技術(shù)領(lǐng)域

本發(fā)明涉及移動(dòng)通信技術(shù)，特別是涉及一種動(dòng)態(tài)生成根密鑰的方法。

背景技術(shù)

LTE(Long Term Evolution，長(zhǎng)期演進(jìn))在安全方面上采用接入層安全和非接入層安全兩個(gè)安全層，其密鑰體系充分實(shí)現(xiàn)了密鑰隔離，即不同鏈路上以及用于不同目的的密鑰相互獨(dú)立，為此系統(tǒng)將安全密鑰層次設(shè)計(jì)為更復(fù)雜的多層體系結(jié)構(gòu)，即終端和核心網(wǎng)首先通過(guò)1個(gè)永久根密鑰K計(jì)算得到2個(gè)核心密鑰CK和IK，再由這2個(gè)核心密鑰CK和IK通過(guò)某算法生產(chǎn)1個(gè)臨時(shí)密鑰Kasme，最后通過(guò)臨時(shí)密鑰Kasme衍生出用戶數(shù)據(jù)及信令加密和完整性保護(hù)的次生專用子密鑰。由此可見(jiàn)，永久根密鑰K在密鑰體系中位于生成樹(shù)的最頂端，是核心密鑰、臨時(shí)密鑰以及各此生專用子密鑰的基礎(chǔ)。

基于LTE系統(tǒng)在SAE(System Architecture Evolution，系統(tǒng)架構(gòu)演進(jìn))架構(gòu)下，通常由終端、基站、核心網(wǎng)三部分構(gòu)成，相對(duì)于LTE密鑰體系，需要保存根密鑰K的網(wǎng)元包括用戶終端(User Equipment，UE)和核心網(wǎng)。核心網(wǎng)側(cè)通常是在歸屬簽約服務(wù)器(Home Subscriber Server，HSS)中進(jìn)行根密鑰的存儲(chǔ)和保護(hù)，而在終端方面存儲(chǔ)根密鑰K的方法有以下二種：

(1)基于硬件的存儲(chǔ)方式

基于硬件的存儲(chǔ)方式包括兩種方式，一種是將根密鑰K保存于獨(dú)立于終端設(shè)備的硬件USIM(Universal Subscriber Identity Module，通用用戶識(shí)別模塊)卡中，USIM卡運(yùn)營(yíng)商通過(guò)特定的設(shè)備對(duì)USIM卡進(jìn)行密鑰燒寫；另一種是使用額外特殊的密鑰硬件連接終端設(shè)備，終端在使用過(guò)程中通過(guò)該硬件生成根密鑰。

(2)基于軟件的存儲(chǔ)方式

基于軟件的存儲(chǔ)方式主要是將根密鑰存儲(chǔ)在終端內(nèi)部的非易失性存儲(chǔ)器在終端內(nèi)部的非易失性存儲(chǔ)器中，根密鑰可通過(guò)軟件程序進(jìn)行靈活的讀寫操作。

對(duì)于終端的根密鑰通過(guò)硬件的存儲(chǔ)方式，其特點(diǎn)是終端需要加載額外的硬件來(lái)進(jìn)行根密鑰的存儲(chǔ)和保護(hù)，根密鑰信息需要通過(guò)特殊的設(shè)備或者接口進(jìn)行燒寫操作才能 保存在硬件中，終端及用戶僅能獲取該硬件中通過(guò)根密鑰衍生出的核心密鑰，從而保護(hù)根密鑰的安全性。由于需要額外提供USIM卡或者密鑰硬件，該方案要求網(wǎng)絡(luò)運(yùn)營(yíng)方提供專門的發(fā)卡部門并對(duì)卡進(jìn)行運(yùn)營(yíng)維護(hù)，還要求用戶的終端設(shè)備提供專門的USIM卡槽或者硬件連接接口，通常更適用于公網(wǎng)運(yùn)營(yíng)商的運(yùn)營(yíng)和標(biāo)準(zhǔn)的手持終端設(shè)備。而對(duì)于越來(lái)越多的行業(yè)專網(wǎng)用戶來(lái)說(shuō)，提供額外的USIM卡管理和運(yùn)營(yíng)將大大增加現(xiàn)有系統(tǒng)的復(fù)雜度和維護(hù)復(fù)雜度。另外專網(wǎng)終端的形態(tài)多種多樣，首先無(wú)法保證所有終端形態(tài)均能夠提供USIM卡槽，其次在一些特殊的行業(yè)，如高鐵等軌道交通，也需要考慮USIM卡與卡槽的連接穩(wěn)定性問(wèn)題。

對(duì)于終端的根密鑰通過(guò)軟件的存儲(chǔ)方式，其特點(diǎn)是終端將根密鑰信息寫入終端內(nèi)部的非易失性存儲(chǔ)器，可以通過(guò)軟件程序?qū)Υ鎯?chǔ)器中的信息進(jìn)行讀寫操作。該方案適合于沒(méi)有USIM卡以及額外密鑰硬件的終端設(shè)備，在行業(yè)專網(wǎng)中應(yīng)用的較為廣泛。但是由于每個(gè)終端的根密鑰不能相同，無(wú)論是在終端的生產(chǎn)過(guò)程中預(yù)先植入不同的根密鑰還是在終端達(dá)到客戶手中后現(xiàn)場(chǎng)植入根密鑰，那么根密鑰的生成和管理必然存在人為因素，這會(huì)帶來(lái)根密鑰的安全性保護(hù)隱患，也會(huì)給生產(chǎn)廠商以及客戶帶來(lái)比較大的管理和維護(hù)工作。另外，由于根密鑰可以通過(guò)軟件程序方便的讀寫，甚至可以通過(guò)分析存儲(chǔ)器內(nèi)容來(lái)獲得根密鑰信息，進(jìn)一步為安全性帶來(lái)威脅。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的主要目的在于提供一種動(dòng)態(tài)生成根密鑰的方法和系統(tǒng)，以解決通過(guò)軟件保存根密鑰容易造成密鑰泄露的問(wèn)題。

為了達(dá)到上述目的，本發(fā)明提出的技術(shù)方案為：

一種動(dòng)態(tài)生成根密鑰的方法，該方法包括在核心網(wǎng)執(zhí)行的如下步驟：

接收用戶終端UE發(fā)送的終端標(biāo)識(shí)；

根據(jù)接收到的所述終端標(biāo)識(shí)確定對(duì)應(yīng)的靜態(tài)參數(shù)；

利用動(dòng)態(tài)參數(shù)、所述終端標(biāo)識(shí)和所述靜態(tài)參數(shù)，以預(yù)定的算法計(jì)算第一根密鑰；

將計(jì)算所述第一根密鑰時(shí)使用的所述動(dòng)態(tài)參數(shù)以及所述算法的算法標(biāo)識(shí)發(fā)送至所述UE，使所述UE利用其保存的公有密鑰、終端標(biāo)識(shí)、以及所述動(dòng)態(tài)參數(shù)，以所述算法標(biāo)識(shí)對(duì)應(yīng)的算法計(jì)算與所述第一根密鑰成對(duì)的第二根密鑰。

一種動(dòng)態(tài)生成根密鑰的系統(tǒng)，該系統(tǒng)包括：

該方法包括在用戶終端UE執(zhí)行的如下步驟：

將本機(jī)的終端標(biāo)識(shí)發(fā)送至核心網(wǎng)，使所述核心網(wǎng)根據(jù)與所述終端標(biāo)識(shí)對(duì)應(yīng)的靜態(tài)參數(shù)計(jì)算第一根密鑰；

接收所述核心網(wǎng)計(jì)算所述第一根密鑰時(shí)使用的動(dòng)態(tài)參數(shù)以及算法的算法標(biāo)識(shí)；