密钥管理方法、设备及系统技术方案

本申请提供一种密钥管理方法、设备及系统，用以保证AKMA流程中发生重鉴权后终端设备与应用功能网元之间仍能成功协商该应用功能网元与该终端设备之间的通信密钥。该方法包括：终端设备向第一应用功能网元发送第一应用会话的建立请求消息，该建立请求消息携带第一密钥的标识信息，该第一密钥为应用的认证和密钥管理AKMA密钥；该终端设备接收重鉴权流程中的第一鉴权请求消息；该终端设备发送该重鉴权流程中的该第一鉴权请求消息的响应消息；该终端设备接收来自该建立请求消息的响应消息；该终端设备使用该第一密钥推演该终端设备和该第一应用功能网元之间的通信密钥。第一应用功能网元之间的通信密钥。第一应用功能网元之间的通信密钥。

【技术实现步骤摘要】
密钥管理方法、设备及系统


[0001]本申请涉及通信
，尤其涉及密钥管理方法、设备及系统。

技术介绍

[0002]目前，终端设备可支持应用程序的身份验证和密钥管理(authentication and key management for applications，AKMA)服务。在AKMA服务中，终端设备与应用功能网元进行数据传输，终端设备需要与应用功能网元之间协商两者之间的通信密钥，该通信密钥可以用来进行身份鉴权和通信保护。应用功能网元从AKMA的锚点功能网元获取该应用功能网元与终端设备之间的通信密钥，AKMA的锚点功能网元根据AKMA密钥生成该应用功能网元与终端设备之间的通信密钥。AKMA的锚点功能网元可以从终端设备对应的鉴权服务器功能网元获取AKMA密钥。
[0003]而当前的AKMA流程中未考虑重鉴权的发生，重鉴权会导致AKMA密钥的更新和删除，该种情况下，如何保证终端设备与应用功能网元之间成功协商该应用功能网元与该终端设备之间的通信密钥是亟待解决的问题。

技术实现思路

[0004]本申请提供一种密钥管理本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥管理方法，其特征在于，所述方法包括：终端设备向第一应用功能网元发送第一应用会话的建立请求消息，所述建立请求消息携带第一密钥的标识信息，所述第一密钥为应用的认证和密钥管理AKMA密钥；所述终端设备接收重鉴权流程中的第一鉴权请求消息；所述终端设备发送所述重鉴权流程中的所述第一鉴权请求消息的响应消息；所述终端设备接收来自所述第一应用功能网元的所述建立请求消息的响应消息；所述终端设备使用所述第一密钥推演所述终端设备和所述第一应用功能网元之间的通信密钥。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述终端设备发送所述第一鉴权请求消息的响应消息后，不删除所述第一密钥和所述第一密钥的标识信息。3.根据权利要求2所述的方法，其特征在于，所述不删除所述第一密钥和所述第一密钥的标识信息，包括：若所述重鉴权流程成功，所述终端设备不删除所述第一密钥和所述第一密钥的标识信息。4.根据权利要求2所述的方法，其特征在于，所述不删除所述第一密钥和所述第一密钥的标识信息，包括：若所述重鉴权流程之前发送了所述建立请求消息，且未收到所述建立请求消息的响应消息，所述终端设备不删除所述第一密钥和所述第一密钥的标识信息。5.根据权利要求2所述的方法，其特征在于，所述不删除所述第一密钥和所述第一密钥的标识信息，包括：若所述重鉴权流程之前所述终端设备发送了所述建立请求消息，且已收到所述建立请求消息的响应消息但未推演所述终端设备和所述第一应用功能网元之间的通信密钥，所述终端设备不删除所述第一密钥和所述第一密钥的标识信息。6.根据权利要求2-5任一项所述的方法，其特征在于所述不删除所述第一密钥和所述第一密钥的标识信息，包括：若未推演所述终端设备和所述第一应用功能网元之间的通信密钥，所述终端设备不删除所述第一密钥和所述第一密钥的标识信息。7.根据权利要求1-6任一所述的方法，其特征在于，所述方法还包括：所述终端设备接收来自所述建立请求消息的响应消息后，确定使用所述第一密钥推演所述终端设备和所述第一应用功能网元之间的通信密钥。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：所述终端设备发送所述第一鉴权请求消息的响应消息后，生成第二密钥，所述第二密钥为AKMA密钥。9.根据权利要求7所述的方法，其特征在于，所述确定使用所述第一密钥推演所述终端设备和所述第一应用功能网元之间的通信密钥包括：当所述终端设备确定所述建立请求消息为所述重鉴权流程前发送的，则所述终端设备确定使用所述第一密钥推演所述终端设备和所述第一应用功能网元之间的通信密钥。10.根据权利要求7所述的方法，其特征在于，所述终端设备确定使用所述第一密钥推
演所述终端设备和所述第一应用功能网元之间的通信密钥包括：当所述终端设备确定所述建立请求消息携带的是所述第一密钥的标识信息，则所述终端设备确定使用所述第一密钥推演所述终端设备和所述第一应用功能网元之间的通信密钥。11.根据权利要求10所述的方法，其特征在于，所述终端设备确定所述建立请求消息携带的是所述第一密钥的标识信息，包括：所述终端设备根据第一应用会话上下文中的第一密钥的标识信息确定所述建立请求消息携带的是所述第一密钥的标识信息。12.根据权利要求1-11任一所述的方法，其特征在于，所述方法还包括：所述终端设备发送所述第一鉴权请求消息的响应消息后，保存发送所述建立请求消息和所述重鉴权流程的先后关系。13.根据权利要求1-12中任一项所述的方法，其特征在于，所述方法还包括：当携带所述第一密钥的标识信息的应用会话请求消息都得到了响应，所述终端设备删除所述第一密钥和所述第一密钥的标识信息。14.根据权利要求1-12中任一项所述的方法，其特征在于，所述方法还包括：当所述终端设备未得到响应消息的应用会话请求消息都为所述重鉴权流程之后发送的，所述终端设备删除所述第一密钥和所述第一密钥的标识信息。15.根据权利要求1-14中任一项所述的方法，其特征在于，所述方法还...

【专利技术属性】
技术研发人员：郭龙华，李赫，吴荣，吴义壮，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：