一种密钥生成方法及设备技术

一种密钥生成方法及设备，该方法包括：在终端完成初始注册认证后，AUSF根据所述终端的初始注册认证中生成的AUSF密钥K

【技术实现步骤摘要】
一种密钥生成方法及设备
本专利技术涉及网络信息安全
，具体涉及一种密钥生成方法及设备。
技术介绍
5G安全技术中引入了一个重要的特性(feature)，即利用运营商网络的认证和安全机制为第三方应用提供认证和会话密钥能力，即应用层认证和会话密钥管理(AKMA，AuthenticationandKeyManagementforApplications，以保障用户终端与应用服务器之间的会话安全。目前，相关密钥的生成方式尚未确定。
技术实现思路
本专利技术的至少一个实施例提供了一种密钥生成方法、终端及网络设备，解决了密钥生成的问题。根据本专利技术的一个方面，至少一个实施例提供了一种密钥生成方法，应用于认证服务器功能AUSF，包括：在终端完成初始注册认证后，AUSF根据所述终端的初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA并生成所述KAKMA的密钥标识。根据本专利技术的至少一个实施例，所述预设参数包括以下参数中的一种或多种：认证向量中的随机数RAND；认证向量中的序列号AK表示用于隐藏序列号的临时密钥；应用层认证和会话密钥管理锚点功能AAnF的标识AAnF_id。根据本专利技术的至少一个实施例，所述AUSF按照以下公式，生成KAKMA：其中，KDF表示预设的密钥派生函数；AK表示用于隐藏序列号的临时密钥；RAND、和AAnF_id构成所述密钥派生函数的输入字符串S。<br>根据本专利技术的至少一个实施例，所述认证向量是基于5G认证与密钥协商AKA协议生成的，或者是基于扩展认证协议-认证与密钥协商EAP-AKA’协议生成的。根据本专利技术的至少一个实施例，生成所述KAKMA的密钥标识,包括：所述AUSF根据所述随机数和AAnF_id，生成所述KAKMA的密钥标识。根据本专利技术的至少一个实施例，所述方法还包括：将所述KAKMA的密钥标识发送给所述终端。根据本专利技术的另一方面，至少一个实施例提供了一种密钥生成方法，应用于终端，包括：在终端完成初始注册认证后，所述终端根据初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA。根据本专利技术的至少一个实施例，所述预设参数包括以下参数中的一种或多种：认证向量中的随机数RAND；认证向量中的序列号AK表示用于隐藏序列号的临时密钥；应用层认证和会话密钥管理锚点功能AAnF的标识AAnF_id。根据本专利技术的至少一个实施例，所述终端按照以下公式，生成KAKMA：其中，KDF表示预设的密钥派生函数；AK表示用于隐藏序列号的临时密钥；RAND、和AAnF_id构成所述密钥派生函数的输入字符串S。根据本专利技术的至少一个实施例，所述认证向量是基于5G认证与密钥协商AKA协议生成的，或者是基于扩展认证协议-认证与密钥协商EAP-AKA’协议生成的。根据本专利技术的至少一个实施例，所述方法还包括：接收所述AUSF发送的所述中间密钥KAKMA的密钥标识。根据本专利技术的另一方面，至少一个实施例提供了一种密钥生成方法，应用于应用层认证和会话密钥管理锚点功能AAnF，包括：AAnF接收应用功能AF发送的密钥请求，所述密钥请求携带有所述AF的AF标识以及来自终端的应用层认证和会话密钥管理AKMA中间密钥KAKMA的密钥标识；AAnF根据所述密钥请求，从认证服务器功能AUSF处获取所述KAKMA的密钥标识对应的AKMA中间密钥KAKMA；AAnF根据AKMA中间密钥KAKMA以及所述AF标识AF_id，生成应用功能密钥KAF并发送给所述AF。根据本专利技术的至少一个实施例，所述KAKMA是所述AUSF根据所述终端的初始注册认证中生成的AUSF密钥KAUSF和预设参数生成的。根据本专利技术的至少一个实施例，所述预设参数包括以下参数中的一种或多种：认证向量中的随机数RAND；认证向量中的序列号AK表示用于隐藏序列号的临时密钥；应用层认证和会话密钥管理锚点功能AAnF的标识AAnF_id。根据本专利技术的至少一个实施例，所述AAnF按照以下公式，生成KAF：KAF＝KDF(KAKMA，AF_id)其中，KDF表示预设的密钥派生函数；所述AF_id为应用服务器AF的表示ID。根据本专利技术的另一方面，至少一个实施例提供了一种AUSF，包括：中间密钥生成模块，用于在终端完成初始注册认证后，根据所述终端的初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA并生成所述KAKMA的密钥标识。根据本专利技术的另一方面，至少一个实施例提供了一种AUSF，包括收发机和处理器，其中，所述处理器，用于在终端完成初始注册认证后，根据所述终端的初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA并生成所述KAKMA的密钥标识。根据本专利技术的另一方面，至少一个实施例提供了一种AUSF，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现如上所述的密钥生成方法的步骤。根据本专利技术的另一方面，至少一个实施例提供了一种终端，包括：中间密钥生成模块，用于在终端完成初始注册认证后，根据初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA。根据本专利技术的另一方面，至少一个实施例提供了一种终端，包括收发机和处理器，其中，所述处理器，用于在终端完成初始注册认证后，根据初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA。根据本专利技术的另一方面，至少一个实施例提供了一种终端，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现如上所述的密钥生成方法的步骤。根据本专利技术的另一方面，至少一个实施例提供了一种AAnF，包括：接收模块，用于接收应用功能AF发送的密钥请求，所述密钥请求携带有所述AF的AF标识以及来自终端的应用层认证和会话密钥管理AKMA中间密钥KAKMA的密钥标识；获取模块，用于根据所述密钥请求，从认证服务器功能AUSF处获取所述KAKMA的密钥标识对应的AKMA中间密钥KAKMA；生成模块，用于根据AKMA中间密钥KAKMA以及所述AF标识AF_id，生成应用功能密钥KAF并发送给所述AF。根据本专利技术的另一方面，至少一个实施例提供了一种AAnF，包括收发机和处理器，其中，所述收发机，用于接收应用功能AF发送的密钥请求，所述密钥请求携带有所述AF的AF标识以及来自终端的应用层认证和会话密钥管理本文档来自技高网...

【技术保护点】
1.一种密钥生成方法，应用于认证服务器功能AUSF，其特征在于，包括：/n在终端完成初始注册认证后，AUSF根据所述终端的初始注册认证中生成的AUSF密钥K

【技术特征摘要】
1.一种密钥生成方法，应用于认证服务器功能AUSF，其特征在于，包括：
在终端完成初始注册认证后，AUSF根据所述终端的初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA并生成所述KAKMA的密钥标识。


2.如权利要求1所述的方法，其特征在于，所述预设参数包括以下参数中的一种或多种：
认证向量中的随机数RAND；
认证向量中的序列号AK表示用于隐藏序列号的临时密钥；
应用层认证和会话密钥管理锚点功能AAnF的标识AAnF_id。


3.如权利要求2所述的方法，其特征在于，
所述AUSF按照以下公式，生成KAKMA：



其中，KDF表示预设的密钥派生函数；AK表示用于隐藏序列号的临时密钥；RAND、和AAnF_id构成所述密钥派生函数的输入字符串S。


4.如权利要求1所述的方法，其特征在于，
所述认证向量是基于5G认证与密钥协商AKA协议生成的，或者是基于扩展认证协议-认证与密钥协商EAP-AKA’协议生成的。


5.如权利要求1所述的方法，其特征在于，生成所述KAKMA的密钥标识,包括：
所述AUSF根据所述随机数和AAnF_id，生成所述KAKMA的密钥标识。


6.如权利要求1至5任一项所述的方法，其特征在于，还包括：
将所述KAKMA的密钥标识发送给所述终端。


7.一种密钥生成方法，应用于终端，其特征在于，包括：
在终端完成初始注册认证后，所述终端根据初始注册认证中生成的AUSF密钥KAUSF和预设参数，生成应用层认证和会话密钥管理AKMA中间密钥KAKMA。


8.如权利要求7所述的方法，其特征在于，所述预设参数包括以下参数中的一种或多种：
认证向量中的随机数RAND；
认证向量中的序列号AK表示用于隐藏序列号的临时密钥；
应用层认证和会话密钥管理锚点功能AAnF的标识AAnF_id。


9.如权利要求8所述的方法，其特征在于，
所述终端按照以下公式，生成KAKMA：



其中，KDF表示预设的密钥派生函数；AK表示用于隐藏序列号的临时密钥；RAND、和AAnF_id构成所述密钥派生函数的输入字符串S。


10.如权利要求7所述的方法，其特征在于，
所述认证向量是基于5G认证与密钥协商AKA协议生成的，或者是基于扩展认证协议-认证与密钥协商EAP-AKA’协议生成的。


11.如权利要求7至10任一项所述的方法，其特征在于，还包括：
接收所述AUSF发送的所述中间密钥KAKMA的密钥标识。


12.一种密钥生成方法，应用于应用层认证和会话密钥管理锚点功能AAnF，其特征在于，包括：
AAnF接收应用功能AF发送的密钥请求，所述密钥请求携带有所述AF的AF标识以及来自终端的应用层认证和会话密钥管理AKMA中间密钥KAKMA的密钥标识；
AAnF根据所述密钥请求，从认证服务器功能AUSF处获取所述KAKMA的密钥标识对应的AKMA中间密钥KAKMA；
AAnF根据AKMA中间密钥KAKMA以及所述AF标识AF_id，生成应用功能密钥KAF并发送给所述AF。


13.如权利要求12所述的方法，其特征在于，
所述KAKMA是所述AUSF根据所述终端的初始注册认证中生成的AUSF密钥KAUSF和预设参数生成的。


14.如权利要求13所述的方法，其特征在于，所述预设参数包括以下参...

【专利技术属性】
技术研发人员：黄晓婷，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团有限公司，
类型：发明
国别省市：北京;11