密钥分发方法、系统和相关设备技术方案

本发明专利技术公开了一种密钥分发方法、系统和相关设备，涉及网络安全领域。密钥分发方法包括：密钥管理装置响应于获取终端发送的建立安全会话的申请，从AAnF网元获取会话密钥；密钥管理装置向终端发送安全会话建立响应；密钥管理装置接收终端发送的应用密钥获取请求，其中，应用密钥获取请求包括终端用户的用户标识和应用标识；密钥管理装置生成用户标识和应用标识对应的设备公钥和设备私钥；密钥管理装置使用会话密钥，对设备私钥加密；密钥管理装置将加密的设备私钥发送给终端，以便终端采用会话密钥对加密的设备私钥进行解密，获得设备私钥；密钥管理装置将设备公钥发送给应用服务器的认证鉴权设备。的认证鉴权设备。的认证鉴权设备。

【技术实现步骤摘要】
密钥分发方法、系统和相关设备


[0001]本专利技术涉及网络安全领域，特别涉及一种密钥分发方法、系统和相关设备。

技术介绍

[0002]目前物联网场景设计一套流程简化、轻量级的应用层认证和密钥管理方法——AKMA(Authentication and Key Management for Applications，应用层的身份验证和密钥管理)。AKMA是应用与运营商强绑定的，即完成主认证就相当于完成了业务认证，应用完全信任运营商的认证结果，可直接通过网络主认证密钥派生会话密钥进行安全通信。
[0003]目前，很多设备有访问多个应用的需求。例如在智慧家庭场景中，一个设备需安装多个传感设备，访问多个应用并进行多次认证，AKMA安全机制不能满足这种需求。
[0004]工业互联网场景对设备的安全性要求较高，一般会先进行网络层的主认证，再进行应用层二次认证。在相关技术中，有两种二次认证的实现方法：第一种方法为，在设备内预置初始应用密钥；第二种方法为，在设备内增加一个密码模块以生成设备公私钥对，用于进行应用层认证。

技术实现思路

[0005]专利技术人经过分析后发现，相关技术中的第一种方法存在大规模初始密钥泄漏的风险；对于第二种方法，目前有很多工业设备相对老旧，性能低，计算有限，如果每个设备都增加密码模块会影响设备性能，并且成本较高。
[0006]本专利技术实施例所要解决的一个技术问题是：如何在降低对设备的性能影响的情况下，提高应用层初始密钥获得的安全性。
[0007]根据本专利技术一些实施例的第一个方面，提供一种密钥分发方法，包括：密钥管理装置响应于获取终端发送的建立安全会话的申请，从AAnF网元获取会话密钥，其中，会话密钥是AAnF网元基于应用层的身份验证和密钥管理AKMA根密钥生成的，并且，终端基于AKMA根密钥生成相同的会话密钥；密钥管理装置向终端发送安全会话建立响应；密钥管理装置接收终端发送的应用密钥获取请求，其中，应用密钥获取请求包括终端用户的用户标识和应用标识；密钥管理装置生成用户标识和应用标识对应的设备公钥和设备私钥；密钥管理装置使用会话密钥，对设备私钥加密；密钥管理装置将加密的设备私钥发送给终端，以便终端采用会话密钥对加密的设备私钥进行解密，获得设备私钥；密钥管理装置将设备公钥发送给应用服务器的认证鉴权设备，以便终端和认证鉴权设备分别采用设备私钥和设备公钥，执行应用层安全保护过程。
[0008]在一些实施例中，密钥管理装置响应于获取终端发送的建立安全会话的申请，从AAnF网元获取会话密钥包括：密钥管理装置接收终端发送的建立安全会话的申请，其中，建立安全会话的申请包括终端预先生成的AKMA根密钥标识；密钥管理装置向AAnF网元发送会话密钥获取请求，其中，会话密钥获取请求包括AKMA根密钥标识以及密钥管理装置的标识，以便AAnF网元根据AKMA根密钥标识确定预先获取的AKMA根密钥，并基于AKMA根密钥派生会
话密钥；密钥管理装置接收AAnF网元发送的会话密钥获取响应，其中，会话密钥获取响应包括会话密钥。
[0009]在一些实施例中，密钥分发方法还包括：密钥管理装置接收终端发送的应用密钥更新请求，其中，应用密钥更新请求包括终端用户的用户标识和应用标识；密钥管理装置更新用户标识和应用标识对应的设备公钥和设备私钥；密钥管理装置使用会话密钥，对更新的设备私钥加密；密钥管理装置将加密的、更新的设备私钥发送给终端，以便终端采用会话密钥对加密的、更新的设备私钥进行解密，获得更新的设备私钥；密钥管理装置将更新的设备公钥发送给应用服务器的认证鉴权设备。
[0010]在一些实施例中，密钥分发方法还包括：在终端与鉴权服务器功能AUSF完成主认证过程后，终端和AUSF生成AUSF基础密钥；AUSF基于AUSF基础密钥，生成AKMA根密钥和AKMA根密钥标识；终端基于AUSF基础密钥生成与AUSF相同的AKMA根密钥和AKMA根密钥标识；AUSF向AAnF网元发送AKMA登记请求，其中，AKMA登记请求包括用户标识、AKMA根密钥和AKMA根密钥标识；AUSF接收AAnF网元发送的AKMA登记响应。
[0011]在一些实施例中，密钥分发方法还包括：在终端进行网络注册的过程中，AUSF向统一数据管理UDM发送主认证请求，其中，主认证请求包括终端的用户标识；AUSF接收UDM发送的主认证响应，其中，主认证响应包括认证向量和AKMA标识，AKMA标识表示终端订阅了AKMA服务。
[0012]在一些实施例中，密钥管理装置部署在5G核心网5GC内，或者，通过网络开放功能NEF接入5GC。
[0013]根据本专利技术一些实施例的第二个方面，提供一种密钥管理装置，包括：会话密钥获取模块，被配置为响应于获取终端发送的建立安全会话的申请，从AAnF网元获取会话密钥，其中，会话密钥是AAnF网元基于AKMA根密钥生成的，并且，终端基于AKMA根密钥生成相同的会话密钥；响应模块，被配置为向终端发送安全会话建立响应；请求获取模块，被配置为接收终端发送的应用密钥获取请求，其中，应用密钥获取请求包括终端用户的用户标识和应用标识；生成模块，被配置为生成用户标识和应用标识对应的设备公钥和设备私钥；加密模块，被配置为使用会话密钥，对设备私钥加密；发送模块，被配置为将加密的设备私钥发送给终端，以便终端采用会话密钥对加密的设备私钥进行解密，获得设备私钥；以及，将设备公钥发送给应用服务器的认证鉴权设备，以便终端和认证鉴权设备分别采用设备私钥和设备公钥，执行应用层安全保护过程。
[0014]在一些实施例中，会话密钥获取模块进一步被配置为：接收终端发送的建立安全会话的申请，其中，建立安全会话的申请包括终端预先生成的AKMA根密钥标识；向AAnF网元发送会话密钥获取请求，其中，会话密钥获取请求包括AKMA根密钥标识以及密钥管理装置的标识，以便AAnF网元根据AKMA根密钥标识确定预先获取的AKMA根密钥，并基于AKMA根密钥派生会话密钥；接收AAnF网元发送的会话密钥获取响应，其中，会话密钥获取响应包括会话密钥；向终端发送安全会话建立响应。
[0015]在一些实施例中，密钥管理装置还包括：存储模块，被配置为存储用户标识和应用标识对应的设备公钥和设备私钥，以及AKMA根密钥标识。
[0016]在一些实施例中，密钥管理装置还包括：更新模块，被配置为在密钥管理装置接收终端发送的应用密钥更新请求后，更新用户标识和应用标识对应的设备公钥和设备私钥，
其中，应用密钥更新请求包括终端用户的用户标识和应用标识。
[0017]根据本专利技术一些实施例的第三个方面，提供一种密钥管理装置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器中的指令，执行前述任意一种密钥分发方法。
[0018]根据本专利技术一些实施例的第四个方面，提供一种密钥分发系统，包括：前述任意一种密钥管理装置；终端，被配置为与AUSF完成主认证过程后，基于AUSF基础密钥生成AKMA根密钥和AKMA根密钥标识；和，AUSF，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥分发方法，包括：密钥管理装置响应于获取终端发送的建立安全会话的申请，从应用层的身份验证和密钥管理AKMA锚点功能AAnF网元获取会话密钥，其中，所述会话密钥是所述AAnF网元基于AKMA根密钥生成的，并且，所述终端基于所述AKMA根密钥生成相同的会话密钥；所述密钥管理装置向所述终端发送安全会话建立响应；所述密钥管理装置接收所述终端发送的应用密钥获取请求，其中，所述应用密钥获取请求包括所述终端用户的用户标识和应用标识；所述密钥管理装置生成所述用户标识和所述应用标识对应的设备公钥和设备私钥；所述密钥管理装置使用所述会话密钥，对所述设备私钥加密；所述密钥管理装置将加密的设备私钥发送给所述终端，以便所述终端采用所述会话密钥对所述加密的设备私钥进行解密，获得所述设备私钥；所述密钥管理装置将所述设备公钥发送给应用服务器的认证鉴权设备，以便所述终端和所述认证鉴权设备分别采用所述设备私钥和所述设备公钥，执行应用层安全保护过程。2.根据权利要求1所述的密钥分发方法，其中，所述密钥管理装置响应于获取终端发送的建立安全会话的申请，从AAnF网元获取会话密钥包括：所述密钥管理装置接收所述终端发送的建立安全会话的申请，其中，所述建立安全会话的申请包括所述终端预先生成的AKMA根密钥标识；所述密钥管理装置向所述AAnF网元发送会话密钥获取请求，其中，所述会话密钥获取请求包括所述AKMA根密钥标识以及所述密钥管理装置的标识，以便所述AAnF网元根据所述AKMA根密钥标识确定预先获取的所述AKMA根密钥，并基于所述AKMA根密钥派生会话密钥；所述密钥管理装置接收所述AAnF网元发送的会话密钥获取响应，其中，所述会话密钥获取响应包括所述会话密钥。3.根据权利要求1所述的密钥分发方法，还包括：所述密钥管理装置接收所述终端发送的应用密钥更新请求，其中，所述应用密钥更新请求包括所述终端用户的用户标识和应用标识；所述密钥管理装置更新所述用户标识和所述应用标识对应的设备公钥和设备私钥；所述密钥管理装置使用所述会话密钥，对更新的所述设备私钥加密；所述密钥管理装置将加密的、更新的设备私钥发送给所述终端，以便所述终端采用所述会话密钥对所述加密的、更新的设备私钥进行解密，获得更新的所述设备私钥；所述密钥管理装置将更新的所述设备公钥发送给应用服务器的认证鉴权设备。4.根据权利要求1所述的密钥分发方法，还包括：在终端与鉴权服务器功能AUSF完成主认证过程后，所述终端和所述AUSF生成AUSF基础密钥；所述AUSF基于所述AUSF基础密钥生成AKMA根密钥和AKMA根密钥标识；所述终端基于所述AUSF基础密钥生成与所述AUSF相同的AKMA根密钥和AKMA根密钥标识；所述AUSF向AAnF网元发送AKMA登记请求，其中，所述AKMA登记请求包括所述用户标识、所述AKMA根密钥和所述AKMA根密钥标识；所述AUSF接收所述AAnF网元发送的AKMA登记响应。
5.根据权利要求1所述的密钥分发方法，还包括：在终端进行网络注册的过程中，所述AUSF向统一数据管理UDM发送主认证请求，其中，所述主认证请求包括所述终端的用户标识；所述AUSF接收所述UDM发送的主认证响应，其中，所述主认证响应包括认证向量和AKMA标识，所述AKMA标识表示所述终端订阅了AKMA服务。6.根据权利要求1所述的密钥分发方法，其中，所述密钥管理装置部署在5G核心网5GC内，或者，通过网络开放功能NEF接入5GC。7.一种密钥管理装置，包括：会话密钥获取模块，被配置为响应于获取终端发送的建立安全会话的申请，...

【专利技术属性】
技术研发人员：李金慧，于文良，黄铖斌，王聪丽，薛伟佳，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：