WO2021196047A1

WO2021196047A1 - 密钥处理方法和装置

Info

Publication number: WO2021196047A1
Application number: PCT/CN2020/082628
Authority: WO
Inventors: 王勇; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2020-03-31
Filing date: 2020-03-31
Publication date: 2021-10-07
Also published as: CN112771815A; CN112771815B

Abstract

本申请提供一种密钥处理方法和装置，可以应用于短距离通信系统，进一步可以用于自动驾驶、智能驾驶、机器人、无人运输等场景。该方法通过获取第一通信系统的第一密钥参数K，进而，根据第一密钥参数K以及第二通信系统的标识，确定第二通信系统的第二密钥参数K d，从而，在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。而且上述方法在K d的长度等于、大于或小于K d对应的目标类型密钥的长度的情况下，分别确定不同的目标类型密钥，适合实际应用。

Description

密钥处理方法和装置

技术领域

本申请涉及通信技术领域，尤其涉及一种密钥处理方法和装置。

背景技术

随着通信技术的发展，通信的安全性越来越受到重视。目前，一般通过加密保护和完整性保护来保证通信安全性。例如在数据传输过程中，通常都会对待传输的数据加密后传输，接收方收到数据后解密密文，还原明文。还有在数据传输过程中，对数据进行完整性保护，接收方收到数据后验证消息的完整性，完整性验证成功说明消息在传输过程中没有被修改。在安全的数据通信中，通信的双方必须分别具有加解密的密钥和/或完整性保护的密钥等。

相关技术中，一个设备可能兼容多个通信系统，比如手机有蓝牙系统，WiFi系统等通信系统。各个通信系统在通信过程中都需要具有上述加解密的密钥和/或完整性保护的密钥等。

由于上述设备的各通信系统之间是完全独立的，某通信系统不能利用其它通信系统已经协商好的安全密钥，这样，各个通信系统都需要协商自己的密钥，导致密钥协商推演流程多，效率低，且浪费信令。

发明内容

本申请提供一种密钥处理方法和装置，以解决各个通信系统都需要协商推演自己的密钥，导致密钥协商推演流程多，效率低，且浪费信令的问题。

第一方面，本申请实施例提供一种密钥处理方法，该方法可以由分析装置执行，该方法包括如下步骤：首先，获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。这里，第一通信系统可以根据实际情况确定，本申请实施例对此不做特别限制，第一密钥参数K可以为第一通信系统用于加解密的密钥和/或完整性保护的密钥等。其次，根据上述第一密钥参数K以及第二通信系统的标识，确定第二通信系统的第二密钥参数K _d，其中，上述第一通信系统与上述第二通信系统不同。同理，上述第二通信系统可以根据实际情况确定，本申请实施例对此不做特别限制。上述第二通信系统的标识可以为第二通信系统的名称或者编号等用于标识第二通信系统身份的信息。上述第二密钥参数K _d可以为第二通信系统的密钥，或者用于生成第二通信系统的密钥，第二通信系统的密钥可以为第二通信系统用于加解密的密钥和/或完整性保护的密钥等。

本申请实施例通过获取第一通信系统的第一密钥参数K，进而，根据第一密钥参数K以及第二通信系统的标识，确定第二通信系统的第二密钥参数K _d，从而，在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

另外，上述分析装置可以应用于上述第一通信系统中，也可以应用于上述第二通信系统中，同样，上述分析装置也可以独立于上述第一通信系统和上述第二通信系统进行应用等，具体如何设置可以根据实际情况确定，本申请实施例对此不做特别限制。

一种可能设计，上述分析装置应用于上述第一通信系统中，在上述确定上述第二通信系统的第二密钥参数K _d之后，还包括：

向上述第二通信系统发送上述第二密钥参数K _d，上述第二密钥参数K _d用于上述第二通信系统确定目标类型密钥。

示例性的，在上述分析装置确定上述第二通信系统的第二密钥参数K _d之后，向上述第二通信系统发送上述第二密钥参数K _d，第二通信系统可以保存该第二密钥参数K _d，作为该系统的中间密钥，然后确定用于加密和/或完整性保护的密钥，或者直接把第二密钥参数K _d用于该系统的加密和/或完整性保护，从而省略了该系统密钥协商推演的过程。

一种可能设计，上述第二密钥参数K _d对应目标类型密钥。

上述根据上述第一密钥参数K以及第二通信系统的标识，确定上述第二通信系统的第二密钥参数K _d，包括：

根据上述第一密钥参数K、上述第二通信系统的标识以及上述目标类型密钥的类型标识，确定上述第二通信系统的上述第二密钥参数K _d。

这里，上述第二密钥参数K _d对应目标类型密钥，其中，对应指的是上述第二密钥参数K _d用于生成目标类型密钥，或者，上述第二密钥参数K _d为目标类型密钥。目标类型密钥可以为第二通信系统用于加解密的密钥和/或完整性保护的密钥等。

在上述分析装置确定上述第二通信系统的第二密钥参数K _d时，不仅考虑第一密钥参数K和第二通信系统的标识，还考虑目标类型密钥的类型标识，从而，准确生成满足第二通信系统密钥要求的第二密钥参数K _d，其中，目标类型密钥的类型标识可以为目标类型密钥的类型名称或者编号等用于标识目标类型密钥的类型的信息。

一种可能设计，上述目标类型密钥为上述第二密钥参数K _d。

其中，如果上述第二密钥参数K _d的长度等于上述目标类型密钥的长度，上述目标类型密钥为上述第二密钥参数K _d。

一种可能设计，上述方法还包括：

确定上述目标类型密钥的长度；

若上述第二密钥参数K _d的长度等于上述目标类型密钥的长度，则确定上述目标类型密钥为上述第二密钥参数K _d。

这里，如果上述第二密钥参数K _d的长度等于上述目标类型密钥的长度，则确定上述目标类型密钥为上述第二密钥参数K _d。

一种可能设计，上述第二密钥参数K _d对应目标类型密钥。

上述第二密钥参数K _d的长度大于上述目标类型密钥的长度；

上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，其中，M为上述目标类型密钥的长度，上述预设位置是预先定义或者配置的，M为大于0的整数。

示例性的，上述预设位置可以包括最高有效位和最低有效位中至少一个。如果上述第二密钥参数K _d的长度大于上述目标类型密钥的长度，上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，例如上述目标类型密钥为上述第二密钥参数K _d中从最高有效位开始的M个比特位，或者，上述目标类型密钥为上述第二密钥参数K _d中从最低有效位开始的M个比特位。

一种可能设计，上述方法还包括：

确定上述目标类型密钥的长度；

若上述第二密钥参数K _d的长度大于上述目标类型密钥的长度，则确定上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，其中，M为上述目标类型密钥的长度，上述预设位置是预先定义或者配置的，M为大于0的整数。

这里，在确定上述目标类型密钥的长度后，如果上述第二密钥参数K _d的长度大于上述目标类型密钥的长度，则需要对上述第二密钥参数K _d进行截取，确定上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，例如确定上述目标类型密钥为上述第二密钥参数K _d中从最高有效位开始的M个比特位，或者，确定上述目标类型密钥为上述第二密钥参数K _d中从最低有效位开始的M个比特位。

一种可能设计，上述第二密钥参数对应目标类型密钥。

确定上述目标类型密钥的长度；

通过第一密钥派生函数、上述第一密钥参数K以及第二通信系统的标识，确定上述第二通信系统的第二密钥参数K _d；

其中，上述第一密钥派生函数是根据上述目标类型密钥的长度确定的，或者说，上述第一密钥派生函数对应于上述目标类型密钥的长度，也可以理解为上述第一密钥派生函数与上述目标类型密钥的长度之间存在对应关系。

这里，不同密钥的长度可能对应不同或者相同的密钥派生函数，不同密钥类型也可能对应不同或相同的密钥派生函数，取决系统配置。示例性的，可以设置上述第一密钥派生函数是根据上述目标类型密钥的长度确定的。

在上述确定上述第二通信系统的第二密钥参数K _d时，首先考虑上述目标类型密钥的长度，从而，确定第一密钥派生函数，进而，通过第一密钥派生函数、上述第一密钥参数K以及第二通信系统的标识，确定上述第二通信系统的第二密钥参数K _d，快速、准确的生成满足第二通信系统密钥要求的第二密钥参数K _d。

其中，密钥派生函数(KDF)可用于派生各种算法的输入密钥，如可以将第一密钥参数K以及第二通信系统的标识作为输入参数，生成第二通信系统的第二密钥参数K _d，示例性的，如：K _d＝KDF(K，第二通信系统的标识)。另外，KDF还可能包括其它的输入参数，本申请实施例对此不作特别限制。

一种可能设计，上述第二密钥参数K _d对应目标类型密钥。

上述第一密钥参数K包含多个第一密钥参数K ₁-K _N，其中，N为大于1的整数；

上述根据上述第一密钥参数K以及第二通信系统的标识，确定上述第二通信系统的第二密钥参数K _d；包括：

根据上述多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定上述第二通信系统的多个第二密钥参数K _d1-K _dN；

其中，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合，或者，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，其中，M为上述目标类型密钥的长度，M为大于0的整数。

这里，如果上述第二密钥参数K _d的长度小于上述目标类型密钥的长度，可以根据多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定上述第二通信系统的多个第二密钥参数K _d1-K _dN，从而，使得上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合，例如，如果上述目标类型密钥的长度正好等于上述多个第二密钥参数K _d1-K _dN的组合长度，则上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合。其中，可以按照预设顺序将上述多个第二密钥参数K _d1-K _dN进行组合，上述预设顺序可以根据实际情况设置，本申请实施例对此不做特别限制。示例性的，上述目标类型密钥＝K _d1||K _d2……||K _dN。

或者，使得上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，例如，如果上述目标类型密钥的长度小于上述多个第二密钥参数K _d1-K _dN的组合长度，则上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，M为上述目标类型密钥的长度。

一种可能设计，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中从预设位置开始的M个比特位，其中，上述预设位置是预先定义或者配置的。示例性的，上述预设位置可以包括最高有效位和最低有效位中至少一个。

示例性的，以上述预设位置为最高有效位为例，上述目标类型密钥＝MSB(K _d1||K _d2……||K _dN，M个比特位)。其中，MSB表示最高有效位。

一种可能设计，上述多个第一密钥参数K ₁-K _N是根据多个新鲜性参数获取的。

其中，上述N的取值是根据上述目标类型密钥的长度确定的，或者说，上述N的取值对应上述目标类型密钥的长度，也可以理解为上述N的取值与上述目标类型密钥存在对应关系。

这里，对于不同个数的密钥，可能对应不同或者相同的密钥长度，对于不同密钥类型，也可能对应不同或相同的密钥长度，取决系统配置，这里，可以设置上述N的取值是根据上述目标类型密钥的长度确定的。

一种可能设计，上述多个新鲜性参数是随机生成的，或者，上述多个新鲜性参数为多个等间隔的数值，又或者是时间戳相关的数值等。

这里，除上述情况外，可以根据实际情况确定上述多个新鲜性参数，本申请实施例对此不做特别限制。

一种可能设计，上述方法还包括：

确定上述目标类型密钥的长度；

若上述第二密钥参数K _d的长度小于上述目标类型密钥的长度，则根据上述多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定上述第二通信系统的多个第二密钥参数K _d1-K _dN；

确定上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合，或者，确定上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，其中，M为上述目标类型密钥的长度，N为大于1的整数，M为大于0的整数。

一种可能设计，上述根据上述第一密钥参数K以及第二通信系统的标识，确定上述第二通信系统的第二密钥参数K _d，包括：

通过第二密钥派生函数、上述第一密钥参数K以及第二通信系统的标识，确定上述第二密钥参数K _d。

一种可能设计，上述第二密钥派生函数对应上述第二通信系统。

这里，不同通信系统可能对应不同或者相同的密钥派生函数，取决系统配置。示例性的，可以设置上述第二密钥派生函数对应上述第二通信系统，通过第二通信系统对应的第二密钥派生函数，根据上述第一密钥参数K以及第二通信系统的标识，确定上述第二密钥参数K _d，从而省略了第二通信系统密钥协商推演的过程。

一种可能设计，上述第一密钥派生函数或上述第二密钥派生函数包括，例如哈希消息认证码(Hash-based Message Authentication code，HMAC)-安全散列算法(Secure Hash Algorithm，SHA)256、HMAC-SHA3和HMAC-SM3等。本申请采用的密钥派生函数除上述外，还可以采用其它密钥派生函数，本申请实施例对此不做特别限制。

这里，需要说明的是，本申请实施中密钥派生函数所采用的算法、标准包括但不限于上述列举的，本申请实施中密钥派生函数所采用的算法、标准还可以包括其他的算法、标准等。

第二方面，本申请实施例提供另一种密钥处理方法，该方法可以由分析装置执行，该方法包括：获取第二通信系统的第二密钥参数K _d，其中，该第二密钥参数K _d是基于第一密钥参数K以及上述第二通信系统的标识确定的，上述第一密钥参数K为第一通信系统的密钥参数。这里，上述第一通信系统与上述第二通信系统不同，第一通信系统和第二通信系统可以根据实际情况确定，本申请实施例对此不做特别限制。第一密钥参数K可以为第一通信系统用于加解密的密钥和/或完整性保护的密钥等。第二通信系统的标识可以为第二通信系统的名称或者编号等用于标识第二通信系统身份的信息。上述第二密钥参数K _d可以为第二通信系统的密钥，或者用于生成第二通信系统的密钥，第二通信系统的密钥可以为第二通信系统用于加解密的密钥和/或完整性保护的密钥等。

本申请实施例通过获取第二通信系统的第二密钥参数K _d，其中，该第二密钥参数K _d是基于第一密钥参数K以及上述第二通信系统的标识确定的，从而，在各个通信系统之间完全独立的情况下，通过某通信系统的密钥参数确定自身通信系统的密钥参数，进而，基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

一种可能设计，上述第二密钥参数K _d对应目标类型密钥。其中，对应指的是上述第二密钥参数K _d用于生成目标类型密钥，或者，上述第二密钥参数K _d为目标类型密钥。目标类型密钥可以为第二通信系统用于加解密的密钥和/或完整性保护的密钥等。

一种可能设计，上述目标类型密钥为上述第二密钥参数K _d。

这里，如果上述第二密钥参数K _d的长度等于上述目标类型密钥的长度，上述目标类型密钥为上述第二密钥参数K _d。

一种可能设计，上述第二密钥参数K _d的长度大于上述目标类型密钥的长度。

上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，M为上述目标类型密钥的长度，上述预设位置是预先定义或者配置的，M为大于0的整数。

一种可能设计，上述第一密钥参数K包含多个第一密钥参数K ₁-K _N，其中，N为大于1的整数。

上述第二通信系统的多个第二密钥参数K _d1-K _dN是基于上述多个第一密钥参数K ₁-K _N以及第二通信系统的标识确定的。

其中，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合，或者，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，M为上述目标类型密钥的长度，M为大于0的整数。

这里，如果上述第二密钥参数K _d的长度小于上述目标类型密钥的长度，上述第二通信系统的多个第二密钥参数K _d1-K _dN可以是根据多个第一密钥参数K ₁-K _N以及第二通信系统的标识确定的，从而，使得上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合，例如，如果上述目标类型密钥的长度正好等于上述多个第二密钥参数K _d1-K _dN的组合长度，则上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合。其中，可以按照预设顺序将上述多个第二密钥参数K _d1-K _dN进行组合，上述预设顺序可以根据实际情况设置，本申请实施例对此不做特别限制。示例性的，上述目标类型密钥＝K _d1||K _d2……||K _dN。

一种可能设计，上述多个第一密钥参数K ₁-K _N是根据多个新鲜性参数获取的；

上述N的取值是根据上述目标类型密钥的长度确定的，或者说，上述N的取值对应上述目标类型密钥的长度，也可以理解为上述N的取值与上述目标类型密钥存在对应关系。

第三方面，本申请实施例提供一种密钥处理装置，这里的密钥处理装置可以是上述分析装置本身，或者是实现分析装置的功能的芯片或者集成电路。该装置包括：

获取模块，用于获取第一密钥参数K，该第一密钥参数K为第一通信系统的密钥参数；

确定模块，用于根据上述第一密钥参数K以及第二通信系统的标识，确定第二通信系统的第二密钥参数K _d；

其中，上述第一通信系统与上述第二通信系统不同。

一种可能设计，上述装置还包括发送模块，用于在上述确定模块确定上述第二通信系统的第二密钥参数K _d之后，向上述第二通信系统发送上述第二密钥参数K _d，上述第二密钥参数K _d用于上述第二通信系统确定目标类型密钥。

一种可能设计，上述第二密钥参数K _d对应目标类型密钥。

上述确定模块，具体用于：

根据上述第一密钥参数K、上述第二通信系统的标识以及上述目标类型密钥的类型标识，确定上述第二通信系统的第二密钥参数K _d。

一种可能设计，上述目标类型密钥为上述第二密钥参数K _d。

一种可能设计，上述确定模块还用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数K _d对应目标类型密钥；

上述第二密钥参数K _d的长度大于上述目标类型密钥的长度；

一种可能设计，上述确定模块还用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数对应目标类型密钥；

上述确定模块，具体用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数K _d对应目标类型密钥；

上述确定模块，具体用于：

一种可能设计，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中从预设位置开始的M个比特位，其中，上述预设位置是预先定义或者配置的。

一种可能设计，上述确定模块，具体用于：

一种可能设计，上述第一密钥派生函数或上述第二密钥派生函数包括例如，HMAC-SHA256、HMAC-SHA3、HMAC-SM3等。本申请采用的密钥派生函数除上述外，还可以采用其它密钥派生函数，本申请实施例对此不做特别限制。

第四方面，本申请提供一种密钥处理装置，该密钥处理装置包括至少一个处理器和至少一个存储器。该至少一个存储器存储计算机指令；该至少一个处理器执行该存储器存储的计算机指令，使得该计算设备执行上述第一方面或者第一方面的各种可能设计提供的方法，使得该密钥处理装置部署上述第二方面或者第二方面的各种可能设计提供该密钥处理装置。

第五方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机指令，该计算机指令指示计算设备执行上述第一方面或者第一方面的各种可能设计提供的方法，或者该计算机指令指示该计算设备部署上述第二方面或者第二方面的各种可能设计提供该密钥处理装置。

第六方面，本申请提供一种计算机程序产品，该计算机程序产品包括计算机指令。可选地，该计算机指令存储在计算机可读存储介质中。计算设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算设备执行上述第一方面或者第一方面的各种可能设计提供的方法，使得该计算设备部署上述第二方面或者第二方面的各种可能设计提供该密钥处理装置。

第七方面，本申请实施例提供了一种芯片，包括至少一个处理器和通信接口。进一步可选的，所述芯片还包含至少一个存储器，用于存储计算机指令。其中，所述通信接口用于为所述至少一个处理器提供信息输入和/或输出。所述至少一个处理器用于执行指令以实现执行上述第一方面及其第一方面任意可能的实现方式中的方法。可选的，所述至少一个处理器包含数字信号处理器(digital signal processor，DSP)、中央处理器(Central Processing Unit，CPU)或者图形处理器(general process unit，GPU)中的至少一个。

附图说明

图1为本申请实施例提供的一种应用场景的示意图；

图2为本申请实施例提供的一种密钥处理方法的流程示意图；

图3为本申请实施例提供的另一种密钥处理方法的流程示意图；

图4为本申请实施例提供的再一种密钥处理方法的流程示意图；

图5为本申请实施例提供的又一种密钥处理方法的流程示意图；

图6为本申请实施例提供的又一种密钥处理方法的流程示意图；

图7为本申请实施例提供的又一种密钥处理方法的流程示意图；

图8为本申请实施例提供的又一种密钥处理方法的流程示意图；

图9为本申请提供的一种密钥处理装置的结构示意图；

图10A为本申请提供的一种密钥处理装置的基本硬件架构示意图；

图10B为本申请提供的另一种密钥处理装置的基本硬件架构示意图。

具体实施方式

下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。以下，术语“第一”、“第二”仅用于描述目的，而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征，在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请实施例所涉及的密钥处理是指利用第一通信系统的密钥参数确定第二通信系统的密钥参数。其中，第一通信系统与第二通信系统不同，从而，解决各个通信系统都需要协商推演自己的密钥，导致密钥协商推演流程多，效率低，且浪费信令的问题。

本申请实施例提供的密钥处理方法及装置可应用在通信系统中，示例性的，一个设备有多个通信系统，本申请实施例提供的密钥处理方法及装置可应用在该设备一个或多个通信系统中，其中，上述设备可以为手机、车辆、无人机或者机器人等包含多个通信系统的设备，本申请实施例对此不做特别限制。

可选地，本申请实施例提供的密钥处理方法及装置可以应用于如图1所示的应用场景中。图1只是以示例的方式描述了本申请实施例提供的密钥处理方法的一种可能的应用场景，本申请实施例提供的密钥处理方法的应用场景不限于图1所示的应用场景。

图1为设备通信系统密钥处理架构示意图。在图1中，以设备为手机为例，上述设备通信系统密钥处理架构包括分析装置101、移动通信模块102、无线通信模块103、天线1、天线2以及与设备通信的网络或其他设备104。

可以理解的是，本申请实施例示意的结构并不构成对设备通信系统密钥处理架构的具体限定。在本申请另一些可行的实施方式中，上述设备通信系统密钥处理架构可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置，具体可根据实际应用场景确定，在此不做限制。图1所示的部件可以以硬件，软件，或软件与硬件的组合实现。

在一些可行的实施方式中，移动通信模块102可以包括2G/3G/4G/5G等无线通信的系统。无线通信模块103可以包括无线局域网(wireless local area networks，WLAN)如Wi-Fi，蓝牙(blue tooth，BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术(infrared，IR)等无线通信、以及未来可能的短距通信技术的系统。

在一些可行的实施方式中，天线1和移动通信模块102耦合，天线2和无线通信模块103耦合，可以通过无线通信技术与网络以及其他设备通信。其中，无线通信技术可以包括全球移动通讯系统(globalsystem for mobile communications，GSM)，通用分组无线服务(general packet radioservice，GPRS)，码分多址接入(code division multiple access，CDMA)，宽带码分多址(wideband code division multiple access，WCDMA)，时分码分多址(time-divisioncode division multiple access，TD-SCDMA)，长期演进(long term evolution，LTE)技术等。

其中，分析装置101可以应用于上述移动通信模块102的2G/3G/4G/5G等无线通信的系统中，也可以应用于上述无线通信模块103的WLAN如Wi-Fi，BT，GNSS，FM，NFC，IR等无线通信的系统中，同样，分析装置101也可以独立于上述移动通信模块、无线通信模块进行应用等，具体如何设置可以根据实际情况确定，本申请实施例对此不做特别限制。示例性的，以分析装置101应用于上述移动通信模块和/或无线通信模块中为例，在图1中为了方便描述，将分析装置101与上述移动通信模块102和上述无线通信模块103连接，表示分析装置101可以应用在上述移动通信模块102和上述无线通信模块103的一个或多个通信系统中。

分析装置101用于利用某一通信系统的密钥参数确定其它通信系统的密钥参数。例如，利用BT的密钥参数确定Wi-Fi的密钥参数，从而，解决设备的各个通信系统都需要协商推演自己的密钥，导致密钥协商推演流程多，效率低，且浪费信令的问题。

应理解，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

下面结合附图详细介绍本申请实施例提供的密钥处理方法。该方法的执行主体可以为图1中的分析装置101。分析装置101的工作流程主要包括获取阶段和确定阶段。在获取阶段，分析装置101获取第一通信系统的密钥参数。在确定阶段，分析装置101根据第一通信系统的密钥参数以及第二通信系统的标识，确定第二通信系统的第二密钥参数，进而，在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

下面以几个实施例为例对本申请的技术方案进行描述，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图2为本申请实施例提供了一种密钥处理方法的流程示意图，本实施例的执行主体可以为图1中的分析装置101，具体执行主体可以根据实际应用场景确定。如图2所示，该方法可以包括如下步骤。

S201：获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。

这里，上述第一密钥参数K可以为第一通信系统用于加解密的密钥和/或完整性保护的密钥等。上述第一通信系统可以根据实际情况确定，本申请实施例对此不做特别限制，例如以手机中各个通信系统为例，第一通信系统可以为BT系统或其它可能的短距通信技术。

S202：根据上述第一密钥参数K以及第二通信系统的标识，确定第二通信系统的第二密钥参数K _d。

其中，上述第一通信系统与上述第二通信系统不同。

上述第二通信系统也可以根据实际情况确定，本申请实施例对此不做特别限制，例如还以手机中各个通信系统为例，如果第一通信系统为BT系统，第二通信系统可以为WiFi系统。

上述第二通信系统的标识可以为第二通信系统的名称或者编号等用于标识第二通信系统身份的信息。

上述第二密钥参数K _d可以为第二通信系统的密钥，或者用于生成第二通信系统的密钥，第二通信系统的密钥可以为第二通信系统用于加解密的密钥和/或完整性保护的密钥等。

在一些可行的实施方式中，上述分析装置应用于在上述第一通信系统中，在上述确定上述第二通信系统的第二密钥参数K _d之后，还包括：

本申请实施例，通过获取第一通信系统的第一密钥参数K，进而，根据第一密钥参数K以及第二通信系统的标识，确定第二通信系统的第二密钥参数K _d，从而，在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，节省了信令，提高了效率。

另外，本申请实施例在确定第二通信系统的第二密钥参数K _d时，不仅考虑第一密钥参数K 和第二通信系统的标识，还考虑密钥的类型。图3为本申请实施例提出的另一种密钥处理方法的流程示意图，本实施例的执行主体可以为图1所示实施例中的分析装置101。如图3所示，该方法包括：

S301：获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。

其中，步骤S301与上述步骤S201的实现方式相同，此处不再赘述。

S302：第二密钥参数K _d对应目标类型密钥，根据上述第一密钥参数K、第二通信系统的标识以及上述目标类型密钥的类型标识，确定第二通信系统的上述第二密钥参数K _d。

其中，上述第一通信系统与上述第二通信系统不同。

在一些可行的实施方式中，在上述确定上述第二通信系统的第二密钥参数K _d之前，还包括：

确定第二密钥参数K _d对应的目标类型密钥，进而，根据上述第一密钥参数K、第二通信系统的标识以及上述目标类型密钥的类型标识，确定第二通信系统的上述第二密钥参数K _d。

示例性的，在利用BT的密钥参数确定Wi-Fi的密钥参数之前，确定Wi-Fi的密钥参数对应的目标类型密钥，例如成对临时密钥(Pairwise Transient Key，PTK)、组临时密钥(Group Transient Key，GTK)，然后根据上述BT的密钥参数、Wi-Fi系统的标识以及上述目标类型密钥的类型标识，确定Wi-Fi的密钥参数。

本申请实施例，通过考虑第一密钥参数K和第二通信系统的标识，以及第二密钥参数对应的目标类型密钥的类型标识，从而，准确生成满足第二通信系统密钥要求的第二密钥参数K _d，而且，通过获取第一通信系统的第一密钥参数K，确定第二通信系统的第二密钥参数K _d，能够在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

另外，如果上述第二密钥参数K _d的长度等于第二密钥参数K _d对应的目标类型密钥的长度，上述目标类型密钥为上述第二密钥参数K _d。图4为本申请实施例提出的再一种密钥处理方法的流程示意图，本实施例的执行主体可以为图1所示实施例中的分析装置101。如图4所示，该方法包括：

S401：获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。

其中，步骤S401与上述步骤S201的实现方式相同，此处不再赘述。

S402：第二密钥参数K _d对应目标类型密钥，根据上述第一密钥参数K以及第二通信系统的标识，确定第二通信系统的上述第二密钥参数K _d。

其中，上述第一通信系统与上述第二通信系统不同。上述目标类型密钥为上述第二密钥参数K _d。

在一些可行的实施方式中，在上述确定第二通信系统的上述第二密钥参数K _d之后，还包括：

确定上述目标类型密钥的长度；

如果上述第二密钥参数K _d的长度等于上述目标类型密钥的长度，则确定上述目标类型密钥为上述第二密钥参数K _d，进而，第二通信系统可以直接把第二密钥参数K _d用于该系统的加密和/或完整性保护，从而省略了该系统密钥协商推演的过程。

本申请实施例，通过获取第一通信系统的第一密钥参数K，确定第二通信系统的第二密钥参数K _d，如果第二密钥参数K _d的长度等于第二密钥参数K _d对应的目标类型密钥的长度，目标类型密钥为上述第二密钥参数K _d，从而，在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

另外，如果上述第二密钥参数K _d的长度大于第二密钥参数K _d对应的目标类型密钥的长度，上述目标类型密钥为上述第二密钥参数K _d从预设位置开始的M个比特位。

图5为本申请实施例提出的又一种密钥处理方法的流程示意图，本实施例的执行主体可以为图1所示实施例中的分析装置101。如图5所示，该方法包括：

S501：获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。

其中，步骤S501与上述步骤S201的实现方式相同，此处不再赘述。

S502：第二密钥参数K _d对应目标类型密钥，根据上述第一密钥参数K以及第二通信系统的标识，确定第二通信系统的上述第二密钥参数K _d。

其中，上述第一通信系统与上述第二通信系统不同。上述第二密钥参数K _d的长度大于上述目标类型密钥的长度，上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，其中，M为上述目标类型密钥的长度，上述预设位置是预先定义或者配置的，M为大于0的整数。

这里，上述预设位置可以包括最高有效位和最低有效位中至少一个。如果上述第二密钥参数K _d的长度大于上述目标类型密钥的长度，上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，例如上述目标类型密钥为上述第二密钥参数K _d中从最高有效位开始的M个比特位，或者，上述目标类型密钥为上述第二密钥参数K _d中从最低有效位开始的M个比特位。

另外，上述预设位置除上述情况外，还可以根据实际情况设置，本申请实施例对此不做特别限制。

确定上述目标类型密钥的长度；

本申请实施例，通过获取第一通信系统的第一密钥参数K，确定第二通信系统的第二密钥参数K _d，如果第二密钥参数K _d的长度大于第二密钥参数K _d对应的目标类型密钥的长度，目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，其中，M为上述目标类型密钥的长度，从而，在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

另外，本申请实施例在确定第二通信系统的第二密钥参数K _d时，通过第一密钥派生函数确定。

图6为本申请实施例提出的又一种密钥处理方法的流程示意图，本实施例的执行主体可以为图1所示实施例中的分析装置101。如图6所示，该方法包括：

S601：获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。

其中，步骤S601与上述步骤S201的实现方式相同，此处不再赘述。

S602：第二密钥参数K _d对应目标类型密钥，确定上述目标类型密钥的长度。

S603：通过第一密钥派生函数、上述第一密钥参数K以及第二通信系统的标识，确定上述第二通信系统的第二密钥参数K _d。

其中，密钥派生函数(KDF)可用于派生各种算法的输入密钥，如可以将第一密钥参数K以及第二通信系统的标识作为输入参数，生成第二通信系统的第二密钥参数K _d，示例性的，如：K _d＝KDF(K，第二通信系统的标识)。

另外，KDF还可能包括其它的输入参数，例如上述第二密钥参数K _d对应目标类型密钥，KDF的输入参数还包括目标类型密钥的类型标识，除此之外，KDF的输入参数还可能包括第一通信系统的标识，本申请实施例对此不作特别限制。

示例性的，上述确定第二通信系统的上述第二密钥参数K _d，还可以包括：

通过第一密钥派生函数、上述第一密钥参数K、第二通信系统的标识以及上述目标类型密钥的类型标识，确定上述第二密钥参数K _d。示例性的，可以将上述第一密钥参数K、第二通信系统的标识以及上述目标类型密钥的类型标识作为输入参数，生成第二通信系统的第二密钥参数K _d，K _d＝KDF(K，第二通信系统的标识，目标类型密钥的类型标识)。其中，目标类型密钥的类型标识为可选参数。

示例性的，上述确定上述第二密钥参数K _d还可以包括：

通过第一密钥派生函数、上述第一密钥参数K、第一通信系统的标识，第二通信系统的标识以及上述目标类型密钥的类型标识，确定上述第二密钥参数K _d，K _d＝KDF(K，第一通信系统的标识，第二通信系统的标识，目标类型密钥的类型标识)，其中，第一通信系统的标识和目标类型密钥的类型标识为可选参数。

在一些可行的实施方式中，上述第一密钥派生函数可以包括例如HMAC-SHA256、HMAC-SHA3和HMAC-SM3等。本申请采用的密钥派生函数除上述外，还可以采用其它密钥派生函数，本申请实施例对此不做特别限制。

另外，本申请实施中密钥派生函数所采用的算法、标准还可以包括其他的算法、标准等，本申请实施例对此不做特别限制。

这里，上述密钥派生函数可以包括不同的算法，例如上述HMAC-SHA256、HMAC-SHA3和HMAC-SM3等。因此，KDF的输入参数还可以包括算法标识，用于标识不同的算法，相应的，上述确定上述第二密钥参数K _d还可以包括：

通过第一密钥派生函数、上述第一密钥参数K、第一通信系统的标识，第二通信系统的标识、上述目标类型密钥的类型标识以及算法标识，确定上述第二密钥参数K _d，K _d＝KDF(K，第一通信系统的标识，第二通信系统的标识，目标类型密钥的类型标识，算法标识)，其中，第一通信系统的标识、目标类型密钥的类型标识和算法标识为可选参数。

本申请实施例，通过考虑上述目标类型密钥的长度，从而，确定第一密钥派生函数，进而，通过第一密钥派生函数、上述第一密钥参数K以及第二通信系统的标识，生成满足第二通信系统密钥要求的第二密钥参数K _d，而且，通过获取第一通信系统的第一密钥参数K，确定第二通信系统的第二密钥参数K _d，能够在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

另外，如果上述第二密钥参数K _d的长度小于第二密钥参数K _d对应的目标类型密钥的长度，上述目标类型密钥为多个第二密钥参数K _d1-K _dN的组合，或者，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位。图7为本申请实施例提出的又一种密钥处理方法的流程示意图，本实施例的执行主体可以为图1所示实施例中的分析装置101。如图7所示，该方法包括：

S701：获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。

其中，步骤S701与上述步骤S201的实现方式相同，此处不再赘述。

S702：第二密钥参数K _d对应目标类型密钥，上述第一密钥参数K包含多个第一密钥参数K ₁-K _N，根据上述多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定上述第二通信系统的多个第二密钥参数K _d1-K _dN，其中，N为大于1的整数。

在一些可行的实施方式中，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中从预设位置开始的M个比特位，其中，上述预设位置是预先定义或者配置的。示例性的，上述预设位置可以包括最高有效位和最低有效位中至少一个。

在一些可行的实施方式中，上述多个第一密钥参数K ₁-K _N是根据多个新鲜性参数(fresh)获取的。

在一些可行的实施方式中，上述多个新鲜性参数是随机生成的，或者，上述多个新鲜性参数为多个等间隔的数值，又或者是时间戳相关的数值等。

在一些可行的实施方式中，上述方法还包括：

确定上述目标类型密钥的长度；

若上述第二密钥参数K _d的长度小于上述目标类型密钥的长度，则根据上述多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定上述第二通信系统的多个第二密钥参数K _d1-K _dN，其中，N为大于1的整数；

确定上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合，或者，确定上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，其中，M为上述目标类型密钥的长度。

本申请实施例，通过获取第一通信系统的第一密钥参数K，确定第二通信系统的第二密钥参数K _d，如果第二密钥参数K _d的长度小于第二密钥参数K _d对应的目标类型密钥的长度，根据上述第一密钥参数K包含的多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定上述第二通信系统的多个第二密钥参数K _d1-K _dN，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合，或者，上述目标类型密钥为上述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，其中，M为上述目标类型密钥的长度，从而，在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

另外，本申请实施例在确定第二通信系统的第二密钥参数K _d时，通过第二密钥派生函数确定。图8为本申请实施例提出的又一种密钥处理方法的流程示意图，本实施例的执行主体可以为图1所示实施例中的分析装置101。如图8所示，该方法包括：

S801：获取第一密钥参数K，其中，第一密钥参数K为第一通信系统的密钥参数。

其中，步骤S801与上述步骤S201的实现方式相同，此处不再赘述。

S802：通过第二密钥派生函数、上述第一密钥参数K以及第二通信系统的标识，确定上述第二密钥参数K _d。

在一些可行的实施方式中，上述第二密钥派生函数对应上述第二通信系统。

另外，KDF还可能包括其它的输入参数，这里，以上述第一密钥参数K包含多个第一密钥参数K ₁-K _N，确定上述第二通信系统的多个第二密钥参数K _d1-K _dN为例。

KDF的输入参数还包括目标类型密钥的类型标识，上述确定上述第二通信系统的多个第二密钥参数K _d1-K _dN可以包括：

通过KDF、上述多个第一密钥参数K ₁-K _N、第二通信系统的标识以及上述目标类型密钥的类型标识，确定第二通信系统的多个第二密钥参数K _d1-K _dN。

示例性的，可以将上述多个第一密钥参数K ₁-K _N、第二通信系统的标识以及上述目标类型密钥的类型标识作为输入参数，生成第二通信系统的多个第二密钥参数K _d1-K _dN，第二密钥参数＝KDF(第一密钥参数，第二通信系统的标识，目标类型密钥的类型标识)。其中，目标类型密钥的类型标识为可选参数。

这里，KDF还可能包括其它的输入参数，例如还包括第一通信系统的标识，另外上述多个第一密钥参数K ₁-K _N是根据多个新鲜性参数获取的，KDF的输入参数还可能包括新鲜性参数。

示例性的，如果KDF的输入参数还包括第一通信系统的标识，上述确定上述第二通信系统的多个第二密钥参数K _d1-K _dN还可以包括：通过KDF、上述多个第一密钥参数K ₁-K _N、第一通信系统的标识，第二通信系统的标识以及上述目标类型密钥的类型标识，确定第二通信系统的多个第二密钥参数K _d1-K _dN，第二密钥参数＝KDF(第一密钥参数，第一通信系统的标识，第二通信系统的标识，目标类型密钥的类型标识)，其中，第一通信系统的标识和目标类型密钥的类型标识为可选参数。

如果KDF的输入参数还包括新鲜性参数，上述确定上述第二通信系统的多个第二密钥参数K _d1-K _dN还可以包括：通过KDF、上述多个第一密钥参数K ₁-K _N、新鲜性参数，第二通信系统的标识以及上述目标类型密钥的类型标识，确定第二通信系统的多个第二密钥参数K _d1-K _dN，第二密钥参数＝KDF(第一密钥参数，新鲜性参数，第二通信系统的标识，目标类型密钥的类型标识)，其中，新鲜性参数和目标类型密钥的类型标识为可选参数。

如果KDF的输入参数还包括第一通信系统的标识和新鲜性参数，上述确定上述第二通信系统的多个第二密钥参数K _d1-K _dN还可以包括：通过KDF、上述多个第一密钥参数K ₁-K _N、新鲜性参数，第一通信系统的标识，第二通信系统的标识以及上述目标类型密钥的类型标识，确定第二通信系统的多个第二密钥参数K _d1-K _dN，第二密钥参数＝KDF(第一密钥参数，新鲜性参数，第一通信系统的标识，第二通信系统的标识，目标类型密钥的类型标识)，其中，新鲜性参数、第一通信系统的标识和目标类型密钥的类型标识为可选参数。

在一些可行的实施方式中，上述第二密钥派生函数可以包括例如HMAC-SHA256、HMAC-SHA3和HMAC-SM3等。本申请采用的密钥派生函数除上述外，还可以采用其它密钥派生函数，本申请实施例对此不做特别限制。

这里，上述密钥派生函数可以包括不同的算法，例如上述HMAC-SHA256、HMAC-SHA3和HMAC-SM3等。因此，KDF的输入参数还可以包括算法标识，用于标识不同的算法，相应的，上述确定上述第二通信系统的多个第二密钥参数K _d1-K _dN还可以包括：

通过KDF、上述多个第一密钥参数K ₁-K _N、新鲜性参数，第一通信系统的标识，第二通信系统的标识、上述目标类型密钥的类型标识以及算法标识，确定第二通信系统的多个第二密钥参数K _d1-K _dN，第二密钥参数＝KDF(第一密钥参数，新鲜性参数，第一通信系统的标识，第二通信系统的标识，目标类型密钥的类型标识，算法标识)，其中，新鲜性参数、第一通信系统的标识、目标类型密钥的类型标识和算法标识为可选参数。

本申请实施例，通过第二密钥派生函数，根据上述第一密钥参数K以及第二通信系统的标识，准确生成满足第二通信系统密钥要求的第二密钥参数K _d，而且，通过获取第一通信系统的第一密钥参数K，确定第二通信系统的第二密钥参数K _d，能够在各个通信系统之间完全独立的情况下，根据某通信系统的密钥参数确定其它通信系统的密钥参数，使得其它通信系统可以基于上述密钥参数生成用于加解密的密钥和/或完整性保护的密钥等，省略密钥协商推演的流程，大大节省了信令，提高了效率。

图9为本申请提供的一种密钥处理装置的结构示意图，该装置包括：获取模块901、确定模块902和发送模块903。这里的密钥处理装置可以是分析装置本身，或者是实现分析装置的功能的芯片或者集成电路。这里需要说明的是，获取模块和确定模块的划分只是一种逻辑功能的划分，物理上两者可以是集成的，也可以是独立的。

其中，获取模块901，用于获取第一密钥参数K，该第一密钥参数K为第一通信系统的密钥参数。

确定模块902，用于根据上述第一密钥参数K以及第二通信系统的标识，确定第二通信系统的第二密钥参数K _d。

其中，上述第一通信系统与上述第二通信系统不同。

一种可能设计，发送模块903，用于在上述确定模块902确定上述第二通信系统的第二密钥参数K _d之后，向上述第二通信系统发送上述第二密钥参数K _d，上述第二密钥参数K _d用于上述第二通信系统确定目标类型密钥。

一种可能设计，上述第二密钥参数K _d对应目标类型密钥。

上述确定模块902，具体用于：

一种可能设计，上述目标类型密钥为上述第二密钥参数K _d。

一种可能设计，上述确定模块902还用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数K _d对应目标类型密钥；

上述第二密钥参数K _d的长度大于上述目标类型密钥的长度；

一种可能设计，上述确定模块902还用于：

确定上述目标类型密钥的长度；

若上述第二密钥参数K _d的长度大于上述目标类型密钥的长度，则确定上述目标类型密钥为上述第二密钥参数K _d中从预设位置开始的M个比特位，其中，M为上述目标类型密钥的长度，上述预设位置是预先定义或者配置的。

一种可能设计，上述第二密钥参数对应目标类型密钥；

上述确定模块902，具体用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数K _d对应目标类型密钥；

上述确定模块902，具体用于：

一种可能设计，上述确定模块902，具体用于：

一种可能设计，上述第一密钥派生函数或上述第二密钥派生函数包括HMAC-SHA256、HMAC-SHA3和HMAC-SM3中至少一个。

本实施例的装置，对应地可用于执行上述方法所示实施例中的技术方案，其实现原理、实现细节和技术效果类似，此处不再赘述。

可选地，图10A和10B示意性地提供本申请所述密钥处理装置的一种可能的基本硬件架构。

参见图10A和10B，密钥处理装置1000包括至少一个处理器1001以及通信接口1003。进一步可选的，还可以包括存储器1002和总线1004。

其中，密钥处理装置1000可以是计算机或服务器，本申请对此不作特别限制。密钥处理装置1000中，处理器1001的数量可以是一个或多个，图10A和10B仅示意了其中一个处理器1001。可选地，处理器1001，可以是中央处理器(central processing unit，CPU)、图形处理器(graphics processing unit，GPU)或者数字信号处理器(digital signal processor，DSP)。如果密钥处理装置1000具有多个处理器1001，多个处理器1001的类型可以不同，或者可以相同。可选地，密钥处理装置1000的多个处理器1001还可以集成为多核处理器。

存储器1002存储计算机指令和数据；存储器1002可以存储实现本申请提供的上述密钥处理方法所需的计算机指令和数据，例如，存储器1002存储用于实现上述密钥处理方法的步骤的指令。存储器1002可以是以下存储介质的任一种或任一种组合：非易失性存储器(例如只读存储器(ROM)、固态硬盘(SSD)、硬盘(HDD)、光盘)，易失性存储器。

通信接口1003可以为所述至少一个处理器提供信息输入/输出。也可以包括以下器件的任一种或任一种组合：网络接口(例如以太网接口)、无线网卡等具有网络接入功能的器件。

可选的，通信接口1003还可以用于密钥处理装置1000与其它计算设备或者终端进行数据通信。

进一步可选的，图10A和10B用一条粗线表示总线1004。总线1004可以将处理器1001与存储器1002和通信接口1003连接。这样，通过总线1004，处理器1001可以访问存储器1002，还可以利用通信接口1003与其它计算设备或者终端进行数据交互。

在本申请中，密钥处理装置1000执行存储器1002中的计算机指令，使得密钥处理装置1000实现本申请提供的上述密钥处理方法，或者使得密钥处理装置1000部署上述的密钥处理装置。

从逻辑功能划分来看，示例性的，如图10A所示，存储器1002中可以包括获取模块901和确定模块902。这里的包括仅仅涉及存储器中所存储的指令被执行时可以分别实现获取模块和确定模块的功能，而不限定是物理上的结构。

其中，上述第一通信系统与上述第二通信系统不同。

一种可能设计，如图10B所示，存储器1002中还包括发送模块903，用于在上述确定模块 902确定上述第二通信系统的第二密钥参数K _d之后，向上述第二通信系统发送上述第二密钥参数K _d，上述第二密钥参数K _d用于上述第二通信系统确定目标类型密钥。

一种可能设计，上述第二密钥参数K _d对应目标类型密钥。

上述确定模块902，具体用于：

一种可能设计，上述目标类型密钥为上述第二密钥参数K _d。

一种可能设计，上述确定模块902还用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数K _d对应目标类型密钥；

上述第二密钥参数K _d的长度大于上述目标类型密钥的长度；

一种可能设计，上述确定模块902还用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数对应目标类型密钥；

上述确定模块902，具体用于：

确定上述目标类型密钥的长度；

一种可能设计，上述第二密钥参数K _d对应目标类型密钥；

上述确定模块902，具体用于：

一种可能设计，上述确定模块902，具体用于：

另外，上述的密钥处理装置除了可以像上述图10A和10B通过软件实现外，也可以作为硬件模块，或者作为电路单元，通过硬件实现。

本申请提供一种计算机可读存储介质，所述计算机程序产品包括计算机指令，所述计算机指令指示计算设备执行本申请提供的上述密钥处理方法。

本申请提供一种芯片，包括至少一个处理器和通信接口，所述通信接口为所述至少一个处理器提供信息输入和/或输出。进一步，所述芯片还可以包含至少一个存储器，所述存储器用于存储计算机指令。所述至少一个处理器用于调用并运行该计算机指令，以执行本申请提供的上述密钥处理方法。

本申请提供一种终端，所述终端可以为运输工具或者智能设备，例如车辆、无人机、无人运输车或者机器人等，其上包含上述密钥处理装置。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

Claims

一种密钥处理方法，其特征在于，所述方法包括：

获取第一密钥参数K，所述第一密钥参数K为第一通信系统的密钥参数；

根据所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d；

其中，所述第一通信系统与所述第二通信系统不同。
根据权利要求1所述的方法，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述根据所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d，包括：

根据所述第一密钥参数K、所述第二通信系统的标识以及所述目标类型密钥的类型标识，确定所述第二通信系统的所述第二密钥参数K _d。
根据权利要求2所述的方法，其特征在于，所述目标类型密钥为所述第二密钥参数K _d。
根据权利要求1或2所述的方法，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述第二密钥参数K _d的长度大于所述目标类型密钥的长度；

所述目标类型密钥为所述第二密钥参数K _d中从预设位置开始的M个比特位，所述M为所述目标类型密钥的长度，所述预设位置是预先定义或者配置的，M为大于0的整数。
根据权利要求1至4任一项所述的方法，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述根据所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d，包括：

确定所述目标类型密钥的长度；

通过第一密钥派生函数、所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d；

其中，所述第一密钥派生函数是根据所述目标类型密钥的长度确定的。
根据权利要求1或2所述的方法，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述第一密钥参数K包含多个第一密钥参数K ₁-K _N，其中，N为大于1的整数；

所述根据所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d；包括：

根据所述多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定所述第二通信系统的多个第二密钥参数K _d1-K _dN；

其中，所述目标类型密钥为所述多个第二密钥参数K _d1-K _dN的组合，或者，所述目标类型密钥为所述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，所述M为所述目标类型密钥的长度，M为大于0的整数。
根据权利要求6所述的方法，其特征在于，所述多个第一密钥参数K ₁-K _N是根据多个新鲜性参数获取的；

所述N的取值是根据所述目标类型密钥的长度确定的。
根据权利要求1至4与6至7中任一项所述的方法，其特征在于，所述根据所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d，包括：

通过第二密钥派生函数、所述第一密钥参数K以及第二通信系统的标识，确定所述第二密钥参数K _d。
根据权利要求5或8所述的方法，其特征在于，所述第一密钥派生函数或所述第二密钥派生函数包括哈希消息认证码HMAC-安全散列算法SHA256、HMAC-SHA3和HMAC-SM3中至少一个。
一种密钥处理装置，其特征在于，包括：

获取模块，用于获取第一密钥参数K，所述第一密钥参数K为第一通信系统的密钥参数；

确定模块，用于根据所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d；

其中，所述第一通信系统与所述第二通信系统不同。
根据权利要求10所述的装置，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述确定模块，具体用于：

根据所述第一密钥参数K、所述第二通信系统的标识以及所述目标类型密钥的类型标识，确定所述第二通信系统的所述第二密钥参数K _d。
根据权利要求11所述的装置，其特征在于，所述目标类型密钥为所述第二密钥参数K _d。
根据权利要求10或11所述的装置，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述第二密钥参数K _d的长度大于所述目标类型密钥的长度；

所述目标类型密钥为所述第二密钥参数K _d中从预设位置开始的M个比特位，所述M为所述目标类型密钥的长度，所述预设位置是预先定义或者配置的，M为大于0的整数。
根据权利要求10至13任一项所述的装置，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述确定模块，具体用于：

确定所述目标类型密钥的长度；

通过第一密钥派生函数、所述第一密钥参数K以及第二通信系统的标识，确定所述第二通信系统的第二密钥参数K _d；

其中，所述第一密钥派生函数是根据所述目标类型密钥的长度确定的。
根据权利要求10或11所述的装置，其特征在于，所述第二密钥参数K _d对应目标类型密钥；

所述第一密钥参数K包含多个第一密钥参数K ₁-K _N，其中，N为大于1的整数；

所述确定模块，具体用于：

根据所述多个第一密钥参数K ₁-K _N以及第二通信系统的标识，确定所述第二通信系统的多个第二密钥参数K _d1-K _dN；

其中，所述目标类型密钥为所述多个第二密钥参数K _d1-K _dN的组合，或者，所述目标类型密钥为所述多个第二密钥参数K _d1-K _dN的组合中的M个比特位，所述M为所述目标类型密钥的长度，M为大于0的整数。
根据权利要求15所述的装置，其特征在于，所述多个第一密钥参数K ₁-K _N是根据多个新鲜性参数获取的；

所述N的取值是根据所述目标类型密钥的长度确定的。
根据权利要求11至13与15至16中任一所述的装置，其特征在于，所述确定模块，具体用于：

通过第二密钥派生函数、所述第一密钥参数K以及第二通信系统的标识，确定所述第二密钥参数K _d。
根据权利要求14或17所述的装置，其特征在于，所述第一密钥派生函数或所述第二密钥派生函数包括HMAC-SHA256、HMAC-SHA3和HMAC-SM3中至少一个。
一种密钥处理装置，其特征在于，包括：

包括处理器和存储器；

所述存储器，用于存储计算机指令；

所述处理器，用于执行所述存储器存储的计算机指令，使得所述密钥处理装置实现权利要求1至9任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机指令，所述计算机指令指示计算设备执行权利要求1至9任一项所述的方法。