(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210668956.3 (22)申请日 2022.06.14 (71)申请人 中国信息通信研究院 地址 100191 北京市海淀区学院路40号 (72)发明人 池程　朱斯语　刘阳　尹子航　 马宝罗　 (74)专利代理 机构 北京思源智汇知识产权代理 有限公司 1 1657 专利代理师 杜毅 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/06(2006.01) (54)发明名称 工业互联网标识 解析体系密钥生 成方法、 系 统与存储介质 (57)摘要 本发明实施例公开了一种工业互联网标识 解析体系密钥生成方法、 系统与存储介质， 其中 利用工业互联网标识解析体系自身存储的接入 节点 （107） 属性信息、 企业节点 （101） 标识信息、 所述接入节点 （10 7） 所属企业的主密钥 （M K） 和所 述接入节点 （107） 的第二密钥 （MKA） 为所述接入 节点 （107） 生成密钥， 简化了传统的PKI体系， 减 少了密钥管 理问题的最沉重的负 担， 从而大大降 低了密钥系统的复杂性。 权利要求书2页 说明书9页 附图1页 CN 115021913 A 2022.09.06 CN 115021913 A 1.一种工业互联网标识解析体系密钥生成方法， 其特 征在于， 接入节点 （107） 向安全认证平台 （102） 发送第一消息， 所述第一消息携带第一密钥衍生 算法、 接入节点 （107） 属性信息和第二密钥 （MKA） ； 所述安全认证平台 （102） 向企业节点 （101） 发送第二消息， 所述第二消息携带所述接入 节点 （107） 属性信息和所述第二密钥； 所述企业节点 （101） 根据所述接入节点 （107） 的属性信息确定所述接入节点 （107） 是否 有权接入所述企业节点 （101） ； 所述企业节点 （101） 发送第三消息到所述安全认证平台 （102） ， 所述第三消息携 带所述 企业节点 （101） 标识信息 （ID2） ； 所述接入节点 （107） 身份获得认证时， 所述安全认证平台 （102） 根据预设策略， 从接收 到的第一密钥衍 生算法中， 选择第二密钥衍 生算法； 所述安全认证平台 （102） 生成随机数 （RAND） ， 基于所述第二密钥衍生算法， 根据所述接 入节点 （107） 属性信息、 所述企业节点 （101） 标识信息、 第二密钥和密钥生成消息鉴别码 （MAC） 、 期望响应 （XRES） 、 标识解析消息加密密钥 （CK） 、 完整性密钥 （IK） 和实体身份认证密 钥 （AK） ； 其中， 所述第二密钥 （MKA） 基于所述接入节点 （107） 所属企业的主密钥 （MK） 产生。 2.根据权利要求1所述的方法， 其特 征在于进一 步包括： 所述安全认证平台 （102） 通过第四消息向所述接入节点 （107） 发送认证令牌 （AUTN） 、 所 述期望响应 （XRES） 、 所述标识解析消息加密密钥 （CK） 、 所述完整性密钥 （IK） 、 所述实体身份 认证密钥 （AK） 。 3.根据权利要求2所述的方法， 其特 征在于所述认证令牌 （AU TN） 生成公式为： 其中，⊕为与或符号， 表示MK和AK进行与或运算的结果， ||为连接符号， MK为所属企业 的主密钥， AK为实体身份认证密钥， XRES为期望响应， MAC为消息鉴别码。 4.根据权利要求3所述的方法， 其特 征在于所述接入节点 （107） 属性信息进一 步包括： 主体标识 （ID1） 、 属性名称、 所属企业标识、 所述接入节点 （107） 所属企业的主密钥 （MK） 、 对属性信息摘要的签名。 5.根据权利要求2所述的方法， 其特征在于所述第一密钥 （MKA） 基于所述接入节点 （107） 所属企业的主密钥 （MK） 产生具体包括： 所述第二密钥 （MKA） 基于所述接入节点 （107） 所属企业的主密钥 （MK） 和所述接入节点 （107） 的标识解析码产生。 6.根据权利要求2所述的方法， 其特 征在于， 所述第二密钥衍生算法为所述安全认证平台 （102） 接收到的所述接入节点 （107） 支持 所述第一密钥衍 生算法中的至少一个算法函数。 7.根据权利要求4所述的方法， 其特征在于所述密钥生成消息鉴别码 （MAC） 生成公式 为： MAC＝f1 （ID1， ID2， MKA， RAND） ； 其中， ID1为所述接入节点 （107） 标识信息， ID2为所述企业节点 （101） 标识信息， MKA为权　利　要　求　书 1/2 页 2 CN 115021913 A 2所述接入节 点 （107） 第二密钥， RAND为所述安全认证平台 （102） 生 成随机数， f为密钥生 成算 法。 8.根据权利要求4所述的方法， 其特征在于所述标识解析消息加密密钥 （CK） 、 所述完整 性密钥 （IK） 、 所述实体身份认证密钥 （AK） 生成公式为： CK＝f3 （ID1， ID2， MK， RAND） ； IK＝f4 （ID1， ID2， MK， RAND） ； AK＝f5 （ID1， ID2， MK， RAND） ； 其中， ID1为所述接入节点 （107） 主体标识， ID2为所述企业节点 （101） 标识信息， MK为所 述接入节点 （107） 所属企业的主密钥， RAND为所述安全认证平台 （102） 生 成随机数， f为密钥 生成算法。 9.一种工业互联网标识解析体系密钥生成系统， 所述系统包括接入节点 （107） 、 安全认 证平台 （102） 、 企业节点 （101） ； 其特 征在于， 接入节点 （107） 向安全认证平台 （102） 发送第一消息， 所述第一消息携带第一密钥衍生 算法、 接入节点 （107） 属性信息和第二密钥 （MKA） ； 所述安全认证平台 （102） 向企业节点 （101） 发送第二消息， 所述第二消息携带所述接入 节点 （107） 属性信息和所述第二密钥； 所述企业节点 （101） 根据所述接入节点 （107） 的属性信息确定所述接入节点 （107） 是否 有权接入所述企业节点 （101） ； 所述企业节点 （101） 发送第三消息到所述安全认证平台 （102） ， 所述第三消息携 带所述 企业节点 （101） 标识信息 （ID2） ； 所述接入节点 （107） 身份获得认证时， 所述安全认证平台 （102） 根据预设策略， 从接收 到的第一密钥衍 生算法中， 选择第二密钥衍 生算法； 所述安全认证平台 （102） 生成随机数 （RAND） ， 基于所述第二密钥衍生算法， 根据所述接 入节点 （107） 属性信息、 所述企业节点 （101） 标识信息、 第二密钥和密钥生成消息鉴别码 （MAC） 、 期望响应 （XRES） 、 标识解析消息加密密钥 （CK） 、 完整性密钥 （IK） 和实体身份认证密 钥 （AK） ； 其中， 所述第二密钥 （MKA） 基于所述接入节点 （107） 所属企业的主密钥 （MK） 产生。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程序被 处理器执行时， 实现上述权利要求1 ‑8任一所述的方法。权　利　要　求　书 2/2 页 3 CN 115021913 A 3