[发明专利]端到端认证及密钥协商方法、装置及系统

说明书

一种端到端认证及密钥协商方法、装置及系统，在该系统中包括第一通信设备和第二通信设备，其中：第一通信设备用于向第二通信设备发送第一消息，第一消息中包括第一密钥生成参数；第二通信设备用于对第一通信设备进行身份认证，并接收第一通信设备发送的第一消息，根据第二密钥生成参数以及第一消息中包括的第一密钥生成参数生成安全参数，第二通信设备向第一通信设备发送第二消息，第二消息中包括第二密钥生成参数；第一通信设备用于对第二通信设备进行身份认证，并接收第二消息，根据第一密钥生成参数以及第二消息中包括的第二密钥生成参数生成安全参数，以实现端到端的身份认证以及密钥协商。

技术领域

本申请涉及通信技术领域，尤其涉及一种端到端认证及密钥协商方法、装置及系统。

背景技术

身份网络(id-oriented networking，ION)是一种面向未来网络的新型网络架构。

在ION的网络架构中，分离了主机的身份(identity，ID)和位置(locator或IPaddress)，通过身份与位置的解耦，使得基于身份的会话连接可以穿越多个地址边界，不受通信地址的限制。ION的网络架构中，还建立了一个统一的控制管理层用于管理相关的服务，该控制管理层分布式部署在网络中，用于对主机的身份、位置等信息进行统一管理。

ION网络架构中，基于身份和位置分离的各主机之间进行端到端通信时，为保证通信安全，需要对端到端通信的主机进行安全认证以及密钥协商，然而目前并没有能够适用ION网络架构的端到端认证及密钥协商的方法。

发明内容

本申请实施例提供一种端到端认证及密钥协商的方法、装置及系统，以适用于ION网络架构的端到端通信，提高基于ION网络架构的端到端通信的安全性。

第一方面，提供一种应用于基于身份位置分离的ION网络架构的端到端认证及密钥协商系统，该系统中包括第一通信设备和第二通信设备，第一通信设备用于向第二通信设备发送第一消息，该第一消息中包括第一通信设备生成第一通信设备与第二通信设备进行密钥协商所共享的安全参数所需的第一密钥生成参数。第二通信设备用于对第一通信设备进行身份认证，并接收第一通信设备发送的第一消息，根据第二密钥生成参数以及第一消息中包括的第一密钥生成参数生成安全参数，第二密钥生成参数为第二通信设备生成安全参数所需的密钥生成参数。第二通信设备向第一通信设备发送第二消息，第二消息中包括第二密钥生成参数。第一通信设备用于对第二通信设备进行身份认证，并接收第二消息，根据第一密钥生成参数以及第二消息中包括的第二密钥生成参数生成安全参数。

其中，上述涉及的安全参数可以包括共享密钥，共享密钥的生存周期，共享密钥的安全连接标识，以及安全连接标识的生存周期。

本申请实施例中，第一通信设备和第二通信设备通过第一消息和第二消息的交互，可完成ION网络中端到端通信的两个通信设备之间密钥的协商以及身份的认证，在进行端到端的通信时，可建立安全连接，能够避免身份假冒和中间人攻击等安全隐患，提高通信安全性。

一种可能的设计中，第一通信设备向第二通信设备发送的第一消息中还可包括第一通信设备支持的第一安全配置指示，第一安全配置指示用于指示密钥生成算法、认证算法和加密算法。第二通信设备向第一通信设备发送的第二消息中还包括第二通信设备使用的第二安全配置指示，第二安全配置指示用于指示密钥生成算法、认证算法和加密算法。第二通信设备根据第二安全配置指示、第二密钥生成参数以及第一消息中包括的第一密钥生成参数生成安全参数。第一通信设备根据第二安全配置指示、第一密钥生成参数以及第二消息中包括的第二密钥生成参数生成安全参数。

其中，第二安全配置指示与第一安全配置指示相同或者不同，以使第二通信设备在生成安全参数时选择第二通信设备支持的第二安全配置指示，而不是必须选择与第一安全配置指示相同的第二安全配置指示，使端到端认证及密钥协商的可实施性更强，灵活性更大。