本發明實施例提供一種GBA的密鑰生成方法、終端和NAF網元，涉及通信領域，能夠實現終端自動申請密鑰，避免廠商預制密鑰或第三方注冊機構代理申請密鑰的過程，減少廠商成本。該方法包括：終端向NAF網元發送第一請求消息；第一請求消息用于請求更新終端的密鑰；NAF網元接收終端發送的第一請求消息；NAF網元根據第一系統參數和第一算法確定第一子私鑰和公鑰標識；第一系統參數包括終端的身份標識和公鑰標識的有效期，公鑰標識的有效期為NAF網元根據預設策略確定；NAF網元向終端發送第一響應消息；第一響應消息包括第一子私鑰和公鑰標識；終端接收NAF網元發送的第一響應消息；終端根據第二系統參數確定目標密鑰。本發明用于更新終端的數據加密密鑰。

技術領域

本發明涉及通信領域，尤其涉及一種GBA的密鑰生成方法、終端和NAF網元。

背景技術

近年來，物聯網技術隨著網絡技術的發展也得到了快速的成長，物聯網能夠面對復雜的業務場景，提供大帶寬、低時延的服務。但是，伴隨著物聯網發展的同時，其面對的安全問題也日益突出，如終端身份的造假、數據泄密等問題，而數字簽名技術則成為解決這一問題的主要技術手段。

數字簽名技術的核心在于通過密鑰實現數字身份認證和數據加密，其實現過程包括初始密碼或初始證書的預制以及后續長期公鑰標識的申請。這里涉及的長期公鑰標識用于終端在使用過程中的身份認證及生成加密密鑰，可以由廠商在終端出廠時進行預制，也可以由第三方注冊機構代理申請，進而生成相應的加密密鑰。這種廠商預制或第三方注冊機構申請長期公鑰標識的方式需要投入相應的人力、物力，增加了終端廠商的成本。

發明內容

本發明的實施例提供一種GBA的密鑰生成方法、終端和NAF網元，能夠實現終端自動申請密鑰，避免廠商預制密鑰或第三方注冊機構代理申請密鑰的過程，減少廠商成本。

為達到上述目的，本發明的實施例采用如下技術方案：

第一方面，提供一種GBA的密鑰生成方法，GBA包括終端、網絡應用功能NAF網元和引導服務功能BSF網元，該方法包括：終端向?NAF網元發送第一請求消息；第一請求消息用于請求更新終端的密鑰，第一請求消息包括第一公鑰和終端的身份標識；終端接收NAF網元發送的第一響應消息；第一響應消息包括第一子私鑰和公鑰標識；終端根據第二系統參數確定目標密鑰；第二系統參數包括第一私鑰、第一子私鑰、終端的身份標識、公鑰標識和第二公鑰，第二公鑰為NAF網元確定的系統公鑰；目標密鑰包括目標私鑰和目標公鑰。

第二方面，提供一種GBA的密鑰生成方法，GBA包括終端、網絡應用功能NAF網元和引導服務功能BSF網元，該方法包括：NAF?網元接收終端發送的第一請求消息；第一請求消息用于請求更新終端的密鑰，第一請求消息包括第一公鑰和終端的身份標識；NAF網元根據第一系統參數和第一算法確定第一子私鑰和公鑰標識；第一系統參數包括終端的身份標識和公鑰標識的有效期，公鑰標識的有效期為?NAF網元根據預設策略確定；NAF網元向終端發送第一響應消息；第一響應消息包括第一子私鑰和公鑰標識。

第三方面，提供一種終端，應用于通用引導架構GBA，GBA包括終端、網絡應用功能NAF網元和引導服務功能BSF網元，該終端包括：發送模塊，用于向NAF網元發送第一請求消息；第一請求消息用于請求更新終端的密鑰，第一請求消息包括第一公鑰和終端的身份標識；接收模塊，用于接收NAF網元發送的第一響應消息；第一響應消息包括第一子私鑰和公鑰標識；處理模塊，用于根據第二系統參數確定目標密鑰；第二系統參數包括第一私鑰、第一子私鑰、終端的身份標識、公鑰標識和第二公鑰，第二公鑰為NAF網元確定的系統公鑰；目標密鑰包括目標私鑰和目標公鑰。