[发明专利]密钥信息分发方法及相关设备

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种密钥信息分发方法及相关设备。

背景技术

机器对机器(M2M，Machine-to-Machine)是一种以机器终端智能交互为核心的、网络化的应用与服务。M2M终端与M2M平台建立通信时需要通过接入密码完成M2M终端在M2M平台的登录过程，并需要基于基础密钥对数据进行加密，因此M2M终端接入M2M系统前必须从M2M平台上获取其上、下行接入密码和基础密钥，M2M终端的接入密码和基础密钥是M2M安全机制的基础，接入密码和基础密钥也可以统称为密钥信息。

目前，M2M终端获取接入密码和基础密钥的方法一般包含下述两种，下面分别进行介绍。

第一种获取方法，通过预配置的方法将M2M终端的终端序列号、接入密码和基础密钥预先存储在M2M终端中，同时将预配置的终端序列号、接入密码和基础密钥保存在M2M平台上。M2M终端向M2M平台注册时，将接入密码和基础密钥进行摘要处理后，和终端序列号一起上报给M2M平台，M2M平台根据M2M终端上报的终端序列号及经过摘要处理后的接入密码和基础密钥的相关信息进行核对，若核对结果为无效，则M2M平台将禁止该M2M终端注册。

第二种获取方法，M2M终端首次向M2M平台注册时，M2M平台通过短消息将接入密码和基础密钥下发给M2M终端，如图1所示，其具体处理流程如下：

步骤11，M2M终端通过注册(REGISTER)报文向M2M平台发起注册请求；

步骤12，M2M平台通过M2M终端的注册请求之后，向该M2M终端发送注册确认(REGISTER_ACK；ACK，Acknowledge)报文回复注册成功，并要求该M2M终端进入短消息通信模式，准备接收M2M平台下发的接入密码和基础密钥；

步骤13，M2M终端接收到REGISTER_ACK报文之后，立即进入短消息通信模式；

步骤14，M2M平台经过一定的时延之后，生成接入密码和基础密钥，通过短消息向M2M终端发送安全设置(SECURITY_CONFIG)报文，SECURITY_CONFIG报文中携带有该M2M终端的上行接入密码、上行接入密码的有效期、下行接入密码、下行接入密码的有效期，若M2M终端支持并启用了数据加密功能，则M2M平台还会在SECURITY_CONFIG报文中携带该M2M终端的基础密钥和基础密钥的有效期，由于接入密码和基础密钥是首次分发，因此M2M平台必须采用短消息明文发送的方式进行下发，在M2M系统支持短消息加密传输的情况下，携带接入密码和基础密钥的报文的传输安全性可以由短消息的安全传输机制来保证；

步骤15，M2M终端成功接收到M2M平台下发的接入密码和基础密钥之后，立即将其存储，并向M2M平台返回安全设置确认(SECURITY_CONFIG_ACK)报文；

步骤16，M2M终端使用接收到的接入密码向M2M平台发送登录(LOGIN)报文，即发起登录请求，若M2M终端支持并启用了数据加密功能，则还需要携带基础密钥的相关信息摘要；

步骤17，M2M平台接收到M2M终端的LOGIN报文之后，对其进行鉴权，并在鉴权通过后回复登录确认(LOGIN_ACK)报文，并在M2M平台生成首次下发密码成功日志，同时保存接入密码以及基础密钥。

由上可见，现有技术中第一种获取接入密码和基础密钥的方法需要人为地将密钥信息配置到每个M2M终端，增加了用户使用终端设备时操作的复杂性，此外，由于不确定M2M终端初始接入M2M系统的确切时间，为了确保M2M终端接入时密钥信息不过期，预置的接入密码和基础密钥的有效期都必须设置为最长时间，这就给网络攻击者留下了获取并使用密码信息的网络安全隐患，使得传输密钥信息的安全性较低；而现有技术第二种获取接入密码和基础密钥的方法虽然能够实现密钥信息自动配置和分发，但是由于缺乏对密钥信息的保护机制，M2M终端的密钥信息只能以明文的形式下发，这就使密钥信息很容易地被网络攻击者获取，使得传输密钥信息的安全性较低，此外在M2M系统支持短消息加密传输的情况下，采用短消息传输的方法虽然能够对密钥信息进行传输安全保护，但是必须要通过短消息的方式进行发送，这就使原本可支持多种数据通信方式的M2M系统在密钥信息分发环节只能采取短消息的方式传输，在很大程度上限制了M2M系统应用的灵活性。

发明内容

本发明实施例提供一种密钥信息分发方法及相关设备，用以解决现有技术中传输密钥信息的安全性较低，且M2M系统应用的灵活性较低的问题。

本发明实施例技术方案如下：