一种密钥获取方法及相关装置制造方法及图纸

本申请实施例提供一种安全认证方法及相关装置，应用于短距离通信领域，尤其涉及座舱域通信。所述方法包括：第一节点接收来自第二节点的第一关联请求消息，所述第一关联请求消息包括第一新鲜性参数；所述第一节点获取第一预共享密钥PSK；其中，所述第一PSK对应于所述第二节点的身份标识；所述第一PSK为根据来自所述第二节点的第二新鲜性参数和来自所述第一节点的第三新鲜性参数生成的PSK，所述第一PSK用于验证所述第二节点的身份。采用本申请实施例，能够提高通信的安全性。能够提高通信的安全性。能够提高通信的安全性。

【技术实现步骤摘要】
一种密钥获取方法及相关装置
[0001]本申请是分案申请，原申请的申请号是202080015291.5，原申请日是2020年5月29日，原申请的全部内容通过引用结合在本申请中。


[0002]本专利技术涉及通信
，尤其涉及短距离通信
，例如座舱域通信。具体涉及一种密钥获取方法及相关装置。

技术介绍

[0003]在信息化飞速发展的今天，移动终端，不管是手机、平板还是其他可携带式智能终端，都是我们不可缺少的重要个人智能工具，我们在享受着信息化带来的便利的同时，也面临着安全漏洞和隐私泄露的威胁。以智能汽车为例，随着车辆通信的广泛应用，无线通信也给汽车带来了一系列的安全隐患。例如，通过现有的距离通信技术，黑客可能入侵车载信息系统，获取车辆信息，甚至远程操控汽车，对用户隐私以及车辆安全具有极高的威胁性，全球数百万台汽车受影响。
[0004]因此，为了保证通信的安全，在两个节点通信之前，通常会采用配对模式进行关联，现有的两个节点关联时，通常通过输入口令进行配对，或者直接使用开放的模式。例如，蓝牙耳机配对时，可以通过直接点击对方名称即可连接，再如，公共场合的开放式Wi
‑
Fi常常无需输入密码，即使需要输入密码，由于Wi
‑
Fi密码通常是容易泄漏的，往往也难以保证通信的安全，容易导致数据泄漏，使得用户隐私及安全受到威胁。对于通信系统来说，尤其对于车载通信系统，这种情况容易造成车辆受到不信任的连接，导致车辆与身份不可信的攻击者进行通信，危及驾乘人员的人身安全。
[0005]因此，如何提高节点通信的安全性是本领域技术人员正在研究的技术问题。

技术实现思路

[0006]本申请实施例公开了一种密钥获取方法及相关装置，能够提高通信的安全性。
[0007]第一方面，本申请实施例公开了一种密钥获取方法，该方法包括：
[0008]第一节点接收来自第二节点的第一关联请求消息，该第一关联请求消息包括第一新鲜性参数；
[0009]第一节点获取第一预共享密钥PSK；其中，该第一PSK对应于第二节点的身份标识；该第一PSK为根据来自第二节点的第二新鲜性参数和来自第一节点的第三新鲜性参数生成的PSK。进一步，该第一PSK用于验证所述第二节点的身份。
[0010]上述方法中，PSK是第一节点与第二节点之间共享的一个秘密值。第一节点通过来自第二节点的第二新鲜性参数和来自第一节点的第三新鲜性参数来生成第一PSK，并将所述第一PSK对应第二节点的身份标识，用来验证第二节点的身份(例如，第二节点根据PSK生成身份认证信息，第一节点通过第一PSK可以来验证第二节点的身份认证信息；再如，第二节点通过PSK(或者根据PSK推演出来的密钥)对消息内容进行加密或者完整性保护，第一节
点可以通过第一PSK获取来自第二节点的消息内容)。这样一来，若攻击者想要冒用第二节点的身份标识来关联第一节点，由于生成第一PSK的第二新鲜性参数和第三新鲜性参数可以是在第一关联请求消息之前获取的，例如可以是第一节点与第二节点第一次关联时获取的，由于之前获取的数据通常是难以被破解的，从而使得攻击者无法伪造PSK，因此无法通过第一节点的身份验证，进而避免了第一节点与不可信的节点连接，提高了第一节点的通信安全性。
[0011]在第一方面的一种可能的实施方式中，上述方法还包括：
[0012]第一节点向第二节点发送第一认证请求消息，该第一认证请求消息包括第一身份认证信息和第四新鲜性参数，其中，该第一身份认证信息为根据所述第一PSK和第一新鲜性参数生成的。
[0013]在上述方法中，由于PSK是第一节点与第二节点之间共享的秘密值，因此第一节点中的第一PSK通常与第二节点中的第二PSK具有相同的值。第一节点根据第一PSK和第一新鲜性参数来生成第一身份认证信息，使得第二节点可以根据第二PSK来验证第一节点的身份，若第二节点中存储的第二PSK不能验证通过，说明第一节点身份不可信，从而可以避免第二节点与不可信的节点进行关联，提高了第二节点通信的安全性。
[0014]在第一方面的又一种可能的实施方式中，该方法还包括：
[0015]第一节点接收来自第二节点的第一认证响应消息，该第一认证响应消息中包括第二身份认证信息；
[0016]若第一节点根据第一PSK和第四新鲜性参数验证第二身份认证信息通过，则第一节点向第二节点发送第一关联响应消息。
[0017]上述方法中，在第一节点与第二节点进行通信之前，第一节点与第二节点先通过身份认证信息来确定双方的身份。在身份认证通过后，才允许进行通信，从而避免了不可信的节点接入，提高了节点通信的安全性。
[0018]在第一方面的又一种可能的实施方式中，第一节点获取第一预共享密钥PSK，包括：
[0019]根据第一PSK与第二节点的身份标识的对应关系，获取第一PSK。
[0020]上述方法中，第一节点中存在第一PSK与第二节点的身份标识的对应关系，可以说明该第二节点之前已经关联过所述第一节点或者第一节点中预先配置有第二节点的身份标识对应的第一PSK，因此第一节点可以根据对应关系获取第一PSK。
[0021]在第一方面的又一种可能的实施方式中，第一节点中存在有第一对应关系集合；第一节点获取第一预共享密钥PSK，包括：
[0022]通过第一对应关系集合，根据第一PSK与第二节点的身份标识的对应关系，获取第一PSK。
[0023]可以看出，第一节点可以通过对应关系集合的形式来存储第一PSK与第二节点的身份标识的对应关系。
[0024]在第一方面的又一种可能的实施方式中，第一节点获取第一预共享密钥PSK，包括：
[0025]第一节点根据第一新鲜性参数和第四新鲜性参数生成第一PSK；其中，该第一新鲜性参数为上述第二新鲜性参数，该第四新鲜性参数为上述第三新鲜性参数。
[0026]在上述方法中，第一PSK是根据第一关联请求消息中的第一新鲜性参数和来自第一节点的第四新鲜性参数来生成的。通常来说，在第一节点与第二节点第一次进行关联时或者第一节点删除了对应关系的情况下，第一节点中不存在与所述第二节点的身份标识对应的PSK，因此第一节点可以根据第一新鲜性参数和第四新鲜性参数生成新的第一PSK，用于验证第二节点的身份。
[0027]在第一方面的又一种可能的实施方式中，在第一节点根据第一新鲜性参数和第四新鲜性参数生成第一PSK之前，还包括：
[0028]第一节点获取第一确认指示信息，该第一确认指示信息表征允许与所述第二节点关联。
[0029]可以看出，在生成新的第一PSK时，需要获得用户的确认。这样一来，若攻击者使用自己的身份标识连接第一节点时，由于第一节点中没有攻击者的身份标识对应的PSK，因此可以由用户去验证新节点的身份，在获取第一确认指示信息后，才生成第一PSK，从而避免了第一节点与不可信的节点关联，保证了第一节点通信的安全性。
[0030]在第一方面的又一种可能的实施方本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥获取方法，其特征在于，包括：接收来自第二节点的第一关联请求消息，所述第一关联请求消息包括第一新鲜性参数；获取第一预共享密钥PSK；所述第一PSK为根据来自所述第二节点的第二新鲜性参数和来自第一节点的第三新鲜性参数生成的PSK。2.根据权利要求1所述的方法，其特征在于，所述获取第一预共享密钥PSK之后，所述方法还包括：向所述第二节点发送第一认证请求消息，所述第一认证请求消息包括第一身份认证信息和第四新鲜性参数，其中，所述第一身份认证信息为根据所述第一PSK和第一新鲜性参数生成的。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：接收来自所述第二节点的第一认证响应消息，所述第一认证响应消息中包括第二身份认证信息；若根据所述第一PSK和所述第四新鲜性参数验证所述第二身份认证信息通过，向所述第二节点发送第一关联响应消息。4.根据权利要求1
‑
3任一项所述的方法，其特征在于，所述获取第一预共享密钥PSK，包括：根据所述第一PSK与所述第二节点的身份标识的对应关系，获取所述第一PSK。5.根据权利要求2或3所述的方法，其特征在于，所述获取第一预共享密钥PSK，包括：根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第一PSK；其中，所述第一新鲜性参数为所述第二新鲜性参数，所述第四新鲜性参数为所述第三新鲜性参数。6.根据权利要求5所述的方法，其特征在于，在所述根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第一PSK之前，还包括：获取第一确认指示信息，所述第一确认指示信息表征允许与所述第二节点关联。7.根据权利要求5或6所述的方法，其特征在于，所述根据所述第一新鲜性参数和第四新鲜性参数生成所述第一PSK，包括：根据所述第一新鲜性参数、所述第四新鲜性参数和第一口令生成所述第一PSK，所述第一口令为接入密码。8.根据权利要求5或6所述的方法，其特征在于，所述第一关联请求消息中还包括第一密钥协商算法参数；所述根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第一PSK，包括：根据所述第一新鲜性参数、所述第四新鲜性参数、第一口令以及所述第一密钥协商算法参数生成所述第一PSK，所述第一口令为接入密码。9.根据权利要求5或6所述的方法，其特征在于，所述第一关联请求消息中还包括第一密钥协商算法参数；所述根据所述第一新鲜性参数和所述第四新鲜性参数生成第一PSK，包括：根据所述第一新鲜性参数、所述第四新鲜性参数、第一口令和中间密钥生成所述第一PSK，所述第一口令为接入密码；其中，所述中间密钥为根据所述第一新鲜性参数、所述第四
新鲜性参数和所述第一密钥协商算法参数生成的。10.根据权利要求7
‑
9中任一项所述的方法，其特征在于，所述方法还包括：若所述第一口令更新，删除所述第二节点的身份标识与所述第一PSK的对应关系。11.根据权利要求5
‑
9中任一项所述的方法，其特征在于，所述第一认证请求消息中还包括更新指示信息，所述更新指示信息用于指示PSK的更新。12.根据权利要求4所述的方法，其特征在于，所述方法还包括：若根据所述第一PSK和所述第四新鲜性参数验证所述第二身份认证信息不通过，则根据所述第一新鲜性参数和所述第四新鲜性参数生成第三PSK；向所述第二节点发送第二认证请求消息，所述第二认证请求消息包括第三身份认证信息，其中，所述第三身份认证信息为根据所述第三PSK和所述第一新鲜性参数生成的。13.根据权利要求12所述的方法，其特征在于，所述若根据所述第一PSK和所述第四新鲜性参数验证所述第二身份认证信息不通过，则根据所述第一新鲜性参数和所述第四新鲜性参数生成第三PSK，包括：若根据所述第一PSK和所述第四新鲜性参数验证所述第二身份认证信息不通过，则获取第二确认指示信息，所述第二确认指示信息表征允许生成所述第三PSK；根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第三PSK。14.根据权利要求12或13所述的方法，其特征在于，所述方法还包括：接收来自所述第二节点的第二认证响应消息，所述第二认证响应消息中包括第四身份认证信息；若根据所述第三PSK和所述第四新鲜性参数验证所述第四身份认证信息通过，则向所述第二节点发送第二关联响应消息。15.一种密钥获取方法，其特征在于，包括：向第一节点发送第一关联请求消息，所述第一关联请求消息中包括第一新鲜性参数；接收来自所述第一节点的第一认证请求消息，所述第一认证请求消息中包括第四新鲜性参数；获取第二预共享密钥PSK；所述第二PSK为根据来自第二节点的第二新鲜性参数和来自所述第一节点的第三新鲜性参数生成的PSK，所述第二PSK用于验证所述第一节点的身份。16.根据权利要求15所述的方法，其特征在于，所述第一认证请求消息中还包括第一身份认证信息，所述方法还包括：若根据所述第二PSK和所述第一新鲜性参数验证所述第一身份认证信息通过，则向所述第一节点发送第一认证响应消息，所述第一认证响应消息中包括第二身份认证信息，所述第二身份认证信息为根据所述第二PSK和所述第四新鲜性参数生成的；接收来自所述第一节点的第一关联响应消息。17.根据权利要求15或16所述的方法，其特征在于，所述获取第二预共享密钥PSK，包括：根据所述第二PSK与所述第一节点的身份标识的对应关系，获取所述第二PSK。18.根据权利要求15或16所述的方法，其特征在于，所述获取第二预共享密钥PSK，包括：根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第二PSK；
其中，所述第一新鲜性参数为所述第二新鲜性参数，所述第四新鲜性参数为所述第三新鲜性参数。19.根据权利要求18所述的方法，其特征在于，所述根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第二PSK之前，所述方法还包括：获取第三确认指示信息，所述第三确认指示信息表征允许生成所述第二PSK。20.根据权利要求18或19所述的方法，其特征在于，所述根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第二PSK，包括：根据所述第一新鲜性参数、所述第四新鲜性参数和第一口令生成所述第二PSK，所述第一口令为所述第一节点的接入密码。21.根据权利要求18或19所述的方法，其特征在于，所述第一认证请求消息中还包括第二密钥协商算法参数；所述根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第二PSK，包括：根据所述第一新鲜性参数、所述第四新鲜性参数、第一口令以及所述第二密钥协商算法参数生成所述第二PSK，所述第一口令为所述第一节点的接入密码。22.根据权利要求18或19所述的方法，其特征在于，所述第一认证请求消息中还包括第二密钥协商算法参数；所述根据所述第一新鲜性参数和所述第四新鲜性参数生成第二PSK，包括：根据所述第一新鲜性参数、所述第四新鲜性参数、第一口令和中间密钥生成所述第二PSK，所述第一口令为接入密码；其中，所述中间密钥为根据所述第一新鲜性参数、所述第四新鲜性参数和所述第二密钥协商算法参数生成的。23.根据权利要求20
‑
22中任一项所述的方法，其特征在于，所述方法还包括：若所述第一口令更新，则删除所述第一节点的身份标识与所述第二PSK对应关系。24.根据权利要求18
‑
23中任一项所述的方法，其特征在于，所述第一认证请求消息中还包括更新指示信息，所述更新指示信息用于指示PSK的更新。25.根据权利要求17所述的方法，其特征在于，所述方法还包括：若根据所述第二PSK和所述第一新鲜性参数验证所述第一身份认证信息不通过，则根据所述第一新鲜性参数和所述第四新鲜性参数生成第四PSK；向所述第一节点发送第三认证响应消息，所述第三认证响应消息包括第三身份认证信息，所述第三身份认证信息为根据所述第四PSK和所述第四新鲜性参数生成的。26.根据权利要求25所述的方法，其特征在于，所述方法还包括：接收来自所述第一节点的所述第三关联响应消息。27.根据权利要求25所述的方法，其特征在于，所述若所述第二节点根据第二PSK验证所述第一身份认证信息不通过，则所述第二节点根据所述第一新鲜性参数和所述第四新鲜性参数生成第四PSK，包括：若根据第二PSK验证所述第一身份认证信息不通过，则获取第四确认指示信息，所述第四确认指示信息表征允许生成所述第四PSK；根据所述第一新鲜性参数和所述第四新鲜性参数生成所述第四PSK。28.根据权利要求17所述的方法，其特征在于，所述方法还包括：若根据所述第二PSK和所述第一新鲜性参数验证所述第二身份认证信息不通过，则删
除所述第二PSK；向第一节点发送第二关联请求消息，所述第二关联请求消息中包括第五新鲜性参数。29.一种密钥获取装置，其特征在于，包括：接收单元，用于接收来自第二节点的第一关联请求消息，所述第一关联请求消息包括第一新鲜性参数；处理单元，用于获取第...

【专利技术属性】
技术研发人员：王勇，陈璟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：