本技术涉及通信,特别是指一种密钥传输方法、装置、基站及密钥生成中心。
背景技术:
1、第三代伙伴组织计划(third generation partnership projects,3gpp)定义xn接口用于基站之间,因此,当终端需要进行基站切换时,源基站需要将密钥材料传输给目标基站,因此需要建立安全通道,3gpp相关协议中规定xn接口的安全机制采用互联网安全协议(internet protocol security,ipsec)或数据包传输层安全协议(datagram transportlayer security,dtls),如果使用ipsec建立安全通道在主模式下至少需要三次交互过程,dtls也同样需要握手产生会话密钥,交互次数至少3次。不论是ipsec还是dtls,都是基于公钥基础设施(public key infrastructure,pki)证书来完成双向身份的认证,证书的管理繁重。
技术实现思路
1、本技术实施例提供一种密钥传输方法、装置、基站及密钥生成中心,解决了目前的密钥传输过程中交互次数繁多,且证书管理繁重的问题。
2、第一方面,为达到上述目的,本技术的实施例提供一种密钥传输方法,应用于第一基站,包括:
3、在终端需要由第一基站切换至第二基站的情况下,利用所述第一基站的公私钥对和所述第二基站的公钥,对通信密钥进行签密,获得与所述通信密钥对应的密文,其中,所述通信密钥用于对通信数据签密;
4、向所述第二基站发送所述密文。
5、可选地,所述方法还包括:
6、采用订阅或查询的方式,从密钥生成中心kgc的公告栏中获取所述第二基站的公钥,其中,所述公告栏中存储有多个基站的id和所述多个基站当前的公钥。
7、可选地,所述方法包括:
8、向kgc发送所述第一基站的id;
9、接收所述kgc发送的与所述第一基站的id对应的部分私钥、保密系统的系统公开参数和保密系统的主密钥;
10、根据所述第一基站的id、所述部分私钥、所述系统公开参数和所述主密钥,生成所述第一基站的公私钥对;
11、基于所述第一基站的公私钥对的生命周期,对所述第一基站的公私钥对进行更新。
12、可选地,根据所述第一基站的id、所述部分私钥,所述系统公开参数和所述主密钥,生成所述公私钥对,包括:
13、根据所述第一基站的id和所述系统公开参数,随机生成所述第一基站的第一秘密值;
14、根据所述部分私钥和所述第一秘密值,生成所述公私钥对中的私钥;
15、根据所述第一秘密值、所述系统公开参数和所述主密钥,生成所述公私钥对中的公钥。
16、可选地,向kgc发送所述第一基站的id,包括以下任一项:
17、在所述第一基站部署前,向kgc发送所述第一基站的id;
18、在所述第一基站部署后,向kgc发送所述第一基站的id。
19、可选地,基于所述第一基站的公私钥对的生命周期,对所述第一基站的公私钥对进行更新,包括:
20、在所述第一基站的公私钥对的生命周期结束时,根据所述第一基站的id和所述系统公开参数,随机生成所述第一基站的第二秘密值;
21、根据所述部分私钥和所述第二秘密值,更新所述第一基站的公私钥对中的私钥;
22、根据所述第二秘密值、所述系统公开参数和所述主密钥,更新所述第一基站的公私钥对中的公钥。
23、可选地,基于所述公私钥对的生命周期,对所述公私钥对进行更新之后,所述方法还包括:
24、向kgc发送更新后的公钥。
25、第二方面,为达到上述目的,本技术的实施例提供一种密钥传输方法,应用于第二基站,包括:
26、接收第一基站发送的密文;
27、根据所述第二基站的公私钥对和所述第一基站的公钥,对所述密文进行解签密,获得与所述密文对应的通信密钥,其中,所述通信密钥用于对通信数据签密。
28、可选地,所述方法还包括:
29、采用订阅或查询的方式,从kgc的公告栏中获取所述第一基站的公钥,其中,所述公告栏中存储有多个基站的id和所述多个基站当前的公钥。
30、可选地,所述方法还包括:
31、向kgc发送所述第二基站的id;
32、接收所述kgc发送的与所述第二基站的id对应的部分私钥、保密系统的系统公开参数和保密系统的主密钥;
33、根据所述第二基站的id、所述部分私钥,所述系统公开参数和所述主密钥,生成所述第二基站的公私钥对;
34、基于所述第二基站的公私钥对的生命周期,对所述第二基站的公私钥对进行更新。
35、可选地,基于所述第二基站的公私钥对的生命周期,对所述第二基站的公私钥对进行更新之后,所述方法还包括:
36、向kgc发送更新后的公钥。
37、第三方面,为达到上述目的,本技术的实施例提供一种密钥传输方法,应用于kgc,包括:
38、接收基站发送的id;其中,所述基站为第一基站或第二基站;
39、根据所述id、保密系统的系统公开参数和所述保密系统的主密钥,生成所述基站的部分私钥;
40、向所述基站发送所述部分私钥、所述系统公开参数和所述主密钥。
41、可选地,所述方法还包括:
42、基于安全参数,生成所述系统公开参数和所述主密钥。
43、可选地,所述方法还包括:
44、接收所述基站发送的更新后的公钥;
45、根据所述更新后的公钥,更新所述kgc的公告栏中存储的所述基站的公钥。
46、可选地,所述方法还包括以下至少一项:
47、根据公告栏中存储的基站的id和与所述基站的id对应的公钥,向所述第一基站发送所述第二基站的公钥;
48、根据公告栏中存储的基站的id和与所述基站的id对应的公钥,向所述第二基站发送所述第一基站的公钥,其中,所述公告栏部署在所述kgc上。
49、第四方面,为达到上述目的,本技术的实施例提供一种密钥传输装置,应用于第一基站,包括:
50、签密模块,用于在终端需要由第一基站切换至第二基站的情况下,利用所述第一基站的公私钥对和所述第二基站的公钥,对通信密钥进行签密,获得与所述通信密钥对应的密文,其中,所述通信密钥用于对通信数据签密;
51、第一发送模块,用于向所述第二基站发送所述密文。
52、第五方面,为达到上述目的,本技术的实施例提供一种密钥传输装置,应用于第二基站,包括:
53、第一接收模块,用于接收第一基站发送的密文;
54、解签密模块,用于根据所述第二基站的公私钥对和所述第一基站的公钥,对所述密文进行解签密,获得与所述密文对应的通信密钥,其中,所述通信密钥用于对通信数据签密。
55、第六方面,为达到上述目的,本技术的实施例提供一种密钥传输装置,应用于kgc,包括:
56、第一接收模块,用于接收基站发送的id;其中,所述基站为第一基站或第二基站;
57、第一生成模块,用于根据所述id、保密系统的系统公开参数和所述保密系统的主密钥,生成所述基站的部分私钥;
58、第一发送模块,用于向所述基站发送所述部分私钥、所述系统公开参数和所述主密钥。
59、第七方面,为达到上述目的,本技术的实施例提供一种基站,所述基站为第一基站,包括处理器和收发器;所述收发器在所述处理器的控制下接收和发送数据,其中:
60、所述收发器用于在终端需要由第一基站切换至第二基站的情况下,利用所述第一基站的公私钥对和所述第二基站的公钥,对通信密钥进行签密,获得与所述通信密钥对应的密文,其中,所述通信密钥用于对通信数据签密;
61、所述处理器用于向所述第二基站发送所述密文。
62、第八方面,为达到上述目的,本技术的实施例提供一种基站,所述基站为第二基站,包括处理器和收发器;所述收发器在所述处理器的控制下接收和发送数据,其中:
63、所述收发器用于接收第一基站发送的密文;
64、所述处理器用于根据所述第二基站的公私钥对和所述第一基站的公钥,对所述密文进行解签密,获得与所述密文对应的通信密钥,其中,所述通信密钥用于对通信数据签密。
65、第九方面,为达到上述目的,本技术的实施例提供一种密钥生成中心,包括处理器和收发器;所述收发器在所述处理器的控制下接收和发送数据,其中:
66、所述收发器用于接收基站发送的id;其中,所述基站为第一基站或第二基站;
67、所述处理器用于根据所述id、保密系统的系统公开参数和所述保密系统的主密钥,生成所述基站的部分私钥;
68、所述收发器用于向所述基站发送所述部分私钥、所述系统公开参数和所述主密钥。
69、第十方面,为达到上述目的,本技术的实施例提供一种基站,包括收发机、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序;其中,所述处理器执行所述程序时实现如第一方面所述的密钥传输方法,或者,实现如第二方面所述的密钥传输方法。
70、第十一方面,为达到上述目的,本技术的实施例提供一种密钥生成中心,包括收发机、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序;其中,所述处理器执行所述程序时实现如第三方面所述的密钥传输方法。
71、第十二方面,为达到上述目的,本技术的实施例提供一种可读存储介质,其上存储有程序或指令,其中,所述程序或指令被处理器执行时实现如第一方面所述的密钥传输方法,或者,实现如第二方面所述的密钥传输方法,或者,实现如第三方面所述的密钥传输方法。
72、本技术的上述技术方案的有益效果如下:
73、本技术的实施例的密钥传输方法,首先,在终端需要由第一基站切换至第二基站的情况下,第一基站利用所述第一基站的公私钥对和所述第二基站的公钥,对通信密钥进行签密,获得与所述通信密钥对应的密文,其中,所述通信密钥用于对通信数据签密;其次,第一基站向所述第二基站发送所述密文。如此,实现了采用无证书公钥签密的方式传输密钥材料,保证了基站在切换时的安全传输,解决了现有方案中密钥传输过程交互次数繁多、证书管理繁重的问题。
1.一种密钥传输方法,其特征在于,应用于第一基站,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述方法包括:
4.根据权利要求3所述的方法,其特征在于,根据所述第一基站的id、所述部分私钥,所述系统公开参数和所述主密钥,生成所述公私钥对,包括:
5.根据权利要求3所述的方法,其特征在于,向kgc发送所述第一基站的id,包括以下任一项:
6.根据权利要求3所述的方法,其特征在于,基于所述第一基站的公私钥对的生命周期,对所述第一基站的公私钥对进行更新,包括:
7.根据权利要求3或6所述的方法,其特征在于,基于所述公私钥对的生命周期,对所述公私钥对进行更新之后,所述方法还包括:
8.一种密钥传输方法,其特征在于,应用于第二基站,包括:
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
10.根据权利要求8所述的方法,其特征在于,所述方法还包括:
11.根据权利要求10所述的方法,其特征在于,基于所述第二基站的公私钥对的生命周期,对所述第二基站的公私钥对进行更新之后,所述方法还包括:
12.一种密钥传输方法,其特征在于,应用于kgc,包括:
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
14.根据权利要求12所述的方法,其特征在于,所述方法还包括:
15.根据权利要求14所述的方法,其特征在于,所述方法还包括以下至少一项:
16.一种密钥传输装置,其特征在于,应用于第一基站,包括:
17.一种密钥传输装置,其特征在于,应用于第二基站,包括:
18.一种密钥传输装置,其特征在于,应用于kgc,包括:
19.一种基站,所述基站为第一基站,包括处理器和收发器;所述收发器在所述处理器的控制下接收和发送数据,其特征在于:
20.一种基站,所述基站为第二基站,包括处理器和收发器;所述收发器在所述处理器的控制下接收和发送数据,其特征在于:
21.一种密钥生成中心,包括处理器和收发器;所述收发器在所述处理器的控制下接收和发送数据,其特征在于:
22.一种基站,包括收发机、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1至7中任一项所述的密钥传输方法,或者,实现如权利要求8至11中任一项所述的密钥传输方法。
23.一种密钥生成中心,包括收发机、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求12至15中任一项所述的密钥传输方法。
24.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如如权利要求1至7中任一项所述的密钥传输方法,或者,实现如权利要求8至11中任一项所述的密钥传输方法,或者,实现如权利要求12至15中任一项所述的密钥传输方法。
