定义
密钥管理(Key Management)包括密钥的生成、派生、存储、分发与更新,是安全架构的基础。蜂窝网络中,认证后通过KDF(密钥派生函数)从主密钥K派生加密密钥与完整性密钥,用于空口加密与完整性保护。密钥采用层次化派生,实现隔离与前向安全。
密钥层次与派生
- K:长期密钥,存储在USIM中,永不导出
- CK/IK:认证过程派生,用于生成KASME/KAMF
- KeNB/KgNB:基站级密钥,切换时更新
- KRRCenc/KUPenc/KRRCint:业务密钥,分别用于RRC加密、用户面加密、RRC完整性
密钥更新与安全
密钥在切换、周期性更新、算法变更时刷新,降低长期密钥暴露风险。5G支持密钥隔离(如不同切片使用不同密钥),并引入KDF增强(如HKDF)提升派生安全性。物联网eSIM支持远程密钥配置与安全存储(如SE、TEE),满足高安全场景需求。
典型应用场景
空口加密、完整性保护、切换密钥更新、端到端加密的密钥协商等。达希物联的物联网卡采用运营商标准密钥管理,SIM中的K配合网络完成认证与派生。
达希物联的物联网卡采用运营商标准密钥管理流程,SIM卡中的K密钥配合网络侧完成认证与密钥派生,保障空口加密与完整性保护。对于需要端到端加密的高安全场景,达希物联云平台可对接客户密钥管理系统,实现应用层密钥的协同管理。