本发明专利技术公开了一种会话密钥的更新方法及系统,涉及到通信技术领域。本发明专利技术公开的更新方法包括:终端与认证服务器进行快速重认证过程中,所述终端和认证服务器根据快速重认证标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,所述新的会话密钥在快速重认证成功后开始生效。本发明专利技术技术方案使用户在快速重认证后,不再使用当前的会话密钥,而产生新的会话密钥,从而减少密钥重用带来的安全隐患,增强了会话的安全性。
【技术实现步骤摘要】
本专利技术涉及到通信
,特别涉及一种会话密钥的更新方法及系统。
技术介绍
NGN(Next Generation Network,下一代通信网络)作为演进的基于分组交换的网络框架受到越来越多的关注。国际标准组织ITU-T和其他地区标准组织(ETSI、ATIS 等)对NGN框架模型、业务以及相关领域进行了广泛的研究和标准化工作。NGN能够支持异构网络接入、网间漫游和无缝切换。在移动用户终端进行切换 时,需要保证业务的连续性,同时要保证移动用户终端与NGN网络接入点之间的信令数 据和用户数据的私密性、完整性。当前NGN网络中,移动用户终端与网络在完全鉴权认 证后,为了减少认证信令交互,减轻认证服务器负担,并且到达快速认证的目的,引入 快速重认证机制。快速重认证机制是在完全鉴权的过程中,由认证服务器下发快速重认证身份标 识。完全鉴权成功后,如果用户需要再次与网络进行认证流程,则可以发送该快速重认 证身份标志,认证服务器根据快速重认证标识实现与用户的认证。在该快速重认证过程 中,如图1所示,认证服务器与终端不改变当前使用的密钥材料,只是对用户身份的认 证。如果当前用户的密钥被截获,则快速重认证无法保证用户后续的通信安全。
技术实现思路
本专利技术所要解决的技术问题是,提供一种会话密钥的更新方法及系统。为了解决上述问题,本专利技术公开了一种会话密钥的更新方法,包括终端与认证服务器进行快速重认证过程中,所述终端和认证服务器根据快速重 认证标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,所述新的会话 密钥在快速重认证成功后开始生效。进一步地,上述方法中,所述产生当前会话密钥的密钥材料包括产生当前会话 密钥的父密钥以及密钥算法,所述终端和认证服务器将快速重认证标识信息和当前会话 密钥的父密钥按照所述密钥算法进行计算,生成所述新的会话密钥。进一步地,上述方法中,所述产生当前会话密钥的密钥材料包括产生当前会话 密钥的父密钥,所述父密钥的兄弟密钥以及密钥算法,所述终端和认证服务器将快速重 认证标识信息和所述父密钥的兄弟密钥按照所述密钥算法进行计算,生成所述新的会话 密钥。其中,所述终端与认证服务器快速重认证成功后,所述认证服务器将所述新的 会话密钥发送给可靠网元,所述可靠网元用所述新的会话密钥与所述终端建立安全联盟。或者,所述终端与认证服务器快速重认证成功后,所述认证服务器将所述新的 会话密钥发送给可靠网元,所述可靠网元生成所述新的会话密钥的子密钥,并用所述新的会话密钥的子密钥与所述终端建立安全联盟。本专利技术还公开了一种会话密钥的更新系统,包括终端与认证服务器,其中所述终端,在与所述认证服务器进行快速重认证过程中,用于根据快速重认证 标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,以及在快速重认证 成功后,用所述新的会话密钥与所述认证服务器交互;所述认证服务器,在与所述终端进行快速重认证过程中,用于根据快速重认证 标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,以及在快速重认证 成功后,用所述新的会话密钥与所述终端交互。进一步地,上述系统中,所述产生当前会话密钥的密钥材料包括产生当前会话 密钥的父密钥以及密钥算法,所述终端,将快速重认证标识信息和当前会话密钥的父密 钥按照所述密钥算法进行计算,生成所述新的会话密钥;所述认证服务器,将快速重认证标识信息和当前会话密钥的父密钥按照所述密 钥算法进行计算,生成所述新的会话密钥。进一步地,上述系统中,所述产生当前会话密钥的密钥材料包括产生当前会话 密钥的父密钥,所述父密钥的兄弟密钥以及密钥算法,所述终端,将快速重认证标识信 息和所述父密钥的兄弟密钥按照所述密钥算法进行计算,生成所述新的会话密钥;所述认证服务器,将快速重认证标识信息和所述父密钥的兄弟密钥按照所述密 钥算法进行计算,生成所述新的会话密钥。其中,上述系统还包括可靠网元,所述认证服务器,在与所述终端快速重认证 成功后,还用于将所述新的会话密钥发送给可靠网元;所述可靠网元,用于接收所述认证服务器发送的新的会话密钥,以及通过所述 新的会话密钥与所述终端建立安全联盟。或者,所述可靠网元,用于接收所述认证服务器发送的新的会话密钥,以及用 于生成所述新的会话密钥的子密钥,并通过所述新的会话密钥的子密钥与所述终端建立安全联盟。本专利技术技术方案使用户在快速重认证后,不再使用当前的会话密钥,而产生新 的会话密钥,从而减少密钥重用带来的安全隐患,增强了会话的安全性。附图说明图1为现有技术中终端与网络的快速重认证不更新密钥流程图;图2为本专利技术中终端与网络的快速重认证密钥更新流程图;图3为终端与网络的快速重认证使用密钥A进行密钥更新流程图;图4为终端与网络的快速重认证使用密钥B进行密钥更新流程图;图5为ITU-T NGN中终端与网络的快速重认证进行密钥更新流程图。具体实施例方式本专利技术的主要构思是终端与认证服务器进行完全鉴权认证后,终端与认证服 务器具有快速重认证信息(该信息中包括快速重认证标识信息),并且终端与认证服务器 均根据密钥材料中的密钥K(密钥材料中也可能同时包括密钥B),以及生成的密钥K的子密钥K1。而当终端与认证服务器之间进行快速重认证时,即认证服务器根据终端发送 的快速重认证标识信息对用户进行认证的过程中,如图2所示,可以根据密钥材料中的 算法、密钥材料中的密钥K(或者密钥B)、快速重认证标识信息产生新的密钥K”,该 密钥K”可以代替密钥Kl (即当前会话密钥)作为新的会话密钥,并且该新的会话密钥 K”可以在快速重认证成功后,开始生效(即终端、认证服务器以及其他可靠网元用更新 的会话密钥K”保护通信安全)。下面结合附图及实施例对本专利技术技术方案作进一步详细说明。一种会话密钥的更新系统,至少包括终端以及认证服务器。其中终端,主要用于在与所述认证服务器进行快速重认证过程中,根据快速重认证 标识信息以及产生当前会话密钥的密钥材料(至少包括密钥算法,当前会话密钥的父密 钥等)共同生成新的会话密钥,以及在快速重认证成功后,用所述新的会话密钥与所述 认证服务器交互;认证服务器,主要用于在与所述终端进行快速重认证过程中,根据快速重认证 标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,以及在快速重认证 成功后,用所述新的会话密钥与所述认证服务器交互;本实施例中,终端与认证服务器,分别将快速重认证标识信息和当前会话密钥 的父密钥按照密钥材料中的密钥算法进行计算,生成新的会话密钥;在其他实施例中, 终端与认证服务器,也可以分别将将快速重认证标识信息和当前会话密钥的父密钥的兄 弟密钥按照密钥材料中的密钥算法进行计算,生成新的会话密钥。还有一些实施例中,还可以包括一些可靠网元(例如,与终端建立安全联盟的 安全网关,该网关也可以是认证服务器信任的),此时,认证服务器与终端快速重认证成 功后,认证服务器将新的会话密钥发送给可靠网元,可靠网元则可以通过新的会话密钥 与终端建立安全联盟,也可以通过新的会话密钥的子密钥与终端建立安全联盟。下面介绍上述系统在快速重认证过程中更新会话密钥的过程。实施例1本实施例介绍的是,根据当前会话密钥的父密钥(即密钥A)更新会话密钥的过 程,如图3所示,包括以下步骤步骤300:终端与本文档来自技高网...
【技术保护点】
一种会话密钥的更新方法,其特征在于,该方法包括:终端与认证服务器进行快速重认证过程中,所述终端和认证服务器根据快速重认证标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,所述新的会话密钥在快速重认证成功后开始生效。
【技术特征摘要】
1.一种会话密钥的更新方法,其特征在于,该方法包括终端与认证服务器进行快速重认证过程中,所述终端和认证服务器根据快速重认证 标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,所述新的会话密钥 在快速重认证成功后开始生效。2.如权利要求1所述的方法,其特征在于,所述产生当前会话密钥的密钥材料包括产生当前会话密钥的父密钥以及密钥算法, 所述终端和认证服务器将快速重认证标识信息和当前会话密钥的父密钥按照所述密钥算 法进行计算,生成所述新的会话密钥。3.如权利要求1所述的方法,其特征在于,所述产生当前会话密钥的密钥材料包括产生当前会话密钥的父密钥,所述父密钥的 兄弟密钥以及密钥算法,所述终端和认证服务器将快速重认证标识信息和所述父密钥的 兄弟密钥按照所述密钥算法进行计算,生成所述新的会话密钥。4.如权利要求1至3任一项所述的方法,其特征在于,所述终端与认证服务器快速重认证成功后,所述认证服务器将所述新的会话密钥发 送给可靠网元,所述可靠网元用所述新的会话密钥与所述终端建立安全联盟。5.如权利要求1至3任一项所述的方法,其特征在于,所述终端与认证服务器快速重认证成功后,所述认证服务器将所述新的会话密钥发 送给可靠网元,所述可靠网元生成所述新的会话密钥的子密钥,并用所述新的会话密钥 的子密钥与所述终端建立安全联盟。6.—种会话密钥的更新系统,其特征在于,该系统包括终端与认证服务器,其中所述终端,在与所述认证服务器进行快速重认证过程中,用于根据快速重认证标识信息以及产生当前会话密钥的密钥材料共同生成新的会话密钥,以及在快速重认证成功 后,用所述新的会话密钥与所述认证服务器交互;所述认证服务器,...
【专利技术属性】
技术研发人员:王鸿彦,韦银星,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。