一种基于密钥更新的安全入网方法及装置与流程

本申请实施例涉及通信网络技术领域，尤其涉及一种基于密钥更新的安全入网方法及装置。

背景技术：

目前，随着物联网技术的大力发展，物联网设备也在大幅增加。在低功耗广域网技术(lpwan)应用中，利用其覆盖范围远这一特性，在一定区域范围内可以实现大规模、大连接的物联网终端设备接入。一般而言，这些物联网设备在接入物联网系统时，会发送入网请求至基站，通过基站解调入网请求后转发至网络服务器，由网络服务器进行入网认证。通过入网认证返回相应的入网许可消息至物联网终端设备，以此完成入网认证流程。为了保障入网认证流程的通讯安全，会使用相应的应用密钥信息加密通讯信息，并通过应用密钥信息生成相应的会话密钥，以用于后续物联网终端设备与应用服务器的业务交互，保障系统业务的安全运行。

但是，物联网终端设备在入网认证过程中，其应用密钥信息固定，一旦应用密钥信息泄露，就会影响入网流程的安全性，进而影响系统业务的运行。

技术实现要素：

本申请实施例提供一种基于密钥更新的安全入网方法及装置，能够提升物联网终端设备入网流程的安全性和通信鲁棒性，优化系统业务运行。

在第一方面，本申请实施例提供了一种基于密钥更新的安全入网方法，包括：

预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；

所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络id生成对应所述物联网终端设备的网络会话密钥，并将所述网络id和所述设备新鲜值发送至应用服务器；

所述应用服务器基于所述网络id、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；

所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；

所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。

进一步的，在所述网络服务器基于预存的所述网络密钥信息校验所述入网请求之前，还包括：

所述网络服务器基于所述设备新鲜值进行所述入网请求的有效性判断，若判断所述入网请求有效，触发所述入网请求的检验流程。

进一步的，所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，包括：

所述网络服务器提取所述入网请求包含的所述设备新鲜值、设备标识码和应用标识码；

基于预存的所述网络密钥信息、所述设备新鲜值、所述设备标识码和所述应用标识码进行mic计算得到对应的mic值，并基于所述mic值校验所述物联网终端设备的身份。

进一步的，所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，包括：

所述物联网终端设备使用所述网络密钥信息解析所述入网许可消息得到所述网络新鲜值和加密后的所述应用新鲜值，并使用所述应用密钥信息解密所述应用新鲜值。

进一步的，对应生成所述网络会话密钥和所述应用会话密钥，包括：

提取预存的所述网络id，基于所述网络密钥信息、所述设备新鲜值、所述网络新鲜值和所述网络id生成所述网络会话密钥，基于所述网络id、所述设备新鲜值、所述应用新鲜值和所述应用密钥信息生成所述应用会话密钥。

进一步的，所述入网请求还包括密钥更新类型信息，所述密钥更新类型信息为单次更新信息或周期性更新信息。

进一步的，所述网络服务器基于所述周期性更新信息周期性下发更新后的所述应用新鲜值和所述网络新鲜值至所述物联网终端设备，进行所述应用会话密钥和所述网络会话密钥的更新。

在第二方面，本申请实施例提供了一种基于密钥更新的安全入网装置，包括：

请求模块，用于预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；

第一生成模块，用于通过所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络id生成对应所述物联网终端设备的网络会话密钥，并将所述网络id和所述设备新鲜值发送至应用服务器；

第二生成模块，用于通过所述应用服务器基于所述网络id、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；

许可模块，用于通过所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；

更新模块，用于通过所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。

在第三方面，本申请实施例提供了一种电子设备，包括：

存储器以及一个或多个处理器；

所述存储器，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如第一方面所述的基于密钥更新的安全入网方法。

在第四方面，本申请实施例提供了一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如第一方面所述的基于密钥更新的安全入网方法。

本申请实施例通过预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用网络密钥信息加密入网请求，将入网请求上传至网络服务器，入网请求包含物联网终端设备的设备新鲜值；网络服务器基于预存的网络密钥信息校验入网请求，在入网请求校验通过后，响应于入网请求，基于网络密钥信息、设备新鲜值、网络服务器的网络新鲜值和网络id生成对应物联网终端设备的网络会话密钥，并将网络id和设备新鲜值发送至应用服务器；应用服务器基于网络id、设备新鲜值、应用服务器的应用新鲜值和预存的应用密钥信息生成应用会话密钥，并使用应用密钥信息加密传输应用新鲜值至网络服务器；网络服务器基于应用新鲜值和网络新鲜值生成入网许可消息，使用网络密钥信息加密入网许可消息并传输至物联网终端设备；物联网终端设备解析入网许可消息获取应用新鲜值和网络新鲜值，并对应生成网络会话密钥和应用会话密钥，基于网络会话密钥与网络服务器进行业务通讯，基于应用会话密钥与应用服务器进行业务通讯，将原有的网络密钥信息和应用密钥信息删除，并使用网络会话密钥作为新的网络密钥信息，使用应用会话密钥作为新的应用密钥信息，用于下一次物联网终端设备的入网认证。采用上述技术手段，通过会话密钥的更新可以物联网终端设备入网流程的安全性和通信鲁棒性，优化系统业务运行。

附图说明

图1是本申请实施例一提供的一种基于密钥更新的安全入网方法的流程图；

图2是本申请实施例一中的物联网终端设备入网流程图；

图3是本申请实施例二提供的一种基于密钥更新的安全入网装置的结构示意图；

图4是本申请实施例三提供的一种电子设备的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面结合附图对本申请具体实施例作进一步的详细描述。可以理解的是，此处所描述的具体实施例仅仅用于解释本申请，而非对本申请的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本申请相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

本申请提供的基于密钥更新的安全入网方法，旨在通过会话密钥的循环更新来提升物联网终端设备入网流程的安全性和通信鲁棒性，避免会话密钥固定设置被轻易攻击获取，进而导致系统业务受影响的技术问题。相对于传统的基于密钥更新的安全入网方法，其考虑到物联网终端设备通常部署在攻击者可以访问或者可以获得的地方，会话密钥可能通过各种攻击泄露。因此，系统网络通常会规定各个物联网终端设备会话密钥的唯一性以尽量减少密钥泄露造成的影响。这样即使一个物联网终端设备的会话密钥被泄露时，也不会影响到其他的节点。然而，尽管会话密钥用于多种安全机制(例如身份验证、加密和完整性检查等)，但会话密钥并没有相关的更新升级设置，在某些情况下，物联网终端设备可能在使用期间都只使用固定的会话密钥且无法更新。一旦该会话密钥受网络攻击而泄露，就会影响到物联网终端设备的入网及业务处理，基于此，提供本申请实施例的基于密钥更新的安全入网方法，以解决现有物联网终端设备的会话密钥更新问题。

实施例一：

图1给出了本申请实施例一提供的一种基于密钥更新的安全入网方法的流程图，本实施例中提供的基于密钥更新的安全入网方法可以由基于密钥更新的安全入网设备执行，该基于密钥更新的安全入网设备可以通过软件和/或硬件的方式实现，该基于密钥更新的安全入网设备可以是两个或多个物理实体构成，也可以是一个物理实体构成。一般而言，该基于密钥更新的安全入网设备可以是物联网系统。

下述以基于密钥更新的安全入网设备为执行基于密钥更新的安全入网方法的主体为例，进行描述。参照图1，该基于密钥更新的安全入网方法具体包括：

s110、预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；

s120、所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络id生成对应所述物联网终端设备的网络会话密钥，并将所述网络id和所述设备新鲜值发送至应用服务器；

s130、所述应用服务器基于所述网络id、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；

s140、所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；

s150、所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。

本申请实施例通过双密钥更新的安全入网机制来提升物联网终端设备的入网安全性。其中，预先设置对应网络服务器的网络密钥信息和对应应用服务器的应用密钥信息，网络密钥信息和应用密钥信息具有相同的属性，它们长度相同，且无法从设备节点的公共信息里被推导出来，且其他设备节点无法共享。网络密钥信息和应用密钥信息预先存储于对应的物联网终端设备，且网络密钥信息预存于网络服务器，应用密钥信息预存于应用服务器，以用于后续入网流程的安全通讯。

进一步的，物联网终端设备在入网认证时，主要通过初始化入网模式和非初始化入网模式进行入网认证。其中，在初始化入网模式时，网络密钥信息和应用密钥信息均预先存在于物联网终端设备里，且网络密钥信息被网络服务器存储，而应用密钥信息被应用服务器所存储，网络密钥信息和应用密钥信息除了用于加密通讯之外，还用于后续进行网络会话密钥和应用会话密钥的生成。

具体的，初始化入网模式是指当物联网终端设备第一次执行入网请求的模式，如图2所示，物联网终端设备在初始化入网模式进行入网认证时，首先进行入网请求的生成，入网请求包含应用标识码、设备标识码和设备新鲜值，应用标识码和设备标识码均为唯一的标识信息，且遵循ieeeeui-64地址空间格式。设备新鲜值是由物联网终端设备生成的随机数，网络服务器在每一次入网认证时均会对每一个物联网设备进行设备新鲜值的记录和更新，以用于入网请求的有效性判断。在基于应用标识码、设备标识码和设备新鲜生成入网请求之后，物联网终端设备使用预存的网络密钥信息加密入网请求，并将入网请求上传至对应的基站。基站一端通过解调该入网请求，将解调后的入网请求发送至网络服务器。网络服务器通过预存的网络密钥信息解密该入网请求。并进行入网请求的有效性判断和校验。

其中，所述网络服务器基于所述设备新鲜值进行所述入网请求的有效性判断，若判断所述入网请求有效，触发所述入网请求的检验流程。可以理解的是，由于网络服务器在每一次入网认证时均会对每一个物联网设备进行设备新鲜值的记录和更新，当网络服务器检测到设备新鲜值与之前对应物联网设备入网请求中的设备新鲜值相同的话，则表示当前接收到的入网请求重复，网络服务器会忽略掉这条消息，以此可以有效防止重复入网的攻击。

进一步的，在完成入网请求的有效性判断之后，所述网络服务器基于预存的所述网络密钥信息校验所述入网请求。其中，所述入网请求的校验流程包括：

s1201、所述网络服务器提取所述入网请求包含的所述设备新鲜值、设备标识码和应用标识码；

s1202、基于预存的所述网络密钥信息、所述设备新鲜值、所述设备标识码和所述应用标识码进行mic计算得到对应的mic值，并基于所述mic值校验所述物联网终端设备的身份。

具体的，入网请求的mic计算公式如下：

cmac＝aes128_cmac(nwkkey,appeui|deveui|devnonce|...)

mic＝cmac[0..3]

其中，nwkkey为网络密钥信息，appeui为应用标识码，deveui为设备标识码，devnonce为设备新鲜值。基于上述mic计算得到对应的mic值,根据该mic值比对对应的预设值即可对物联网终端设备进行身份认证，判断其身份是否有效。

在校验通过后，物联网终端设备将会被允许授权入网，此时网络服务器使用网络密钥信息生成网络会话密钥，并将网络id和设备新鲜值传输到应用服务器。具体的，网络会话密钥表示为:

nwk_skey＝ase128_encrypt(nwkkey,session_type_nwk|nwknonce|netid|devnonce|...)

其中，nwk_skey为网络会话密钥，nwkkey为网络密钥信息，session_type_nwk为密钥更新类型信息，nwknonce为网络新鲜值，netid为网络id，devnonce为设备新鲜值。

进一步的，应用服务器从网络服务器收到网络id和设备新鲜值之后将会生成应用会话密钥。应用会话密钥表示为:

app_skey＝ase128_encrypt(appkey,session_type_nwk|appnonce|netid|devnonce|...)

其中，app_skey为应用会话密钥，appkey为应用密钥信息，session_type_nwk为密钥更新类型信息，appnonce为应用新鲜值，netid为网络id，devnonce为设备新鲜值。

需要说明的是，上述网络新鲜值和应用新鲜值均为一个随机数，用于标识以此入网认证，以避免应用会话密钥和网络会话密钥的重复生成。

应用服务器生成应用会话密钥之后，会将应用新鲜值使用应用密钥信息加密之后发送至网络服务器。并且，由于网络服务器没有应用密钥信息，所以网络服务器不能解密应用层的消息。网络服务器从应用服务器接收到应用新鲜值后，会基于该应用新鲜值和自身的网络新鲜值生成入网许可消息。入网许可消息使用网络密钥信息加密之后，通过基站转发至对应的物联网终端设备。

进一步的，物联网终端设备通过接收解密入网许可消息，然后提取对应参数来生成网络会话密钥和应用会话密钥。其中所述物联网终端设备使用所述网络密钥信息解析所述入网许可消息得到所述网络新鲜值和加密后的所述应用新鲜值，并使用所述应用密钥信息解密所述应用新鲜值。进一步的，在生成所述网络会话密钥和所述应用会话密钥时，通过提取预存的所述网络id，基于所述网络密钥信息、所述设备新鲜值、所述网络新鲜值和所述网络id生成所述网络会话密钥，基于所述网络id、所述设备新鲜值、所述应用新鲜值和所述应用密钥信息生成所述应用会话密钥。可以理解的是，根据预存的网络id、网络密钥信息、设备新鲜值、应用密钥信息以及接收到的网络新鲜值和应用新鲜值，参照上述网络服务器生成网络会话密钥以及应用服务器生成应用会话密钥的方式，对应生成网络会话密钥和应用会话密钥，至此，物联网终端设备即入网成功。

物联网终端设备入网成功后，当使用新生成的网络会话密钥和应用会话用来通讯后，物联网终端设备和服务器会删除对应的网络密钥信息和应用密钥信息。此时为了防止密钥在将来有可能会泄露给攻击者，在物联网终端设备下一次入网时(即非初始化入网模式)，会使用网络会话密钥和应用会话密钥分别替代原有网络密钥信息和应用密钥信息，参照上述初始化入网模式进行入网认证。以此类推，将每一次入网认证的网络会话密钥和应用会话密钥对应更新为新的网络密钥信息和应用密钥信息，以此可实现会话密钥的实时更新，进一步保障入网流程的安全性。

在一个实施例中，所述入网请求还包括密钥更新类型信息，所述密钥更新类型信息为单次更新信息或周期性更新信息。可以理解的是，单次更新信息指示网络服务器在一次入网流程中仅更新一次会话密钥。而周期性更新信息则指示网络服务器在一次入网流程中周期性更新会话密钥。具体的，所述网络服务器基于所述周期性更新信息周期性下发更新后的所述应用新鲜值和所述网络新鲜值至所述物联网终端设备，进行所述应用会话密钥和所述网络会话密钥的更新。其中，参照上述入网更新流程，当网络服务器返回入网许可消息至物联网终端之后，还进一步进行会话密钥的周期性更新。此时网络服务器根据新生成的网络新鲜值生成新的网络会话密钥，应有服务器根据新生成的应用新鲜值生成应用会话密钥。进而通过网络服务器将网络新鲜值和应用新鲜值发送至物联网终端设备，以使物联网终端设备根据新接收的网络新鲜值和应用新鲜值生成新的网络会话密钥和应用会话密钥，以此完成会话密钥的周期性更新。通过周期性更新会话密钥，可以进一步保障物联网终端设备入网和业务通讯的安全性，优化系统业务的运行。

在一个实施例中，网络服务器和应用服务器还可以根据物联网终端设备的密钥使用时限进行会话密钥的更新，当会话密钥的到达设定的使用期限时，所述应用服务器对应更新应用会话密钥，所述网络服务器对应更新网络会话密钥，并将应用会话密钥和网络会话密钥更新至对应的物联网终端设备。

上述，通过预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用网络密钥信息加密入网请求，将入网请求上传至网络服务器，入网请求包含物联网终端设备的设备新鲜值；网络服务器基于预存的网络密钥信息校验入网请求，在入网请求校验通过后，响应于入网请求，基于网络密钥信息、设备新鲜值、网络服务器的网络新鲜值和网络id生成对应物联网终端设备的网络会话密钥，并将网络id和设备新鲜值发送至应用服务器；应用服务器基于网络id、设备新鲜值、应用服务器的应用新鲜值和预存的应用密钥信息生成应用会话密钥，并使用应用密钥信息加密传输应用新鲜值至网络服务器；网络服务器基于应用新鲜值和网络新鲜值生成入网许可消息，使用网络密钥信息加密入网许可消息并传输至物联网终端设备；物联网终端设备解析入网许可消息获取应用新鲜值和网络新鲜值，并对应生成网络会话密钥和应用会话密钥，基于网络会话密钥与网络服务器进行业务通讯，基于应用会话密钥与应用服务器进行业务通讯，将原有的网络密钥信息和应用密钥信息删除，并使用网络会话密钥作为新的网络密钥信息，使用应用会话密钥作为新的应用密钥信息，用于下一次物联网终端设备的入网认证。采用上述技术手段，通过会话密钥的更新可以物联网终端设备入网流程的安全性和通信鲁棒性，优化系统业务运行。

实施例二：

在上述实施例的基础上，图3为本申请实施例二提供的一种基于密钥更新的安全入网装置的结构示意图。参考图3，本实施例提供的基于密钥更新的安全入网装置具体包括：请求模块21、第一生成模块22、第二生成模块23、许可模块24和更新模块25。

其中，请求模块，用于预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；

第一生成模块，用于通过所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络id生成对应所述物联网终端设备的网络会话密钥，并将所述网络id和所述设备新鲜值发送至应用服务器；

第二生成模块，用于通过所述应用服务器基于所述网络id、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；

许可模块，用于通过所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；

更新模块，用于通过所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。

上述，通过预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用网络密钥信息加密入网请求，将入网请求上传至网络服务器，入网请求包含物联网终端设备的设备新鲜值；网络服务器基于预存的网络密钥信息校验入网请求，在入网请求校验通过后，响应于入网请求，基于网络密钥信息、设备新鲜值、网络服务器的网络新鲜值和网络id生成对应物联网终端设备的网络会话密钥，并将网络id和设备新鲜值发送至应用服务器；应用服务器基于网络id、设备新鲜值、应用服务器的应用新鲜值和预存的应用密钥信息生成应用会话密钥，并使用应用密钥信息加密传输应用新鲜值至网络服务器；网络服务器基于应用新鲜值和网络新鲜值生成入网许可消息，使用网络密钥信息加密入网许可消息并传输至物联网终端设备；物联网终端设备解析入网许可消息获取应用新鲜值和网络新鲜值，并对应生成网络会话密钥和应用会话密钥，基于网络会话密钥与网络服务器进行业务通讯，基于应用会话密钥与应用服务器进行业务通讯，将原有的网络密钥信息和应用密钥信息删除，并使用网络会话密钥作为新的网络密钥信息，使用应用会话密钥作为新的应用密钥信息，用于下一次物联网终端设备的入网认证。采用上述技术手段，通过会话密钥的更新可以物联网终端设备入网流程的安全性和通信鲁棒性，优化系统业务运行

本申请实施例二提供的基于密钥更新的安全入网装置可以用于执行上述实施例一提供的基于密钥更新的安全入网方法，具备相应的功能和有益效果。

实施例三：

本申请实施例三提供了一种电子设备，参照图4，该电子设备包括：处理器31、存储器32、通信模块33、输入装置34及输出装置35。该电子设备中处理器的数量可以是一个或者多个，该电子设备中的存储器的数量可以是一个或者多个。该电子设备的处理器、存储器、通信模块、输入装置及输出装置可以通过总线或者其他方式连接。

存储器32作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本申请任意实施例所述的基于密钥更新的安全入网方法对应的程序指令/模块(例如，基于密钥更新的安全入网装置中的请求模块、第一生成模块、第二生成模块、许可模块和更新模块)。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据设备的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

通信模块33用于进行数据传输。

处理器31通过运行存储在存储器中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的基于密钥更新的安全入网方法。

输入装置34可用于接收输入的数字或字符信息，以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置35可包括显示屏等显示设备。

上述提供的电子设备可用于执行上述实施例一提供的基于密钥更新的安全入网方法，具备相应的功能和有益效果。

实施例四：

本申请实施例还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种基于密钥更新的安全入网方法，该基于密钥更新的安全入网方法包括：预先在物联网终端设备存储网络密钥信息和应用密钥信息，通过物联网终端设备使用所述网络密钥信息加密入网请求，将所述入网请求上传至网络服务器，所述入网请求包含所述物联网终端设备的设备新鲜值；所述网络服务器基于预存的所述网络密钥信息校验所述入网请求，在所述入网请求校验通过后，响应于所述入网请求，基于所述网络密钥信息、所述设备新鲜值、所述网络服务器的网络新鲜值和网络id生成对应所述物联网终端设备的网络会话密钥，并将所述网络id和所述设备新鲜值发送至应用服务器；所述应用服务器基于所述网络id、所述设备新鲜值、所述应用服务器的应用新鲜值和预存的所述应用密钥信息生成应用会话密钥，并使用所述应用密钥信息加密传输所述应用新鲜值至所述网络服务器；所述网络服务器基于所述应用新鲜值和所述网络新鲜值生成入网许可消息，使用所述网络密钥信息加密所述入网许可消息并传输至所述物联网终端设备；所述物联网终端设备解析所述入网许可消息获取所述应用新鲜值和所述网络新鲜值，并对应生成所述网络会话密钥和所述应用会话密钥，基于所述网络会话密钥与所述网络服务器进行业务通讯，基于所述应用会话密钥与所述应用服务器进行业务通讯，将原有的所述网络密钥信息和所述应用密钥信息删除，并使用所述网络会话密钥作为新的所述网络密钥信息，使用所述应用会话密钥作为新的所述应用密钥信息，用于下一次所述物联网终端设备的入网认证。

存储介质——任何的各种类型的存储器设备或存储设备。术语“存储介质”旨在包括：安装介质，例如cd-rom、软盘或磁带装置；计算机系统存储器或随机存取存储器，诸如dram、ddrram、sram、edoram，兰巴斯(rambus)ram等；非易失性存储器，诸如闪存、磁介质(例如硬盘或光存储)；寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外，存储介质可以位于程序在其中被执行的第一计算机系统中，或者可以位于不同的第二计算机系统中，第二计算机系统通过网络(诸如因特网)连接到第一计算机系统。第二计算机系统可以提供程序指令给第一计算机用于执行。术语“存储介质”可以包括驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。

当然，本申请实施例所提供的一种包含计算机可执行指令的存储介质，其计算机可执行指令不限于如上所述的基于密钥更新的安全入网方法，还可以执行本申请任意实施例所提供的基于密钥更新的安全入网方法中的相关操作。

上述实施例中提供的基于密钥更新的安全入网装置、存储介质及电子设备可执行本申请任意实施例所提供的基于密钥更新的安全入网方法，未在上述实施例中详尽描述的技术细节，可参见本申请任意实施例所提供的基于密钥更新的安全入网方法。

上述仅为本申请的较佳实施例及所运用的技术原理。本申请不限于这里所述的特定实施例，对本领域技术人员来说能够进行的各种明显变化、重新调整及替代均不会脱离本申请的保护范围。因此，虽然通过以上实施例对本申请进行了较为详细的说明，但是本申请不仅仅限于以上实施例，在不脱离本申请构思的情况下，还可以包括更多其他等效实施例，而本申请的范围由权利要求的范围决定。