CN111404667A

CN111404667A - 一种密钥生成方法、终端设备及网络设备

Info

Publication number: CN111404667A
Application number: CN201910000353.4A
Authority: CN
Inventors: 刘福文
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Communications Ltd Research Institute
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Communications Ltd Research Institute
Priority date: 2019-01-02
Filing date: 2019-01-02
Publication date: 2020-07-10
Anticipated expiration: 2039-01-02
Also published as: CN111404667B

Abstract

本发明公开了一种密钥生成方法、终端设备和网络设备，包括：基于长期密钥，确定第一密钥；基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对所述认证响应的身份认证成功信息时，基于所述本次密钥生成方式生成本次会话密钥；其中，所述至少一种会话密钥生成方式至少包括：基于第一密钥和所述终端设备存储的共享密钥，生成本次会话密钥的第一会话密钥生成方式。

Description

一种密钥生成方法、终端设备及网络设备

技术领域

本发明涉及信息处理技术领域，尤其涉及一种密钥生成方法、终端设备、网络设备以及计算机存储介质。

背景技术

5G将渗透到未来社会的各个领域，在构建以用户为中心的全方位信息生态系统中将起到关键作用。安全架构是5G网络正常运行的保障。认证协议是构建5G安全架构的基石。

第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)标准TS33.501定义了一种增强型扩展认证密钥协商协议(improved ExtensibleAuthentication Protocol Method for 3rd Generation Authentication and KeyAgreement，EAP-AKA’)用于UE和网络间的双向认证，而UE和网络进行相互认证的过程中，每次都要生成迪菲－赫尔曼密钥交换(Diffie–Hellman key exchange，DH)相关的参数。生成这些参数需要使用非对称加密算法，无疑会消耗大量的计算资源，这对于物联网终端尤其不可接受，因为，有较多物联网终端要求在使用有限容量电池的情况下能具备长时间的工作能力，非对称加密算法的大量使用会加快物联网设备能耗速度，缩短物联网设备的工作时长。

发明内容

为解决上述技术问题，本发明实施例提供了一种密钥生成方法、终端设备、网络设备以及计算机存储介质。

第一方面，提供一种密钥生成方法，应用于终端设备，所述方法包括：

基于长期密钥，确定第一密钥；

基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；

在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对所述认证响应的身份认证成功信息时，基于所述本次密钥生成方式生成本次会话密钥；

其中，所述至少一种会话密钥生成方式至少包括：基于第一密钥和所述终端设备存储的共享密钥，生成本次会话密钥的第一会话密钥生成方式。

第二方面，提供一种密钥生成方法，应用于网络设备，所述方法包括：

基于长期密钥，确定第一密钥；

基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；

基于终端设备发送的认证响应对所述终端设备认证成功时，生成针对所述认证响应的身份认证成功信息并发送至所述终端设备，基于所述本次会话密钥生成方式生成所述终端设备对应的本次会话密钥；

其中，所述至少一种会话密钥生成方式中至少包括：基于所述第一密钥和所述网络设备存储的共享密钥，生成本次会话密钥的第一会话密钥生成方式。

第三方面，提供一种终端设备，包括：

第一通信单元，用于接收网络侧发送的指示信息、认证信息和身份认证成功信息；

第一密钥生成单元，用于基于长期密钥，确定第一密钥；基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对所述认证响应的身份认证成功信息时，基于所述本次密钥生成方式生成本次会话密钥；

第四方面，提供一种终端设备，包括：

第一通信接口，用于接收网络侧发送的指示信息、认证信息和身份认证成功信息；

第一处理器，用于基于长期密钥，确定第一密钥；基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对所述认证响应的身份认证成功信息时，基于所述本次密钥生成方式生成本次会话密钥；

第五方面，提供一种网络设备，包括：

第二通信单元，用于向终端设备发送指示信息、认证信息和身份认证成功信息；

第二密钥生成单元，用于基于长期密钥，确定第一密钥；基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；基于终端设备发送的认证响应对所述终端设备认证成功时，生成针对所述认证响应的身份认证成功信息并发送至所述终端设备，基于所述本次会话密钥生成方式生成所述终端设备对应的本次会话密钥；

其中，所述至少一种会话密钥生成方式中至少包括：基于所述第一密钥和所述网络设备存储的共享密钥，生成本次会话密钥的第一会话密钥生成方式

第六方面，提供一种网络设备，包括：

第二通信接口，用于向终端设备发送指示信息、认证信息和身份认证成功信息；

第二处理器，用于基于长期密钥，确定第一密钥；基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；基于终端设备发送的认证响应对所述终端设备认证成功时，生成针对所述认证响应的身份认证成功信息并发送至所述终端设备，基于所述本次会话密钥生成方式生成所述终端设备对应的本次会话密钥；

第七方面，提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第一方面所述的信息识别方法的步骤。

第八方面，提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第二方面所述的信息识别方法的步骤。

第九方面，提供一种密钥生成系统，其中，所述系统包括：至少一个终端设备、鉴权服务功能AUSF实体；其中，

所述终端设备，用于基于长期密钥，确定第一密钥；基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对所述认证响应的身份认证成功信息时，基于所述本次密钥生成方式生成本次会话密钥；

所述AUSF实体，用于基于所述终端设备对应的长期密钥，确定与所述终端设备对应的第一密钥；基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；基于终端设备发送的认证响应对所述终端设备认证成功时，生成针对所述认证响应的身份认证成功信息并发送至所述终端设备，基于所述本次会话密钥生成方式生成所述终端设备对应的本次会话密钥；

本发明实施例提供的密钥生成方法，在进行密钥交换时，终端设备可以根据长期密钥和共享密钥来生成会话密钥，网络侧通过向终端设备发送指示信息，来指示终端设备使用存储的共享密钥生成会话密钥，无需终端设备采用非对称加密算法为本次会话生成新的共享密钥。如此，通过重用共享密钥，降低了密钥交换协议中非对称加密算法的使用量，降低终端设备功耗。

附图说明

图1是现有技术中密钥生成方法的示意性图；

图2是本申请实施例提供的一种密钥生成方法示意性图1；

图3为本发明实施例提供的一种密钥生成方法流程示意图2；

图4为本发明实施例提供的一种密钥生成方法流程示意图3；

图5为本发明实施例提供的一种终端设备组成结构示意图1；

图6为本发明实施例提供的一种终端设备组成结构示意图2；

图7为本发明实施例提供的一种网络设备组成结构示意图1；

图8为本发明实施例提供的一种网络设备组成结构示意图2；

图9为本发明实施例提供的一种系统组成结构示意图。

具体实施方式

AKA依靠存储在全球用户识别卡(Universal Subscriber Identity Module，USIM)中的根密钥K实现UE和网络之间的相互认证，并导出会话密钥。安全的假设条件是根密钥K除了网络运营商外，别人都不知道。然而，这种假设并不总是正确的，因为根密钥K可能在USIM卡的生产阶段就已被泄露。因此，被动攻击者可以使用从根密钥K，以及UE和网络之间交换消息而衍生的会话密钥来窃听通信。一个主动攻击者可能会利用偷来的大量根密钥K伪造基站而发起中间人攻击。根密钥泄密已经在TR33.899中的5.2.3.2节被认为是一个关键问题。EAP-AKA’由于是基于AKA认证协议扩展而来，也会受到根密钥泄露的威胁。

针对上述根密钥泄露的问题，现有技术提出一种基于DH密钥交换协议增强EAP-AKA’安全性的方案，称为EAP-AKA’PFS(Perfect Forward Secrecy)方案。其原理是在UE和网络侧的认证服务器功能(Authentication Server Function，AUSF)相互认证过程中附带完成DH密钥交换协议，会话密钥的生成除了根密钥K外，还加入UE和网络间的DH共享密钥K_DH。攻击者即使知道根密钥K，因不知道DH共享密钥K_DH，也无法推导出会话密钥。

其中，EAP-AKA’PFS方案的密钥生成过程如图1所示，其具体步骤如下：

1、UDM/ARPF(Unified Data Management/Authentication credentialRepository and Processing Function)产生认证矢量AV(RAND、AUTN、XRES、CK’、IK’)，并解密SUCI(Subscription Concealed Identifier)得到UE的SUPI(SubscriptionPermanent Identifier)。

2、UDM/ARPF把认证矢量AV和SUPI发送给AUSF。

3、AUSF生成DH相关的参数。

具体地，AUSF首先生成自己的DH私钥AT_PRI_DH，并推导出AUSF的DH公钥AT_PUB_DH；并设置算法指示消息AT_KDF_DH的值为1，指示使用椭圆曲线Curve25519的DH密钥协议生成DH密钥相关参数。

4、AUSF向SEAF(SEcurity Anchor Function)发送认证请求(EAP-Request/AKA’-Challenge)消息，其包括认证矢量AV、AUSF的DH公钥AT_PUB_DH和算法指示消息AT_KDF_DH。

5、SEAF转发认证请求(EAP-Request/AKA’-Challenge)消息给UE。

6、UE基于RAND和AUTN对网络进行认证，若UE对网络认证成功则生成认证响应AT_RES。如果UE愿意进行DH密钥交换，首先生成UE的DH私钥AT_PRI_DH，并推导出UE的DH公钥AT_PUB_DH。

7、UE向SEAF发送认证回复(EAP-Response/AKA’-Challenge)消息，其包括认证响应AT_RES，AT_PUB_DH。

8、SEAF转发EAP-Response/AKA’-Challenge消息给AUSF。

9、AUSF接收到EAP-Response/AKA’-Challenge消息后，基于认证响应AT_RES，对UE进行认证。如果对UE认证成功，AUSF基于自己的私钥和收到UE的公钥AT_PUB_DH，生成DH共享密钥K_DH。使用由长期密钥推导出的IK’和CK’，以及DH共享密钥K_DH，推导出会话密钥，其过程如下：

MK＝PRF’(IK’|CK’,“EAP-AKA’”|Identity)

MK_DH＝PRF’(IK’|CK’|K_DH,“EAP-AKA’PFS”|Identity)

K_encr＝MK[0，…，127]

K_aut＝MK[128，…，383]

K_re＝MK_DH[0，…，255]

MSK＝MK_DH[256，…，767]

EMSK＝MK_DH[768，…，1279]

其中，PRF’是一个伪随机函数，“EAP-AKA’”|Identity是指辅助参数，可以是接入网名称，用于防止bidding down攻击。[n，…，m]表示MK或者MK_DH数据串中从第n位到第m位的子串。K_encr是128位加密密钥，K_aut是256位认证密钥，K_re是256位重新认证密钥，MSK是512位主会话密钥，EMSK是512位扩展主会话密钥。

10、AUSF向SEAF发送身份认证成功(EAP success)消息，EAP success消息中包括SUPI和EMSK，并推演出相应的会话密钥用于信令面数据和用户面数据保护。

11、SEAF向UE转发EAP success消息。UE使用自己的私钥和接收到的AUSF的公钥，生成DH共享密钥K_DH，并基于由长期密钥推导出的IK’和CK’，以及DH密钥K_DH，推导出本次会话密钥。其具体过程与步骤9中的过程相同，这里不再赘述。

这里，在AUSF和UE认证的过程中使用DH的方案虽然解决了攻击者知道长期密钥而能推演出会话密钥的问题。但是AUSF每次都要生成DH密钥交换相关的参数。生成这些参数需要使用非对称加密算法，要消耗大量的计算资源，这对于物联网终端不可接受，因为，有较多物联网终端要求在使用有限容量电池的情况下能具备长时间的工作能力，非对称加密算法的大量使用会加快物联网设备能耗速度，缩短物联网设备的工作时长。

为此，本发明实施例中提供了一种密钥生成方法，能够降低密钥交换协议中非对称加密算法的使用量，降低终端设备功耗。

如图2所示，本发明实施例提供了一种密钥生成方法，应用于终端设备，该方法包括：

步骤201、基于长期密钥，确定第一密钥；

步骤202、基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；

步骤203、在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对认证响应的身份认证成功信息时，基于本次密钥生成方式生成本次会话密钥；

其中，至少一种会话密钥生成方式至少包括：基于第一密钥和终端设备存储的共享密钥，生成本次会话密钥的第一会话密钥生成方式。

这里，步骤201至步骤203的执行主体可以为终端设备的处理器。

步骤201具体包括：网络侧设备基于长期密钥推演出第一密钥，并将第一密钥发送给终端设备，终端设备接收第一密钥。网络侧设备可以为网络侧具备AUSF功能的设备。

该方法还包括：终端设备接收网络侧发送的指示信息和认证信息；其中，指示信息是终端设备预设的，或者网络侧基于终端设备的安全级别确定的。具体的，根据终端设备的Profile中携带的指示信息确定使用何种会话密钥生成方式。关于终端设备的相关信息profile，可以在终端设备与网络侧进行签约的时候，写入统一数据管理(UDM，UnifiedData Management)中，然后当终端设备与网络需要进行DH密钥交换的时候，由UDM来确定终端设备采用哪种生成来生成会话密钥。认证信息是在5G通信认证过程中网络侧与终端进行相互认证时所需信息，认证信息中可以包括认证矢量(Authentication Vector，AV)、长期用户标识SUPI等信息。

具体的，终端设备接收网络侧具备AUSF功能的设备发送的指示信息和认证信息。

指示信息为以下任意一种：用于指示第一会话密钥生成方式的第一指示，用于指示第二会话密钥生成方式的第二指示，用于指示第三会话密钥生成方式的第三指示。

实际应用中，至少一种会话密钥生成方式中还包括：基于第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

将第一密钥作为本次会话密钥的第三会话密钥生成方式。

相应的，基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式，包括：指示信息为第一指示时，确定本次会话密钥生成方式为第一会话密钥生成方式；指示信息为第二指示时，确定本次会话密钥生成方式为第二会话密钥生成方式；指示信息为第三指示时，确定本次会话密钥生成方式为第三会话密钥生成方式。也就是说，指示信息用于指示终端设备在生成会话密钥时，重用共享密钥，生成新的共享密钥或者不使用共享密钥。

示例性的，第一会话密钥生成方式具体包括：对第一密钥和终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；第二会话密钥生成方式具体包括：对第一密钥和新的共享密钥进行伪随机运算，生成本次会话密钥。

该方法还包括：在指示信息为第二指示时，生成与网络侧共享的新的共享密钥；保存新的共享密钥。

也就是说，在终端设备连接网络生成共享密钥时，在初次使用第二会话密钥生成方式生成共享密钥时，将初次生成的共享密钥存储在终端设备的USIM卡上或信息不可篡改的存储区内。之后终端设备与网络进行DH会话密钥交换时，使用第一会话密钥生成方式指示终端设备重用存储的共享密钥生成会话密钥，无需终端设备每次都使用非对称加密算法生成新的共享密钥，能够降低密钥交换协议中非对称加密算法的使用量，降低终端设备功耗。

可选的，在下一次使用第二会话密钥生成方式生成共享密钥，利用新生成的共享密钥替换终端设备中存储的旧的共享密钥，之后终端设备与网络进行DH会话密钥交换时，使用第一会话密钥生成方式指示终端设备重用最新存储的共享密钥生成会话密钥。

可以理解为，终端设备存储的共享密钥可以是某一次会话密钥交换过程中新生成的共享密钥，比如，第一次生成的共享密钥；或者，在会话密钥交换过程中每生成一次新的共享密钥，就用新的共享密钥替换终端设备中存储的旧的共享密钥。

本实施例提供的方案，能够实现终端设备和网络侧的双向认证；这里，终端设备对网络认证成功后，首先生成认证响应发送至网络侧，网络侧基于认证响应后对UE进行认证；只有当网络侧对终端设备认证成功后，终端设备基于本次会话密钥生成方式，生成本次会话密钥。当网络侧基于认证响应认证成功时，生成终端设备对应的会话密钥，网络侧和终端设备根据得到的会话密钥进行通信。

参见图3，网络侧与终端设备进行密钥交换时，终端设备基于指示信息生成会话密钥的步骤如下：

1、UDM/ARPF产生认证矢量AV(RAND、AUTN、XRES、CK’、IK’)，并解密SUCI得到UE的长期用户标识SUPI。

其中，UDM/ARPF可以基于长期密钥生成CK’和IK’(即本发明实施例中的第一密钥)。

2、UDM/ARPF把认证矢量AV，SUPI，以及UE Profile发送给AUSF。

3、AUSF根据UE Profile确定AT_KDF_DH(即本发明实施例中的指示信息)的值。

具体地，如果AT_KDF_DH的值设为1(即第二指示)，指示使用椭圆曲线Curve25519生成新的DH相关参数。AUSF确定AT_KDF_DH的值设为1时，首先生成DH私钥AT_PRI_DH，并推导出AUSF的DH公钥AT_PUB_DH。

如果AT_KDF_DH的值设为x(即第一指示)时，指示重用存储的DH共享密钥；在此不生成DH共相关参数。

如果AT_KDF_DH的值设为y(即第三指示)时，指示不使用DH共享密钥；在此不生成DH相关参数。

4、AUSF向SEAF发送认证请求(EAP-Request/AKA’-Challenge)消息。

其中，认证请求消息中至少包括认证矢量AV(即认证信息)和AT_KDF_DH(指示信息)。

这里，若指示信息AT_KDF_DH的取值为1时，认证请求消息中还包括AUSF的DH公钥AT_PUB_DH。

5、SEAF转发认证请求(EAP-Request/AKA’-Challenge)消息给UE。

6、UE基于认证矢量AV中的RAND和AUTN，对网络进行认证。若认证成功，则生成认证响应AT_RES。

另外，UE还能够根据认证请求中携带的指示信息AT_KDF_DH，确定本次会话密钥生成方式。

具体地，若AT_KDF_DH取值为1，确定本次会话生成方式为基于第一密钥和新的共享密钥，生成本次会话密钥的会话密钥生成方式；这里，UE生成UE自己的DH私钥AT_PRI_DH，并推导出UE自己的DH公钥AT_PUB_DH。进一步，UE使用自己的DH私钥和收到的AUSF的DH公钥生成新的DH共享密钥K_DH，并将该新的DH共享密钥K_DH存储在USIM卡上或不可篡改的存储区内。

若AT_KDF_DH取值为x时，确定本次会话生成方式为基于第一密钥和终端设备存储的共享密钥，生成本次会话密钥的第一会话密钥生成方式。这里，不同生成新的DH共享密钥K_DH，在生成会话密钥时，使用之前存储的DH共享密钥K_DH。

若AT_KDF_DH取值为y(第三指示)时，则将第一密钥作为本次会话密钥的会话密钥生成方式。在该方式中，UE不用生成新的DH共享密钥K_DH，直接将第一密钥作为会话密钥。

7、UE向SEAF发送认证回复(EAP-Response/AKA'-Challenge)消息。该认证回复消息中至少包括认证响应AT_RES。

这里，若AT_KDF_DH的值为1，认证回复消息中还包括UE的DH公钥DHAT_PUB_DH。

8、SEAF转发认证回复(EAP-Response/AKA'-Challenge)消息给AUSF。

9、AUSF验证认证响应AT_RES，完成对UE的认证。如果认证成功，AUSF根据AT_KDF_DH的值使用不同方法推演出会话密钥。

具体地，AT_KDF_DH的值为1时，AUSF使用自己的DH私钥和收到UE的DH公钥AT_PUB_DH生成新的DH共享密钥K_DH。接着，AUSF根据确定的第一密钥(IK’和CK’)和新生成的DH共享密钥K_DH，推演出本次会话密钥，其过程如下：

MK＝PRF’(IK’|CK’,“EAP-AKA’”|Identity)

MK_DH＝PRF’(IK’|CK’|K_DH,“EAP-AKA’PFS”|Identity)

K_encr＝MK[0，…，127]

K_aut＝MK[128，…，383]

K_re＝MK_DH[0，…，255]

MSK＝MK_DH[256，…，767]

EMSK＝MK_DH[768，…，1279]

另外，当AT_KDF_DH的值为x时，AUSF根据确定的第一密钥(IK’和CK’)和系统中存储的DH共享密钥K_DH，推演出本次会话密钥，其过程如下：

MK＝PRF’(IK’|CK’,“EAP-AKA’”|Identity)

MK_DH＝PRF’(IK’|CK’|K_DH,“EAP-AKA’PFS”|Identity)

K_encr＝MK[0，…，127]

K_aut＝MK[128，…，383]

K_re＝MK_DH[0，…，255]

MSK＝MK_DH[256，…，767]

EMSK＝MK_DH[768，…，1279]

当AT_KDF_DH的值为y时，AUSF使用由长期密钥推演出的第一密钥(IK’和CK’)推导出本次会话密钥，其过程如下：

MK＝PRF’(IK’|CK’,“EAP-AKA’”|Identity)

K_encr＝MK[0..127]

K_aut＝MK[128..383]

K_re＝MK[0..255]

MSK＝MK[256..767]

EMSK＝MK[768..1279]

10、AUSF向SEAF发送身份认证成功(EAP success)信息，EAP success消息中包括SUPI和EMSK，并推演出相应的会话密钥用于信令面数据和用户面数据保护。

11、SEAF向UE转发身份认证成功信息。UE根据指示消息的AT_KDF_DH取值，生成本次会话密钥。其具体过程与步骤9中的过程相同，这里不再赘述。

如图4所示，本发明实施例提供了一种密钥生成方法，应用于网络设备，方法包括：

步骤401、基于长期密钥，确定第一密钥；

步骤402、基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；

步骤403、基于终端设备发送的认证响应对终端设备认证成功时，生成针对认证响应的身份认证成功信息并发送至终端设备，基于本次会话密钥生成方式生成终端设备对应的本次会话密钥；

其中，至少一种会话密钥生成方式中至少包括：基于第一密钥和网络设备存储的共享密钥，生成本次会话密钥的第一会话密钥生成方式。

这里，步骤401至步骤403的执行主体可以为网络设备的处理器。本实施例中所涉及的网络设备，可以认为是网络侧具备AUSF功能的设备。

该方法还包括：发送第一密钥给终端设备；发送指示信息和认证信息给终端设备。其中，指示信息是终端设备预设的，或者网络侧基于终端设备的安全级别确定的。具体的，根据终端设备的Profile中携带的指示信息确定使用何种会话密钥生成方式。关于终端设备的相关信息profile，可以在终端设备与网络侧进行签约的时候，写入UDM中，然后当终端设备与网络需要进行DH密钥交换的时候，由UDM来确定终端设备采用哪种生成来生成会话密钥。认证信息是在5G通信认证过程中网络侧与终端进行相互认证时所需信息，认证信息中可以包括AV、SUPI等信息。

将第一密钥作为本次会话密钥的第三会话密钥生成方式。

相应的，基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式，包括：指示信息为第一指示时，确定本次会话密钥生成方式为第一会话密钥生成方式；指示信息为第二指示时，确定本次会话密钥生成方式为第二会话密钥生成方式；指示信息为第三指示时，确定本次会话密钥生成方式为第三会话密钥生成方式。也就是说，指示信息用于指示网络设备在生成会话密钥时，重用共享密钥，生成新的共享密钥或者不使用共享密钥。

该方法还包括：在指示信息为第二指示时，生成与终端设备共享的新的共享密钥；保存新的共享密钥。

也就是说，在网络设备与终端设备连接生成共享密钥时，网络设备在初次使用第二会话密钥生成方式生成共享密钥时，将初次生成的共享密钥存储在网络设备上信息不可篡改的存储区内。之后终端设备与网络设备进行DH会话密钥交换时，使用第一会话密钥生成方式指示终端设备重用存储的共享密钥生成会话密钥，无需网络设备每次都使用非对称加密算法生成新的共享密钥，能够降低密钥交换协议中非对称加密算法的使用量，降低终端设备功耗。

可选的，在下一次使用第二会话密钥生成方式生成共享密钥，利用新生成的共享密钥替换网络设备中存储的旧的共享密钥，之后终端设备与网络进行DH会话密钥交换时，使用第一会话密钥生成方式指示网络设备重用最新存储的共享密钥生成会话密钥。

也就是说，网络设备存储的共享密钥可以是某一次会话密钥交换过程中新生成的共享密钥，比如，第一次生成的共享密钥；或者，在会话密钥交换过程中每生成一次新的共享密钥，就用新的共享密钥替换网络设备中存储的旧的共享密钥。

本实施例提供的方案，能够实现终端设备和网络侧的双向认证；这里，网络设备接收到终端设备发送的认证响应之后，对终端设备进行认证，当认证成功后，需要将针对认证响应的身份认证成功消息发送至终端设备，以使得终端设备生成本次会话密钥。同时，网络设备根据确定的会话生成方式生成本次会话密钥；生成终端设备对应的会话密钥，网络侧和终端设备根据得到的会话密钥进行通信。

2、UDM/ARPF把认证矢量AV，SUPI，以及UE Profile发送给AUSF。

4、AUSF向SEAF发送认证请求(EAP-Request/AKA’-Challenge)消息。

5、SEAF转发认证请求(EAP-Request/AKA’-Challenge)消息给UE。

8、SEAF转发认证回复(EAP-Response/AKA'-Challenge)消息给AUSF。

MK＝PRF’(IK’|CK’,“EAP-AKA’”|Identity)

MK_DH＝PRF’(IK’|CK’|K_DH,“EAP-AKA’PFS”|Identity)

K_encr＝MK[0，…，127]

K_aut＝MK[128，…，383]

K_re＝MK_DH[0，…，255]

MSK＝MK_DH[256，…，767]

EMSK＝MK_DH[768，…，1279]

另外，当AT_KDF_DH的值为x时，AUSF根据确定的第一密钥(IK’和CK’)和系统中存储的共享DH共享密钥K_DH，推演出本次会话密钥，其过程如下：

MK＝PRF’(IK’|CK’,“EAP-AKA’”|Identity)

MK_DH＝PRF’(IK’|CK’|K_DH,“EAP-AKA’PFS”|Identity)

K_encr＝MK[0，…，127]

K_aut＝MK[128，…，383]

K_re＝MK_DH[0，…，255]

MSK＝MK_DH[256，…，767]

EMSK＝MK_DH[768，…，1279]

MK＝PRF’(IK’|CK’,“EAP-AKA’”|Identity)

K_encr＝MK[0..127]

K_aut＝MK[128..383]

K_re＝MK[0..255]

MSK＝MK[256..767]

EMSK＝MK[768..1279]

如图5所示，本发明实施例提供了一种终端设备，包括：

第一通信单元51，用于接收网络侧发送的指示信息、认证信息和身份认证成功信息；

第一密钥生成单元52，用于基于长期密钥，确定第一密钥；基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对认证响应的身份认证成功信息时，基于本次密钥生成方式生成本次会话密钥；

如图6所示，本发明实施例提供了一种终端设备，包括：

第一通信接口61，用于接收网络侧发送的指示信息、认证信息和身份认证成功信息；

第一处理器62，用于基于长期密钥，确定第一密钥；基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对认证响应的身份认证成功信息时，基于本次密钥生成方式生成本次会话密钥；

在一些实施例中，至少一种会话密钥生成方式中还包括：基于第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

将第一密钥作为本次会话密钥的第三会话密钥生成方式。

在一些实施例中，第一会话密钥生成方式具体包括：对第一密钥和终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；

第二会话密钥生成方式具体包括：对第一密钥和新的共享密钥进行伪随机运算，生成本次会话密钥。

在一些实施例中，第一处理器62，具体用于指示信息为第一指示时，确定本次会话密钥生成方式为第一会话密钥生成方式；指示信息为第二指示时，确定本次会话密钥生成方式为第二会话密钥生成方式；指示信息为第三指示时，确定本次会话密钥生成方式为第三会话密钥生成方式。

在一些实施例中，第一处理器62，还用于在指示信息为第二指示时，生成与网络侧共享的新的共享密钥；保存新的共享密钥。

如图7所示，本发明实施例提供一种网络设备，包括：

第二通信单元71，用于向终端设备发送指示信息、认证信息和身份认证成功信息；

第二密钥生成单元72，用于基于长期密钥，确定第一密钥；基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；基于终端设备发送的认证响应对终端设备认证成功时，生成针对认证响应的身份认证成功信息并发送至终端设备，基于本次会话密钥生成方式生成终端设备对应的本次会话密钥；

如图8所示，本发明实施例提供了一种网络设备，包括：

第二通信接口81，用于向终端设备发送指示信息、认证信息和身份认证成功信息；

第二处理器82，用于基于长期密钥，确定第一密钥；基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；基于终端设备发送的认证响应对终端设备认证成功时，生成针对认证响应的身份认证成功信息并发送至终端设备，基于本次会话密钥生成方式生成终端设备对应的本次会话密钥；

将第一密钥作为本次会话密钥的第三会话密钥生成方式。

在一些实施例中，第二处理器82，具体用于指示信息为第一指示时，确定本次会话密钥生成方式为第一会话密钥生成方式；指示信息为第二指示时，确定本次会话密钥生成方式为第二会话密钥生成方式；指示信息为第三指示时，确定本次会话密钥生成方式为第三会话密钥生成方式。

在一些实施例中，第二处理器82，还用于在指示信息为第二指示时，生成与终端设备共享的新的共享密钥；保存新的共享密钥。

本实施例中所涉及的网络设备，可以认为是网络侧具备AUSF功能的设备。

本申请实施例还提供了一种计算机可读存储介质，用于存储计算机程序。

可选的，该计算机可读存储介质可应用于本申请实施例中的任意一种网络设备，并且该计算机程序使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程，为了简洁，在此不再赘述。

本申请实施例还提供了一种密钥生成系统，如图9所示，所述系统包括：至少一个终端设备91、鉴权服务功能AUSF实体92；其中，

所述终端设备91，用于基于长期密钥，确定第一密钥；基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；在基于网络侧发送的认证信息对网络侧认证成功时，生成认证响应并发送至网络侧，且在接收到网络侧发送的针对所述认证响应的身份认证成功信息时，基于所述本次密钥生成方式生成本次会话密钥；

所述AUSF实体92，用于基于所述终端设备对应的长期密钥，确定与所述终端设备对应的第一密钥；基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式；基于终端设备发送的认证响应对所述终端设备认证成功时，生成针对所述认证响应的身份认证成功信息并发送至所述终端设备，基于所述本次会话密钥生成方式生成所述终端设备对应的本次会话密钥；

在本发明的其他实施例中，至少一种会话密钥生成方式中还包括：基于所述第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

将所述第一密钥作为本次会话密钥的第三会话密钥生成方式

在本发明的其他实施例中，第一会话密钥生成方式具体包括：对第一密钥和终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；

在本发明的其他实施例中，所述终端设备91，用于在所述指示信息为第一指示时，确定所述本次会话密钥生成方式为第一会话密钥生成方式；所述指示信息为第二指示时，确定所述本次会话密钥生成方式为第二会话密钥生成方式；所述指示信息为第三指示时，确定所述本次会话密钥生成方式为第三会话密钥生成方式；

所述AUSF实体92，用于所述指示信息为第一指示时，确定所述本次会话密钥生成方式为第一会话密钥生成方式；所述指示信息为第二指示时，确定所述本次会话密钥生成方式为第二会话密钥生成方式；所述指示信息为第三指示时，确定所述本次会话密钥生成方式为第三会话密钥生成方式。

在本发明的其他实施例中，所述终端设备91，用于在所述指示信息为第二指示时，生成与网络侧共享的新的共享密钥；保存所述新的共享密钥。

所述AUSF实体92，用于在所述指示信息为第二指示时，生成与所述终端设备共享的新的共享密钥；保存所述新的共享密钥。

另外，本系统中各个设备中具备的功能与前述方法或装置实施例相同，因此不再进行赘述。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种密钥生成方法，应用于终端设备，所述方法包括：

基于长期密钥，确定第一密钥；

2.根据权利要求1所述的方法，其特征在于，所述至少一种会话密钥生成方式中还包括：基于所述第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

将所述第一密钥作为本次会话密钥的第三会话密钥生成方式。

3.根据权利要求2所述的方法，其中，所述第一会话密钥生成方式具体包括：对所述第一密钥和所述终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；

所述第二会话密钥生成方式具体包括：对所述第一密钥和新的共享密钥进行伪随机运算，生成本次会话密钥。

4.根据权利要求2所述的方法，其中，所述基于网络侧发送的指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式，包括：

所述指示信息为第一指示时，确定所述本次会话密钥生成方式为第一会话密钥生成方式；

所述指示信息为第二指示时，确定所述本次会话密钥生成方式为第二会话密钥生成方式；

所述指示信息为第三指示时，确定所述本次会话密钥生成方式为第三会话密钥生成方式。

5.根据权利要求4所述的方法，其中，所述方法还包括：

在所述指示信息为第二指示时，生成与网络侧共享的新的共享密钥；

保存所述新的共享密钥。

6.一种密钥生成方法，应用于网络设备，所述方法包括：

基于长期密钥，确定第一密钥；

7.根据权利要求6所述的方法，其中，所述至少一种会话密钥生成方式中还包括：基于所述第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

8.根据权利要求7所述的方法，其中，所述第一会话密钥生成方式具体包括：对所述第一密钥和所述终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；

9.根据权利要求7所述的方法，其中，所述基于指示信息，从至少一种会话密钥生成方式中确定本次会话密钥生成方式，包括：

10.根据权利要求9所述的方法，其中，所述方法还包括：

在所述指示信息为第二指示时，生成与所述终端设备共享的新的共享密钥；

保存所述新的共享密钥。

11.一种终端设备，包括：

12.一种终端设备，包括：

13.根据权利要求12所述的终端设备，其中，所述至少一种会话密钥生成方式中还包括：基于所述第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

14.根据权利要求13所述的终端设备，其中，所述第一会话密钥生成方式具体包括：对所述第一密钥和所述终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；

15.根据权利要求13所述的终端设备，其中，所述第一处理器，具体用于所述指示信息为第一指示时，确定所述本次会话密钥生成方式为第一会话密钥生成方式；所述指示信息为第二指示时，确定所述本次会话密钥生成方式为第二会话密钥生成方式；所述指示信息为第三指示时，确定所述本次会话密钥生成方式为第三会话密钥生成方式。

16.根据权利要求15所述的终端设备，其中，所述第一处理器，还用于在所述指示信息为第二指示时，生成与网络侧共享的新的共享密钥；保存所述新的共享密钥。

17.一种网络设备，包括：

18.一种网络设备，包括：

19.根据权利要求18所述的网络设备，其中，所述至少一种会话密钥生成方式中还包括：基于所述第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

20.根据权利要求19所述的网络设备，其中，所述第一会话密钥生成方式具体包括：对所述第一密钥和所述终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；

21.根据权利要求19所述的网络设备，其中，所述第二处理器，具体用于所述指示信息为第一指示时，确定所述本次会话密钥生成方式为第一会话密钥生成方式；所述指示信息为第二指示时，确定所述本次会话密钥生成方式为第二会话密钥生成方式；所述指示信息为第三指示时，确定所述本次会话密钥生成方式为第三会话密钥生成方式。

22.根据权利要求21所述的网络设备，其中，所述第二处理器，还用于在所述指示信息为第二指示时，生成与所述终端设备共享的新的共享密钥；保存所述新的共享密钥。

23.一种计算机存储介质，其上存储有计算机程序，其中，该计算机程序被处理器执行时实现权利要求1-5任一项所述方法的步骤。

24.一种计算机存储介质，其上存储有计算机程序，其中，该计算机程序被处理器执行时实现权利要求6-10任一项所述方法的步骤。

25.一种密钥生成系统，其中，所述系统包括：至少一个终端设备、鉴权服务功能AUSF实体；其中，

26.根据权利要求25所述的系统，其特征在于，所述至少一种会话密钥生成方式中还包括：基于所述第一密钥和新的共享密钥，生成本次会话密钥的第二会话密钥生成方式；

27.根据权利要求26所述的系统，其特征在于，所述第一会话密钥生成方式具体包括：对所述第一密钥和所述终端设备存储的共享密钥进行伪随机运算，生成本次会话密钥；

28.根据权利要求26所述的系统，其特征在于，所述终端设备，用于在所述指示信息为第一指示时，确定所述本次会话密钥生成方式为第一会话密钥生成方式；所述指示信息为第二指示时，确定所述本次会话密钥生成方式为第二会话密钥生成方式；所述指示信息为第三指示时，确定所述本次会话密钥生成方式为第三会话密钥生成方式；

所述AUSF实体，用于所述指示信息为第一指示时，确定所述本次会话密钥生成方式为第一会话密钥生成方式；所述指示信息为第二指示时，确定所述本次会话密钥生成方式为第二会话密钥生成方式；所述指示信息为第三指示时，确定所述本次会话密钥生成方式为第三会话密钥生成方式。

29.根据权利要求28所述的系统，其中，所述终端设备，用于在所述指示信息为第二指示时，生成与网络侧共享的新的共享密钥；保存所述新的共享密钥；

所述AUSF实体，用于在所述指示信息为第二指示时，生成与所述终端设备共享的新的共享密钥；保存所述新的共享密钥。