[发明专利]用户设备之间进行安全通信的方法及装置

权利要求书

1.一种用户设备之间进行安全通信的方法，其特征在于，包括：

第一用户设备与第二用户设备分别配置证书；

所述第一用户设备与所述第二用户设备，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥；

所述第一用户设备与所述第二用户设备，根据所述第一密钥进行密钥推演，得到加密密钥和完保密钥；

利用所述加密密钥和所述完保密钥对所述第一用户设备与所述第二用户设备之间的通信数据进行安全保护。

2.如权利要求1所述的方法，其特征在于，配置证书，包括：

本地配置证书，或者通过网络向证书颁发机构注册证书；

所述证书包括：当前用户设备所属本地公用陆地移动网络HPLMN的证书，以及与当前用户设备进行认证的各个目标用户设备所属本地公用陆地移动网络HPLMN的根证书。

3.如权利要求1或2所述的方法，其特征在于，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥，包括：

根据所述证书在IP层基于因特网密钥交换IKE，进行双向认证，协商生成IP层密钥，作为所述第一密钥。

4.如权利要求1或2所述的方法，其特征在于，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥，包括：

将证书携带在无线传输信令中向对端用户设备发送，并进行证书的认证；

当证书认证通过后，将自身推演生成的通信密钥作为所述第一密钥，或者获取对端用户设备发送的通信密钥作为所述第一密钥，所述通信密钥推演的输入参数包括组标识ID和/或随机数，所述组标识ID为用户设备之间进行通信时所属通信组的标识。

5.如权利要求4所述的方法，其特征在于，将证书携带在无线传输信令中向对端用户设备发送之前，还包括：

与对端用户设备进行迪菲-赫尔曼DH交换，协商出共享密钥；

利用所述共享密钥对所述证书或所述证书的标识进行加密。

6.如权利要求1所述的方法，其特征在于，所述根据所述第一密钥进行密钥推演，得到加密密钥和完保密钥，包括：

根据所述第一密钥、以及当前用户设备的IP地址和/或对端用户设备的IP地址，进行密钥推演，得到加密密钥和完保密钥。

7.一种用户设备之间进行安全通信的方法，其特征在于，包括：

对与当前用户设备进行通信的对端用户设备进行认证；

当认证通过后，生成第一随机数，根据组标识ID和所述第一随机数生成通信密钥，所述组标识ID为当前用户设备与对端用户设备进行通信时所属通信组的标识；

根据所述通信密钥，推演当前用户设备与对端用户设备之间进行单播通信时的加密密钥和/或完保密钥，并利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护。

8.如权利要求7所述的方法，其特征在于，利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，该方法还包括：

利用对端用户设备的公钥，对所述第一随机数进行加密；

将加密后的所述第一随机数发送给所述对端用户设备，并接收所述对端用户设备发送第二随机数，所述第二随机数为所述对端用户设备对加密后的第一随机数解密后，并利用当前用户设备的公钥，重新加密的随机数；

确定所述第二随机数与所述第一随机数相同。

9.如权利要求7所述的方法，其特征在于，利用所述加密密钥和/或完保密钥，对当前用户设备与对端用户设备之间进行单播通信时的通信数据进行安全保护之前，该方法还包括：

利用共享密钥，对所述第一随机数进行加密；

将加密后的所述第一随机数发送给所述对端用户设备，接收所述对端用户设备发送第二随机数，所述第二随机数为所述对端用户设备对加密后的第一随机数解密后并利用共享密钥，重新加密的随机数；

确定所述第二随机数与所述第一随机数相同。