技術領域

本發明涉及信息安全技術領域，尤其涉及一種密鑰信息分發方法及相關設備。

背景技術

機器對機器(M2M，Machine-to-Machine)是一種以機器終端智能交互為核心的、網絡化的應用與服務。M2M終端與M2M平臺建立通信時需要通過接入密碼完成M2M終端在M2M平臺的登錄過程，并需要基于基礎密鑰對數據進行加密，因此M2M終端接入M2M系統前必須從M2M平臺上獲取其上、下行接入密碼和基礎密鑰，M2M終端的接入密碼和基礎密鑰是M2M安全機制的基礎，接入密碼和基礎密鑰也可以統稱為密鑰信息。

目前，M2M終端獲取接入密碼和基礎密鑰的方法一般包含下述兩種，下面分別進行介紹。

第一種獲取方法，通過預配置的方法將M2M終端的終端序列號、接入密碼和基礎密鑰預先存儲在M2M終端中，同時將預配置的終端序列號、接入密碼和基礎密鑰保存在M2M平臺上。M2M終端向M2M平臺注冊時，將接入密碼和基礎密鑰進行摘要處理后，和終端序列號一起上報給M2M平臺，M2M平臺根據M2M終端上報的終端序列號及經過摘要處理后的接入密碼和基礎密鑰的相關信息進行核對，若核對結果為無效，則M2M平臺將禁止該M2M終端注冊。

第二種獲取方法，M2M終端首次向M2M平臺注冊時，M2M平臺通過短消息將接入密碼和基礎密鑰下發給M2M終端，如圖1所示，其具體處理流程如下：

步驟11，M2M終端通過注冊(REGISTER)報文向M2M平臺發起注冊請求；

步驟12，M2M平臺通過M2M終端的注冊請求之后，向該M2M終端發送注冊確認(REGISTER_ACK；ACK，Acknowledge)報文回復注冊成功，并要求該M2M終端進入短消息通信模式，準備接收M2M平臺下發的接入密碼和基礎密鑰；

步驟13，M2M終端接收到REGISTER_ACK報文之后，立即進入短消息通信模式；

步驟14，M2M平臺經過一定的時延之后，生成接入密碼和基礎密鑰，通過短消息向M2M終端發送安全設置(SECURITY_CONFIG)報文，SECURITY_CONFIG報文中攜帶有該M2M終端的上行接入密碼、上行接入密碼的有效期、下行接入密碼、下行接入密碼的有效期，若M2M終端支持并啟用了數據加密功能，則M2M平臺還會在SECURITY_CONFIG報文中攜帶該M2M終端的基礎密鑰和基礎密鑰的有效期，由于接入密碼和基礎密鑰是首次分發，因此M2M平臺必須采用短消息明文發送的方式進行下發，在M2M系統支持短消息加密傳輸的情況下，攜帶接入密碼和基礎密鑰的報文的傳輸安全性可以由短消息的安全傳輸機制來保證；

步驟15，M2M終端成功接收到M2M平臺下發的接入密碼和基礎密鑰之后，立即將其存儲，并向M2M平臺返回安全設置確認(SECURITY_CONFIG_ACK)報文；

步驟16，M2M終端使用接收到的接入密碼向M2M平臺發送登錄(LOGIN)報文，即發起登錄請求，若M2M終端支持并啟用了數據加密功能，則還需要攜帶基礎密鑰的相關信息摘要；

步驟17，M2M平臺接收到M2M終端的LOGIN報文之后，對其進行鑒權，并在鑒權通過后回復登錄確認(LOGIN_ACK)報文，并在M2M平臺生成首次下發密碼成功日志，同時保存接入密碼以及基礎密鑰。

由上可見，現有技術中第一種獲取接入密碼和基礎密鑰的方法需要人為地將密鑰信息配置到每個M2M終端，增加了用戶使用終端設備時操作的復雜性，此外，由于不確定M2M終端初始接入M2M系統的確切時間，為了確保M2M終端接入時密鑰信息不過期，預置的接入密碼和基礎密鑰的有效期都必須設置為最長時間，這就給網絡攻擊者留下了獲取并使用密碼信息的網絡安全隱患，使得傳輸密鑰信息的安全性較低；而現有技術第二種獲取接入密碼和基礎密鑰的方法雖然能夠實現密鑰信息自動配置和分發，但是由于缺乏對密鑰信息的保護機制，M2M終端的密鑰信息只能以明文的形式下發，這就使密鑰信息很容易地被網絡攻擊者獲取，使得傳輸密鑰信息的安全性較低，此外在M2M系統支持短消息加密傳輸的情況下，采用短消息傳輸的方法雖然能夠對密鑰信息進行傳輸安全保護，但是必須要通過短消息的方式進行發送，這就使原本可支持多種數據通信方式的M2M系統在密鑰信息分發環節只能采取短消息的方式傳輸，在很大程度上限制了M2M系統應用的靈活性。

發明內容

本發明實施例提供一種密鑰信息分發方法及相關設備，用以解決現有技術中傳輸密鑰信息的安全性較低，且M2M系統應用的靈活性較低的問題。

本發明實施例技術方案如下：