[发明专利]密钥分发方法、系统和卡应用

说明书

本公开公开了一种密钥分发方法、系统和卡应用，涉及物联网领域。该方法包括：与认证服务器完成双向认证；与认证服务器使用相同算法对根密钥进行计算，得到派生密钥；接收认证服务器通过终端应用发送的派生密钥标识；利用与派生密钥标识对应的派生密钥对终端应用的业务会话数据进行加密，以便终端应用与应用服务器进行业务会话，其中，应用终端与应用服务器进行业务会话时携带派生密钥标识，应用服务器根据派生密钥标识从认证服务器获取派生密钥。本公开不依赖通信模组芯片能力，也无需对网络网元进行改造，能够实现终端与应用的认证和密钥分发。

技术领域

本公开涉及互联网与物联网领域，尤其涉及一种密钥分发方法、系统和卡应用。

背景技术

目前，基于3GPP TS 33.220所描述的通用引导架构(GBA)可以实现利用网络与终端之间的双向认证确定终端合法性，进而派生密钥，解决了应用的终端认证以及安全会话的需求。

但是当前GBA方案有两个部署问题。首先，移动通信网络认证AKA依赖于modem(调制解调器)芯片的支持，而由于资源裁剪，车规模组以及大量的物联网模组中，对GBA功能是不支持的；另外，当前网络中的BSF(Bootstrapping Service Function，引导服务功能)与NAF(Network Application Function，网络应用功能)紧耦合，仅用于Volte补充业务配置，新接入的应用需要一定的改造。

发明内容

本公开要解决的一个技术问题是，提供密钥分发方法、系统和卡应用，能够在不对网络中的BSF或其他网元进行改造的前提下，实现终端和应用的认证和密钥分发。

根据本公开一方面，提出一种密钥分发方法，包括：与认证服务器完成双向认证；与认证服务器使用相同算法对根密钥进行计算，得到派生密钥；接收认证服务器通过终端应用发送的派生密钥标识；利用与派生密钥标识对应的派生密钥对终端应用的业务会话数据进行加密，以便终端应用与应用服务器进行业务会话，其中，应用终端与应用服务器进行业务会话时携带派生密钥标识，应用服务器根据派生密钥标识从认证服务器获取派生密钥。

在一些实施例中，接收卡应用认证服务器返回的派生密钥的生存周期，其中，若保存的派生密钥在生存周期内，则利用已保存的派生密钥对业务会话数据进行加密，否则，重新生成派生密钥。

在一些实施例中，派生密钥包括第一派生密钥和第二派生密钥，其中，第一派生密钥用于终端应用和应用服务器的双向认证；第二派生密钥用于加密业务会话数据。

在一些实施例中，对根密钥进行计算得到派生密钥包括：基于多级分散因子对根密钥进行多级分散计算，得到派生密钥。

在一些实施例中，根据终端应用标识、集成电路卡识别码和随机数，对根密钥进行多级分散计算，得到派生密钥。

在一些实施例中，根据派生密钥标识、终端应用标识、集成电路卡识别码和随机数，对根密钥进行多级分散计算，得到派生密钥。

根据本公开的另一方面，还提出一种卡应用，包括：认证单元，被配置为与认证服务器完成双向认证；密钥生成单元，被配置为与认证服务器使用相同算法对根密钥进行计算，得到派生密钥；信息接收单元，被配置为接收认证服务器通过终端应用发送的派生密钥标识；数据加解密单元，被配置为利用与派生密钥标识对应的派生密钥对终端应用的业务会话数据进行加密，以便终端应用与应用服务器进行业务会话，其中，应用终端与应用服务器进行业务会话时携带派生密钥标识，应用服务器根据派生密钥标识从认证服务器获取派生密钥。

根据本公开的另一方面，还提出一种卡应用，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行如上述的密钥分发方法。