰管理中心公鑰版本��, 在生成通信會(huì)話密鑰之前���,還包括以下步驟判斷所述密鑰管理中心公鑰版本是否與本地的最新公鑰版本一 致�����,是則生成通信會(huì)話密鑰�,否則向主叫方通信終端發(fā)送公鑰更新消 息�����,所述公鑰更新消息中包括所述最新版本的公鑰和公鑰版本號(hào)���。
3��、 根據(jù)權(quán)利要求1或2所述的會(huì)話密鑰分發(fā)方法����,其中所述第 二密鑰請(qǐng)求消息中還包括被叫方通信終端存有的密鑰管理中心公鑰版 本�,在加密通信會(huì)話密鑰之前���,還包括以下步驟判斷所述密鑰管理中心公鑰版本是否與本地的最新公鑰版本一 致����,是則利用所述第二臨時(shí)公鑰加密通信會(huì)話密鑰,否則向被叫方通 信終端發(fā)送公鑰更新消息����,所述公鑰更新消息中包括所述最新版本的 公鑰和公鑰版本號(hào)。
4���、 根據(jù)權(quán)利要求1所述的會(huì)話密鑰分發(fā)方法���,其中在主叫方通 信終端發(fā)送第一密鑰請(qǐng)求消息之前,還包括以下步驟 主叫方通信終端生成包括第一臨時(shí)^^鑰和第一臨時(shí)私鑰的臨時(shí) 公私密鑰對(duì)���。
5����、 根據(jù)權(quán)利要求4所述的會(huì)話密鑰分發(fā)方法�,其中當(dāng)主叫方通 信終端接收到包括加密后的所述通信會(huì)話密鑰的第一密鑰響應(yīng)消息 時(shí),利用所述第 一臨時(shí)私鑰對(duì)所述通信會(huì)話密鑰進(jìn)行解密�。
6、 根據(jù)權(quán)利要求1所述的會(huì)話密鑰分發(fā)方法��,其中在被叫方通 信終端發(fā)送第二密鑰請(qǐng)求消息之前�,還包括以下步驟被叫方通信終端生成包括第二臨時(shí)/>鑰和第二臨時(shí)私鑰的臨時(shí) 公私密鑰對(duì)。
7�����、 根據(jù)權(quán)利要求6所述的會(huì)話密鑰分發(fā)方法,其中當(dāng)被叫方通 信終端接收到包括加密后的所述通信會(huì)話密鑰的第二密鑰響應(yīng)消息 時(shí)����,利用所述第二臨時(shí)私鑰對(duì)所述通信會(huì)話密鑰進(jìn)行解密。
8����、 一種會(huì)話密鑰分發(fā)系統(tǒng),設(shè)于密鑰管理中心中�����,包括 密鑰請(qǐng)求接收模塊���,用于接收主叫方通信終端發(fā)送的第一密鑰請(qǐng)求消息以及與主叫方通信終端進(jìn)行通信的^^叫方通信終端的第二密鑰 請(qǐng)求����,所述第一密鑰請(qǐng)求消息中包括主叫方通信終端生成的第一臨時(shí) 公鑰�����,所述第二密鑰請(qǐng)求消息中包括被叫方通信終端生成的第二臨時(shí) 公鑰����;會(huì)話密鑰生成模塊,用于根據(jù)所述第一密鑰請(qǐng)求消息生成通信會(huì) 話密鑰����;第 一 密鑰加密模塊,用于利用所述第 一 臨時(shí)公鑰對(duì)所述通信會(huì)話 密鑰進(jìn)行加密�����;第 一密鑰分發(fā)模塊�,用于將包括加密后的所述通信會(huì)話密鑰的第 一密鑰響應(yīng)消息發(fā)回主叫方通信終端;加密通知模塊����,用于在接收到第一密鑰請(qǐng)求消息時(shí),向被叫方通 信終端發(fā)送加密通知消息�����;第二密鑰加密模塊�����,用于利用所述第二臨時(shí)公鑰對(duì)所述通信會(huì)話密鑰進(jìn)行加密�����;第二密鑰分發(fā)模塊,用于將包括加密后的所述通信會(huì)話密鑰的第 二密鑰響應(yīng)消息發(fā)回凈皮叫方通信終端��。
9���、根據(jù)權(quán)利要求8所述的會(huì)話密鑰分發(fā)系統(tǒng)���,其中還包括 公鑰版本驗(yàn)證模塊,與所述會(huì)話密鑰生成^=莫塊相連�,用于判斷接 收到請(qǐng)求方發(fā)送的密鑰請(qǐng)求消息包括的所述密鑰管理中心公鑰版本是 否與本地的最新公鑰版本一致,是則通知所述會(huì)話密鑰生成模塊�����,否 則向請(qǐng)求方發(fā)送公鑰更新消息���,所述公鑰更新消息中包括所述最新版 本的公鑰和公鑰版本號(hào)�����。
全文摘要
本發(fā)明涉及一種會(huì)話密鑰分發(fā)方法��,包括接收主叫方通信終端發(fā)送的第一密鑰請(qǐng)求消息�����,該消息中包括第一臨時(shí)公鑰����;根據(jù)第一密鑰請(qǐng)求消息生成通信會(huì)話密鑰�����,并向被叫方通信終端發(fā)送加密通知消息�;接收被叫方通信終端發(fā)送的第二密鑰請(qǐng)求消息,該消息中包括第二臨時(shí)公鑰�����;分別利用第一臨時(shí)公鑰和第二臨時(shí)公鑰對(duì)通信會(huì)話密鑰進(jìn)行加密��,并將第一密鑰響應(yīng)消息發(fā)回主叫方通信終端��,以及將第二密鑰響應(yīng)消息發(fā)回被叫方通信終端�����。本發(fā)明涉及一種會(huì)話密鑰分發(fā)系統(tǒng)。本發(fā)明在網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)了對(duì)有加密需求的通信雙方的密鑰分發(fā)��,并利用非對(duì)稱密鑰方式對(duì)會(huì)話密鑰進(jìn)行保護(hù)����,確保會(huì)話密鑰傳輸?shù)陌踩粫?huì)話密鑰由網(wǎng)絡(luò)側(cè)分發(fā)��,使通信終端免于復(fù)雜的密鑰管理���。
文檔編號(hào)H04L9/30GK101383698SQ20081017208
公開日2009年3月11日 申請(qǐng)日期2008年10月29日 優(yōu)先權(quán)日2008年10月29日
發(fā)明者宇 孫, 張琳峰, 李寶榮, 楊維忠, 林奕琳, 林衡華, 海 肖, 彪 龍 申請(qǐng)人:中國(guó)電信股份有限公司