一种密钥更新方法及相关装置与流程

1.本技术涉及网络安全与技术领域，尤其涉及一种密钥更新方法及相关装置。


背景技术：

2.第五代移动通信(fifth generation，5g)网络架构中，应用身份认证和密钥管理服务(authentication and key management for applications，akma)依托5g网络的认证能力，为用户设备(user equipment，ue)与应用层之间的通信提供网络信息安全保护。
3.现有技术中，akma业务在进行主认证后，认证服务器功能(authentication server function，ausf)会派生ausf密钥(k
ausf
)，akma会基于k
ausf
派生akma密钥(k
akma
)，并将k
akma
发送给akma密钥锚定功能(akma anchor function，aanf)网元，aanf网元会基于k
akma
为ue派生应用密钥(application function key，k
af
)和生命周期，并发送给应用功能实体(application function，af)，同时，aanf网元发送密钥更新消息给ue，ue会根据密钥更新消息更新密钥，以便于af与ue之间基于k
af
进行安全通信。
4.当k
af
到期时，akma触发主认证以更新k
ausf
和k
akma
，aanf网元将基于新的k
akma
生成新的k
af
。但是，采用此种密钥更新方式，会更新整个密钥体系，导致网络侧设备和终端存储的其他af的密钥k
af
变更，从而降低了密钥更新的效率；其次，由于ue涉及多个af，因此可能存在多次触发主认证的情况，产生不必要的网络信令开销，从而加大了通信系统的负载压力。
5.有鉴于此，需要针对上述问题提出一种新的密钥更新方法。


技术实现要素：

6.本技术提供了一种密钥更新方法及相关装置，用以提高密钥更新的效率，减少密钥更新过程中的网络信令开销，降低通信系统的负载压力。
7.第一方面，本技术实施例提供了一种密钥更新方法，包括：
8.在第一应用密钥已达到相应的第一生命周期时，网络服务器基于第一应用密钥，结合预设的密钥更新参数，生成新的第二应用密钥；
9.网络服务器向使用第一应用密钥的终端设备发送密钥更新消息，密钥更新消息中携带有生成第二应用密钥所需的基础信息；
10.网络服务器接收终端设备返回的经第三应用密钥加密后的密钥更新响应消息；第三应用密钥是终端设备在接收到密钥更新消息后，基于基础信息，结合第一应用密钥生成的；
11.网络服务器采用第二应用密钥，对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
12.第二方面，本技术实施例还提供了一种密钥更新方法，包括：
13.终端设备接收网络服务器发送的密钥更新消息；其中，终端设备使用第一应用密钥，以及，密钥更新消息是网络服务器生成新的第二应用密钥后发送的，第二应用密钥是网络服务器在第一应用密钥达到相应的第一生命周期后，基于第一应用密钥，结合预设的密
钥更新参数生成的；
14.获得密钥更新信息中携带的用于生成第二应用密钥所需的基础信息，并基于基础信息，生成第三应用密钥；
15.向网络服务器发送经第三应用密钥加密后的密钥更新响应消息，以使网络服务器在采用第二应用密钥，对密钥更新响应消息解密成功时，保存第二应用密钥和对应的第二生命周期。
16.第三方面，本技术实施例还提供了一种密钥更新装置，包括：
17.密钥生成模块，用于在第一应用密钥已达到相应的第一生命周期时，网络服务器基于第一应用密钥，结合预设的密钥更新参数，生成新的第二应用密钥；
18.消息发送模块，用于网络服务器向使用第一应用密钥的终端设备发送密钥更新消息，密钥更新消息中携带有生成第二应用密钥所需的基础信息；
19.响应接收模块，网络服务器接收终端设备返回的经第三应用密钥加密后的密钥更新响应消息；第三应用密钥是终端设备在接收到密钥更新消息后，基于基础信息，结合第一应用密钥生成的；
20.密钥保存模块，网络服务器采用第二应用密钥，对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
21.可选的，网络服务器向使用第一应用密钥的终端设备发送密钥更新消息之前，消息发送模块还用于：
22.网络服务器获取终端设备的密钥使用权限信息；
23.基于密钥使用权限信息，确定具有第一应用密钥使用权限的终端设备，并向终端设备发送密钥更新消息。
24.可选的，密钥更新消息中携带有生成第二应用密钥所需的基础信息，消息发送模块还用于：
25.密钥更新消息中至少携带有第一应用密钥对应的应用标识、经第一应用密钥加密后的密钥更新参数。
26.可选的，保存第二应用密钥和对应的第二生命周期之后，密钥保存模块还用于：
27.网络服务器向终端设备发送密钥匹配成功消息。
28.可选的，网络服务器向使用第一应用密钥的终端设备发送密钥更新消息之后，消息发送模块还用于：
29.若网络服务器发送密钥更新消息失败，则生成第一告警信息；其中，第一告警信息至少包括：第一应用密钥对应的密钥标识、终端设备对应的设备标识、密钥更新消息的发送时间。
30.第四方面，本技术实施例还提供了一种密钥更新装置，包括：
31.消息接收模块，用于终端设备接收网络服务器发送的密钥更新消息；其中，终端设备使用第一应用密钥，以及，密钥更新消息是网络服务器生成新的第二应用密钥后发送的，第二应用密钥是网络服务器在第一应用密钥达到相应的第一生命周期后，基于第一应用密钥，结合预设的密钥更新参数生成的；
32.密钥生成模块，获得密钥更新信息中携带的用于生成第二应用密钥所需的基础信息，并基于基础信息，生成第三应用密钥；
33.更新响应模块：向网络服务器发送经第三应用密钥加密后的密钥更新响应消息，以使网络服务器在采用第二应用密钥，对密钥更新响应消息解密成功时，保存第二应用密钥和对应的第二生命周期。
34.可选的，基础信息至少包括网络服务器对应的应用标识，经第一应用密钥加密后的密钥更新参数，密钥生成模块还用于：
35.基于应用标识，获取第一应用密钥；
36.采用第一应用密钥对加密后的密钥更新参数进行解密，获得解密后的密钥更新参数；
37.基于第一应用密钥，结合密钥更新参数，采用预设的密钥更新算法，生成第三应用密钥。
38.可选的，向网络服务器发送经第三应用密钥加密后的密钥更新响应消息之后，更新响应模块还用于：
39.接收网络服务器发送的密钥匹配成功消息；
40.保存第三应用密钥。
41.可选的，向网络服务器发送经第三应用密钥加密后的密钥更新响应消息，更新响应模块还用于：
42.若向网络服务器发送加密后的密钥更新相应消息失败，则生成第二告警信息；其中，第二告警信息至少包括：第三应用密钥对应的密钥标识、第一应用密钥对应的应用标识、密钥更新响应消息的发送时间。
43.第五方面，本技术实施例提供一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面和第二方面任一项所述的方法。
44.第六方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面和第二方面任一所述方法的步骤。
45.第七方面，本技术实施例提供一种计算机程序产品，所述计算机程序产品在被计算机调用时，使得所述计算机执行如第一方面和第二方面所述的方法。
46.本技术实施例中，网络服务器基于第一应用密钥生成新的第二应用密钥，并向终端设备发送携带有生成第二应用密钥所需基础信息的密钥更新消息，然后接收终端设备返回的密钥更新响应消息，最后，网络服务器采用第二应用密钥对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
47.这样，在进行密钥更新时，无需触发主认证，只针对密钥到期的应用服务器进行密钥更新，不更新其他应用服务器对应的应用密钥，从而提高了密钥更新效率，减少了不必要的网络信令开销，降低了通信系统的负载压力；再者，通过针对特定密钥进行更新，避免了主认证过程中更新整个密钥体系带来的未知隐患，提高了系统稳定性；最后，在密钥更新过程中，通过网络服务器对终端设备生成的密钥进行验证，保证了网络服务器和终端设备两侧生成密钥的一致性，加强了密钥更新过程的安全保障。
附图说明
48.图1为本技术实施例中的系统架构示意图；
49.图2为本技术实施例中一种密钥更新方法的流程示意图；
50.图3为本技术实施例中判断第一应用密钥是否已达到相应的第一生命周期的方法示意图；
51.图4为本技术实施例中网络服务器确定需要发送密钥更新消息的终端设备的流程示意图；
52.图5为本技术实施例中网络服务器对密钥更新消息解密的流程示意图；
53.图6为本技术实施例中另一种密钥更新方法的流程示意图；
54.图7为本技术实施例中终端设备生成第三应用密钥的流程示意图；
55.图8为本技术实施例中一种密钥更新方法的整体流程示意图；
56.图9为本技术实施例中一种密钥更新装置的结构示意图；
57.图10为本技术实施例中另一种密钥更新装置的结构示意图；
58.图11为本技术实施例中一种电子设备的结构示意图。
具体实施方式
59.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术技术方案的一部分实施例，而不是全部的实施例。基于本技术文件中记载的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术技术方案保护的范围。
60.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够在除了这里图示或描述的那些以外的顺序实施。
61.以下对本技术实施例中的部分用语进行解释说明，以便于本领域技术人员理解。
62.(1)应用身份认证和密钥管理服务(akma)：第3代合作伙伴计划(3gpp)第16版引入的安全保护服务功能，以支持基于5g中的3gpp凭证的认证和密钥管理方面，能够保证用户设备(ue)和应用功能实体(af)之间的安全性。
63.(2)主认证：终端在接入网络时发起的一种身份认证流程，通过与核心网之间的双向鉴权以验证其身份的合法性。
64.(3)akma密钥锚定功能(aanf)：网络服务器中一种生成应用密钥的功能，以便于ue和af基于应用密钥进行会话，维护会话的安全性。
65.(4)应用密钥：ue和af的实体之间建立连接进行会话的凭证，由aanf基于基础密钥和应用服务器标识生成。
66.(5)生命周期：以密钥生成为时间起点的密钥能够被使用的时间阶段；在密钥的使用时长达到其生命周期时，需要进行密钥销毁或者密钥更新，从而增强密钥的安全性。
67.下面对本技术实施例的设计思想进行简要介绍：
68.在5g网络架构中，应用身份认证和密钥管理服务，依托5g网络的认证能力，为用户设备(ue)与应用服务器之间提供应用密钥，为二者之间的通信提供信息安全保护。
69.现有技术中，终端设备在进行主认证后，认证服务器功能(ausf)会派生ausf密钥
(k
ausf
)，akma会基于k
ausf
派生akma密钥(k
akma
)，并将k
akma
发送给akma密钥锚定功能(aanf)网元，aanf网元会基于k
akma
为ue派生应用密钥(k
af
)和生命周期，并发送给应用功能实体(af)，同时，aanf网元发送密钥更新消息给ue，ue会根据密钥更新消息更新密钥，以便于af与ue之间基于k
af
进行安全通信。
70.当k
af
到期时，akma触发主认证以更新k
ausf
和k
akma
，aanf网元将基于新的k
akma
生成新的k
af
。但是，采用此种密钥更新方式，会更新整个密钥体系，导致网络服务器和终端存储的其他af的密钥k
af
变更，从而降低了密钥更新的效率；其次，由于ue涉及多个af，因此可能存在多次触发主认证的情况，产生不必要的网络信令开销，从而加大了通信系统的负载压力。
71.有鉴于此，本技术实施例中，提出了一种新的密钥更新方法、装置、电子设备及存储介质。
72.本技术实施例中，网络服务器基于第一应用密钥生成新的第二应用密钥，并向终端设备发送携带有生成所述第二应用密钥所需基础信息的密钥更新消息，然后接收终端设备返回的经第三应用密钥加密的密钥更新响应消息，其中，第三应用密钥是终端设备基于第一应用密钥和基础信息生成的，最后，网络服务器采用第二应用密钥对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
73.通过此技术方案，首先，在进行密钥更新时，无需触发主认证，只针对密钥到期的应用服务器进行密钥更新，不更新其他应用服务器对应的应用密钥，从而提高了密钥更新效率，减少了不必要的网络信令开销，降低了通信系统的负载压力；再者，避免了主认证过程中更新整个密钥体系带来的未知隐患，提高了系统稳定性；最后，在密钥更新过程中，通过网络服务器对终端生成的密钥进行验证，提升了密钥更新过程的安全保障。
74.以下结合说明书附图对本技术的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本技术，并不用于限定本技术，并且在不冲突的情况下，本技术实施例及实施例中的特征可以相互组合。
75.参阅图1所示，其为本技术实施例中的系统架构示意图，其中包含有应用服务器101，网络服务器102，以及终端设备103。应用服务器101和终端设备103基于应用密钥进行会话，网络服务器对应用密钥是否到期进行检测。当网络服务器检测到第一应用密钥到期时，网络服务器102基于第一应用密钥生成新的第二应用密钥，并向使用第一应用密钥的终端设备103发送携带有生成所述第二应用密钥所需基础信息的密钥更新消息，然后接收终端设备103返回的经第三应用密钥加密的密钥更新响应消息，其中，第三应用密钥是终端设备103基于第一应用密钥和基础信息生成的，最后，网络服务器102采用第二应用密钥对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
76.基于上述系统架构，参阅图2所示，其为本技术实施例中一种密钥更新方法的流程示意图，下面结合附图2，对具体执行的步骤进行详细说明：
77.步骤20：在第一应用密钥已达到相应的第一生命周期时，网络服务器基于第一应用密钥，结合预设的密钥更新参数，生成新的第二应用密钥。
78.其中，密钥更新参数的取值可以为随机数或者时间源，这样，可以保证在每次密钥更新时采用不同的密钥更新参数，从而生成不同的应用密钥。
79.具体的，本技术实施例中，在执行步骤20之前，需要判断第一应用密钥是否已达到相应的第一生命周期，具体判断方法如下：
80.若第一应用密钥已存在时长小于第一生命周期，则确定第一应用密钥未达到第一生命周期；
81.若第一应用密钥已存在时长不小于第一生命周期，则确定第一应用密钥已达到第一生命周期。
82.在确定第一应用密钥已达到相应的第一生命周期时，网络服务器基于第一应用密钥，结合预设的密钥更新参数，采用预设的密钥更新算法，生成新的第二应用密钥。
83.例如，参阅图3所示，其为本技术实施例中判断第一应用密钥是否已达到相应的第一生命周期的方法示意图，假设第一生命周期为30天，若第一应用密钥已存在时长为20天，则确定第一应用密钥未达到相应的第一生命周期。若第一应用密钥已存在时长为31天，则确定第一应用密钥已达到相应的第一生命周期，则基于第一应用密钥k
af
，结合预设的密钥更新参数s，网络服务器中的aanf网元可以采用密钥派生函数(key derivation function，kdf)或者伪随机数函数(pseudo random function，prf)，生成新的第二应用密钥k
af
′
，以kdf函数为例，具体的密钥派生公式如下：
84.k
af
′
＝kdf(k
af
，s)
85.步骤21：网络服务器向使用第一应用密钥的终端设备发送密钥更新消息。
86.其中，密钥更新消息中携带有生成第二应用密钥所需的基础信息。
87.具体的，网络服务器向使用第一应用密钥的终端设备发送连接请求，与终端设备连接成功后，向终端设备发送密钥更新消息，密钥更新消息中携带有生成第二应用密钥所需的基础信息，至少包括：第一应用密钥对应的应用标识、经第一应用密钥加密后的密钥更新参数。
88.例如，密钥更新信息中携带有第一应用密钥k
af
对应的应用标识a001、基于第一应用密钥采用数据加密标准算法(data encryption standard，des)算法加密后的密钥更新参数s
′
以及密钥更新指示符，其中，密钥更新指示符用来指示应用标识a001对应的应用密钥需要更新。
89.本技术实施例中，在执行步骤21之前，网络服务器还可以执行以下步骤。参阅图4所示，其为本技术实施例中网络服务器确定需要发送密钥更新消息的终端设备的流程示意图，下面结合图4，对具体执行的操作进行详细说明：
90.步骤210：网络服务器获取终端设备的密钥使用权限信息。
91.在本技术实施例中，网络服务器中aanf网元基于从统一数据管理功能(unified data management，udm)网元中获取的用户永久标识符(subscription permanent identifier，supi)信息，生成应用密钥与supi信息相对应的密钥使用权限信息表。
92.步骤211：基于密钥使用权限信息，确定具有第一应用密钥使用权限的终端设备，并向终端设备发送密钥更新消息。
93.在本技术实施例中，aanf网元基于生成的密钥使用权限信息表，根据supi信息与终端设备的对应关系，确定具有第一应用密钥k
af
使用权限的终端设备，并向终端设备发送密钥更新消息。
94.例如，基于密钥使用权限信息表确定k
af
对应终端设备u001，则确定具有k
af
使用权限的终端设备为u001，则向u001发送密钥更新消息re-keying request，其中携带k
af
对应的应用标识a001、基于k
af
采用des算法加密后的密钥更新参数。
95.在执行步骤211时，若网络服务器发送密钥更新消息失败，则生成第一告警信息；其中，第一告警信息至少包括：所述第一应用密钥对应的密钥标识、所述终端设备对应的设备标识、所述密钥更新消息的发送时间。
96.例如，若网络服务器发送密钥更新消息失败，则生成告警信息warning1,其中包括以下信息：
97.第一应用密钥k
af
对应的应用标识a001、终端设备对应的设备标识u001、密钥更新信息的发送时间：2023-06-01 10:43:20，发送失败原因：信号中断。
98.值得说明的是，步骤210、步骤211不是必要执行步骤，在网络服务器已经确定了发送密钥更新消息的目标终端设备的情况下，也可以不执行步骤210，步骤211。
99.步骤22：网络服务器接收终端设备返回的经第三应用密钥加密后的密钥更新响应消息。
100.其中，第三应用密钥是终端设备在接收到密钥更新消息后，基于基础信息，结合所述第一应用密钥生成的；
101.例如，网络服务器接收终端设备返回的密钥更新响应消息rekeying response，该消息经终端设备基于第三应用密钥k
af
″
，采用des算法进行了加密处理。
102.步骤23：网络服务器采用第二应用密钥，对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
103.本技术实施例中，网络服务器对密钥更新消息进行解密时，执行以下步骤。参阅图5所示，其为本技术实施例中网络服务器对密钥更新消息解密的流程示意图，下面结合图5，对具体执行的操作进行详细说明：
104.步骤230：网络服务器采用第二应用密钥，对密钥更新响应消息进行解密，若解密成功，则执行步骤231，否则执行步骤232。
105.例如，网络服务器可以采用与终端设备对应的加密算法des算法对密钥更新响应消息进行解密。
106.可以理解的是，若解密成功，则证明终端设备生成的第三应用密钥与网络服务器生成的第二应用密钥一致，否则，则证明终端设备生成的第三应用密钥与网络服务器生成的第二应用密钥不一致。
107.步骤231：保存第二应用密钥和对应的生命周期。
108.具体的，网络服务器对密钥更新响应消息解密成功后，获取其中携带的第三应用密钥标识，同时，保存第二应用密钥和对应的第二生命周期。
109.步骤232：删除第二应用密钥。
110.本技术实施例中，保存第二应用密钥和对应的第二生命周期之后，网络服务器还向终端设备发送密钥匹配成功消息。
111.本技术实施例中，密钥匹配成功消息携带有第三应用密钥对应的密钥标识k003，其中，k003是从终端设备返回的密钥更新响应消息rekeying response中获得的。
112.另一方面，参阅图6所示，其为本技术实施例中另一种密钥更新方法的流程示意图，下面结合图6，对具体执行的步骤进行详细说明：
113.步骤60：终端设备接收网络服务器发送的密钥更新消息。
114.其中，终端设备使用第一应用密钥，以及，密钥更新消息是网络服务器生成新的第
二应用密钥后发送的，第二应用密钥是网络服务器在第一应用密钥达到相应的第一生命周期后，基于第一应用密钥，结合预设的密钥更新参数生成的。
115.本技术实施例中，终端设备接收网络服务器发送的连接请求，验证通过后与网络服务器建立连接，然后接收网络服务器发送的密钥更新消息。
116.步骤61：获得密钥更新信息中携带的用于生成第二应用密钥所需的基础信息，并基于基础信息，生成第三应用密钥。
117.其中，基础信息至少包括所述第一应用密钥对应的应用标识，经所述第一应用密钥加密后的密钥更新参数。
118.具体的，在执行步骤61时，终端设备执行以下操作。参阅图7所示，其为本技术实施例中终端设备生成第三应用密钥的流程示意图，下面结合图7，对具体执行的步骤进行详细说明：
119.步骤610：基于应用标识，获取第一应用密钥。
120.本技术实施例中，终端设备获取并识别密钥更新消息中携带的密钥更新指示符，确定启动密钥更新进程，基于第一应用密钥对应的应用标识af_id，从密钥信息数据库中查找到对应的密钥标识k_id，基于k_id，获取对应的第一应用密钥k
af
。
121.步骤611：采用第一应用密钥对加密后的密钥更新参数进行解密，获得解密后的密钥更新参数。
122.例如，基于第一应用密钥k
af
，采用des算法对加密后的密钥更新参数s
′
进行解密，获得解密后的密钥更新参数s。
123.步骤612：基于第一应用密钥，结合密钥更新参数，采用预设的密钥更新算法，生成第三应用密钥。
124.例如，基于第一应用密钥k
af
，结合密钥更新参数s，采用与终端设备对应的密钥更新算法kdf函数，生成第三应用密钥k
af
″
，具体的密钥派生公式如下:
125.k
af
″
＝kdf(k
af
，s)
126.步骤62：向网络服务器发送经第三应用密钥加密后的密钥更新响应消息，以使网络服务器在采用第二应用密钥，对密钥更新响应消息解密成功时，保存第二应用密钥和对应的第二生命周期。
127.本技术实施例中，密钥更新响应消息携带有第三应用密钥k
af
″
对应的密钥标识k003。
128.具体的，向网络服务器发送经第三应用密钥加密后的密钥更新响应消息后，终端设备还可以执行以下步骤：
129.步骤620：接收网络服务器发送的密钥匹配成功消息。
130.具体的，终端设备接收网络服务器发送的密钥匹配成功消息后，获取其中携带的密钥标识符，验证该密钥标识符为第三应用密钥对应的标识符，则确定第三应用密钥和网络服务器生成的第二应用密钥一致。
131.步骤621：保存第三应用密钥。
132.进一步的，向网络服务器发送经第三应用密钥加密后的密钥更新响应消息，终端设备还执行以下操作：
133.若向网络服务器发送加密后的密钥更新响应消息失败，则生成第二告警信息。
134.其中，第二告警信息至少包括：第三应用密钥对应的密钥标识、第一应用密钥对应的应用标识、密钥更新响应消息的发送时间。
135.例如，若终端设备发送密钥更新消息失败，则生成告警信息warning2，其中包括以下信息：
136.第三应用密钥对应的密钥标识k003、第一应用密钥对应的应用标识a001、密钥更新响应消息的发送时间：2023-06-01 11:40:20、发送失败原因：连接中断。
137.基于上述实施例，参阅图8所示，其为本技术实施例中一种密钥更新方法的整体流程示意图，具体包括：
138.步骤801：在第一应用密钥已达到相应的第一生命周期时，网络服务器基于第一应用密钥，结合预设的密钥更新参数，生成新的第二应用密钥。
139.步骤802：网络服务器获取终端设备的密钥使用权限信息。
140.步骤803：网络服务器基于密钥使用权限信息，确定具有第一应用密钥的使用权限的终端设备。
141.步骤804：向具有第一应用密钥的使用权限的终端设备发送密钥更新消息。
142.步骤805：终端设备接收网络服务器发送的密钥更新消息。
143.步骤806：终端设备获得密钥更新信息中携带的用于生成第二应用密钥所需的基础信息，其中，基础信息至少包括网络服务器对应的应用标识，经第一应用密钥加密后的密钥更新参数。
144.步骤807：终端设备基于应用标识，获取第一应用密钥。
145.步骤808：终端设备采用第一应用密钥对加密后的密钥更新参数进行解密，获得解密后的密钥更新参数。
146.步骤808：终端设备基于第一应用密钥，结合密钥更新参数，采用预设的密钥更新算法，生成第三应用密钥。
147.步骤810：终端设备向网络服务器发送经第三应用密钥加密后的密钥更新响应消息。
148.步骤811：网络服务器接收终端设备返回的经第三应用密钥加密后的密钥更新响应消息。
149.步骤812：网络服务器采用第二应用密钥，对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
150.步骤813：网络服务器向终端设备发送密钥匹配成功消息。
151.步骤814：终端设备接收网络服务器发送的密钥匹配成功消息。
152.步骤815：终端设备保存第三应用密钥。
153.基于相同技术构思，参阅图9所示，本技术实施例提供了一种密钥更新装置，该装置包括：
154.密钥生成模块901，用于在第一应用密钥已达到相应的第一生命周期时，网络服务器基于第一应用密钥，结合预设的密钥更新参数，生成新的第二应用密钥；
155.消息发送模块902，用于网络服务器向使用第一应用密钥的终端设备发送密钥更新消息，密钥更新消息中携带有生成第二应用密钥所需的基础信息；
156.响应接收模块903，网络服务器接收终端设备返回的经第三应用密钥加密后的密
钥更新响应消息；第三应用密钥是终端设备在接收到密钥更新消息后，基于基础信息，结合第一应用密钥生成的；
157.密钥保存模块904，网络服务器采用第二应用密钥，对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。
158.可选的，网络服务器向使用第一应用密钥的终端设备发送密钥更新消息之前，消息发送模块902还用于：
159.网络服务器获取终端设备的密钥使用权限信息；
160.基于密钥使用权限信息，确定具有第一应用密钥使用权限的终端设备，并向终端设备发送密钥更新消息。
161.可选的，密钥更新消息中携带有生成第二应用密钥所需的基础信息，消息发送模块902还用于：
162.密钥更新消息中至少携带有第一应用密钥对应的应用标识、经第一应用密钥加密后的密钥更新参数。
163.可选的，保存第二应用密钥和对应的第二生命周期之后，密钥保存模块904还用于：
164.网络服务器向终端设备发送密钥匹配成功消息。
165.可选的，网络服务器向使用第一应用密钥的终端设备发送密钥更新消息之后，消息发送模块902还用于：
166.若网络服务器发送密钥更新消息失败，则生成第一告警信息；其中，第一告警信息至少包括：第一应用密钥对应的密钥标识、终端设备对应的设备标识、密钥更新消息的发送时间。
167.基于相同技术构思，参阅图10所示，本技术实施例还提供了一种密钥更新装置，该装置包括：
168.消息接收模块1001，用于终端设备接收网络服务器发送的密钥更新消息；其中，终端设备使用第一应用密钥，以及，密钥更新消息是网络服务器生成新的第二应用密钥后发送的，第二应用密钥是网络服务器在第一应用密钥达到相应的第一生命周期后，基于第一应用密钥，结合预设的密钥更新参数生成的；
169.密钥生成模块1002，获得密钥更新信息中携带的用于生成第二应用密钥所需的基础信息，并基于基础信息，生成第三应用密钥；
170.更新响应模块1003：向网络服务器发送经第三应用密钥加密后的密钥更新响应消息，以使网络服务器在采用第二应用密钥，对密钥更新响应消息解密成功时，保存第二应用密钥和对应的第二生命周期。
171.可选的，基础信息至少包括第一应用密钥对应的应用标识，经第一应用密钥加密后的密钥更新参数，密钥生成模块1002还用于：
172.基于应用标识，获取第一应用密钥；
173.采用第一应用密钥对加密后的密钥更新参数进行解密，获得解密后的密钥更新参数；
174.基于第一应用密钥，结合密钥更新参数，采用预设的密钥更新算法，生成第三应用密钥。
175.可选的，向网络服务器发送经第三应用密钥加密后的密钥更新响应消息之后，更新响应模块1003还用于：
176.接收网络服务器发送的密钥匹配成功消息；
177.保存第三应用密钥。
178.可选的，向网络服务器发送经第三应用密钥加密后的密钥更新响应消息，更新响应模块1003还用于：
179.若向网络服务器发送加密后的密钥更新相应消息失败，则生成第二告警信息；其中，第二告警信息至少包括：第三应用密钥对应的密钥标识、第一应用密钥对应的应用标识、密钥更新响应消息的发送时间。
180.基于相同的技术构思，本技术实施例还提供了一种电子设备，该电子设备可实现本技术上述实施例提供的密钥更新的方法流程。
181.参阅图11所示，该电子设备包括：
182.至少一个处理器1101，以及与至少一个处理器1101连接的存储器1102，本技术实施例中不限定处理器1101与存储器1102之间的具体连接介质，图11中是以处理器1101和存储器1102之间通过总线1100连接为例。总线1100在图11中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线1100可以分为地址总线、数据总线、控制总线等，为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器1101也可以称为控制器，对于名称不做限制。
183.在本技术实施例中，存储器1102存储有可被至少一个处理器1101执行的指令，至少一个处理器1101通过执行存储器1102存储的指令，可以执行前文论述的一种密钥更新的方法。处理器1101可以实现图9和图10所示的装置中各个模块的功能。
184.其中，处理器1101是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器1102内的指令以及调用存储在存储器1102内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。
185.在一种可能的设计中，处理器1101可包括一个或多个处理单元，处理器1101可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1101中。在一些实施例中，处理器1101和存储器1102可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
186.处理器1101可以是通用处理器，例如cpu、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的一种密钥更新方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
187.存储器1102作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1102可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带
电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器1102是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本技术实施例中的存储器1102还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。
188.通过对处理器1101进行设计编程，可以将前述实施例中介绍的一种密钥更新方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图2和图6所示的一种密钥更新方法的步骤。如何对处理器1101进行设计编程为本领域技术人员所公知的技术，这里不再赘述。
189.基于同一发明构思，本技术实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行前文论述的一种密钥更新方法。
190.在一些可能的实施方式中，本技术提供一种密钥更新方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在装置上运行时，程序代码用于使该控制设备执行本说明书上述描述的根据本技术各种示例性实施方式的一种密钥更新方法中的步骤。
191.应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
192.此外，尽管在附图中以特定顺序描述了本技术方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
193.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
194.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
195.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
196.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
197.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种密钥更新方法，其特征在于，包括：在第一应用密钥已达到相应的第一生命周期时，网络服务器基于所述第一应用密钥，结合预设的密钥更新参数，生成新的第二应用密钥；所述网络服务器向使用所述第一应用密钥的终端设备发送密钥更新消息，所述密钥更新消息中携带有生成所述第二应用密钥所需的基础信息；所述网络服务器接收所述终端设备返回的经第三应用密钥加密后的密钥更新响应消息；所述第三应用密钥是所述终端设备在接收到所述密钥更新消息后，基于所述基础信息，结合所述第一应用密钥生成的；所述网络服务器采用所述第二应用密钥，对所述密钥更新响应消息进行解密，在解密成功时，保存所述第二应用密钥和对应的第二生命周期。2.如权利要求1所述的方法，其特征在于，所述网络服务器向使用所述第一应用密钥的终端设备发送密钥更新消息之前，还包括：所述网络服务器获取所述终端设备的密钥使用权限信息；基于所述密钥使用权限信息，确定具有所述第一应用密钥的使用权限的终端设备，并向所述终端设备发送密钥更新消息。3.如权利要求1所述的方法，其特征在于，所述基础信息至少包括：所述第一应用密钥对应的应用标识、经所述第一应用密钥加密后的密钥更新参数。4.如权利要求1、2或3任一项所述的方法，其特征在于，所述保存所述第二应用密钥和对应的第二生命周期之后，还包括：所述网络服务器向所述终端设备发送密钥匹配成功消息。5.如权利要求1、2或3所述的方法，其特征在于，所述网络服务器向使用所述第一应用密钥的终端设备发送密钥更新消息之后，还包括：若所述网络服务器发送所述密钥更新消息失败，则生成第一告警信息；其中，所述第一告警信息至少包括：所述第一应用密钥对应的密钥标识、所述终端设备对应的设备标识、所述密钥更新消息的发送时间。6.一种密钥更新方法，其特征在于，包括：终端设备接收网络服务器发送的密钥更新消息；其中，所述终端设备使用第一应用密钥，以及，所述密钥更新消息是所述网络服务器生成新的第二应用密钥后发送的，所述第二应用密钥是所述网络服务器在所述第一应用密钥达到相应的第一生命周期后，基于所述第一应用密钥，结合预设的密钥更新参数生成的；获得所述密钥更新信息中携带的用于生成所述第二应用密钥所需的基础信息，并基于所述基础信息，生成第三应用密钥；向所述网络服务器发送经所述第三应用密钥加密后的密钥更新响应消息，以使所述网络服务器在采用所述第二应用密钥，对所述密钥更新响应消息解密成功时，保存所述第二应用密钥和对应的第二生命周期。7.如权利要求6所述的方法，其特征在于，所述基础信息至少包括所述第一应用密钥对应的应用标识，经所述第一应用密钥加密后的密钥更新参数；则基于所述基础信息，生成第三应用密钥，包括：基于所述应用标识，获取第一应用密钥；
采用所述第一应用密钥对所述加密后的密钥更新参数进行解密，获得解密后的所述密钥更新参数；基于所述第一应用密钥，结合所述密钥更新参数，采用预设的密钥更新算法，生成所述第三应用密钥。8.如权利要求6所述的方法，其特征在于，向所述网络服务器发送经所述第三应用密钥加密后的密钥更新响应消息之后，还包括：接收所述网络服务器发送的密钥匹配成功消息；保存所述第三应用密钥。9.如权利要求8所述的方法，其特征在于，向所述网络服务器发送经所述第三应用密钥加密后的密钥更新响应消息，还包括：若向所述网络服务器发送所述加密后的密钥更新相应消息失败，则生成第二告警信息；其中，所述第二告警信息至少包括：所述第三应用密钥对应的密钥标识、所述第一应用密钥对应的应用标识、所述密钥更新响应消息的发送时间。10.一种密钥更新装置，其特征在于，包括：密钥生成模块，用于在第一应用密钥已达到相应的第一生命周期时，网络服务器基于所述第一应用密钥，结合预设的密钥更新参数，生成新的第二应用密钥；消息发送模块，用于所述网络服务器向使用所述第一应用密钥的终端设备发送密钥更新消息，所述密钥更新消息中携带有生成所述第二应用密钥所需的基础信息；响应接收模块，用于所述网络服务器接收所述终端设备返回的经第三应用密钥加密后的密钥更新响应消息；所述第三应用密钥是所述终端设备在接收到所述密钥更新消息后，基于所述基础信息，结合所述第一应用密钥生成的；密钥保存模块，用于所述网络服务器采用所述第二应用密钥，对所述密钥更新响应消息进行解密，在解密成功时，保存所述第二应用密钥和对应的第二生命周期。11.一种密钥更新装置，其特征在于，包括：消息接收模块，用于终端设备接收网络服务器发送的密钥更新消息；其中，所述终端设备使用第一应用密钥，以及，所述密钥更新消息是所述网络服务器生成新的第二应用密钥后发送的，所述第二应用密钥是所述网络服务器在所述第一应用密钥达到相应的第一生命周期后，基于所述第一应用密钥，结合预设的密钥更新参数生成的；密钥生成模块，用于获得所述密钥更新信息中携带的用于生成所述第二应用密钥所需的基础信息，并基于所述基础信息，生成第三应用密钥；更新响应模块，用于向所述网络服务器发送经所述第三应用密钥加密后的密钥更新响应消息，以使所述网络服务器在采用所述第二应用密钥，对所述密钥更新响应消息解密成功时，保存所述第二应用密钥和对应的第二生命周期。12.一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-9中任一项所述的方法。13.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-9中任一所述方法的步骤。14.一种计算机程序产品，其特征在于，所述计算机程序产品在被计算机调用时，使得
所述计算机执行如权利要求1-9任一项所述的方法。

技术总结
本申请公开了一种密钥更新方法及相关装置，涉及网络安全与技术领域。本申请中，网络服务器基于第一应用密钥生成新的第二应用密钥，并向终端设备发送携带有生成第二应用密钥所需基础信息的密钥更新消息，然后接收终端设备返回的经第三应用密钥加密的密钥更新响应消息，其中，第三应用密钥是终端设备基于第一应用密钥和基础信息生成的，最后，网络服务器采用第二应用密钥对密钥更新响应消息进行解密，在解密成功时，保存第二应用密钥和对应的第二生命周期。这样，无需触发主认证，只针对密钥到期的应用服务器进行密钥更新，从而提高了密钥更新效率，减少了不必要的网络信令开销，降低了通信系统的负载压力。了通信系统的负载压力。了通信系统的负载压力。


技术研发人员：李金慧 王锦华 黄铖斌 王骞然 张越
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.07.06
技术公布日：2023/9/7