[发明专利]一种动态生成根密钥的方法

说明书

技术领域

本发明涉及移动通信技术，特别是涉及一种动态生成根密钥的方法。

背景技术

LTE(Long Term Evolution，长期演进)在安全方面上采用接入层安全和非接入层安全两个安全层，其密钥体系充分实现了密钥隔离，即不同链路上以及用于不同目的的密钥相互独立，为此系统将安全密钥层次设计为更复杂的多层体系结构，即终端和核心网首先通过1个永久根密钥K计算得到2个核心密钥CK和IK，再由这2个核心密钥CK和IK通过某算法生产1个临时密钥Kasme，最后通过临时密钥Kasme衍生出用户数据及信令加密和完整性保护的次生专用子密钥。由此可见，永久根密钥K在密钥体系中位于生成树的最顶端，是核心密钥、临时密钥以及各此生专用子密钥的基础。

基于LTE系统在SAE(System Architecture Evolution，系统架构演进)架构下，通常由终端、基站、核心网三部分构成，相对于LTE密钥体系，需要保存根密钥K的网元包括用户终端(User Equipment，UE)和核心网。核心网侧通常是在归属签约服务器(Home Subscriber Server，HSS)中进行根密钥的存储和保护，而在终端方面存储根密钥K的方法有以下二种：

(1)基于硬件的存储方式

基于硬件的存储方式包括两种方式，一种是将根密钥K保存于独立于终端设备的硬件USIM(Universal Subscriber Identity Module，通用用户识别模块)卡中，USIM卡运营商通过特定的设备对USIM卡进行密钥烧写；另一种是使用额外特殊的密钥硬件连接终端设备，终端在使用过程中通过该硬件生成根密钥。

(2)基于软件的存储方式

基于软件的存储方式主要是将根密钥存储在终端内部的非易失性存储器在终端内部的非易失性存储器中，根密钥可通过软件程序进行灵活的读写操作。

对于终端的根密钥通过硬件的存储方式，其特点是终端需要加载额外的硬件来进行根密钥的存储和保护，根密钥信息需要通过特殊的设备或者接口进行烧写操作才能 保存在硬件中，终端及用户仅能获取该硬件中通过根密钥衍生出的核心密钥，从而保护根密钥的安全性。由于需要额外提供USIM卡或者密钥硬件，该方案要求网络运营方提供专门的发卡部门并对卡进行运营维护，还要求用户的终端设备提供专门的USIM卡槽或者硬件连接接口，通常更适用于公网运营商的运营和标准的手持终端设备。而对于越来越多的行业专网用户来说，提供额外的USIM卡管理和运营将大大增加现有系统的复杂度和维护复杂度。另外专网终端的形态多种多样，首先无法保证所有终端形态均能够提供USIM卡槽，其次在一些特殊的行业，如高铁等轨道交通，也需要考虑USIM卡与卡槽的连接稳定性问题。

对于终端的根密钥通过软件的存储方式，其特点是终端将根密钥信息写入终端内部的非易失性存储器，可以通过软件程序对存储器中的信息进行读写操作。该方案适合于没有USIM卡以及额外密钥硬件的终端设备，在行业专网中应用的较为广泛。但是由于每个终端的根密钥不能相同，无论是在终端的生产过程中预先植入不同的根密钥还是在终端达到客户手中后现场植入根密钥，那么根密钥的生成和管理必然存在人为因素，这会带来根密钥的安全性保护隐患，也会给生产厂商以及客户带来比较大的管理和维护工作。另外，由于根密钥可以通过软件程序方便的读写，甚至可以通过分析存储器内容来获得根密钥信息，进一步为安全性带来威胁。

发明内容

有鉴于此，本发明的主要目的在于提供一种动态生成根密钥的方法和系统，以解决通过软件保存根密钥容易造成密钥泄露的问题。

为了达到上述目的，本发明提出的技术方案为：

一种动态生成根密钥的方法，该方法包括在核心网执行的如下步骤：

接收用户终端UE发送的终端标识；

根据接收到的所述终端标识确定对应的静态参数；

利用动态参数、所述终端标识和所述静态参数，以预定的算法计算第一根密钥；

将计算所述第一根密钥时使用的所述动态参数以及所述算法的算法标识发送至所述UE，使所述UE利用其保存的公有密钥、终端标识、以及所述动态参数，以所述算法标识对应的算法计算与所述第一根密钥成对的第二根密钥。

一种动态生成根密钥的系统，该系统包括：

该方法包括在用户终端UE执行的如下步骤：

将本机的终端标识发送至核心网，使所述核心网根据与所述终端标识对应的静态参数计算第一根密钥；

接收所述核心网计算所述第一根密钥时使用的动态参数以及算法的算法标识；