[发明专利]工业互联网标识解析体系密钥生成方法、系统与存储介质

说明书

本发明实施例公开了一种工业互联网标识解析体系密钥生成方法、系统与存储介质，其中利用工业互联网标识解析体系自身存储的接入节点（107）属性信息、企业节点（101）标识信息、所述接入节点（107）所属企业的主密钥（MK）和所述接入节点（107）的第二密钥（MKA）为所述接入节点（107）生成密钥，简化了传统的PKI体系，减少了密钥管理问题的最沉重的负担，从而大大降低了密钥系统的复杂性。

技术领域

本实施例涉及数据安全技术，尤其涉及一种工业互联网标识解析体系密钥生成方法、系统与存储介质。

背景技术

工业互联网标识解析体系的核心包括由标识编码、标识载体、标识解析系统、标识数据服务4个部分。标识编码能够唯一识别机器、产品等物理资源和算法、工序、标识数据等虚拟资源的身份符号，类似于“身份证”。标识载体能够承载标识编码的标签或存储装置，包括主动标识载体和被动标识载体两类。标识解析系统能够根据标识编码查询目标对象网络位置或者相关信息的系统，对机器和物品进行唯一性的定位和信息查询，是实现全球供应链系统和企业生成系统的精准对接、产品全生命周期管理和智能化服务的前提和基础。标识数据服务能够借助标识编码资源和标识解析系统开展工业标识数据管理和跨企业、跨行业、跨地区、跨国家的数据共享共用。

近年来，网络安全威胁加速向工业领域蔓延，工业互联网标识解析成为攻击的重点目标。标识解析要加强自身安全能力建设，以应对其在架构、协议、身份、数据、运营、应用等方面的安全威胁。标识解析业务流程涉及多类型服务提供方与服务使用方，其服务场景多样，具有跨域、跨行业、多对象等特点。需建立多类型对象的密钥管理体系，健全完整安全认证机制，以保障标识解析身份安全、数据安全和服务安全。

发明内容

本发明实施例提供一种用于工业互联网标识解析体系密钥生成方法、系统与存储介质，可根据接入节点类型、业务需要、安全要求选择统一的安全加密方案，实现了跨域数据保密，可根据工业互联网标识解析体系中接入节点实体身份和所属企业节点的唯一身份进行密钥管理。

根据本发明实施例的一个方面，提供的一种用于工业互联网标识解析体系密钥生成方法，其特征在于，

接入节点（107）向安全认证平台（102）发送第一消息，所述第一消息携带第一密钥衍生算法、接入节点（107）属性信息和第二密钥（MKA）；

所述安全认证平台（102）向企业节点（101）发送第二消息，所述第二消息携带所述接入节点（107）属性信息和所述第二密钥；

所述企业节点（101）根据所述接入节点（107）的属性信息确定所述接入节点（107）是否有权接入所述企业节点（101）；

所述企业节点（101）发送第三消息到所述安全认证平台（102），所述第三消息携带所述企业节点（101）标识信息（ID2）；

所述接入节点（107）身份获得认证，所述安全认证平台（102）根据预设策略，从接收到的第一密钥衍生算法中，选择第二密钥衍生算法；

所述安全认证平台（102）生成随机数（RAND），基于第二密钥衍生算法，根据所述接入节点（107）属性信息、所述企业节点（101）标识信息、第二密钥和密钥生成消息鉴别码（MAC）、期望响应（Expected Response，XRES）、标识解析消息加密密钥（CK）、完整性密钥（integrity key，IK）和实体身份认证密钥（AK）；

其中，第二密钥（MKA）基于所述接入节点（107）所属企业的主密钥（MK）产生。

可选地，在本发明任一实施例的方法中，所述安全认证平台（102）通过第四消息向所述接入节点（107）发送认证令牌（AUTN）、所述期望响应（XRES）、所述标识解析消息加密密钥（CK）、所述完整性密钥（IK）、所述实体身份认证密钥（AK）。

可选地，在本发明任一实施例的方法中，所述认证令牌（AUTN）生成公式为：

其中，⊕为与或符号，表示MK和AK进行与或运算的结果，“||”为连接符号。