【技术实现步骤摘要】
密钥分发方法、系统和相关设备
[0001]本专利技术涉及网络安全领域,特别涉及一种密钥分发方法、系统和相关设备。
技术介绍
[0002]目前物联网场景设计一套流程简化、轻量级的应用层认证和密钥管理方法——AKMA(Authentication and Key Management for Applications,应用层的身份验证和密钥管理)。AKMA是应用与运营商强绑定的,即完成主认证就相当于完成了业务认证,应用完全信任运营商的认证结果,可直接通过网络主认证密钥派生会话密钥进行安全通信。
[0003]目前,很多设备有访问多个应用的需求。例如在智慧家庭场景中,一个设备需安装多个传感设备,访问多个应用并进行多次认证,AKMA安全机制不能满足这种需求。
[0004]工业互联网场景对设备的安全性要求较高,一般会先进行网络层的主认证,再进行应用层二次认证。在相关技术中,有两种二次认证的实现方法:第一种方法为,在设备内预置初始应用密钥;第二种方法为,在设备内增加一个密码模块以生成设备公私钥对,用于进行应用层认证。
技术实现思路
[0005]专利技术人经过分析后发现,相关技术中的第一种方法存在大规模初始密钥泄漏的风险;对于第二种方法,目前有很多工业设备相对老旧,性能低,计算有限,如果每个设备都增加密码模块会影响设备性能,并且成本较高。
[0006]本专利技术实施例所要解决的一个技术问题是:如何在降低对设备的性能影响的情况下,提高应用层初始密钥获得的安全性。
[0007]根据本专利技 ...
【技术保护点】
【技术特征摘要】
1.一种密钥分发方法,包括:密钥管理装置响应于获取终端发送的建立安全会话的申请,从应用层的身份验证和密钥管理AKMA锚点功能AAnF网元获取会话密钥,其中,所述会话密钥是所述AAnF网元基于AKMA根密钥生成的,并且,所述终端基于所述AKMA根密钥生成相同的会话密钥;所述密钥管理装置向所述终端发送安全会话建立响应;所述密钥管理装置接收所述终端发送的应用密钥获取请求,其中,所述应用密钥获取请求包括所述终端用户的用户标识和应用标识;所述密钥管理装置生成所述用户标识和所述应用标识对应的设备公钥和设备私钥;所述密钥管理装置使用所述会话密钥,对所述设备私钥加密;所述密钥管理装置将加密的设备私钥发送给所述终端,以便所述终端采用所述会话密钥对所述加密的设备私钥进行解密,获得所述设备私钥;所述密钥管理装置将所述设备公钥发送给应用服务器的认证鉴权设备,以便所述终端和所述认证鉴权设备分别采用所述设备私钥和所述设备公钥,执行应用层安全保护过程。2.根据权利要求1所述的密钥分发方法,其中,所述密钥管理装置响应于获取终端发送的建立安全会话的申请,从AAnF网元获取会话密钥包括:所述密钥管理装置接收所述终端发送的建立安全会话的申请,其中,所述建立安全会话的申请包括所述终端预先生成的AKMA根密钥标识;所述密钥管理装置向所述AAnF网元发送会话密钥获取请求,其中,所述会话密钥获取请求包括所述AKMA根密钥标识以及所述密钥管理装置的标识,以便所述AAnF网元根据所述AKMA根密钥标识确定预先获取的所述AKMA根密钥,并基于所述AKMA根密钥派生会话密钥;所述密钥管理装置接收所述AAnF网元发送的会话密钥获取响应,其中,所述会话密钥获取响应包括所述会话密钥。3.根据权利要求1所述的密钥分发方法,还包括:所述密钥管理装置接收所述终端发送的应用密钥更新请求,其中,所述应用密钥更新请求包括所述终端用户的用户标识和应用标识;所述密钥管理装置更新所述用户标识和所述应用标识对应的设备公钥和设备私钥;所述密钥管理装置使用所述会话密钥,对更新的所述设备私钥加密;所述密钥管理装置将加密的、更新的设备私钥发送给所述终端,以便所述终端采用所述会话密钥对所述加密的、更新的设备私钥进行解密,获得更新的所述设备私钥;所述密钥管理装置将更新的所述设备公钥发送给应用服务器的认证鉴权设备。4.根据权利要求1所述的密钥分发方法,还包括:在终端与鉴权服务器功能AUSF完成主认证过程后,所述终端和所述AUSF生成AUSF基础密钥;所述AUSF基于所述AUSF基础密钥生成AKMA根密钥和AKMA根密钥标识;所述终端基于所述AUSF基础密钥生成与所述AUSF相同的AKMA根密钥和AKMA根密钥标识;所述AUSF向AAnF网元发送AKMA登记请求,其中,所述AKMA登记请求包括所述用户标识、所述AKMA根密钥和所述AKMA根密钥标识;所述AUSF接收所述AAnF网元发送的AKMA登记响应。
5.根据权利要求1所述的密钥分发方法,还包括:在终端进行网络注册的过程中,所述AUSF向统一数据管理UDM发送主认证请求,其中,所述主认证请求包括所述终端的用户标识;所述AUSF接收所述UDM发送的主认证响应,其中,所述主认证响应包括认证向量和AKMA标识,所述AKMA标识表示所述终端订阅了AKMA服务。6.根据权利要求1所述的密钥分发方法,其中,所述密钥管理装置部署在5G核心网5GC内,或者,通过网络开放功能NEF接入5GC。7.一种密钥管理装置,包括:会话密钥获取模块,被配置为响应于获取终端发送的建立安全会话的申请,...
【专利技术属性】
技术研发人员:李金慧,于文良,黄铖斌,王聪丽,薛伟佳,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。