YDT 2038-2009移动通信网 应用服务端到端通信 密钥管理.pdf

ICS 33.040.01M10中华人民共和国通信行业标准YD/T 2038-2009移动通信网应用服务端到端通信：密钥管理Key management of end-to-end data communication forapplication in mobile network2009-12-11 发布2010-01-01实施中华人民共和国工业和信息化部发布 YD/T 2038-2009目次前 創言-III1 范围·规范性引用文件。23术语和定义·4　符号和缩略语4.1符号·4.2缩略语5应用场景描述06　密钥的生成6.1根密钥 Ki 的生成6.2共享密钥材料的生成·6.3衍生密钥的生成··6.4会话密钥的生成·中心7密钥的保存7.1根密钥Ki 的保存。7.2共享密钥材料的保存·7.3 衍生密钥的保存7.4会话密钥的保存8密钥的分发与传递8.1根密钥Ki 的分发与传递8.2共享密钥材料的分发与传递8.3衍生密钥的分发与传递·8.4　会话密钥的分发与传递9密钥的生存期·10　密钥的更新10.1根密钥 Ki 的更新10.2共享密钥材料的更新·10.3衍生密钥的更新10.4会话密钥的更新.11密钥的销毁11.1根密钥 Ki 的销毁.11.2共享密钥材料的销毁·峰11.3衍生密钥的销毁11.4　会话密钥的销毁.%附录A（资料性附录）密钥管理的威胁·1 YD/T 2038-2009前言《移动通信网应用服务端到端通信密钥管理》是基于《移动通信网应用服务端到端通信认证机制》的密钥管理方法。《移动通信网应用服务端到端通信认证机制》是移动用户与网络中各种应用业务提供者之间的端到端通信的一种通用认证机制，其独立于移动网络用户的网络接入认证机制，针对不同的移动网络应用环境，可以灵活地选择端到端认证的认证模式及实体间的认证方式。在该认证机制中没有详细描述密钥管理的相关内容，所以本标准详细描述了在此认证框架下的密钥管理方法。本标准是基于移动通信网应用服务端到端安全通信的系列标准，该系列标准的名称及结构如下：YD/T2038-2009移动通信网应用服务端到端通信密钥管理YD/T2039-2009移动通信网应用服务端到端通信认证机制本标准参考了ISO/IEC11770-1:1996《信息技术安全技术密钥管理第1部分:框架》、ITU-TQ.9/SG17X.msec-1《基于移动网络应用服务端到端通信的安全技术》以及 X.msec-2《基于 PKI 的移动通信用户到服务提供者之间的端到端数据通信安全框架》。本标准的附录 A 为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：华为技术有限公司。本标准起草人：庄小君、位继伟。1 YD/T 2038-2009移动通信网应用服务端到端通信密钥管理1 范围本标准规定了移动通信网应用服务端到端通信的密钥管理方法。包括密钥的生成、保存、分发和传递、生存期、更新和销毁服务的实施和运用。本标准适用于基于上述认证机制下的所有业务实体，包括所有基于不同移动通信标准的移动终端以及任意的应用服务器。其中应用服务器包括部署于移动网络内部以及位于开放网络的第三方的应用服务器。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T2039-2009移动通信网应用服务端到端通信认证机制3GPP TS 33.102: 3G Security; Security architecture.3GPP TS 33.220: Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture.3GPP TS 33.221: Generic Authentication Architecture (GAA); Support for Subscriber Certificates.3GPP2 SPO109: Generic Bootstrapping Architecture (GBA) Framework.3GPP2 SP0114: Security Mechanisms using GBA .ISO/IEC11770-1:1996《信息技术安全技术密钥管理第1部分：框架》ITU-T Recommendation X.1121(2004), Framework of security technologies for mobile end-to-end datacommunications.ITU-T Recommen