一种基于密钥更新的安全入网方法及装置制造方法及图纸

本申请实施例公开了一种基于密钥更新的安全入网方法及装置。本申请实施例提供的技术方案，通过物联网终端设备解析入网许可消息获取应用新鲜值和网络新鲜值，并对应生成网络会话密钥和应用会话密钥，基于网络会话密钥与网络服务器进行业务通讯，基于应用会话密钥与应用服务器进行业务通讯，将原有的网络密钥信息和应用密钥信息删除，并使用网络会话密钥作为新的网络密钥信息，使用应用会话密钥作为新的应用密钥信息，用于下一次物联网终端设备的入网认证。采用上述技术手段，通过会话密钥的更新可以物联网终端设备入网流程的安全性和通信鲁棒性，优化系统业务运行。

【技术实现步骤摘要】
一种基于密钥更新的安全入网方法及装置
本申请实施例涉及通信网络
，尤其涉及一种基于密钥更新的安全入网方法及装置。
技术介绍
目前，随着物联网技术的大力发展，物联网设备也在大幅增加。在低功耗广域网技术(LPWAN)应用中，利用其覆盖范围远这一特性，在一定区域范围内可以实现大规模、大连接的物联网终端设备接入。一般而言，这些物联网设备在接入物联网系统时，会发送入网请求至基站，通过基站解调入网请求后转发至网络服务器，由网络服务器进行入网认证。通过入网认证返回相应的入网许可消息至物联网终端设备，以此完成入网认证流程。为了保障入网认证流程的通讯安全，会使用相应的应用密钥信息加密通讯信息，并通过应用密钥信息生成相应的会话密钥，以用于后续物联网终端设备与应用服务器的业务交互，保障系统业务的安全运行。但是，物联网终端设备在入网认证过程中，其应用密钥信息固定，一旦应用密钥信息泄露，就会影响入网流程的安全性，进而影响系统业务的运行。
技术实现思路
本申请实施例提供一种基于密钥更新的安全入网方法及装置，能够提升物联网终端设备入网流程的安全性和通信鲁棒性，优化系统业务运行。在第一方面，本申请实施例提供了一种基于密钥更新的安全入网方法，包括：预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络ID生成对应所述物联网终端设备的网络会话密钥，并将所述网络ID和所述设备新鲜值发送至应用服务器；所述应用服务器基于所述网络ID、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。进一步的，在所述网络服务器基于预存的所述网络密钥信息校验所述入网请求之前，还包括：所述网络服务器基于所述设备新鲜值进行所述入网请求的有效性判断，若判断所述入网请求有效，触发所述入网请求的检验流程。进一步的，所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，包括：所述网络服务器提取所述入网请求包含的所述设备新鲜值、设备标识码和应用标识码；基于预存的所述网络密钥信息、所述设备新鲜值、所述设备标识码和所述应用标识码进行MIC计算得到对应的MIC值，并基于所述MIC值校验所述物联网终端设备的身份。进一步的，所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，包括：所述物联网终端设备使用所述网络密钥信息解析所述入网许可消息得到所述网络新鲜值和加密后的所述应用新鲜值，并使用所述应用密钥信息解密所述应用新鲜值。进一步的，对应生成所述网络会话密钥和所述应用会话密钥，包括：提取预存的所述网络ID，基于所述网络密钥信息、所述设备新鲜值、所述网络新鲜值和所述网络ID生成所述网络会话密钥，基于所述网络ID、所述设备新鲜值、所述应用新鲜值和所述应用密钥信息生成所述应用会话密钥。进一步的，所述入网请求还包括密钥更新类型信息，所述密钥更新类型信息为单次更新信息或周期性更新信息。进一步的，所述网络服务器基于所述周期性更新信息周期性下发更新后的所述应用新鲜值和所述网络新鲜值至所述物联网终端设备，进行所述应用会话密钥和所述网络会话密钥的更新。在第二方面，本申请实施例提供了一种基于密钥更新的安全入网装置，包括：请求模块，用于预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；第一生成模块，用于通过所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络ID生成对应所述物联网终端设备的网络会话密钥，并将所述网络ID和所述设备新鲜值发送至应用服务器；第二生成模块，用于通过所述应用服务器基于所述网络ID、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；许可模块，用于通过所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；更新模块，用于通过所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。在第三方面，本申请实施例提供了一种电子设备，包括：存储器以及一个或多个处理器；所述存储器，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如第一方面所述的基于密钥更新的安全入网方法。在第四方面，本申请实施例提供了一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如第一方面所述的基于密钥更新的安全入网方法。本申请实施例通过预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用网络密钥信息加密入网请求，将入网请求上传至网络服务器，入网请求包含物联网终端设备的设备新鲜值；网络服务器基于预存的网络密钥信息校验入网请求，在入网请求校验通过后，响应于入网请求，基于网络密钥信息、设备新鲜值、网络服务器的网络新鲜值和网络ID生成对应物联网终端设备的网络会话密钥，并将网络ID和设备新鲜值发送至应用服务器；应用服务器基于网络ID、设备新鲜值、应用服务器的应用新鲜值和预存的应用密钥信息生成应用会话密钥，并使用应用本文档来自技高网...

【技术保护点】
1.一种基于密钥更新的安全入网方法，其特征在于，包括：/n预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；/n所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络ID生成对应所述物联网终端设备的网络会话密钥，并将所述网络ID和所述设备新鲜值发送至应用服务器；/n所述应用服务器基于所述网络ID、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；/n所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；/n所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。/n...

【技术特征摘要】
1.一种基于密钥更新的安全入网方法，其特征在于，包括：
预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；
所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络ID生成对应所述物联网终端设备的网络会话密钥，并将所述网络ID和所述设备新鲜值发送至应用服务器；
所述应用服务器基于所述网络ID、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；
所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；
所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。


2.根据权利要求1所述的基于密钥更新的安全入网方法，其特征在于，在所述网络服务器基于预存的所述网络密钥信息校验所述入网请求之前，还包括：
所述网络服务器基于所述设备新鲜值进行所述入网请求的有效性判断，若判断所述入网请求有效，触发所述入网请求的检验流程。


3.根据权利要求1所述的基于密钥更新的安全入网方法，其特征在于，所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，包括：
所述网络服务器提取所述入网请求包含的所述设备新鲜值、设备标识码和应用标识码；
基于预存的所述网络密钥信息、所述设备新鲜值、所述设备标识码和所述应用标识码进行MIC计算得到对应的MIC值，并基于所述MIC值校验所述物联网终端设备的身份。


4.根据权利要求1所述的基于密钥更新的安全入网方法，其特征在于，所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，包括：
所述物联网终端设备使用所述网络密钥信息解析所述入网许可消息得到所述网络新鲜值和加密后的所述应用新鲜值，并使用所述应用密钥信息解密所述应用新鲜值。


5.根据权利要求1所述的基于密钥更新的安全入网方法，其特征在于，对应生成所述网络会话密钥和所述应用会话密钥，包括：
提取预存的所述网络ID...

【专利技术属性】
技术研发人员：骆观庆，郑凛，王琳，任后文，詹宏强，戴柏基，
申请(专利权)人：广州技象科技有限公司，
类型：发明
国别省市：广东;44