密钥处理方法、装置、相关设备、存储介质及计算机程序产品与流程

本技术涉及网络安全，尤其涉及一种密钥处理方法、装置、相关设备、存储介质及计算机程序产品。

背景技术：

1、相关技术中，接入层(as，access-stratum)的安全机制(也可以称为安全模式)是在建立上下文的过程中通过信令(比如安全模式命令(smc，security mode command))交互激活的，因此，在安全机制激活前传输的接入层消息以及接入层消息承载的非接入层(nas，non-access stratum)消息(如注册请求)存在被攻击者篡改、伪造、窃听等安全风险。另外，接入层的安全机制涉及的接入层密钥无法与非接入层密钥进行安全隔离，容易存在接入层密钥和非接入层密钥同时泄露的安全风险。

2、因此，如何在兼容相关安全机制的情况下，保证接入层密钥与非接入层密钥的安全隔离，以增强接入层密钥的安全性，目前尚未有解决方案。

技术实现思路

1、为解决相关技术问题，本技术实施例提供一种密钥处理方法、装置、相关设备、存储介质及计算机程序产品。

2、本技术实施例的技术方案是这样实现的：

3、本技术实施例提供一种密钥处理方法，应用于终端，包括：

4、在随机接入过程中，利用与所述终端和网络设备间的第一信道关联的第一信息，生成第一密钥，所述第一信息表征所述第一信道的信道特征；

5、利用所述第一密钥，衍生得到一个或多个第二密钥，所述一个或多个第二密钥用于保护接入层数据和/或信令的传输。

6、上述方案中，所述利用与所述终端和网络设备间的第一信道关联的第一信息，生成第一密钥，包括：

7、确定启用第一服务，所述第一服务用于增强与接入层关联的密钥的安全性；

8、对所述第一信道进行特征提取，得到所述第一信息；

9、利用所述第一信息，生成所述第一密钥。

10、上述方案中，所述确定启用第一服务，包括：

11、在接入所述网络设备的过程中，主动启用所述第一服务。

12、上述方案中，所述方法还包括：

13、向所述网络设备发送第二信息，所述第二信息用于指示所述终端启用所述第一服务。

14、上述方案中，所述确定启用第一服务，包括：

15、接收所述网络设备发送的第三信息，所述第三信息用于指示所述网络设备启用所述第一服务。

16、上述方案中，所述利用所述第一密钥，衍生得到一个或多个第二密钥，包括：

17、将所述第一密钥作为根密钥，衍生得到所述一个或多个第二密钥。

18、上述方案中，所述方法还包括：

19、向所述网络设备发送第四信息，所述第四信息表征所述终端具备的安全能力；

20、接收所述网络设备发送的第五信息，所述第五信息用于指示所述网络设备选择的第一算法和/或第二算法，所述第一算法用于对接入层传输的数据和/或信令进行机密性保护，所述第二算法用于对接入层传输的数据和/或信令进行完整性保护。

21、上述方案中，所述方法还包括：

22、在无线资源控制(rrc，radio resource control)连接建立完成之前，启用接入层的安全模式，所述安全模式用于为接入层传输的数据和/或信令提供安全保护。

23、本技术实施例还提供一种密钥处理方法，应用于网络设备，包括：

24、在随机接入过程中，利用与终端和所述网络设备间的第一信道关联的第一信息，生成第一密钥，所述第一信息表征所述第一信道的信道特征；

25、利用所述第一密钥，衍生得到一个或多个第二密钥，所述一个或多个第二密钥用于保护接入层数据和/或信令的传输。

26、上述方案中，所述利用与终端和所述网络设备间的第一信道关联的第一信息，生成第一密钥，包括：

27、确定启用第一服务，所述第一服务用于增强与接入层关联的密钥的安全性；

28、对所述第一信道进行特征提取，得到所述第一信息；

29、利用所述第一信息，生成所述第一密钥。

30、上述方案中，所述确定启用第一服务，包括：

31、接收所述终端发送的第二信息，所述第二信息用于指示所述终端启用所述第一服务。

32、上述方案中，所述确定启用第一服务，包括：

33、在满足第一条件的情况下，确定启用所述第一服务，所述第一条件包含与所述第一服务关联的条件。

34、上述方案中，所述方法还包括：

35、向所述终端发送第三信息，所述第三信息用于指示所述网络设备启用所述第一服务。

36、上述方案中，所述利用所述第一密钥，衍生得到一个或多个第二密钥，包括：

37、将所述第一密钥作为根密钥，衍生得到所述一个或多个第二密钥。

38、上述方案中，所述方法还包括：

39、接收所述终端发送的第四信息，所述第四信息表征所述终端具备的安全能力；

40、利用所述第四信息，选择第一算法和/或第二算法，所述第一算法用于对接入层传输的数据和/或信令进行机密性保护，所述第二算法用于对接入层传输的数据和/或信令进行完整性保护；

41、向所述终端发送第五信息，所述第五信息用于指示所述网络设备选择的第一算法和/或第二算法。

42、上述方案中，所述方法还包括：

43、在rrc连接建立完成之前，启用接入层的安全模式，所述安全模式用于为接入层传输的数据和/或信令提供安全保护。

44、本技术实施例还提供一种密钥处理装置，包括：

45、第一生成单元，用于在随机接入过程中，利用与终端和网络设备间的第一信道关联的第一信息，生成第一密钥，所述第一信息表征所述第一信道的信道特征；

46、第一衍生单元，用于利用所述第一密钥，衍生得到一个或多个第二密钥，所述一个或多个第二密钥用于保护接入层数据和/或信令的传输。

47、本技术实施例还提供一种密钥处理装置，包括：

48、第二生成单元，用于在随机接入过程中，利用与终端和网络设备间的第一信道关联的第一信息，生成第一密钥，所述第一信息表征所述第一信道的信道特征；

49、第二衍生单元，用于利用所述第一密钥，衍生得到一个或多个第二密钥，所述一个或多个第二密钥用于保护接入层数据和/或信令的传输。

50、本技术实施例还提供一种终端，包括：第一处理器及第一通信接口；其中，

51、所述第一处理器，用于在随机接入过程中，利用与所述终端和网络设备间的第一信道关联的第一信息，生成第一密钥，所述第一信息表征所述第一信道的信道特征；以及利用所述第一密钥，衍生得到一个或多个第二密钥，所述一个或多个第二密钥用于保护接入层数据和/或信令的传输。

52、本技术实施例还提供一种网络设备，包括：第二处理器及第二通信接口；其中，

53、所述第二处理器，用于在随机接入过程中，利用与终端和所述网络设备间的第一信道关联的第一信息，生成第一密钥，所述第一信息表征所述第一信道的信道特征；以及利用所述第一密钥，衍生得到一个或多个第二密钥，所述一个或多个第二密钥用于保护接入层数据和/或信令的传输。

54、本技术实施例还提供一种终端，包括：第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器，

55、其中，所述第一处理器用于运行所述计算机程序时，执行上述终端侧任一方法的步骤。

56、本技术实施例还提供一种网络设备，包括：第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器，

57、其中，所述第二处理器用于运行所述计算机程序时，执行上述网络设备侧任一方法的步骤。

58、本技术实施例还提供一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述终端侧任一方法的步骤，或者实现上述网络设备侧任一方法的步骤。

59、本技术实施例还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述终端侧任一方法的步骤，或者实现上述网络设备侧任一方法的步骤。

60、本技术实施例提供的密钥处理方法、装置、相关设备、存储介质及计算机程序产品，在随机接入过程中，终端和网络设备利用与终端和网络设备间的第一信道关联的第一信息，生成第一密钥，所述第一信息表征所述第一信道的信道特征；并利用所述第一密钥，衍生得到一个或多个第二密钥，所述一个或多个第二密钥用于保护接入层数据和/或信令的传输。本技术实施例提供的技术方案，在随机接入过程中，终端和网络设备(比如基站)通过无线信道的特征，生成无线密钥，进而衍生得到接入层密钥；上述方案是将无线密钥生成技术和与接入层安全机制关联的接入层密钥相结合，由于生成接入层密钥的过程不需要与核心网进行信息传输，即与非接入层无关，因此，能够在兼容相关的接入层安全机制的情况下，实现接入层密钥和非接入层密钥的安全隔离，从而增强了接入层密钥的安全性。