一种物联网场景下的信息安全传递方法及装置与流程

本技术涉及通信领域，尤其涉及一种物联网场景下的信息安全传递方法及装置。

背景技术：

1、目前，第三代合作伙伴计划(3rd generation partnership project，3gpp)定义了终端的多波束同传。多波束同传是指终端可以同时使用两个或两个以上的天线面板与网络进行上行或下行的传输。这种传输方式可以被应用到多种应用场景，如工业物联网场景，例如，物联网终端或者其他任何可能形态的设备与网络的通信，以进一步提高的通信速率和通信的可靠性。

2、然而，3gpp并未定义终端的多波束同传场景下如何保证通信的安全，因此是目前函待解决但问题。

技术实现思路

1、本技术实施例提供一种物联网场景下的信息安全传递方法及装置，用以保障多波束同传场景的通信安全，实现物联网场景下的信息安全传递。

2、为达到上述目的，本技术采用如下技术方案：

3、第一方面，提供一种物联网场景下的信息安全传递方法，该方法包括：在物联网终端注册到网络的过程中，网络中的数据管理功能udm网元根据物联网终端的签约数据指示物联网终端签约n个波束同传的服务，生成物联网终端的不同的n个5g he av，n为大于1的整数；udm网元向网络中的鉴权功能ausf网元发送n个5g he av；ausf网元根据n个5g heav，触发物联网终端的n次主认证，以得到不同的n个密钥kseaf；其中，n个密钥kseaf各自用于推演密钥kgnb，共得到不同的n个密钥kgnb，n个密钥kgnb是网络与物联网终端共享的密钥，n个密钥kgnb用于分别对物联网终端的n个波束同传进行保护。

4、可选地，网络中的udm网元根据物联网终端的签约数据指示物联网终端签约n个波束同传的服务，生成物联网终端的n个5g he av，包括：udm网元根据ausf请求生成物联网终端的5g he av，获取物联网终端的签约数据；udm网元根据物联网终端的签约数据，确定物联网终端与网络签约有n个波束同传的服务；响应于物联网终端与网络签约有n个波束同传的服务，udm网元生成n个5g he av。

5、可选地，udm网元生成n个5g he av，包括：udm同元生成不同的n个rand和autn；udm网元根据n个rand的第i个rand生成第i个xres*，i遍历1至n，共得到不同的n个xres*；udm网元根据物联网终端的密钥ik，ck以及第i个rand生成第i个密钥kausf，i遍历1至n，共得到不同的n个密钥kausf；udm网元将第i个rand，第i个xres*，第i个密钥kausf以及autn封装为第i个5g he av，i遍历1至n，共得到n个5g he av。

6、可选地，ausf网元根据n个5g he av，触发物联网终端的n次主认证，以得到不同的n个密钥kseaf，包括：响应于接收到n个5g he av，ausf网元触发物联网终端的n次主认证；对于n次主认证中的第i次主认证，ausf网元根据第i个密钥kausf生成第i个密钥kseaf，i遍历1至n，共得到n个密钥kseaf。

7、可选地，ausf网元根据第i个密钥kausf生成第i个密钥kseaf，i遍历1至n，共得到n个密钥kseaf，包括：ausf网元根据第i个xres*以及由第i个密钥kausf推衍得到的第i个密钥kseaf，生成第i个hxres*，i遍历1至n，共得到不同的n个hxres*；ausf网元将第i个5g heav中的第i个xres*替换为hxres*，将第i个密钥kseaf替换为第i个密钥kseaf，得到第i个5gav，i遍历1至n，共得到不同的n个5g av；ausf网元向网络中的安全锚点功能seaf网元发送n个5g av。

8、可选地，方法还包括：seaf网元使用n个5g av中的第i个5g av继续完成n次主认证中的第i次主认证，i遍历1至n；在第i次主认证通过的情况下，seaf网元使用第i个密钥kseaf生成第i个密钥kgnb，i遍历1至n，共得到n个密钥kgnb；seaf网元向物联网终端接入的无线接入网ran设备发送n个密钥kgnb。

9、可选地，在物联网终端支持2个波束同传的情况下，seaf网元使用第i个密钥kseaf生成第i个密钥kgnb，包括：seaf网元根据第1次主认证通过，对第1个密钥kseaf执行推衍，得到第1个密钥kgnb；seaf网元根据第2次主认证通过，对第2个密钥kseaf执行推衍，得到第2个密钥kgnb；其中，在物联网终端支持2个波束同传的情况下，物联网终端的天线面板包括天线面板#1和天线面板#2，第1个密钥kgnb是用于对物联网终端使用天线面板#1的波束与ran设备的通信进行保护，第2个密钥kgnb是用于对物联网终端使用天线面板#2的波束与ran设备的通信进行保护。

10、可选地，在物联网终端支持3个波束同传的情况下，seaf网元使用第i个密钥kseaf生成第i个密钥kgnb，包括：seaf网元根据第1次主认证通过，对第1个密钥kseaf执行推衍，得到第1个密钥kgnb；seaf网元根据第2次主认证通过，对第2个密钥kseaf执行推衍，得到第2个密钥kgnb；seaf网元根据第3次主认证通过，对第3个密钥kseaf执行推衍，得到第3个密钥kgnb；其中，在物联网终端支持3个波束同传的情况下，物联网终端的天线面板包括天线面板#1、天线面板#2和天线面板#3，第1个密钥kgnb是用于对物联网终端使用天线面板#1的波束与ran设备的通信进行保护，第2个密钥kgnb是用于对物联网终端使用天线面板#2的波束与ran设备的通信进行保护，第3个密钥kgnb是用于对物联网终端使用天线面板#3的波束与ran设备的通信进行保护。

11、可选地，n次主认证均为5g aka的主认证。

12、第二方面，提供一种物联网场景下的信息安全传递装置，该装置被配置为：在物联网终端注册到网络的过程中，网络中的数据管理功能udm网元根据物联网终端的签约数据指示物联网终端签约n个波束同传的服务，生成物联网终端的不同的n个5g he av，n为大于1的整数；udm网元向网络中的鉴权功能ausf网元发送n个5g he av；ausf网元根据n个5g heav，触发物联网终端的n次主认证，以得到不同的n个密钥kseaf；其中，n个密钥kseaf各自用于推演密钥kgnb，共得到不同的n个密钥kgnb，n个密钥kgnb是网络与物联网终端共享的密钥，n个密钥kgnb用于分别对物联网终端的n个波束同传进行保护。

13、可选地，该装置被配置为：udm网元根据ausf请求生成物联网终端的5g he av，获取物联网终端的签约数据；udm网元根据物联网终端的签约数据，确定物联网终端与网络签约有n个波束同传的服务：响应于物联网终端与网络签约有n个波束同传的服务，udm网元生成n个5g he av。

14、可选地，该装置被配置为：udm网元生成不同的n个rand和autn；udm网元根据n个rand的第i个rand生成第i个xres*，i遍历1至n，共得到不同的n个xres*；udm网元根据物联网终端的密钥ik，ck以及第i个rand生成第i个密钥kausf，i遍历1至n，共得到不同的n个密钥kausf；udm网元将第i个rand，第i个xres*，第i个密钥kausf以及autn封装为第i个5g heav，i遍历1至n，共得到n个5g he av。

15、可选地，该装置被配置为：响应于接收到n个5g he av，ausf网元触发物联网终端的n次主认证；对于n次主认证中的第i次主认证，ausf网元根据第i个密钥kausf生成第i个密钥kseaf，i遍历1至n，共得到n个密钥kseaf。

16、可选地，该装置被配置为：ausf网元根据第i个xres*以及由第i个密钥kausf推衍得到的第i个密钥kseaf，生成第i个hxres*，i遍历1至n，共得到不同的n个hxres*；ausf网元将第i个5g he av中的第i个xres*替换为hxres*，将第i个密钥kseaf替换为第i个密钥kseaf，得到第i个5g av，i遍历1至n，共得到不同的n个5gav；ausf网元向网络中的安全锚点功能seaf网元发送n个5g av。

17、可选地，该装置被配置为：seaf网元使用n个5g av中的第i个5g av继续完成n次主认证中的第i次主认证，i遍历1至n；在第i次主认证通过的情况下，seaf网元使用第i个密钥kseaf生成第i个密钥kgnb，i遍历1至n，共得到n个密钥kgnb；seaf网元向物联网终端接入的无线接入网ran设备发送n个密钥kgnb。

18、可选地，在物联网终端支持2个波束同传的情况下，该装置被配置为：seaf网元根据第1次主认证通过，对第1个密钥kseaf执行推衍，得到第1个密钥kgnb；seaf网元根据第2次主认证通过，对第2个密钥kseaf执行推衍，得到第2个密钥kgnb；其中，在物联网终端支持2个波束同传的情况下，物联网终端的天线面板包括天线面板#1和天线面板#2，第1个密钥kgnb是用于对物联网终端使用天线面板#1的波束与ran设备的通信进行保护，第2个密钥kgnb是用于对物联网终端使用天线面板#2的波束与ran设备的通信进行保护。

19、可选地，在物联网终端支持3个波束同传的情况下，该装置被配置为：seaf网元根据第1次主认证通过，对第1个密钥kseaf执行推衍，得到第1个密钥kgnb；seaf网元根据第2次主认证通过，对第2个密钥kseaf执行推衍，得到第2个密钥kgnb；seaf网元根据第3次主认证通过，对第3个密钥kseaf执行推衍，得到第3个密钥kgnb；其中，在物联网终端支持3个波束同传的情况下，物联网终端的天线面板包括天线面板#1、天线面板#2和天线面板#3，第1个密钥kgnb是用于对物联网终端使用天线面板#1的波束与ran设备的通信进行保护，第2个密钥kgnb是用于对物联网终端使用天线面板#2的波束与ran设备的通信进行保护，第3个密钥kgnb是用于对物联网终端使用天线面板#3的波束与ran设备的通信进行保护。

20、可选地，n次主认证均为5g aka的主认证。

21、综上，在物联网终端与网络签约n个波束同传服务的情况下，udm网元可以在主认证流程开始之前，生成与n个波束同传服务匹配的n个认证向量，如n个5g he av，以通过n个5g he av触发n次主认证，从而最终能够得到n个密钥kgnb，用以对物联网终端与ran设备之间进行的n哥波束同传分别进行保护，从而能够保障多波束同传场景的通信安全，实现物联网场景下的信息安全传递。