密鑰分發、認證方法，裝置及系統與流程

2023-06-21 18:15:11

本發明涉及通信領域，尤其涉及一種密鑰分發、認證方法，裝置及系統。

背景技術：

隨著通信網絡技術的發展，越來越多的設備開始加入到網絡中，並通過通信網絡進行數據的發送和接收，如手機、電腦、無人機以及其他物聯網設備等。也有越來越多的企業通過通信網絡實現企業的管理中心與實現企業業務的各智能設備的通信，如電力公司、自來水公司或熱力公司等。

為保證安全通信，智能設備與網絡通常根據根密鑰進行相互認證以建立安全通道，相互認證過程中所採用的根密鑰由網絡運營商提前配置或部署在智能設備與網絡中。現有的認證方法均基於國際移動電信組織提出的認證與密鑰協商協議(authenticationandkeyagreement，簡稱aka)，但是基於aka協議的認證方法需依賴存儲在全球用戶識別卡(universalsubscriberidentitymodule，簡稱usim)卡中的根密鑰，即需要智能設備均支持usim卡。

而接入網絡中的大量的低成本物聯網設備或企業的智能設備功能和結構簡單，無法部署功能複雜的usim卡，進而無法實現基於aka協議的認證，無法應用現有的認證方法建立安全通信通道。因此現有的根密鑰部署方法和認證方法無法應用到越來越多的不支持usim卡的智能設備與網絡的安全通信中，導致該些智能設備與網絡進行通信的安全性無法收到保證。

技術實現要素：

本發明實施例提供一種密鑰分發、認證方法，裝置及系統，用以解決現有根密鑰部署、認證方法無法應用到不支持usim卡的智能設備中的問題。

第一方面，本發明實施例提供一種密鑰分發方法，包括：

業務中心伺服器接收用戶管理伺服器發送的第一密鑰請求消息，第一密鑰請求消息用於指示業務中心伺服器生成用戶管理伺服器所管理的終端設備的第一密鑰；根據第一密鑰請求消息生成終端設備的第一密鑰，並將第一密鑰發送給用戶管理伺服器。

通過由業務中心伺服器為各終端設備分發不同密鑰，然後各終端設備基於各自密鑰與網絡認證中心進行相互認證，最終得到終端設備與功能網元的通信密鑰，為終端設備提供了安全通信通道的建立方法，具有廣泛的應用範圍，同時降低了運營商網絡的複雜度。

結合第一方面，在第一方面的第一種可能的實現方式中，生成第一密鑰的過程具體包括：業務中心伺服器根據第一參數集合，採用密鑰生成函數生成終端設備的第一密鑰；其中，第一參數集合包括第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數、共享密鑰中的至少一種，共享密鑰為用戶管理伺服器與業務中心伺服器的共享密鑰。

結合第一方面，在第一方面的第二種可能的實現方式中，第一密鑰請求消息中包括終端設備的設備標識、用戶管理伺服器的標識、網絡標識、業務參數中的至少一種，生成第一密鑰的過程具體包括：業務中心伺服器根據第二參數集合，採用密鑰生成函數生成終端設備的第一密鑰；其中，第二參數集合包括第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數、共享密鑰、用戶管理伺服器的標識、網絡標識、業務參數、終端設備的設備標識中的至少一種，共享密鑰為用戶管理伺服器與業務中心伺服器的共享密鑰。

通過結合第二參數集合等多種參數生成終端設備的第一密鑰，使得業務中心伺服器可針對屬於不同用戶管理伺服器的用於實現不同業務的終端設備，生成不同的第一密鑰。

結合第一方面，在第一方面的第三種可能的實現方式中，生成第一密鑰的過程具體包括：業務中心伺服器確定業務隨機數，並將業務隨機數作為終端設備的第一密鑰。

結合第一方面，在第一方面的第四種可能的實現方式中，第一密鑰請求消息中包括終端設備的設備標識，生成第一密鑰的過程具體包括：業務中心伺服器根據預設全局私鑰和終端設備的設備標識，基於設備身份生成算法生成終端設備的第一密鑰；其中，終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第一方面，在第一方面的第五種可能的實現方式中，第一密鑰請求消息中包括終端設備的設備標識，生成第一密鑰的過程具體包括：業務中心伺服器根據預設全局私鑰、終端設備的設備標識和第三參數集合，基於設備身份生成算法生成終端設備的第一密鑰；

其中，第三參數集合包含第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數中的至少一種參數；終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第一方面、第一方面的第一種至第三種可能的實現方式中的任一種可能的實現方式，在第一方面的第六種可能的實現方式中，該方法還包括：業務中心伺服器將終端設備的第一密鑰發送給網絡認證伺服器以使得網絡認證伺服器根據第一密鑰與終端設備進行相互認證。

結合第一方面的第六種可能的實現方式，在第一方面的第七種可能的實現方式中，業務中心伺服器將第一密鑰發送給網絡認證伺服器之前還包括：

業務中心伺服器接收網絡認證伺服器發送的第二密鑰請求消息；第二密鑰請求消息是在網絡認證伺服器接收到終端設備發送的認證請求消息後發送的。

第二方面，本發明實施例提供一種密鑰分發方法，包括：

用戶管理伺服器向業務中心伺服器發送第一密鑰請求消息，第一密鑰請求消息用於指示業務中心伺服器生成用戶管理伺服器所管理的終端設備的第一密鑰；接收業務中心伺服器發送的終端設備的第一密鑰，並將終端設備的第一密鑰發送給終端設備以使得終端設備根據第一密鑰與網絡認證伺服器進行相互認證。

結合第二方面，在第二方面的第一種可能的實現方式中，第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第二方面，在第二方面的第二種可能的實現方式中，該方法還包括：用戶管理伺服器將第四參數集合發送給終端設備，第四參數集合包括用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

第三方面，本發明實施例提供一種密鑰認證方法，包括：

終端設備接收用戶管理伺服器發送的終端設備的第一密鑰；根據第一密鑰，與網絡認證伺服器進行相互認證以得到終端設備與功能網元的通信密鑰。

通過終端設備與網絡認證伺服器的相互認證，可得到用於安全通信的通信密鑰。

結合第三方面，在第三方面的第一種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，並採用第一密鑰對第一隨機數進行加密處理，以得到加密處理後的第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括加密處理後的第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二消息驗證碼、加密處理後的第二隨機數，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，加密處理後的第二隨機數為網絡認證伺服器採用第一密鑰對第二隨機數加密處理得到；

終端設備在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

通過在認證過程中，將第一隨機數和第二隨機數加密，提高了認證過程的保密性。

結合第三方面，在第三方面的第二種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

終端設備在對第二消息驗證碼驗證通過後，根據第一隨機數和第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第三方面，在第三方面的第三種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰，加密處理後的通信密鑰為網絡認證伺服器採用第一密鑰對通信密鑰加密處理得到；

終端設備在對第二消息驗證碼驗證通過後，根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第三方面，在第三方面的第四種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數、dh協議的第一傳輸參數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、第一傳輸參數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

終端設備在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第三方面，在第三方面的第五種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二消息驗證碼，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，加密處理後的第二隨機數為網絡認證伺服器採用第一密鑰對第二隨機數加密處理得到；

終端設備在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰。

通過在認證過程中，減少信令交互次數，提高了認證效率。

結合第三方面，在第三方面的第六種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

終端設備在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰。

結合第三方面，在第三方面的七種可能的實現方式中，相互認證過程具體包括：

終端設備接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，加密處理後的通信密鑰為網絡認證伺服器採用第一密鑰對通信密鑰加密處理得到；

終端設備在對第二消息驗證碼驗證通過後，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰。

結合第三方面，在第三方面的第八種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰、第一隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數，以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二消息驗證碼和加密處理後的第二隨機數，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，加密處理後的第二隨機數為網絡認證伺服器採用第一密鑰對第二隨機數加密處理得到；

終端設備對第二消息驗證碼進行驗證並確定驗證通過。

結合第三方面，在第三方面的第九種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一密鑰和第一隨機數，採用密鑰生成函數生成網絡認證伺服器的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數和第二消息驗證碼；

終端設備對第二消息驗證碼進行驗證並確定驗證通過。

結合第三方面，在第三方面的第十種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數、dh協議的第一傳輸參數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、第一傳輸參數以及終端設備的設備標識；

終端設備根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，對第二消息驗證碼進行驗證並確定通過驗證。

結合第三方面，在第三方面的第十一種可能的實現方式中，方法還包括：終端設備接收用戶管理伺服器發送的第四參數集合；其中，第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

通過在相互認證過程中，增加第四參數集合，使得通信密鑰的生成過程中可參考多種參數，使得通信密鑰可依據終端設備以及終端設備的業務的不同而不同，具有多樣性。

結合第三方面的第十一種可能的實現方式，在第三方面的第十二種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，並採用第一密鑰對第一隨機數進行加密處理，以得到加密處理後的第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，並將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第三方面的第十一種可能的實現方式，在第三方面的第十三種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

終端設備在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，並將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第三方面的第十一種可能的實現方式，在第三方面的第十四種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備在對第二消息驗證碼驗證通過後，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第三方面的第十一種可能的實現方式，在第三方面的第十五種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數、dh協議的第一傳輸參數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、第一傳輸參數、終端設備的設備標識以及第四參數集合；

終端設備在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第三方面的第十一種可能的實現方式，在第三方面的第十六種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰。

結合第三方面的第十一種可能的實現方式，在第三方面的第十七種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

終端設備在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰。

結合第三方面的第十一種可能的實現方式，在第三方面的第十八種可能的實現方式中，相互認證過程具體包括：

終端設備在對第二消息驗證碼驗證通過後，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰。

結合第三方面的第十一種可能的實現方式，在第三方面的第十九種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰、第一隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備對第二消息驗證碼進行驗證並確定驗證通過。

結合第三方面的第十一種可能的實現方式，在第三方面的第二十種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一隨機數、終端設備的設備標識和第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備接收網絡認證伺服器發送的第二消息驗證碼和第二隨機數；

終端設備對第二消息驗證碼進行驗證並確定驗證通過。

結合第三方面的第十一種可能的實現方式，在第三方面的第二十一種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數、dh協議的第一傳輸參數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、第一傳輸參數、終端設備的設備標識以及第四參數集合；

終端設備根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，對第二消息驗證碼進行驗證並確定通過驗證。

結合第三方面，在第三方面的第二十二種可能的實現方式中，第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第三方面的第二十二種可能的實現方式，在第三方面的第二十三種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數和第二隨機數中的至少一項，生成終端設備的通信密鑰，加密處理後的第二隨機數為網絡認證伺服器採用終端設備的第一公鑰對第二隨機數加密處理得到；

終端設備根據通信密鑰、第一隨機數、第二隨機數，生成第一消息驗證碼，或者根據第一密鑰、第一隨機數、第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第三方面的第二十二種可能的實現方式，在第三方面的第二十四種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一密鑰和第一隨機數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二數字籤名，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰，加密處理後的通信密鑰為網絡認證伺服器採用終端設備的第一公鑰對通信密鑰加密處理得到；

終端設備在對第二數字籤名驗證通過後，根據通信密鑰、第一隨機數、第二隨機數，生成第一消息驗證碼，或者根據第一密鑰、第一隨機數、第二隨機數，生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第三方面的第二十二種可能的實現方式，在第三方面的第二十五種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數、dh協議的第一傳輸參數，根據第一密鑰、第一隨機數、第一傳輸參數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數、第一傳輸參數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二數字籤名，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

終端設備在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據第一隨機數、第二隨機數中的至少一項，以及通信密鑰，第一傳輸參數，第二傳輸參數生成第一消息驗證碼，或者根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，第一傳輸參數，第二傳輸參數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第三方面的第二十二種可能的實現方式，在第三方面的第二十六種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項生成終端設備的通信密鑰，加密處理後的第二隨機數為網絡認證伺服器採用終端設備的第一公鑰對第二隨機數加密處理得到。

結合第三方面的第二十二種可能的實現方式，在第三方面的第二十七種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一密鑰和第一隨機數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數，以及終端設備的設備標識；

終端設備接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二數字籤名，加密處理後的通信密鑰為網絡認證伺服器採用終端設備的第一公鑰對通信密鑰加密處理得到；

終端設備在對第二數字籤名驗證通過後，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰。

結合第三方面的第二十二種可能的實現方式，在第三方面的第二十八種可能的實現方式中，方法還包括：終端設備接收用戶管理伺服器發送的第四參數集合；第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

結合第三方面的第二十八種可能的實現方式，在第三方面的第二十九種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，生成終端設備的通信密鑰，加密處理後的第二隨機數為網絡認證伺服器採用終端設備的第一公鑰對第二隨機數加密處理得到；

終端設備根據終端設備的設備標識、第四參數集合中的至少一項，以及通信密鑰，第一隨機數，第二隨機數生成第一消息驗證碼，或者根據終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一隨機數，第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第三方面的第二十八種可能的實現方式，在第三方面的第三十種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備在對第二數字籤名驗證通過後，根據終端設備的設備標識、第四參數集合中的至少一項，以及通信密鑰，第一隨機數，第二隨機數生成第一消息驗證碼，或者根據終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一隨機數，第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第三方面的第二十八種可能的實現方式，在第三方面的第三十一種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數、dh協議的第一傳輸參數，根據終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一隨機數，第一傳輸參數生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數、第一傳輸參數、終端設備的設備標識以及第四參數集合；

終端設備接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二數字籤名；

終端設備在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據終端設備的設備標識、第四參數集合中的至少一項，以及通信密鑰，第一傳輸參數，第二傳輸參數生成第一消息驗證碼，或者根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一傳輸參數，第二傳輸參數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第三方面的第二十八種可能的實現方式，在第三方面的第三十二種可能的實現方式中，相互認證過程具體包括：

結合第三方面的第二十八種可能的實現方式，在第三方面的第三十三種可能的實現方式中，相互認證過程具體包括：

終端設備確定第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數、終端設備的設備標識以及第四參數集合；

終端設備在對第二數字籤名驗證通過後，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰。

結合第三方面的第二十二種至第三十三種中任一種可能的實現方式，在第三方面的第三十四種可能的實現方式中，終端設備確定第一隨機數之前，還包括：

終端設備向網絡認證伺服器發送公鑰請求消息；接收網絡認證伺服器發送的網絡認證伺服器的網絡認證公鑰。

結合第三方面、第三方面的第一種至第三十四種中任一種可能的實現方式，在第三方面的第三十五種可能的實現方式中，該方法還包括：終端設備和網絡認證伺服器進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成終端設備的會話密鑰。

下面第四方面和第五方面提供一種密鑰認證方法，與上述第三方面提供的密鑰認證方法進行交互，為對稱側方法，具有相對應的技術特徵和技術效果，本發明實施例對此不再贅述。

第四方面，本發明實施例提供一種密鑰認證方法，該方法包括：

網絡認證伺服器接收終端設備發送的認證請求消息，認證請求消息包括終端設備的設備標識；接收業務中心伺服器發送的與設備標識對應的終端設備的第一密鑰；根據第一密鑰，與設備標識指示的終端設備進行相互認證以得到終端設備與功能網元的通信密鑰。

結合第四方面，在第四方面的第一種可能的實現方式中，認證請求消息還包括加密處理後的第一隨機數，相互認證過程具體包括：

網絡認證伺服器根據第一密鑰對加密處理後的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，並採用第一密鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，加密處理後的第一隨機數為終端設備採用第一密鑰對第一隨機數加密處理得到；

網絡認證伺服器根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和加密處理後的第二隨機數，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面，在第四方面的第二種可能的實現方式中，認證請求消息還包括第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數，根據第一隨機數和第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和第二隨機數，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面，在第四方面的第三種可能的實現方式中，認證請求消息還包括第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

網絡認證伺服器根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面，在第四方面的四種可能的實現方式中，認證請求消息還包括第一隨機數和第一傳輸參數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

網絡認證伺服器根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一傳輸參數，第二傳輸參數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面，在第四方面的第五種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，相互認證過程具體包括：

網絡認證伺服器根據第一密鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用第一密鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，加密處理後的第一隨機數為終端設備採用第一密鑰對第一隨機數加密處理得到；

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第四方面，在第四方面的第六種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第四方面，在第四方面的第七種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

網絡認證伺服器根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第四方面，在第四方面的第八種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，相互認證過程具體包括：

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第四方面，在第四方面的第九種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一密鑰和第一隨機數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第四方面，在第四方面的第十種可能的實現方式中，認證請求消息還包括第一隨機數、第一消息驗證碼和第一傳輸參數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

網絡認證伺服器在對所述第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一傳輸參數、第二傳輸參數中任一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第四方面，在第四方面的第十一種可能的實現方式中，認證請求消息還包括第四參數集合；第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

結合第四方面的第十一種可能的實現方式，在第四方面的第十二種可能的實現方式中，認證請求消息還包括加密處理後的第一隨機數，相互認證過程具體包括：

網絡認證伺服器根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和加密處理後的第二隨機數，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第十三種可能的實現方式中，認證請求消息還包括第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和第二隨機數，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第十四種可能的實現方式中，認證請求消息還包括第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

網絡認證伺服器根據通信密鑰、第一密鑰中任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第十五種可能的實現方式中，認證請求消息還包括第一隨機數和第一傳輸參數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

網絡認證伺服器根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一傳輸參數，第二傳輸參數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第十六種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，相互認證過程具體包括：

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第十七種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第十八種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

網絡認證伺服器根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的任一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第十九種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，相互認證過程具體包括：

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第二十種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器在對第一消息驗證碼驗證通過後，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第四方面的第十一種可能的實現方式，在第四方面的第二十一種可能的實現方式中，認證請求消息還包括第一隨機數、第一消息驗證碼和第一傳輸參數，相互認證過程具體包括：

網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

網絡認證伺服器在對所述第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及終端設備的設備標識、第四參數集合、第一傳輸參數、第二傳輸參數中任一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第四方面、第四方面的第一種至第二十一種中任一種可能的實現方式，在第四方面的第二十二種可能的實現方式中，該方法還包括：網絡認證伺服器和終端設備進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成網絡認證伺服器的會話密鑰，並將會話密鑰發送給功能網元。

第五方面，本發明實施例提供一種密鑰認證方法，包括：

網絡認證伺服器接收終端設備發送的認證請求消息，認證請求消息包括終端設備的設備標識，終端設備的設備標識為終端設備的第一公鑰；根據第一公鑰、網絡認證伺服器的網絡認證公鑰、網絡認證伺服器的網絡認證私鑰與終端設備進行相互認證以得到終端設備與功能網元的通信密鑰。

結合第五方面，在第五方面的第一種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，相互認證過程具體包括，包括：

網絡認證伺服器根據網絡認證伺服器的網絡認證私鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用終端設備的第一公鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，加密處理後的第一隨機數為終端設備採用網絡認證伺服器的網絡認證公鑰對第一隨機數加密處理得到；

網絡認證伺服器在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，生成通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第五方面，在第五方面的第二種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，相互認證過程具體包括，包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第三隨機數確定通信密鑰，採用終端設備的第一公鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將第二隨機數、加密處理後的通信密鑰、第二數字籤名，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第五方面，在第五方面的第三種可能的實現方式中，認證請求消息還包括第一數字籤名、第一隨機數和第一傳輸參數，相互認證過程具體包括，包括：

網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

網絡認證伺服器在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據第一隨機數、第二隨機數中的至少一項，以及網絡認證伺服器的網絡認證私鑰，第一傳輸參數，第二傳輸參數，生成第二數字籤名，將第二隨機數、加密處理後的第二傳輸參數、第二數字籤名，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第五方面，在第五方面的第四種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，相互認證過程具體包括，包括：

網絡認證伺服器在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，生成通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名，發送給終端設備，並向功能網元發送通信密鑰。

結合第五方面，在第五方面的第五種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，相互認證過程具體包括，包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第三隨機數確定通信密鑰，採用終端設備的第一公鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將第二隨機數、加密處理後的通信密鑰和第二數字籤名發送給終端設備，並向功能網元發送通信密鑰。

結合第五方面，在第五方面的第六種可能的實現方式中，認證請求消息還包括第四參數集合；第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

結合第五方面的第六種可能的實現方式，在第五方面的第七種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，相互認證過程具體包括，包括：

網絡認證伺服器在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，生成通信密鑰，根據終端設備的設備標識、第四參數集合中的至少一項，以及網絡認證伺服器的網絡認證私鑰，第一隨機數，第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第五方面的第六種可能的實現方式，在第五方面的第八種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，相互認證過程具體包括，包括：

網絡認證伺服器確定第二隨機數；

網絡認證伺服器在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第三隨機數確定通信密鑰，採用終端設備的第一公鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰，根據終端設備的設備標識、第四參數集合中的至少一項，以及網絡認證伺服器的網絡認證私鑰，第一隨機數，第二隨機數生成第二數字籤名，將第二隨機數、加密處理後的通信密鑰、第二數字籤名，發送給終端設備；

網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第五方面的第六種可能的實現方式，在第五方面的第九種可能的實現方式中，認證請求消息還包括第一數字籤名、第一隨機數和第一傳輸參數，相互認證過程具體包括，包括：

網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第五方面的第六種可能的實現方式，在第五方面的第十種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，相互認證過程具體包括，包括：

結合第五方面的第六種可能的實現方式，在第五方面的第十一種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，相互認證過程具體包括，包括：

網絡認證伺服器確定第二隨機數；

結合第五方面、第五方面的第一種至第十一種中任一種可能的實現方式，在第五方面的第十二種可能的實現方式中，該方法還包括：

網絡認證伺服器接收終端設備發送的公鑰請求消息；

網絡認證伺服器向終端設備發送網絡認證伺服器的網絡認證公鑰。

結合第五方面、第五方面的第一種至第十二種中任一種可能的實現方式，在第五方面的第十三種可能的實現方式中，該方法還包括：網絡認證伺服器和終端設備進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成網絡認證伺服器的會話密鑰，並將會話密鑰發送給功能網元。

下面介紹本發明實施例提供的一種密鑰分發、認證裝置，該裝置與上述方法一一對應，用以實現上述實施例中的密鑰分發、認證方法，具有相同的技術特徵和技術效果，本發明實施例對此不再贅述。

第六方面，本發明實施例提供一種業務中心伺服器，該伺服器包括：

密鑰請求接收模塊，用於接收用戶管理伺服器發送的第一密鑰請求消息，第一密鑰請求消息用於指示業務中心伺服器生成用戶管理伺服器所管理的終端設備的第一密鑰；

密鑰生成模塊，用於根據第一密鑰請求消息生成終端設備的第一密鑰，並將第一密鑰發送給用戶管理伺服器。

結合第六方面，在第六方面的第一種可能的實現方式中，密鑰生成模塊具體用於：

根據第一參數集合，採用密鑰生成函數生成終端設備的第一密鑰；

其中，第一參數集合包括第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數、共享密鑰中的至少一種，共享密鑰為用戶管理伺服器與業務中心伺服器的共享密鑰。

結合第六方面，在第六方面的第二種可能的實現方式中，第一密鑰請求消息中包括終端設備的設備標識、用戶管理伺服器的標識、網絡標識、業務參數中的至少一種，密鑰生成模塊具體用於：

根據第二參數集合，採用密鑰生成函數生成終端設備的第一密鑰；

其中，第二參數集合包括第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數、共享密鑰、用戶管理伺服器的標識、網絡標識、業務參數、終端設備的設備標識中的至少一種，共享密鑰為用戶管理伺服器與業務中心伺服器的共享密鑰。

結合第六方面，在第六方面的第三種可能的實現方式中，密鑰生成模塊具體用於：確定業務隨機數，並將業務隨機數作為終端設備的第一密鑰。

結合第六方面，在第六方面的第四種可能的實現方式中，第一密鑰請求消息中包括終端設備的設備標識，密鑰生成模塊具體用於：

根據預設全局私鑰和終端設備的設備標識，基於設備身份生成算法生成終端設備的第一密鑰；

其中，終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第六方面，在第六方面的第五種可能的實現方式中，第一密鑰請求消息中包括終端設備的設備標識，密鑰生成模塊具體用於：

根據預設全局私鑰、終端設備的設備標識和第三參數集合，基於設備身份生成算法生成終端設備的第一密鑰；

其中，第三參數集合包含第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數中的至少一種參數；

其中，終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第六方面、第六方面的第一種或第六方面的第二種可能的實現方式，在第六方面的第六種可能的實現方式中，密鑰生成模塊還用於：

將終端設備的第一密鑰發送給網絡認證伺服器以使得網絡認證伺服器根據第一密鑰與終端設備進行相互認證。

結合第六方面的第六種可能的實現方式，在第六方面的第七種可能的實現方式中，密鑰請求接收模塊還用於：

接收網絡認證伺服器發送的第二密鑰請求消息；第二密鑰請求消息是在網絡認證伺服器接收到終端設備發送的認證請求消息後發送的。

第七方面，本發明實施例提供一種用戶管理伺服器，包括：

請求發送模塊，用於向業務中心伺服器發送第一密鑰請求消息，第一密鑰請求消息用於指示業務中心伺服器生成用戶管理伺服器所管理的終端設備的第一密鑰；

密鑰接收模塊，用於接收業務中心伺服器發送的終端設備的第一密鑰；

密鑰發送模塊，用於將終端設備的第一密鑰發送給終端設備以使得終端設備根據第一密鑰與網絡認證伺服器進行相互認證。

結合第七方面，在第七方面的第一種可能的實現方式中，第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第七方面或第七方面的第一種可能的實現方式，在第七方面的第二種可能的實現方式中，其特徵在於，密鑰發送模塊還用於：

將第四參數集合發送給終端設備，第四參數集合包括用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

第八方面，本發明實施例提供一種終端設備，包括：

接收模塊，用於接收用戶管理伺服器發送的終端設備的第一密鑰；

認證模塊，用於根據第一密鑰，與網絡認證伺服器進行相互認證以得到終端設備與功能網元的通信密鑰。

結合第八方面，在第八方面的第一種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，並採用第一密鑰對第一隨機數進行加密處理，以得到加密處理後的第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括加密處理後的第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二消息驗證碼、加密處理後的第二隨機數，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，加密處理後的第二隨機數為網絡認證伺服器採用第一密鑰對第二隨機數加密處理得到；

在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面，在第八方面的第二種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

在對第二消息驗證碼驗證通過後，根據第一隨機數和第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面，在第八方面的第三種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰，加密處理後的通信密鑰為網絡認證伺服器採用第一密鑰對通信密鑰加密處理得到；

在對第二消息驗證碼驗證通過後，根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面，在第八方面的四種可能的實現方式中，認證模塊具體用於：

確定第一隨機數、dh協議的第一傳輸參數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、第一傳輸參數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面，在第八方面的五種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的加密處理後的第二隨機數、第二消息驗證碼，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，加密處理後的第二隨機數為網絡認證伺服器採用第一密鑰對第二隨機數加密處理得到；

在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰。

結合第八方面，在第八方面的第六種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰。

結合第八方面，在第八方面的七種可能的實現方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，加密處理後的通信密鑰為網絡認證伺服器採用第一密鑰對通信密鑰加密處理得到；

在對第二消息驗證碼驗證通過後，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰。

結合第八方面，在第八方面的第八種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰、第一隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數，以及終端設備的設備標識；

接收網絡認證伺服器發送的第二消息驗證碼和加密處理後的第二隨機數，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，加密處理後的第二隨機數為網絡認證伺服器採用第一密鑰對第二隨機數加密處理得到；

對第二消息驗證碼進行驗證並確定驗證通過。

結合第八方面，在第八方面的第九種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一密鑰和第一隨機數，採用密鑰生成函數生成網絡認證伺服器的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數和第二消息驗證碼；

對第二消息驗證碼進行驗證並確定驗證通過。

結合第八方面，在第八方面的第十種可能的實現方式中，認證模塊具體用於：

確定第一隨機數、dh協議的第一傳輸參數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、第一傳輸參數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，對第二消息驗證碼進行驗證並確定通過驗證。

結合第八方面，在第八方面的第十一種可能的實現方式中，接收模塊還用於接收用戶管理伺服器發送的第四參數集合；

第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

結合第八方面的第十一種可能的實現方式，在第八方面的第十二種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，並採用第一密鑰對第一隨機數進行加密處理，以得到加密處理後的第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，並將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面的第十一種可能的實現方式，在第八方面的第十三種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，並將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面的第十一種可能的實現方式，在第八方面的第十四種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、終端設備的設備標識以及第四參數集合；

在對第二消息驗證碼驗證通過後，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面的第十一種可能的實現方式，在第八方面的第十五種可能的實現方式中，認證模塊具體用於：

確定第一隨機數、dh協議的第一傳輸參數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、第一傳輸參數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

結合第八方面的第十一種可能的實現方式，在第八方面的第十六種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰。

結合第八方面的第十一種可能的實現方式，在第八方面的第十七種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰。

結合第八方面的第十一種可能的實現方式，在第八方面的第十八種可能的實現方式中，認證模塊具體用於：

在對第二消息驗證碼驗證通過後，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰。

結合第八方面的第十一種可能的實現方式，在第八方面的第十九種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰、第一隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

對第二消息驗證碼進行驗證並確定驗證通過。

結合第八方面的第十一種可能的實現方式，在第八方面的第二十種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一隨機數、終端設備的設備標識和第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的第二消息驗證碼和第二隨機數；

對第二消息驗證碼進行驗證並確定驗證通過。

結合第八方面的第十一種可能的實現方式，在第八方面的第二十一種可能的實現方式中，認證模塊具體用於：

確定第一隨機數、dh協議的第一傳輸參數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、第一傳輸參數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，對第二消息驗證碼進行驗證並確定通過驗證。

結合第八方面，在第八方面的第二十二種可能的實現方式中，第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

結合第八方面的第二十二種可能的實現方式，在第八方面的第二十三種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數和第二隨機數中的至少一項，生成終端設備的通信密鑰，加密處理後的第二隨機數為網絡認證伺服器採用終端設備的第一公鑰對第二隨機數加密處理得到；

根據通信密鑰、第一隨機數、第二隨機數，生成第一消息驗證碼，或者根據第一密鑰、第一隨機數、第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第八方面的第二十二種可能的實現方式，在第八方面的第二十四種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一密鑰和第一隨機數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二數字籤名，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰，加密處理後的通信密鑰為網絡認證伺服器採用終端設備的第一公鑰對通信密鑰加密處理得到；

在對第二數字籤名驗證通過後，根據通信密鑰、第一隨機數、第二隨機數，生成第一消息驗證碼，或者根據第一密鑰、第一隨機數、第二隨機數，生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第八方面的第二十二種可能的實現方式，在第八方面的第二十五種可能的實現方式中，認證模塊具體用於：

確定第一隨機數、dh協議的第一傳輸參數，根據第一密鑰、第一隨機數、第一傳輸參數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數、第一傳輸參數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二數字籤名，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據第一隨機數、第二隨機數中的至少一項，以及通信密鑰，第一傳輸參數，第二傳輸參數生成第一消息驗證碼，或者根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，第一傳輸參數，第二傳輸參數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第八方面的第二十二種可能的實現方式，在第八方面的第二十六種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項生成終端設備的通信密鑰，加密處理後的第二隨機數為網絡認證伺服器採用終端設備的第一公鑰對第二隨機數加密處理得到。

結合第八方面的第二十二種可能的實現方式，在第八方面的第二十七種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一密鑰和第一隨機數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數，以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、加密處理後的通信密鑰、第二數字籤名，加密處理後的通信密鑰為網絡認證伺服器採用終端設備的第一公鑰對通信密鑰加密處理得到；

在對第二數字籤名驗證通過後，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰。

結合第八方面的第二十二種可能的實現方式，在第八方面的第二十八種可能的實現方式中，接收模塊還用於接收用戶管理伺服器發送的第四參數集合；

第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

結合第八方面的第二十八種可能的實現方式，在第八方面的第二十九種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，生成終端設備的通信密鑰，加密處理後的第二隨機數為網絡認證伺服器採用終端設備的第一公鑰對第二隨機數加密處理得到；

根據終端設備的設備標識、第四參數集合中的至少一項，以及通信密鑰，第一隨機數，第二隨機數生成第一消息驗證碼，或者根據終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一隨機數，第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證服務器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第八方面的第二十八種可能的實現方式，在第八方面的第三十種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數、終端設備的設備標識以及第四參數集合；

在對第二數字籤名驗證通過後，根據終端設備的設備標識、第四參數集合中的至少一項，以及通信密鑰，第一隨機數，第二隨機數生成第一消息驗證碼，或者根據終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一隨機數，第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第八方面的第二十八種可能的實現方式，在第八方面的第三十一種可能的實現方式中，認證模塊具體用於：

確定第一隨機數、dh協議的第一傳輸參數，根據終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一隨機數，第一傳輸參數生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數、第一傳輸參數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二數字籤名；

在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據終端設備的設備標識、第四參數集合中的至少一項，以及通信密鑰，第一傳輸參數，第二傳輸參數生成第一消息驗證碼，或者根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一傳輸參數，第二傳輸參數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

結合第八方面的第二十八種可能的實現方式，在第八方面的第三十二種可能的實現方式中，認證模塊具體用於：

結合第八方面的第二十八種可能的實現方式，在第八方面的第三十三種可能的實現方式中，認證模塊具體用於：

確定第一隨機數，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數、終端設備的設備標識以及第四參數集合；

在對第二數字籤名驗證通過後，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰。

結合第八方面的第二十二種至第三十三種中任一種可能的實現方式，在第八方面的第三十四種可能的實現方式中，還包括：

公鑰請求模塊，用於向網絡認證伺服器發送公鑰請求消息；

接收模塊還用於接收網絡認證伺服器發送的網絡認證伺服器的網絡認證公鑰。

結合第八方面、第八方面的第一種至第三十四種中任一種可能的實現方式，在第八方面的第三十五種可能的實現方式中，認證模塊具體用於：與網絡認證伺服器進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成終端設備的會話密鑰。

第九方面，本發明實施例提供一種網絡認證伺服器，包括：

請求接收模塊，用於接收終端設備發送的認證請求消息，認證請求消息包括終端設備的設備標識；

密鑰接收模塊，用於接收業務中心伺服器發送的與設備標識對應的終端設備的第一密鑰；

認證模塊，用於根據第一密鑰，與設備標識指示的終端設備進行相互認證以得到終端設備與功能網元的通信密鑰。

結合第九方面，在第九方面的第一種可能的實現方式中，認證請求消息還包括加密處理後的第一隨機數，認證模塊具體用於：

根據第一密鑰對加密處理後的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，並採用第一密鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，加密處理後的第一隨機數為終端設備採用第一密鑰對第一隨機數加密處理得到；

根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和加密處理後的第二隨機數，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第二種可能的實現方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第一隨機數和第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和第二隨機數，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第三種可能的實現方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第四種可能的實現方式中，認證請求消息還包括第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一傳輸參數，第二傳輸參數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第五種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

根據第一密鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用第一密鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，加密處理後的第一隨機數為終端設備採用第一密鑰對第一隨機數加密處理得到；

在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第六種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在對第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第七種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第九方面，在第九方面的第八種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第九種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在對第一消息驗證碼驗證通過後，根據第一密鑰和第一隨機數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第九方面，在第九方面的第十種可能的實現方式中，認證請求消息還包括第一隨機數、第一消息驗證碼和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在對所述第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一傳輸參數、第二傳輸參數中任一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第九方面，在第九方面的第十一種可能的實現方式中，認證請求消息還包括第四參數集合；

第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

結合第九方面的第十一種可能的實現方式，在第九方面的第十二種可能的實現方式中，認證請求消息還包括加密處理後的第一隨機數，認證模塊具體用於：

根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和加密處理後的第二隨機數，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第十三種可能的實現方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

確定第二隨機數；

根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二消息驗證碼和第二隨機數，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第十四種可能的實現方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

根據通信密鑰、第一密鑰中任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第十五種可能的實現方式中，認證請求消息還包括第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一傳輸參數，第二傳輸參數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第十六種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第十七種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在對第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二消息驗證碼，發送給終端設備，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第十八種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

根據通信密鑰、第一密鑰中任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的任一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、加密處理後的通信密鑰、第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第十九種可能的實現方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第二十種可能的實現方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在對第一消息驗證碼驗證通過後，根據第一隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

結合第九方面的第十一種可能的實現方式，在第九方面的第二十一種可能的實現方式中，認證請求消息還包括第一隨機數、第一消息驗證碼和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在對所述第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及終端設備的設備標識、第四參數集合、第一傳輸參數、第二傳輸參數中任一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰。

結合第九方面、第九方面的第一種至第二十一種中任一種可能的實現方式，在第九方面的第二十二種可能的實現方式中，認證模塊具體用於：與終端設備進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成網絡認證伺服器的會話密鑰，並將會話密鑰發送給功能網元。

第十方面，本發明實施例提供一種網絡認證伺服器，包括：

請求接收模塊，用於接收終端設備發送的認證請求消息，認證請求消息包括終端設備的設備標識，終端設備的設備標識為終端設備的第一公鑰；

認證模塊，用於根據第一公鑰、網絡認證伺服器的網絡認證公鑰、網絡認證伺服器的網絡認證私鑰與終端設備進行相互認證以得到終端設備與功能網元的通信密鑰。

結合第十方面，在第十方面的第一種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

根據網絡認證伺服器的網絡認證私鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用終端設備的第一公鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，加密處理後的第一隨機數為終端設備採用網絡認證伺服器的網絡認證公鑰對第一隨機數加密處理得到；

在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，生成通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名，發送給終端設備；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第十方面，在第十方面的第二種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第三隨機數確定通信密鑰，採用終端設備的第一公鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將第二隨機數、加密處理後的通信密鑰、第二數字籤名，發送給終端設備；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第十方面，在第十方面的第三種可能的實現方式中，認證請求消息還包括第一數字籤名、第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據第一隨機數、第二隨機數中的至少一項，以及網絡認證伺服器的網絡認證私鑰，第一傳輸參數，第二傳輸參數，生成第二數字籤名，將第二隨機數、加密處理後的第二傳輸參數、第二數字籤名，發送給終端設備；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第十方面，在第十方面的第四種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，生成通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名，發送給終端設備，並向功能網元發送通信密鑰。

結合第十方面，在第十方面的第五種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第三隨機數確定通信密鑰，採用終端設備的第一公鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將第二隨機數、加密處理後的通信密鑰和第二數字籤名發送給終端設備，並向功能網元發送通信密鑰。

結合第十方面，在第十方面的第六種可能的實現方式中，認證請求消息還包括第四參數集合；

第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

結合第十方面的第六種可能的實現方式，在第十方面的第七種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，生成通信密鑰，根據終端設備的設備標識、第四參數集合中的至少一項，以及網絡認證伺服器的網絡認證私鑰，第一隨機數，第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名，發送給終端設備；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第十方面的第六種可能的實現方式，在第十方面的第八種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第三隨機數確定通信密鑰，採用終端設備的第一公鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰，根據終端設備的設備標識、第四參數集合中的至少一項，以及網絡認證伺服器的網絡認證私鑰，第一隨機數，第二隨機數生成第二數字籤名，將第二隨機數、加密處理後的通信密鑰、第二數字籤名，發送給終端設備；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第十方面的第六種可能的實現方式，在第十方面的第九種可能的實現方式中，認證請求消息還包括第一數字籤名、第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

結合第十方面的第六種可能的實現方式，在第十方面的第十種可能的實現方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

結合第十方面的第六種可能的實現方式，在第十方面的第十一種可能的實現方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

結合第十方面、第十方面的第一種至第十一種中任一種可能的實現方式，在第十方面的第十二種可能的實現方式中，請求接收模塊還用於接收終端設備發送的公鑰請求消息；認證模塊還用於向終端設備發送網絡認證伺服器的網絡認證公鑰。

結合第十方面、第十方面的第一種至第十二種中任一種可能的實現方式，在第十方面的第十三種可能的實現方式中，認證模塊具體用於：與終端設備進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成網絡認證伺服器的會話密鑰，並將會話密鑰發送給功能網元。

第十一方面，本發明實施例提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述第一方面、第一方面的第一種至第七種中任一種可能的實現方式中的密鑰分發方法。

第十二方面，本發明實施例提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述第二方面、第二方面的第一種、第二方面的第二種中任一種可能的實現方式中的密鑰分發方法。

第十三方面，本發明實施例提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述第三方面、第三方面的第一種至第三十五種中任一種可能的實現方式中的密鑰認證方法。

第十四方面，本發明實施例提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述第四方面、第四方面的第一種至第二十二種、第五方面、第五方面的第一種至第十三種中任一種可能的實現方式中的密鑰認證方法。

第十五方面，本發明實施例提供一種密鑰分發、認證系統，包括：如上述第六方面、第六方面的第一種至第七種中任一種可能的實現方式中的業務中心伺服器；如第七方面、第七方面的第一種、第七方面的第二種中任一種可能的實現方式中的用戶管理伺服器；如第八方面、第八方面的第一種至第三十五種中任一種可能的實現方式中的終端設備；如第九方面、第九方面的第一種至第二十二種、第十方面、第十方面的第一種至第十三種中任一種可能的實現方式中的網絡認證伺服器。

附圖說明

為了更清楚地說明本發明實施例的技術方案，下面將對實施例描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明密鑰分發、認證方法實施例一的系統架構示意圖；

圖2為本發明密鑰分發、認證方法實施例一的信令流程圖；

圖3為本發明密鑰認證方法實施例一的信令流程圖；

圖4為本發明密鑰認證方法實施例二的信令流程圖；

圖5為本發明密鑰認證方法實施例三的信令流程圖；

圖6為本發明密鑰認證方法實施例四的信令流程圖；

圖7為本發明密鑰認證方法實施例五的信令流程圖；

圖8為本發明密鑰認證方法實施例六的信令流程圖；

圖9為本發明密鑰認證方法實施例七的信令流程圖；

圖10為本發明密鑰認證方法實施例八的信令流程圖；

圖11為本發明業務中心伺服器實施例一的結構示意圖；

圖12為本發明用戶管理伺服器實施例一的結構示意圖；

圖13為本發明終端設備實施例一的結構示意圖；

圖14為本發明網絡認證伺服器實施例一的結構示意圖；

圖15為本發明網絡認證伺服器實施例二的結構示意圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

本發明的說明書和權利要求書的術語「包括」和「具有」以及他們的任何變形，意圖在於覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。

本發明實施例提供一種密鑰分發、認證方法及設備，用於為終端設備分發密鑰，並使終端設備根據分發的密鑰在與網絡認證伺服器相互認證後得到通信密鑰，使得終端設備能夠根據通信密鑰連入到通信網絡中，並進行安全通信。下面採用具體的實施例，對本發明實施例進行密鑰分發和認證的系統架構進行詳細說明。

圖1為本發明密鑰分發、認證方法實施例一的系統架構示意圖。如圖1所示，該系統架構包括業務中心伺服器101、用戶管理伺服器102、終端設備103、網絡認證伺服器104和功能網元105。其中，業務中心伺服器101用於安全生成和分配密鑰，在用戶管理伺服器102發送第一密鑰請求消息時，為用戶管理伺服器102所管理的不同的終端設備103分配不同的密鑰，業務中心伺服器101還可針對屬於不同的用戶管理伺服器102的終端設備103採用不同算法分發不同類型或不同安全等級的密鑰。業務中心伺服器101可以由網絡運營商控制，也可由獨立於網絡運營商和用戶管理伺服器之外的第三方控制。業務中心伺服器101具體可以為伺服器、基站、工作站、計算機、網關等設備，本發明實施例僅以伺服器為例，而並非對此進行限制。用戶管理伺服器102可以為一個公司、企業，也可以為一個終端用戶或者一個終端，其下部署了一個或者多個終端設備103，圖1中以一個用戶管理伺服器102管理兩個終端設備103為例，本領域技術人員應該明白，這並非對本發明實施例的限制。終端設備103可以為如手機、平板電腦、智能終端等智能設備，或者伺服器等通信設備，或者如傳感器、電錶、水錶等物聯網設備。網絡認證伺服器104與功能網元105由網絡運營商控制，網絡認證伺服器104用於與終端設備103根據分發的密鑰進行相互認證並得到通信密鑰，網絡認證服務器104具體可以為移動管理節點(mobilitymanagemententity，簡稱mme)、歸屬籤約用戶伺服器(homesubscriberserver，簡稱hss)、控制器、控制節點、網關、伺服器等。功能網元105用於根據認證過程中得到的通信密鑰與終端設備103實現安全通信，功能網元105具體可以為終端設備103接入通信網絡的數據面錨點、核心網伺服器、控制節點、用戶數據面網關，如pdh設備、sdh-adm、dacs、tem、reg、pcm等等。

可選的，業務中心伺服器101包括業務認證伺服器和密鑰管理伺服器。示例性的，業務認證伺服器與用戶管理伺服器102進行通信，密鑰管理伺服器與網絡認證伺服器104通信，業務認證伺服器接收用戶管理伺服器102發送的第一密鑰請求消息，並將第一密鑰請求消息轉發給密鑰管理伺服器，當密鑰管理伺服器生成第一密鑰時，密鑰管理伺服器通過業務認證伺服器將第一密鑰發送給終端設備103，在終端設備103和網絡認證伺服器104基於對稱秘鑰技術進行相互認證時，密鑰管理伺服器可直接向網絡認證伺服器104發送第一密鑰。示例性的，也可為業務認證伺服器與網絡認證伺服器104進行通信，密鑰管理伺服器與用戶管理伺服器102直接通信，密鑰管理伺服器直接接收用戶管理伺服器102發送的第一密鑰請求消息，並將生成的第一密鑰直接發送給終端設備103，在終端設備103和網絡認證伺服器104基於對稱秘鑰技術進行相互認證時，密鑰管理伺服器通過業務認證伺服器向網絡認證伺服器104發送第一密鑰。示例性的，也可為業務認證伺服器與用戶管理伺服器102、網絡認證伺服器104進行通信，密鑰管理伺服器僅與業務認證伺服器通信，業務認證伺服器與用戶管理伺服器102直接通信，業務認證伺服器直接接收用戶管理伺服器102發送的第一密鑰請求消息，並將密鑰管理伺服器生成的第一層密鑰直接發送給用戶管理伺服器102，在終端設備103和網絡認證伺服器104基於對稱秘鑰技術進行相互認證時，業務認證伺服器向網絡認證伺服器104發送第一層密鑰。

下面在上述系統架構的基礎上，以具體地實施例對本發明的技術方案以及本發明的技術方案如何實現進行詳細說明。下面這幾個具體的實施例可以相互結合，對於相同或相似的概念或過程可能在某些實施例中不再贅述。

圖2為本發明密鑰分發、認證方法實施例一的信令流程圖。如圖2所示，本方法包括：

s201、用戶管理伺服器向業務中心伺服器發送第一密鑰請求消息。

第一密鑰請求消息用於指示業務中心伺服器生成用戶管理伺服器所管理的終端設備的第一密鑰。

具體的，在步驟201之前，用戶管理伺服器與業務中心伺服器已相互認證通過，建立了安全的通信通道，示例性的，認證方式可以為根據用戶名口令、證書、對稱密鑰、aka協議等方式。

s202、業務中心伺服器接收用戶管理伺服器發送的第一密鑰請求消息，生成終端設備的第一密鑰，並將第一密鑰發送給用戶管理伺服器。

具體的，當業務中心伺服器接收到用戶管理伺服器發送的第一密鑰請求消息時，生成第一密鑰並將該第一密鑰發送給用戶管理伺服器，以使得用戶管理伺服器將該第一密鑰發送給終端設備。示例性的，不同的終端設備通過用戶管理伺服器向業務中心伺服器發送的第一密鑰請求消息中，可包含各終端設備的設備標識，業務中心伺服器根據每一個第一密鑰請求消息中所包含的設備標識所指示的終端設備生成一個第一密鑰。示例性，業務中心伺服器在生成終端設備的第一密鑰時，包括如下可行的實現方式：

一類可行的實現方式，基於對稱密鑰技術的密鑰生成過程：

業務中心伺服器根據根據第一參數集合，採用密鑰生成函數生成終端設備的第一密鑰；

或者

當第一密鑰請求消息中包括終端設備的設備標識、用戶管理伺服器的標識、網絡標識、業務參數中的至少一種時，業務中心伺服器根據第二參數集合，採用密鑰生成函數生成終端設備的第一密鑰。

其中，第一參數集合包括第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數、共享密鑰中的至少一種。第二參數集合包括第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數、共享密鑰、用戶管理伺服器的標識、網絡標識、業務參數、終端設備的設備標識中的至少一種。共享密鑰為用戶管理伺服器與業務中心伺服器的共享密鑰。

可選的，還可由業務中心伺服器隨機選擇一個隨機數作為終端設備的第一密鑰。

在該類可行的實現方式中，業務中心伺服器將第一密鑰發送給用戶管理伺服器，也將該第一密鑰發送給網絡認證伺服器，以使終端設備在接收到用戶管理伺服器發送的第一密鑰後，可與網絡認證伺服器基於對稱密鑰技術進行相互認證，由於第一密鑰僅終端設備和網絡認證伺服器具有，並未公開，故終端設備和網絡認證伺服器可根據第一密鑰進行數據加密和解密，從而保證了認證過程的保密性。

在該類可行的實現方式中，密鑰生成函數(keyderivationfunction,簡稱kdf)根據輸入的參數，進行推衍得到密鑰，輸入參數的內容、個數與順序不同，得到不同的密鑰，具體的，kdf所採用的算法可以為hmac算法(如hmac-sha256)，omac，cbc-mac，pmac，umac和vmac等算法。

在該類可行的實現方式中，用戶管理伺服器與業務中心伺服器的共享密鑰可以是提前預設的，也可以是用戶與密鑰管理中心執行ipsec，tls等協議後協商的密鑰，也可以是用戶與密鑰管理中心在aka認證後得到的密鑰(如kasme，ck，ik等)。

另一類可行的實現方式，基於身份密碼系統的密鑰生成過程：

業務中心伺服器根據預設全局私鑰和終端設備的設備標識，基於設備身份生成算法生成終端設備的第一密鑰；

或者

業務中心伺服器根據預設全局私鑰、終端設備的設備標識和第三參數集合，基於設備身份生成算法生成終端設備的第一密鑰；

其中，第三參數集合包含第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數中的至少一種參數；終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為第一私鑰對應的終端設備的第一公鑰。

在該類可行的實現方式中，設備身份生成算法基於不同終端設備的設備標識為不同的終端設備生成不同的第一密鑰，終端設備的第一密鑰即為終端設備的私鑰，終端設備的設備標識即為終端設備的第一公鑰。可選的，還可選擇基於終端設備的設備標識生成的公鑰作為終端設備的第一公鑰。以下實施例中均以終端設備的設備標識作為終端設備的第一公鑰為例，而非對其的限定。終端設備的第一公鑰為公開數據，終端設備的第一私鑰僅終端設備具有，不公開。當某一設備採用終端設備的第一公鑰加密數據並發送給終端設備後，終端設備可利用第一私鑰對加密數據進行解密，得到數據，而其他設備即使獲取了加密數據，由於不具有終端設備的第一私鑰，而無法進行正確解密或驗證。因此，該類基於身份密碼系統的密鑰適用於基於身份密鑰技術的相互認證過程。

上述任一可行的實現方式中，第一密鑰新鮮參數(如，序列號，freshparameter,nonce等等)用於指示第一密鑰的新鮮性，抵禦重放攻擊，不同時刻的第一密鑰的新鮮參數應該不同，如果相同則可認為受到了重放攻擊。第一密鑰的預設時間參數用於指示該第一密鑰的有效期，包括：第一密鑰有效的時間、無效的時間和有效期中的至少一種。以下實施例中的任意密鑰的新鮮參數具有同樣含義，不再贅述。

用戶管理伺服器的標識包括但不限於如下中的至少一種：行業用戶id，公司的標識id，業務id，個人用戶的id(如：imei、imsi、impi、tmsi、impu、用戶的appid、mac地址、ip地址、手機號碼和guti等)。

網絡標識包括但不限於如下中的至少一種：運營商id(plmnid)，接入網絡id(accessnetworkid)，服務網絡id(servingnetworkid)，區域網網絡id等網絡id標識。

業務參數包括但不限於如下中的至少一種：業務中的序列號sn、時間戳、該業務中的相關id，業務新鮮參數、業務隨機數(nonce』/randomnumber1)，業務等級，時延參數，其中，該業務中的相關id可以為業務的名稱，包括密鑰管理中心的id、業務認證中心的id，業務中心id，會話id、鏈路id、應用id、伺服器id中的至少一個。其中，時間戳可以為發送此請求消息時用戶的系統時間。

終端設備的設備標識包括但不限於如下中的至少一項：設備的編號，序列號，imei、imsi、impi、tmsi、impu、設備的appid、mac地址、ip地址、手機號碼和guti。可選的，還可為其他可能的唯一標識設備的標識。

在上述任一生成第一密鑰的方式中，通常採用不同的參數，以針對不同的終端設備生成不同的第一密鑰。進一步的，可在生成第一密鑰的過程中，增加用戶管理伺服器的標識，以為不同用戶管理伺服器所管理的終端設備，生成複雜度不同的第一密鑰，即業務中心伺服器可根據管理終端設備的用戶管理伺服器的不同，為不同的終端設備設置複雜度不同的第一密鑰。進一步的，還可在生成第一密鑰的過程中，增加業務參數，當同一終端設備的不同業務向業務中心伺服器請求密鑰時，業務中心伺服器可為同一終端設備設置多個第一密鑰，進而實現，終端設備上的不同業務採用不同密鑰來保護的目的。

s203、用戶管理伺服器將第一密鑰發送給終端設備。

具體的，用戶管理伺服器接收業務中心伺服器發送的終端設備的第一密鑰並將終端設備的第一密鑰發送給終端設備。

示例性的，當用戶管理伺服器為多個終端設備向業務中心伺服器發送多條第一密鑰請求消息時，第一密鑰請求消息中包括終端設備的設備標識，以使用戶管理伺服器可區分第一密鑰所對應的終端設備。可選的，用戶管理伺服器在將第一密鑰發送給終端設備時，同時還將該第一密鑰的時間信息發送給終端設備，以限定該第一密鑰的有效可用時間。

s204、終端設備與網絡認證伺服器進行相互認證以得到通信密鑰。

具體的，終端設備接收用戶管理伺服器發送的第一密鑰，與網絡認證伺服器進行相互認證以得到終端設備與功能網元的通信密鑰。

可選的，在步驟204之後，本發明實施例還包括：

網絡認證伺服器向功能網元發送通信密鑰，使得終端設備與功能網元可基於通信密鑰進行安全通信。

步驟201至步驟203中，主要說明密鑰的分發方法，步驟204主要說明密鑰的認證過程。

具體的，在步驟204中，根據終端設備的第一密鑰的生成方式不同，終端設備與網絡認證中心的相互認證包括如下可行的實現方式：

一種可行的實現方式：終端設備與網絡認證伺服器基於對稱密鑰技術進行相互認證。

在該種可行的實現方式中，業務中心伺服器將終端設備的第一密鑰發送給網絡認證伺服器，網絡認證伺服器接收業務中心伺服器發送的終端設備的第一密鑰，並根據第一密鑰與終端設備進行相互認證。

示例性的，如圖2中虛線所示，業務中心伺服器可在向用戶管理伺服器發送終端設備的第一密鑰的同時或之後，向網絡認證伺服器發送終端設備的第一密鑰。可選的，也可是在接收到網絡認證伺服器向業務中心伺服器發送的密鑰請求消息後，向網絡認證伺服器發送第一密鑰。可選的，密鑰請求消息中可包含終端設備的設備標識。

可選的，網絡認證伺服器也可同時接收終端設備的第一密鑰和設備標識，當網絡認證伺服器已經從業務中心伺服器中獲取了終端設備的設備標識時，在終端設備與網絡認證伺服器的相互認證過程中，無需再由終端設備向網絡認證伺服器發送終端設備的設備標識。

示例性的，網絡認證伺服器也可在與終端設備的相互認證過程中，在接收到終端設備發送的認證請求消息後，向業務中心伺服器發送第二密鑰請求消息，業務中心伺服器在接收到第二密鑰請求消息後將終端設備的第一密鑰發送給網絡認證伺服器。終端設備向網絡認證伺服器發送的認證請求消息用於指示終端設備與網絡認證伺服器進行相互認證以獲取終端設備與功能網元的通信密鑰。可選的，認證請求消息和第二密鑰請求消息中可包括終端設備的設備標識。業務中心伺服器可將設備標識和第一密鑰對應存儲，可以在每次接收到包含設備標識的密鑰請求消息後，根據設備標識重新生成當前設備標識對應的終端設備的第一密鑰。

另一種可行的實現方式：終端設備與網絡認證伺服器基於身份密鑰技術進行相互認證。

在該種可行的實現方式中，終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為終端設備的第一公鑰。可選的，還可選擇基於終端設備的設備標識生成的公鑰作為終端設備的第一公鑰。以下實施例中不再贅述。

此時，網絡認證伺服器在接收到終端設備發送的認證請求消息後，就獲取了終端設備的第一公鑰，即網絡認證伺服器中存儲有終端設備的第一公鑰和網絡認證伺服器的網絡認證公鑰和網絡認證私鑰，終端設備中存儲有網絡認證伺服器的網絡認證公鑰，網絡認證伺服器可根據終端設備的第一公鑰對待傳輸數據進行加密，終端設備可根據網絡認證伺服器的網絡認證公鑰對傳輸數據進行加密，進而使得終端設備與網絡認證伺服器可在保密的情況下進行相互認證得到通信密鑰。

示例性的，網絡認證伺服器的網絡認證公鑰和網絡認證私鑰基於身份密碼系統生成，網絡認證伺服器可選擇網絡認證伺服器的id作為網絡認證公鑰，或者採用根據網絡認證伺服器的id生成的公鑰作為網絡認證公鑰。

示例性的，可將網絡認證伺服器的網絡認證公鑰預存在終端設備中。示例性的，網絡認證公鑰的獲取還可以是在網絡認證伺服器與終端設備相互認證之前，網絡認證伺服器接收終端設備發送的公鑰請求消息或證書請求消息；網絡認證伺服器向終端設備發送網絡認證伺服器的網絡認證公鑰或網絡認證伺服器的證書，該證書中包含有網絡認證伺服器的網絡認證公鑰。

示例性的，還可以是在相互認證過程中，由網絡認證伺服器將網絡認證公鑰發送給終端設備。

其中，網絡認證伺服器也可基於公鑰基礎設施(publickeyinfrastructure，簡稱pki)密碼系統生成網絡認證伺服器的第三公鑰和第三私鑰，以代替網絡認證伺服器基於身份密碼系統生成的網絡認證公鑰和網絡認證私鑰。

可選的，終端設備與網絡認證伺服器還可根據ipsec，tls等協議進行相互認證。可選的，終端設備與網絡認證伺服器還可直接採用第一密鑰作為終端設備與功能網元的安全通信密鑰。

特別地，本發明實施例適用於一個企業或公司基於多種業務同時管理多個終端設備時的密鑰分發與認證，可使得多個終端設備在未提前預設根密鑰或不支持usim卡的情況下，依據終端設備處理的業務的不同，得到業務中心伺服器分發的不同密鑰，進而可實現安全通信，同時實現了企業或公司主導的基於業務的密鑰分發和認證，降低了運營商的運行複雜度。

本發明實施例提供的密鑰分發、認證方法，由業務中心伺服器為各終端設備分發不同密鑰，然後各終端設備基於各自密鑰與網絡認證中心進行相互認證，最終得到終端設備與功能網元的通信密鑰。本發明實施例為終端設備提供了安全通信通道的建立方法，具有廣泛的應用範圍，同時降低了運營商網絡的複雜度。

下面採用具體實施例對步驟204中的相互認證過程進行詳細說明，如上所述，相互認證方式至少包括基於對稱密鑰技術的認證方式和基於身份密鑰技術的認證方式。

在基於對稱密鑰技術的認證方式中，包括如下可能的實現方式：

第一種可能的認證實現方式：

圖3為本發明密鑰認證方法實施例一的信令流程圖。如圖3所示，包括：

s301、終端設備向網絡認證伺服器發送認證請求消息；

具體地，終端設備確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括加密處理後的第一隨機數以及終端設備的設備標識；

s302、網絡認證伺服器向終端設備發送第二隨機數、第二消息驗證碼；

具體地，網絡認證伺服器根據第一密鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用第一密鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，根據第一密鑰k_dev、第一隨機數nonce1、第二隨機數nonce2中的至少一項，採用kdf生成網絡認證伺服器的通信密鑰k_com，即k_com＝kdf(k_dev，nonce1，nonce2的至少一項)，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數mac生成第二消息驗證碼mac2，即mac2＝mac((k_com或k_dev)，nonce1，nonce2)，將加密處理後的第二隨機數、第二消息驗證碼，發送給終端設備；

s303、終端設備向網絡認證伺服器發送第一消息驗證碼；

具體地，終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二消息驗證碼，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，即k_com＝kdf(k_dev，nonce1，nonce2的至少一項)，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼mac1，示例性的，mac1＝mac((k_com或k_dev)，nonce2，nonce1)，將第一消息驗證碼，發送給網絡認證伺服器。

s304、網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

可選的，在實現上述認證方式的過程中，在生成通信密鑰、消息驗證碼過程中還可根據第四參數集合，以提高保密性，增加通信密鑰與第一密鑰的相關性。其中第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

示例性的，在終端設備向網絡認證伺服器發送認證請求消息之前，終端設備還接收用戶管理伺服器發送的第四參數集合，認證請求消息中還包括第四參數集合。

在步驟302中，網絡認證伺服器根據第一密鑰k_dev、第一隨機數nonce1、第二隨機數nonce2中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用kdf生成網絡認證伺服器的通信密鑰k_com，即k_com＝kdf((k_dev，nonce1，nonce2的至少一項)，(終端設備的設備標識、第四參數集合的至少一項))，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數mac生成第二消息驗證碼mac2，即mac2＝mac((k_com或k_dev)，nonce1，nonce2，(終端設備的設備標識、第四參數集合的至少一項))，將第二隨機數、第二消息驗證碼發送給終端設備；

在步驟303中，終端設備根據第一密鑰、第一隨機數、第二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，即k_com＝kdf((k_dev，nonce1，nonce2的至少一項)，(終端設備的設備標識、第四參數集合的至少一項))，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼mac1，示例性的，mac1＝mac((k_com或k_dev)，nonce2，nonce1，終端設備的設備標識、第四參數集合的至少一項))。

可選的，在上述生成通信密鑰的過程中，也可採用通信密鑰的密鑰參數替代第四參數集合，也可同時採用通信密鑰的密鑰參數和第四參數集合。通信密鑰的密鑰參數包括如下中的至少一種：通信密鑰隨機數、通信密鑰新鮮參數、通信密鑰的預設時間參數。本領域技術人員清楚增加其他類似的參數、刪除部分參數或採用其他類似參數替換本申請中的參數，也在本申請的保護範圍內。具體的，在上述相互認證的過程中，當網絡認證伺服器生成通信密鑰的過程中採用了通信密鑰的密鑰參數時，網絡認證伺服器需向終端設備發送通信密鑰的密鑰參數，當網絡認證伺服器生成通信密鑰的過程中未採用通信密鑰的密鑰參數時，網絡認證伺服器無需向終端設備發送通信密鑰的密鑰參數。

具體的，在上述認證過程中，還可根據第一密鑰對第一消息驗證碼、第二消息驗證碼進行加密，以提高認證過程的保密性。具體的，在生成通信密鑰k_com的過程中，若選擇採用終端設備與網絡認證伺服器共享的第一密鑰生成k_com，而未採用第一隨機數或第二隨機數，則在相互認證過程中，也可不對第一隨機數或第二隨機數進行加密。在上述認證過程中，終端設備與網絡認證伺服器採用相同的密鑰生成函數以及參數生成終端設備的通信密鑰。終端設備與網絡認證伺服器在生成消息驗證碼的過程中，可採用不同的參數或採用順序不同的參數，得到不同的消息驗證碼。以下多種可能的認證方式中，也可採用相同或相似設置，下文不再贅述。

可選的，上述步驟s302中的通信密鑰可由網絡認證伺服器根據第三隨機數獲得，當通信密鑰根據第三隨機數獲得時，網絡認證伺服器採用第一密鑰將該通信密鑰進行加密，發送給終端設備，以使終端設備在對加密後的通信密鑰進行解密後，即可得到通信密鑰。可選的，在隨機生成通信密鑰的過程中，也可選擇不對第一隨機數和第二隨機數進行加密。

第二種可能的認證實現方式：

圖4為本發明密鑰認證方法實施例二的信令流程圖。如圖4所示，包括：

s401、終端設備向網絡認證伺服器發送認證請求消息；

具體地，終端設備確定第一隨機數、dh協議的第一傳輸參數。示例性的，可先確定第一參數x，根據第一參數x得到dh協議的第一傳輸參數gx，第一傳輸參數gx為預設dh協議的生成元g的第一參數次方，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、第一傳輸參數以及終端設備的設備標識；

其中，本發明各實施例中的dh協議為diffie-hellman協議。

s402、網絡認證伺服器向終端設備發送第二隨機數、第二傳輸參數和第二消息驗證碼；

具體地，網絡認證伺服器接收第一隨機數、第一傳輸參數、終端設備的設備標識以及第四參數集合，確定第二隨機數、dh協議的第二傳輸參數，示例性的，可先確定第二參數y，根據第二參數y得到第二傳輸參數gy，第二傳輸參數gy為預設dh協議的生成元g的第二參數次方，根據第一傳輸參數gx和第二傳輸參數gy執行dh密鑰協商算法得到第三傳輸參數gxy，根據第一隨機數、第二隨機數、第四參數集合中的至少一項，以及第三傳輸參數採用密鑰生成函數生成網絡認證伺服器的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第一傳輸參數、第二傳輸參數，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備；

s403、終端設備向網絡認證伺服器發送第一消息驗證碼；

具體地，終端設備接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數，在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數、終端設備的設備標識、第四參數集合中的至少一項，以及第三傳輸參數採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，將第一消息驗證碼，發送給網絡認證伺服器；

s404、網絡認證伺服器接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

可選的，在相互認證過程中，還可將第一隨機數和第二隨機數進行加密傳輸。可選的，在相互認證過程中，還可選擇第一傳輸參數和第二傳輸參數中的至少一個進行加密。

可選的，當存在多種預設dh協議時，在步驟401中，認證請求消息還包括終端設備選擇的預設dh協議的dh協議標識，網絡認證伺服器根據接收的dh協議標識，確定傳輸參數生成中所採用的預設dh協議的生成元g。

與第一種可能的認證實現方式相比，通過增加第一傳輸參數和第二傳輸參數，增加了認證過程的保密性。

第三種可能的認證實現方式：

圖5為本發明密鑰認證方法實施例三的信令流程圖。如圖5所示，包括：

s501、終端設備向網絡認證中心發送認證請求消息；

具體地，終端設備確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數以及終端設備的設備標識；

s502、網絡認證伺服器向終端設備發送第二隨機數和第二消息驗證碼；

具體地，網絡認證伺服器根據第一密鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用第一密鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成網絡認證伺服器的通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數、第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰。

s503、終端設備生成通信密鑰；

具體地，終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二消息驗證碼，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數；終端設備在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰。

可選的，在根據第一密鑰生成通信密鑰時，可選擇不對第一隨機數和第二隨機數進行加密。可選的，上述步驟s502中的通信密鑰可由網絡認證伺服器根據第三隨機數獲得，當通信密鑰根據第三隨機數獲得時，網絡認證伺服器採用第一密鑰將該通信密鑰進行加密，發送給終端設備，以使終端設備在對加密後的通信密鑰進行解密後，即可得到通信密鑰。可選的，在隨機生成通信密鑰的過程中，也可選擇不對第一隨機數和第二隨機數進行加密。

該種認證實現方式與第一種和第二種可能的認證實現方式相比，減少了信令交互次數，提高了認證效率。

第四種可能的認證實現方式：

圖6為本發明密鑰認證方法實施例四的信令流程圖。如圖6所示，包括：

s601、終端設備向網絡認證伺服器發送認證請求消息；

具體地，終端設備確定第一隨機數，採用第一密鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰、第一隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、加密處理後的第一隨機數，以及終端設備的設備標識；

s602、網絡認證伺服器向終端設備發送第二隨機數和第二消息驗證碼；

具體地，網絡認證伺服器根據第一密鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用第一密鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，在對第一消息驗證碼驗證通過後，根據第一密鑰、第一隨機數中的至少一項，採用密鑰生成函數生成網絡認證伺服器的通信密鑰，根據第一密鑰、通信密鑰中的任一項，以及第一隨機數、第二隨機數中的至少一項，採用消息驗證碼生成函數生成第二消息驗證碼，將加密處理後的第二隨機數和第二消息驗證碼發送給終端設備，向功能網元發送通信密鑰；

s603、終端設備對第二消息驗證碼進行驗證；

具體地，終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數和第二消息驗證碼，根據第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，終端設備對第二消息驗證碼進行驗證並確定驗證通過。

該種認證實現方式與第一種和第二種可能的認證實現方式相比，減少了信令交互次數，提高了認證效率。

該種認證方式與第三種可能的認證方式相比，終端設備先根據第一隨機數生成通信密鑰，不再依賴網絡認證中心伺服器發送的第二隨機數。可選的，可選擇不對第二隨機數進行加密。

第五種可能的認證方式：

圖7為本發明密鑰認證方法實施例五的信令流程圖。如圖7所示，包括：

s701、終端設備向網絡認證伺服器發送認證請求消息；

具體地，終端設備確定第一隨機數、dh協議的第一傳輸參數，根據第一密鑰和第一隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一消息驗證碼、第一隨機數、第一傳輸參數以及終端設備的設備標識；

s702、網絡認證伺服器向終端設備發送第二隨機數、第二傳輸參數和第二消息驗證碼；

具體地，網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數，在對所述第一消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據通信密鑰、第一密鑰中任一項，以及第一傳輸參數、第二傳輸參數中任一項，採用消息驗證碼生成函數生成第二消息驗證碼，將第二隨機數、第二傳輸參數，第二消息驗證碼，發送給終端設備，並向功能網元發送通信密鑰；

s703、終端設備驗證第二消息驗證碼；

具體地，終端設備接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，對第二消息驗證碼進行驗證並確定通過驗證。

該種認證實現方式與第一種和第二種可能的認證實現方式相比，減少了信令交互次數，提高了認證效率。

可選的，在相互認證過程中，還可將第一隨機數、第二隨機數、第一傳輸參數、第二傳輸參數進行加密傳輸，以提高保密性。

可選的，當存在多種預設dh協議時，在步驟701中，認證請求消息還包括終端設備選擇的預設dh協議的dh協議標識，網絡認證伺服器根據接收的dh協議標識，確定傳輸參數生成中所採用的預設dh協議的生成元g。

與第一種可能的認證實現方式相比，通過增加第一傳輸參數和第二傳輸參數，增加了認證過程的保密性。

在基於身份密鑰技術的認證方式中，第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。包括如下可能的實現方式：

第六種可能的認證實現方式：

圖8為本發明密鑰認證方法實施例六的信令流程圖。如圖8所示，包括：

s801、終端設備向網絡認證伺服器發送認證請求消息；

具體地，終端設備確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數以及終端設備的設備標識；

s802、網絡認證伺服器向終端設備發送第二隨機數和第二數字籤名；

具體地，網絡認證伺服器根據網絡認證伺服器的網絡認證私鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用終端設備的第一公鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數，在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，生成通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名或者第二數字籤名和通信密鑰的密鑰參數，發送給終端設備；

s803、終端設備向網絡認證伺服器發送第一消息驗證碼或第三數字籤名；

具體地，終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數和第二隨機數中的至少一項，生成終端設備的通信密鑰；根據通信密鑰、第一隨機數、第二隨機數，生成第一消息驗證碼，或者根據第一密鑰、第一隨機數、第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器；

s804、網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

具體的，在上述認證過程中，預設全局公鑰可提前存儲在網絡認證伺服器中。

具體的，在上述認證過程中，還可對第一數字籤名、第二數字籤名和第三數字籤名進行加密，以提高認證過程的保密性。

第七種可能的認證實現方式：

圖9為本發明密鑰認證方法實施例七的信令流程圖。如圖9所示，包括：

s901、終端設備向網絡認證伺服器發送認證請求消息；

具體地，終端設備確定第一隨機數、dh協議的第一傳輸參數，根據第一密鑰、第一隨機數、第一傳輸參數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、第一隨機數、第一傳輸參數以及終端設備的設備標識；

s902、網絡認證伺服器向終端設備發送第二隨機數、第二傳輸參數和第二數字籤名；

具體地，網絡認證伺服器確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成通信密鑰，根據第一隨機數、第二隨機數中的至少一項，以及網絡認證伺服器的網絡認證私鑰，第一傳輸參數，第二傳輸參數，生成第二數字籤名，將第二隨機數、加密處理後的第二傳輸參數、第二數字籤名，發送給終端設備；

s903、終端設備向網絡認證伺服器發送第一消息驗證碼或第三數字籤名；

具體地，終端設備接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二數字籤名，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數，在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第三傳輸參數，採用密鑰生成函數生成終端設備的通信密鑰，根據第一隨機數、第二隨機數中的至少一項，以及通信密鑰，第一傳輸參數，第二傳輸參數生成第一消息驗證碼，或者根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，第一傳輸參數，第二傳輸參數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器；

s904、網絡認證伺服器接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

可選的，當存在多種預設dh協議時，在步驟901中，認證請求消息還包括終端設備選擇的預設dh協議的dh協議標識，網絡認證伺服器根據接收的dh協議標識，確定傳輸參數生成中所採用的預設dh協議的生成元g。

與第六種可能的認證實現方式相比，通過增加第一傳輸參數和第二傳輸參數，增加了認證過程的保密性。

第八種可能的認證實現方式：

圖10為本發明密鑰認證方法實施例八的信令流程圖。如圖10所示，包括：

s1001、終端設備向網絡認證伺服器發送認證請求消息；

具體地，終端設備確定第一隨機數，採用網絡認證伺服器的網絡認證公鑰對第一隨機數進行加密處理，得到加密處理後的第一隨機數，根據第一密鑰和第一隨機數，生成終端設備的第一數字籤名，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一數字籤名、加密處理後的第一隨機數以及終端設備的設備標識；

s1002、網絡認證伺服器向終端設備發送第二隨機數和第二數字籤名；

具體地，網絡認證伺服器根據網絡認證伺服器的網絡認證私鑰對加密的第一隨機數進行解密，得到第一隨機數，確定第二隨機數，採用終端設備的第一公鑰對第二隨機數進行加密處理，得到加密處理後的第二隨機數；在根據預設全局公鑰和終端設備的第一公鑰對第一數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項，生成通信密鑰，根據網絡認證伺服器的網絡認證私鑰、第一隨機數和第二隨機數生成第二數字籤名，將加密處理後的第二隨機數、第二數字籤名，發送給終端設備，並向功能網元發送通信密鑰；

s1003、終端設備生成通信密鑰；

具體地，終端設備接收網絡認證伺服器發送的加密處理後的第二隨機數、第二數字籤名，根據終端設備的第一密鑰對加密的第二隨機數進行解密，得到第二隨機數，在對第二數字籤名驗證通過後，根據第一隨機數、第二隨機數中的至少一項生成終端設備的通信密鑰。

該種認證實現方式與第六種和第七種可能的認證實現方式相比，減少了信令交互次數，提高了認證效率。

進一步的，在上述任一可能的認證方式中，本發明實施例還包括：

網絡認證中心和終端設備根據共享的通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用kdf生成會話密鑰，並將會話密鑰發送給功能網元，採用會話密鑰替代通信密鑰實現功能網元與終端設備的安全通信。

本發明實施例另一方面提供一種業務中心伺服器用以執行上述實施例中的密鑰分發方法，具有相同的技術特徵和技術效果。

圖11為本發明業務中心伺服器實施例一的結構示意圖。如圖11所示，該伺服器包括：

密鑰請求接收模塊1101，用於接收用戶管理伺服器發送的第一密鑰請求消息，第一密鑰請求消息用於指示業務中心伺服器生成用戶管理伺服器所管理的終端設備的第一密鑰；

密鑰生成模塊1102，用於根據第一密鑰請求消息生成終端設備的第一密鑰，並將第一密鑰發送給用戶管理伺服器。

可選的，在圖11所示實施例的基礎上，密鑰生成模塊1102具體用於：

根據第一參數集合，採用密鑰生成函數生成終端設備的第一密鑰；

可選的，在圖11所示實施例的基礎上，當第一密鑰請求消息中包括終端設備的設備標識、用戶管理伺服器的標識、網絡標識、業務參數中的至少一種，密鑰生成模塊1102具體用於：

根據第二參數集合，採用密鑰生成函數生成終端設備的第一密鑰；

可選的，在圖11所示實施例的基礎上，密鑰生成模塊1102具體用於：確定業務隨機數，並將業務隨機數作為終端設備的第一密鑰。

可選的，在圖11所示實施例的基礎上，當第一密鑰請求消息中包括終端設備的設備標識，密鑰生成模塊1102具體用於：

根據預設全局私鑰和終端設備的設備標識，基於設備身份生成算法生成終端設備的第一密鑰；

其中，終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

可選的，在圖11所示實施例的基礎上，當第一密鑰請求消息中包括終端設備的設備標識，密鑰生成模塊1102具體用於：

根據預設全局私鑰、終端設備的設備標識和第三參數集合，基於設備身份生成算法生成終端設備的第一密鑰；

其中，第三參數集合包含第一密鑰隨機數、第一密鑰新鮮參數、第一密鑰的預設時間參數中的至少一種參數；

其中，終端設備的第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

可選的，在圖11所示實施例的基礎上，密鑰生成模塊1102還用於：

將終端設備的第一密鑰發送給網絡認證伺服器以使得網絡認證伺服器根據第一密鑰與終端設備進行相互認證。

進一步地，密鑰請求接收模塊1101還用於：接收網絡認證伺服器發送的第二密鑰請求消息；第二密鑰請求消息是在網絡認證伺服器接收到終端設備發送的認證請求消息後發送的。

本發明實施例再一方面提供一種用戶管理伺服器用以執行上述實施例中的密鑰分發方法，具有相同的技術特徵和技術效果。

圖12為本發明用戶管理伺服器實施例一的結構示意圖。如圖12所示，該伺服器包括：

請求發送模塊1201，用於向業務中心伺服器發送第一密鑰請求消息，第一密鑰請求消息用於指示業務中心伺服器生成用戶管理伺服器所管理的終端設備的第一密鑰；

密鑰接收模塊1202，用於接收業務中心伺服器發送的終端設備的第一密鑰；

密鑰發送模塊1203，用於將終端設備的第一密鑰發送給終端設備以使得終端設備根據第一密鑰與網絡認證伺服器進行相互認證。

可選的，在圖12所示實施例的基礎上，第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。

可選的，密鑰發送模塊1203還用於：

將第四參數集合發送給終端設備，第四參數集合包括用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。

本發明實施例又一方面提供一種終端設備用以執行上述實施例中的密鑰認證方法，具有相同的技術特徵和技術效果。

圖13為本發明終端設備實施例一的結構示意圖。如圖13所示，該終端設備包括：

接收模塊1301，用於接收用戶管理伺服器發送的終端設備的第一密鑰；

認證模塊1302，用於根據第一密鑰，與網絡認證伺服器進行相互認證以得到終端設備與功能網元的通信密鑰。

下面採用具體實施例對認證模塊1302的相互認證過程進行詳細說明，如上述方法實施例所述，相互認證方式至少包括基於對稱密鑰技術的認證方式和基於身份密鑰技術的認證方式。

在基於對稱密鑰技術的認證方式中，包括如下可能的實現方式：

第一種可行的認證方式中，認證模塊具體用於：

第二種可行的認證方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，

認證請求消息包括第一隨機數以及終端設備的設備標識；

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

第三種可行的認證方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數以及終端設備的設備標識；

第四種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

第五種可行的認證方式中，認證模塊具體用於：

在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、第二隨機數中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰。

第六種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

在對第二消息驗證碼驗證通過後，根據第一隨機數、第二隨機數中的至少一項，以及第一密鑰，採用密鑰生成函數生成終端設備的通信密鑰。

第七種可行的認證方式中，認證模塊具體用於：

在對第二消息驗證碼驗證通過後，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰。

第八種可行的認證方式中，認證模塊具體用於：

對第二消息驗證碼進行驗證並確定驗證通過。

第九種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數和第二消息驗證碼；

對第二消息驗證碼進行驗證並確定驗證通過。

第十種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在圖13所示實施例的基礎上，當接收模塊還用於接收用戶管理伺服器發送的第四參數集合時，其中，第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種；認證模塊1302還包括如下可行的實現方式：

第十一種可行的認證方式中，認證模塊具體用於：

在對第二消息驗證碼驗證通過後，根據第一密鑰、第一隨機數、所二隨機數中的至少一項，以及終端設備的設備標識、第四參數集合中的至少一項，採用密鑰生成函數生成終端設備的通信密鑰，根據通信密鑰、第一密鑰中的任一項，以及終端設備的設備標識、第四參數集合中的至少一項，以及第一隨機數，第二隨機數，採用消息驗證碼生成函數生成第一消息驗證碼，並將第一消息驗證碼，發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼進行驗證。

第十二種可行的認證方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、終端設備的設備標識以及第四參數集合；

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

第十三種可行的認證方式中，認證模塊具體用於：

確定第一隨機數，向網絡認證伺服器發送認證請求消息，認證請求消息包括第一隨機數、終端設備的設備標識以及第四參數集合；

第十四種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

第十五種可行的認證方式中，認證模塊具體用於：

第十六種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二消息驗證碼；

第十七種可行的認證方式中，認證模塊具體用於：

在對第二消息驗證碼驗證通過後，根據第一密鑰對加密處理後的通信密鑰進行解密，得到通信密鑰。

第十八種可行的認證方式中，認證模塊具體用於：

對第二消息驗證碼進行驗證並確定驗證通過。

第十九種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二消息驗證碼和第二隨機數；

對第二消息驗證碼進行驗證並確定驗證通過。

第二十種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二消息驗證碼，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

基於身份密鑰技術的認證方式中，第一密鑰為終端設備的第一私鑰，終端設備的設備標識為與第一私鑰對應的終端設備的第一公鑰。包括如下可能的實現方式：

第二十一種可行的認證方式中，認證模塊具體用於：

第二十二種可行的認證方式中，認證模塊具體用於：

第二十三種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二數字籤名，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

第二十四種可行的認證方式中，認證模塊具體用於：

第二十五種可行的認證方式中，認證模塊具體用於：

在對第二數字籤名驗證通過後，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰。

基於身份密鑰技術的認證方式中，當接收模塊還用於接收用戶管理伺服器發送的第四參數集合時，其中，第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種；認證模塊1302還包括如下可行的實現方式：

第二十六種可行的認證方式中，認證模塊具體用於：

根據終端設備的設備標識、第四參數集合中的至少一項，以及通信密鑰，第一隨機數，第二隨機數生成第一消息驗證碼，或者根據終端設備的設備標識、第四參數集合中的至少一項，以及第一密鑰，第一隨機數，第二隨機數生成第三數字籤名，將第一消息驗證碼或第三數字籤名發送給網絡認證伺服器，以使網絡認證伺服器對第一消息驗證碼或第三數字籤名進行驗證。

第二十七種可行的認證方式中，認證模塊具體用於：

第二十八種可行的認證方式中，認證模塊具體用於：

接收網絡認證伺服器發送的第二隨機數、第二傳輸參數、第二數字籤名；

第二十九種可行的認證方式中，認證模塊具體用於：

第三十種可行的認證方式中，認證模塊具體用於：

在對第二數字籤名驗證通過後，根據終端設備的第一密鑰對加密的通信密鑰進行解密，得到通信密鑰。

基於身份密鑰技術的認證方式中，終端設備還包括公鑰請求模塊，用於向網絡認證伺服器發送公鑰請求消息；

終端設備的接收模塊還用於接收網絡認證伺服器發送的網絡認證伺服器的網絡認證公鑰。

第三十一種可行的認證方式中，認證模塊具體用於：與網絡認證伺服器進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成終端設備的會話密鑰。

本發明實施例又一方面提供一種網絡認證伺服器用以執行上述實施例中的密鑰認證方法，具有相同的技術特徵和技術效果。

如上述方法實施例所述，網絡認證伺服器的相互認證過程至少包括基於對稱密鑰技術的認證方式和基於身份密鑰技術的認證方式。

在基於對稱密鑰技術的認證方式中，結合圖14對本發明實施例提供的網絡認證伺服器進行詳細說明。圖14為本發明網絡認證伺服器實施例一的結構示意圖。如圖14所示，該伺服器包括：

請求接收模塊1401，用於接收終端設備發送的認證請求消息，認證請求消息包括終端設備的設備標識；

密鑰接收模塊1402，用於接收業務中心伺服器發送的與設備標識對應的終端設備的第一密鑰；

認證模塊1403，用於根據第一密鑰，與設備標識指示的終端設備進行相互認證以得到終端設備與功能網元的通信密鑰。

在基於對稱密鑰技術的認證方式中，認證模塊1403的認證方式包括如下可能的實現方式：

第一種可行的認證方式中，認證請求消息還包括加密處理後的第一隨機數，認證模塊具體用於：

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第二種可行的認證方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第三種可行的認證方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第四種可行的認證方式中，認證請求消息還包括第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第五種可行的認證方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

第六種可行的認證方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

第七種可行的認證方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

第八種可行的認證方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

第九種可行的認證方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

第十種可行的認證方式中，認證請求消息還包括第一隨機數、第一消息驗證碼和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在圖14所示實施例的基礎上，當認證請求消息還包括第四參數集合，其中第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。認證模塊1403還包括如下可行的實現方式：

第十一種可行的認證方式中，認證請求消息還包括加密處理後的第一隨機數，認證模塊具體用於：

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第十二種可行的認證方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

確定第二隨機數；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第十三種可行的認證方式中，認證請求消息還包括第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第十四種可行的認證方式中，認證請求消息還包括第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

接收終端設備發送的第一消息驗證碼，在對第一消息驗證碼驗證通過後，向功能網元發送通信密鑰。

第十五種可行的認證方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

第十六種可行的認證方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

第十七種可行的認證方式中，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數，根據第三隨機數確定通信密鑰，採用第一密鑰對通信密鑰進行加密處理，得到加密處理後的通信密鑰；

第十八種可行的認證方式中，認證請求消息還包括第一消息驗證碼和加密處理後的第一隨機數，認證模塊具體用於：

第十九種可行的認證方式中，，認證請求消息還包括第一消息驗證碼和第一隨機數，認證模塊具體用於：

確定第二隨機數；

第二十種可行的認證方式中，認證請求消息還包括第一隨機數、第一消息驗證碼和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

在基於身份密鑰技術的認證方式中，結合圖15對本發明實施例提供的網絡認證伺服器進行詳細說明。圖15為本發明網絡認證伺服器實施例二的結構示意圖。如圖15所示，該網絡認證伺服器包括：

請求接收模塊1501，用於接收終端設備發送的認證請求消息，認證請求消息包括終端設備的設備標識，終端設備的設備標識為終端設備的第一公鑰；

認證模塊1502，用於根據第一公鑰、網絡認證伺服器的網絡認證公鑰、網絡認證伺服器的網絡認證私鑰與終端設備進行相互認證以得到終端設備與功能網元的通信密鑰。

在基於身份密鑰技術的認證方式中，認證模塊1502的認證方式包括如下可能的實現方式：

第二十一種可行的認證方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

第二十二種可行的認證方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

第二十三種可行的認證方式中，認證請求消息還包括第一數字籤名、第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

第二十四種可行的認證方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

第二十五種可行的認證方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

在圖15所示實施例的基礎上，當認證請求消息還包括第四參數集合，其中第四參數集合包括：用戶管理伺服器的標識、網絡標識、業務參數中的至少一種。認證模塊1502還包括如下可行的實現方式：

第二十六種可行的認證方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

第二十七種可行的認證方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

第二十八種可行的認證方式中，認證請求消息還包括第一數字籤名、第一隨機數和第一傳輸參數，認證模塊具體用於：

確定第二隨機數、dh協議的第二傳輸參數，根據第一傳輸參數和第二傳輸參數執行dh密鑰協商算法得到第三傳輸參數；

接收終端設備發送的第一消息驗證碼或第三數字籤名，在對第一消息驗證碼或第三數字籤名驗證通過後，向功能網元發送通信密鑰。

第二十九種可行的認證方式中，認證請求消息還包括第一數字籤名和加密處理後的第一隨機數，認證模塊具體用於：

第三十種可行的認證方式中，認證請求消息還包括第一數字籤名和第一隨機數，認證模塊具體用於：

確定第二隨機數；

可選的，基於身份密鑰技術的認證方式中，網絡認證伺服器中的請求接收模塊還用於接收終端設備發送的公鑰請求消息；認證模塊還用於向終端設備發送網絡認證伺服器的網絡認證公鑰。

可選的，基於對稱密鑰技術和基於身份密鑰技術的認證方式中，認證模塊還可具體用於：與終端設備進行相互認證，根據通信密鑰、第四參數集合、會話密鑰隨機數、會話密鑰新鮮參數、會話密鑰的預設時間參數中的任一項，採用密鑰生成函數生成網絡認證伺服器的會話密鑰，並將會話密鑰發送給功能網元。

本發明實施例又一方面提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述任一業務中心伺服器的密鑰分發方法實施例所述的方法。

本發明實施例又一方面提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述任一用戶管理伺服器的密鑰分發方法實施例所述的方法。

本發明實施例又一方面提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述任一終端設備的密鑰認證方法實施例所述的方法。

本發明實施例又一方面提供一種存儲介質，存儲介質為計算機可讀存儲介質，存儲有一個或多個程序，一個或多個程序包括指令，指令當被包括多個應用程式的電子設備執行時，使電子設備執行上述任一網絡認證伺服器的密鑰認證方法實施例所述的方法。

本發明實施例又一方面提供一種密鑰分發、認證系統用以執行上述實施例中的密鑰分發、認證方法，具有相同的技術特徵和技術效果。

該系統包括如上述任一實施例所述的業務中心伺服器、如上述任一實施例所述的用戶管理伺服器、如上述任一實施例所述的終端設備、如上述任一實施例所述的網絡認證伺服器。

本領域普通技術人員可以意識到，結合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬體、或者計算機軟體和電子硬體的結合來實現。這些功能究竟以硬體還是軟體方式來執行，取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能，但是這種實現不應認為超出本發明的範圍。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統、裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統、裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特徵可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

本發明的說明書和權利要求書及上述附圖中的術語「第一」、「第二」、「第三」「第四」等(如果存在)是用於區別類似的對象，而不必用於描述特定的順序或先後次序。應該理解這樣使用的數據在適當情況下可以互換，以便這裡描述的本發明的實施例例如能夠以除了在這裡圖示或描述的那些以外的順序實施。此外，術語「包括」和「具有」以及他們的任何變形，意圖在於覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。

所述功能如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：u盤、移動硬碟、只讀存儲器(read-onlymemory，簡稱rom)、隨機存取存儲器(randomaccessmemory，簡稱ram)、磁碟或者光碟等各種可以存儲程序代碼的介質。

最後應說明的是：以上各實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述各實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的範圍。

首页

算命

星座

感情

婚姻

風水

文化

生活

生肖

百科

解夢

娛樂

社會

密鑰分發、認證方法，裝置及系統與流程

一種新型多功能組合攝影箱的製作方法

壓縮模式圖樣重疊檢測方法與裝置與流程

個性化檯曆的製作方法

一種實現縮放的視頻解碼方法

基於加熱模壓的纖維增強PBT複合材料成型工藝的製作方法

一種pe滾塑儲槽的製作方法

釘的製作方法

直流氧噴裝置的製作方法

新型熱網閥門操作手輪的製作方法

用來自動讀取管狀容器所載識別碼的裝置的製作方法