使用Diffie-Hellman过程生成会话密钥的方法和系统与流程

本发明实施例涉及Diffie-Hellman过程在LTE、5G或WLAN网络中生成会话密钥的应用，该过程可能在相互认证期间或之后发生。

背景技术：

为了防止移动设备和网络在数据通信期间被窃听或操纵，在4G网络中采用相互认证来确保移动设备(或通常称为用户设备(user equipment，UE))和网络的真实性。为了进行相互认证，UE和网络两者都需要持有可以确定彼此身份的一些凭证。

在3G/4G网络中，在网络侧，凭证保存在名为归属用户服务器(Home Subscriber Server，HSS)的服务器中；而在UE侧，凭证保存在名为全球用户身份模块(Universal Subscriber Identity Module，USIM)卡的孤立设备中。USIM卡是嵌入到UE内的USIM卡槽中的计算设备。USIM和UE可以通过特定接口交换信息。目前，3G/4G网络在相互认证时使用对称密钥。因此，对于给定的国际移动用户识别码(International Mobile Subscriber Identification，IMSI)，保存在相应的USIM和HSS中的凭证是相同的。

当UE想要访问网络并传输数据时，必须先连接到网络。认证在被称为演进分组系统认证和密钥协商机制(Evolved Packet System Authentication and Key Agreement，EPS AKA)的连接和认证过程中执行。

在EPS AKA过程中，UE首先经由演进型基站(Evolved Node B，eNodeB)向移动性管理实体(Mobility Management Entity，MME)发送连接请求。MME将连接请求转发到HSS，HSS随后基于与UE共享的凭证生成认证向量。认证向量被发送到MME，MME随后向UE发送认证材料。UE对网络进行认证，然后向MME发送认证码。MME验证认证码，并对UE进行认证。认证后，UE与MME和eNB交换密钥资料，进一步生成用于控制面和数据面的会话密钥。图1所示为现有的认证信令交换过程。

图2所示为长期演进(Long-Term Evolution，LTE)网络的密钥架构。所有密钥都是基于在USIM和HSS中保存的根密钥以及在UE与核心网之间交换的参数得到的。经证明，在没有公开根密钥的情况下，通过上述过程生成的用于控制面和数据面的会话密钥是安全的。然而，最近发现，如果SIM卡的根密钥被盗，则意味着USIM中的凭证可能已被泄露。USIM卡凭证泄露给攻击者会导致严重的安全隐患。在使用当前系统时，一旦SIM卡中的凭证泄露给攻击者，攻击者就可以通过窃听UE与网络之间的连接和认证信令交换来得到用户的会话密钥。

另一个技术趋势是，移动行业需要更灵活的设计来支持更新或更换USIM中保存的凭证。这些凭证可能会泄露给第三方，从而加剧安全风险。

为了攻克USIM卡凭证被泄露给第三方或被意外窃取的问题，一种方式是使用更强大的前向保密技术，例如Diffie-Hellman过程，来增强会话密钥的生成。另一种可能的方式是采用新认证技术，例如基于公钥的认证。

CN 101969638 B提供了一种用于在移动通信中保护国际移动用户身份(international mobile subscriber identity，IMSI)的方法。通过使用CN 101969638 B中提出的连接请求传输中的公钥来保护IMSI，即使SIM卡中的凭证被泄露，攻击者也很难破坏相关用户的会话密钥。这是因为在不知道IMSI的情况下，攻击者不知道可以使用哪些凭证来破坏会话密钥。但是这种保护并不充分，因为攻击者可以进行离线字典攻击并破坏会话密钥。由于运营商的用户数量有限，通常介于几十万到几亿之间，因此攻击者很容易破坏会话密钥，特别是在归属一个运营商的用户的数量并不高的情况下。因此，使用公钥来保护IMSI无法防止使用字典攻击对会话密钥造成破坏。

CN 102664725提供了毫微微蜂窝基站和毫微微蜂窝无线通信系统的一种安全证书方法。CN 102664725建议使用公钥来认证网络。这种方法对网络的认证非常有效。然而，并没有为网络提供使用公钥来认证UE的方法。因此，这种方案对于蜂窝网络来说并不全面。而且也没有提供在认证后生成会话密钥的方法。

鉴于因丢失USIM卡凭证可能导致的安全威胁和现有解决方案，迫切需要用于解决上述问题和其它问题的改进方法和系统。

技术实现要素：

本发明实施例提供了用于生成会话密钥的方法、装置和系统，以便在攻击者可能持有USIM卡的凭证时，能够防止攻击者通过简单地监听信令交换来破坏生成的会话密钥。

根据本发明的一个方面，提供了一种用于生成密钥的方法。所述方法包括：

在用户设备(user equipment，UE)与网络之间的相互认证过程期间或之后，生成第一对称密钥并接收第一Diffie-Hellman公钥(A)；

基于所述第一Diffie-Hellman公钥(A)生成第二对称密钥；

基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥。

根据本发明的一个方面，提供了一种用于生成密钥的方法。所述方法包括：

在网络实体处：

具有第一对称密钥；

生成并发送第一Diffie-Hellman公钥(A)；

接收第二Diffie-Hellman公钥(B)；

基于所述第二Diffie-Hellman公钥(B)生成第二对称密钥；

基于所述第一对称密钥和所述第二对称密钥两者生成会话密钥。

根据本发明的一个方面，提供了一种密钥生成装置。所述装置包括：

接收单元，用于从网络至少接收第一Diffie-Hellman公钥(A)；

认证单元，用于与网络进行相互认证，并至少生成第一对称密钥；

Diffie-Hellman过程单元，用于基于所述第一Diffie-Hellman公钥(A)生成第二对称密钥；

发送单元，用于发送所述第一Diffie-Hellman公钥(B)；

会话密钥生成单元，用于基于所述第一对称密钥和所述第二对称密钥两者至少生成一个会话密钥。

根据本发明的一个方面，提供了一种密钥生成装置。所述装置包括：

认证单元，用于与用户设备(user equipment，UE)进行相互认证，并至少提供第一对称密钥；

Diffie-Hellman过程单元，用于生成第一Diffie-Hellman公钥(A)和第二对称密钥，所述第二对称密钥基于第二Diffie-Hellman公钥(B)；

接收单元，用于从所述UE至少接收所述第二Diffie-Hellman公钥(B)；

发送单元，用于发送所述第一Diffie-Hellman公钥(A)；

会话密钥生成单元，用于基于所述第一对称密钥和所述第二对称密钥两者至少生成一个会话密钥。

根据本发明的一个方面，提供了一种通信系统。所述通信方法包括：

用户设备，包括根据权利要求20至28中的任一项所述的密钥生成装置；

网络设备，包括根据权利要求29至36中的任一项所述的密钥生成装置。

在本发明上述各方面的各实施例中，所述第一对称密钥可以包括K1、K_ASME；所述第二对称密钥可以包括K_DH。

本发明上述各方面的各实施例在所附权利要求书中进一步叙述。

附图说明

下文参考图式公开本发明的实施例，在图式中：

图1所示为现有的认证信令交换过程；

图2所示为长期演进(Long-Term Evolution，LTE)网络的密钥架构；

图3为示出根据本发明一项实施例的用于生成会话密钥的方法的流程图；

图4为示出根据本发明一项实施例的用于生成会话密钥的方法的流程图，其中核心网是LTE网络；

图5为示出根据本发明一项实施例的用于生成会话密钥的方法的流程图；

图6为示出根据本发明一项实施例的用于在LTE网络中生成会话密钥的方法的流程图；

图7为示出根据本发明一项实施例的用于在WLAN网络中进行相互认证之后生成会话密钥的方法的流程图；

图8为密钥生成装置的示意图；

图9为通信系统的示意图。

具体实施方式

下文描述中陈述许多具体细节，以对本发明各实施例进行通彻理解。然而，本领域熟练技术人员将理解，可以在不具有这些具体细节中的一些或全部的情况下实践本发明的实施例。在其它情况下，为了不多余地混淆所描述的实施例的相关方面，并未详细地描述熟知的过程操作。在图式中，所有的若干张图以相同参考标号指代相同或相似的功能或特征。

本发明实施例提供了用于减轻由于SIM卡中的凭证被泄露而造成的威胁的方法。

在一项实施例中，使用Diffie-Hellman(DH)过程来生成会话密钥，以便在攻击者持有USIM卡的凭证时，防止攻击者通过简单地窃听信令交换来破坏会话密钥。DH过程可以基于有限域密码算法(Finite Field Cryptography，FFC)群或椭圆曲线密码算法(Elliptic Curve Cryptography，ECC)群。

在使用FFC时，若给定随机数a，则DH过程导出公钥A＝g^a mod p，其中，g是循环群G中的生成器，p是素数，也是公共模数；并导出共享会话密钥K_DH＝B^a mod p，其中，B是从对端接收的DH公钥。g、G和p的值由DH过程中涉及的各方预共享，各方是例如本发明中的UE和CN。

在使用ECC时，若给定随机数a，则DH过程导出公钥A＝aP，其中，P是生成器(椭圆曲线上的基点)，p是素数，也是公共模数；并导出共享会话密钥K_DH＝aB，其中，B是从对端接收的DH公钥。本发明中使用的ECC群可以通过六元组(p,c,d,P,r,h)定义，其中，p是素数，c和d指定由等式y²＝x³+cx+d modulo p定义的椭圆曲线，P是发生器(椭圆曲线上的基点)，r是P的素数阶，h是余因子。

图3为示出根据本发明一项实施例的用于生成会话密钥的方法的流程图300。在本实施例中，DH过程在用户设备(user equipment，UE)和核心网(core network，CN)的相互认证期间嵌入。

在方框301中，UE向CN发送第一消息，至少包括UE的身份信息。

在方框302中，在接收到第一消息之后，CN基于UE与CN之间的共享凭证生成认证向量，并进一步生成对称或共享密钥K1，即CN生成的对称密钥。

在方框303中，CN通过如下操作启动DH过程：生成或导出随机数a，即CN生成的私有随机数，并使用FFC群或ECC群来计算DH公钥A。

在方框304中，CN向UE发送包括认证向量和A的第二消息。

在方框305中，在从CN接收到第二消息后，UE从第二消息中提取认证向量和A，并基于接收的认证向量对CN进行认证。随后，UE基于在第二消息中接收到的数据生成与K1相同的对称或共享密钥，即UE生成的对称密钥，以及其它认证向量。

在方框306中，UE生成随机数b，即UE生成的私有随机数，并且使用FFC或ECC群来计算DH公钥。例如，在使用FFC的情况下，B＝g^b mod p，其中B称为UE生成的Diffie-Hellman公钥；在使用ECC的情况下，B＝bP。

同时，UE可以基于收到的参数导出或生成DH对称私钥K_DH。当使用FFC时，接收到的参数是K_DH＝(A^b mod p)＝g^ba；当使用ECC时，接收到的参数是K_DH＝bA＝baP。UE通过将K1和K_DH两者都作为到哈希函数或其它合适的函数的输入来生成会话密钥K，即UE生成的会话密钥。

在方框307中，UE向CN发送包括UE生成的认证向量和B的第三消息。

在方框308中，CN基于在第三消息中收到的认证向量来认证UE。CN基于交换的参数导出或生成DH对称私钥。当使用FFC时，DH对称私钥是K_DH＝(B^a mod p)＝g^ab；当使用ECC时，DH对称私钥是K_DH＝aB。CN生成的DH密钥K_DH和UE生成的DH密钥K_DH两者相同。随后，CN通过将K1和K_DH两者都作为到哈希函数或其它合适的函数的输入来生成会话密钥K，即CN生成的会话密钥。在一项实施例中，UE将K₁和K_DH连接为一个连接字符串，并使用连接字符串作为函数的输入，例如K＝SHA256(K_ASME||K_DH)，其中“||”是将两个字符串连接为一个字符串的运算符。

图4为示出根据本发明一项实施例的用于生成会话密钥的方法的流程图400，其中核心网是LTE网络。在本实施例中，DH过程在用户设备(user equipment，UE)和LTE核心网的相互认证期间嵌入。在LTE网络中，在UE能够经由网络发送数据之前，UE必须与包括移动性管理实体(Mobility Management Entity，MME)和归属用户服务器(Home Subscriber Server，HSS)的LTE核心网进行相互认证。

在方框401中，UE向MME发送连接请求，该请求中包括UE身份。

在方框402中，在接收到连接请求之后，MME生成认证数据请求并向HSS发送该请求。

在方框403中，HSS生成认证向量，例如RAND(随机挑战数)、AUTN(认证令牌)、XRES(期望响应)、K_AMSE(主密钥)。HSS或UE使用RAND来生成其它认证向量和密钥。UE使用AUTN来认证LTE核心网。LTE核心网使用XRES来认证UE。K_AMSE是在生成会话密钥时使用的密钥，可以是与根据图3的流程图描述的K1类似的对称密钥。

在方框404中，HSS使用认证向量向MME发送认证数据响应，认证向量是例如该响应中包括的RAND、AUTN、XRES、K_AMSE(在方框403中生成)。

在方框405中，MME通过如下操作来启动DH过程：生成或导出随机数a，即CN生成的私有随机数，以及计算A＝g^a mod p，其中g是循环群G中的生成器，p是素数，并且也是公共模数，或者计算A＝aP，其中P是ECC群G的基点。A被称为CN生成的Diffie-Hellman公钥。g、G和p的值由LTE核心网和UE预共享。

在方框406中，使用K_ASME基于A、RAND、AUTN来计算CN生成的消息认证码(Message Authentication Code，MAC)，即MAC_A。

在方框407中，MME向UE发送认证请求，该请求中包括A、RAND、AUTN和在方框406中计算出的CN生成的MAC码。

在方框408中，作为UE内的实体的移动设备(mobile equipment，ME)接收认证请求。UE基于认证请求中包含的MAC_DH来认证LTE核心网。UE生成XMAC、RES和K_ASME。

在方框409中，UE从认证请求(Authentication Request)消息中提取DH公钥A和MAC_DH。UE使用UE生成的K_ASME来验证MAC_A。

在方框410中，UE还生成另一个随机数b，即UE生成的私有随机数，并在使用FFC群的情况下计算B＝g^b mod p或在使用ECC群的情况下计算B＝bP mod p，其中，B是UE生成的Diffie-Hellman公钥。

在方框411中，UE导出或生成Diffie-Hellman密钥，K_DH＝A^b mod p。

在方框412中，UE基于K_AMSE和K_DH导出或生成会话密钥K’_AMSE。方法之一是将K’_AMSE导出为K_AMSE XOR K_DH，即对K_AMSE和K_DH进行异或运算。

在方框413中，UE使用K_AMSE基于RES和B计算MAC码MAC_B。或者，UE可以使用K_DH基于RES和B或者使用K’_AMSE基于RES和B来计算MAC码。

在方框414中，UE向MME发送认证响应，认证响应中包括在B和UE生成的MAC码MAC_B两者，UE生成的MAC码在方框414中计算。在另一项实施例中，UE还可以在MAC计算中包括DH公钥A。

在方框415中，在接收到认证响应之后，MME首先从响应中提取B和UE生成的MAC码。然后MME使用K_ASME基于B和XRES计算MAC码。在另一项实施例中，如果UE和MME同意将DH公钥A包括在MAC计算中，则MME还可以在MAC计算中包括DH公钥A。

在方框416中，MME通过将网络生成的MAC’与UE生成的MAC MAC_B进行比较来认证UE。如果两个值相等，则UE认证成功。如果两个值不等，则UE认证失败。

在方框417中，MME将DH密钥K_DH生成为(B)^a mod p。DH密钥(A)^b mod p和(B)^a mod p相同。

在方框418中，MME通过将K_DH和K_ASME两者，或者它们的推导结果作为EPS算法或其它合适的函数的输入来生成会话密钥K’_ASME。例如，UE可以先通过在K_ASME的开始或结束处附加或填充零来扩展K_ASME的比特数，使得在扩展之后，扩展的K_ASME与K_DH的比特数相同。在另一项实施例中，UE可以使用哈希函数等函数从长度与K_ASME相同的K_DH导出另一个数字，以比特数表示。然后，UE可以使用异或函数来生成会话密钥K’_ASME＝K_DH XOR Pad(K_ASME)或K’_ASME＝Hash(K_DH)XOR K_ASME。在又一项实施例中，UE可以连接分别从K_ASME和K_DH导出的字符串，并且使用连接字符串作为函数的输入，该函数是例如在3GPP标准中定义的KDF函数或诸如SHA256等给定哈希函数。一个示例是K’_ASME＝SHA256(K_ASME||K_DH)，其中，“||”是用于将两个字符串连接成一个字符串的运算符。K’_ASME则在生成例如K_NASenc、K_NASint和K_eNB等其它密钥时使用。

在上述示例中，MME的角色可以替换为负责下一代网络中的连接管理的认证、授权和计费(Authentication,Authorisation and Accounting，AAA)服务器或连接管理器(Connection Manager，CM)，并且上述过程将仍然适用。

图5为示出根据本发明一项实施例的用于生成会话密钥的方法的流程图。在本实施例中，在UE和CN的相互认证完成之后，在交换管理消息期间嵌入DH过程。

在方框501中，CN与UE彼此相互认证。在相互认证完成后生成认证结果。

在方框502和503中，基于UE和CN各自的认证结果导出对称的集成保护密钥K1。然后，从CN向UE或者从UE向CN发送第一消息，用于会话密钥导出。

方框504假设从CN向UE发送第一消息。第一消息包括由CN中的节点生成的DH参数A，其中，在使用先前定义的FFC群的情况下，A＝g^a mod p，在使用先前定义的ECC群的情况下，A＝aP，a是由CN生成的随机数，即CN生成的私有随机数。生成网络生成的MAC码以保护第一消息的完整性，从而防止攻击者改变A的值。

在方框505中，CN向UE发送第一消息，第一消息中包括A和网络生成的MAC码。

在方框506中，在UE接收到第一消息之后，UE从第一消息中提取A并检查网络生成的MAC码。如果综合检查通过，则UE生成另一个值B，其中，在使用FFC群的情况下，B＝g^b mod p，或者在使用ECC群的情况下，B＝bP，B是UE生成的Diffie-Hellman公钥，b是UE生成的随机数。

在方框507中，UE向CN发送第二消息，第二消息中包括B和UE生成的MAC。在为第二消息计算UE生成的MAC时，A和B都是到MAC计算的输入。

在方框508和506中，UE和CN中的节点在使用FFC群的情况下将DH密钥K_DH分别导出或生成为(g^a)^b和(g^b)^a，或者在使用ECC群的情况下将DH密钥K_DH分别导出或生成为b(aP)和a(bP)。在UE和CN两侧的DH密钥相同。UE和节点CN使用K_DH作为基础来生成会话密钥K，或者通过诸如异或函数等合适的函数使用K_DH和K1两者来生成会话密钥K。基于K_DH或基于K_DH和K1两者导出的该会话密钥K可用于导出或生成如本发明前述实施例(例如使用SHA256函数的实施例)中所建议的其它密钥。

图6为示出根据本发明一项实施例的用于在LTE网络中生成会话密钥的方法的流程图600。在本实施例中，在UE和LTE网络的认证完成后嵌入DH过程。

在方框601中，HSS与UE彼此相互认证。在相互认证完成后生成认证结果。

在方框602和603中，UE和MME分别导出或生成主密钥K_AMSE。

认证后，UE和MME交换两个管理消息NAS-Security-Mode-Command和NAS-Security-Mode-Complete，以在NAS层建立安全上下文。在发送第一管理消息，即NAS安全模式命令(NAS Security Mode Command)消息之前，开始DH过程。

在方框604中，MME生成随机数a，即CN生成的私有随机数，并在使用FFC群的情况下计算A＝g^a mod p或在使用ECC群的情况下计算A＝aP。A被称为CN生成的Diffie-Hellman公钥。g、G和p的值由LTE核心网和UE预共享。

在方框605中，MME/CM通过将包括在NAS-Security-Mode-Command中的参数，包括DH公钥A，来计算MAC。

在方框606中，MME将A包括在NAS-Security-Mode-Command中并将NAS-Security-Mode-Command发送给UE。

在方框607中，在UE接收到上述NAS-Security-Mode-Command并验证其中的NAS-MAC之后，UE从该消息中提取值A。

在方框608中，UE生成随机数b，即UE生成的私有随机数，并在使用FFC群的情况下计算B＝g^b mod p或在使用ECC群的情况下计算B＝bP，其中，B是UE生成的Diffie-Hellman公钥。

在方框609中，UE将DH对称私钥K_DH导出或生成为A^b mod p。

在方框610中，UE通过参数计算MAC，即NAS-MAC。NAS-MAC和DH公钥B将包含在NAS-Security-Mode-Complete消息中。在另一项实施例中，UE还可以在MAC计算中包括DH公钥A。

在方框611中，UE基于K_ASME和K_DH导出会话密钥K’_ASME。这些方法可以类似于本文档前述实施例(例如使用SHA256函数的实施例)中所建议的方法。

在方框612中，UE向MME发送NAS-Security-Mode-Complete消息，该消息中包括B和相关的NAS-MAC。

在方框613中，MME在收到NAS-Security-Mode-Complete消息后，验证NAS-MAC码并提取出B以生成会话密钥。在另一项实施例中，如果UE和MME同意将DH公钥A包括在NAS-MAC计算中，则MME还可以在MAC计算中包括DH公钥A。

在方框614中，MME/CM在使用FFC群的情况下将DH对称私钥K_DH导出或生成为B^a mod p，或者在使用ECC群的情况下将DH对称私钥K_DH导出或生成为aB mod p。在UE和MME两侧的DH密钥相同。

在方框615中，MME/CM将K_DH或将K_DH和K_ASME两者作为诸如EPS算法、异或函数、3GPP规范中定义的KDF函数或SHA256哈希函数等合适的函数的输入，从而生成NAS层和AS层的会话密钥K’_ASME。

图7为示出根据本发明一项实施例的用于在无线局域网(Wireless Local Area Network，WLAN)中生成会话密钥的方法的流程图700。在本实施例中，在用户设备(user equipment，UE)和WLAN网络的认证完成后嵌入DH过程。UE在图7中通过认证方表示。

在方框701中，被认证方首先对图7中表示为认证方的WLAN接入点(Access Point，AP)进行认证并与该接入点关联。

在方框702中，被认证方和AAA服务器彼此相互认证。在相互认证完成后生成认证结果。

在方框703和704中，被认证方和认证方导出或生成成对主密钥PMK。

认证后，被认证方与认证方交换两个均为EAPoL-Key帧的管理消息，用于在被认证方和认证方处建立安全上下文。在发送第一管理消息，即EAPoL-Key之前，开始DH过程。

在方框705中，认证方生成随机数a，即CN生成的私有随机数，并在使用FFC群的情况下计算DH公钥A＝g^a mod p或在使用ECC群的情况下计算A＝aP。

在方框706中，认证方将A包括在EAPoL-Key帧中并将该EAPoL-Key帧发送给被认证方。

在方框707中，在被认证方接收到上述EAPoL key后，被认证方从该消息中提取值A。然后，被认证方生成随机数b，即UE生成的私有随机数，并在使用FFC群的情况下计算B＝g^b mod p或在使用ECC群的情况下计算B＝bP，其中，B是UE生成的Diffie-Hellman公钥。

在方框708中，被认证方还将DH密钥K_DH导出或生成为A^b mod p。被认证方至少使用K_DH和PMK导出或生成成对临时密钥PTK，作为诸如IEEE 802.11-2012标准中定义的PRF-X等密钥生成函数的输入。然后，被认证方生成消息EAPoL-Key，该消息中至少包括B和消息完整性代码(Message Integrity Code，MIC)。在EAPoL-Key中计算的MIC码包括A和B两者作为输入。

在方框709中，被认证方使用K_DH和PMK生成成对临时密钥PTK，作为如IEEE802.11-2012标准中定义的PRF-X等密钥生成函数的输入。一个示例是，被认证方通过PMK和K_DH进行XOR运算，然后将结果用作PRF-X函数的输入。

在方框710中，被认证方向认证方发送EAPoL-Key帧，该消息中包括B和相关的MIC。

在方框711中，在接收到EAPoL-Key帧之后，认证方验证MIC码并提取B以生成会话密钥生成。然后，认证方在使用FFC群的情况下将DH密钥K_DH导出或生成为B^a mod p，或者在使用ECC群的情况下将DH密钥K_DH导出或生成为aB。被认证方(例如UE或基站)和认证方(例如AP或控制器)两者处的DH密钥相同。

在方框712中，认证方使用K_DH和PMK生成成对临时密钥PTK，作为如IEEE802.11-2012标准中定义的PRF-X等密钥生成函数的输入。在一项实施例中，认证方通过PMK和K_DH进行XOR运算，然后将结果用作PRF-X函数的输入。在另一项实施例中，认证方转换K_DH和P_MK，然后将该字符串输入到IEEE 802.11规范中定义的KDF函数中或输入到SHA256函数中，从而导出PTK。

图8示出了本发明的另一项实施例，该实施例提供了可以部署在UE和/或CN处的密钥生成装置。密钥生成装置包括：

至少一个接收单元，用于至少接收来自网络侧设备的认证向量和Diffie-Hellman公钥；

至少一个认证单元，用于与网络进行相互认证并至少生成第一对称密钥；

至少一个Diffie-Hellman过程单元，用于至少生成Diffie-Hellman公钥和第二对称密钥，第二对称密钥基于接收到的Diffie-Hellman公钥；

至少一个发送单元，用于至少生成用于Diffie-Hellman公钥的消息认证码，以及至少发送Diffie-Hellman公钥和消息认证码；

至少一个会话密钥生成单元，用于基于第一对称密钥和第二对称密钥两者至少生成一个会话密钥。

在密钥生成装置部署在UE处的一项实施例中，密钥生成装置可根据所附权利要求20至28进行操作。

在密钥生成装置部署在CN处的一项实施例中，密钥生成装置可根据所附权利要求29至36进行操作。

图9示出了本发明的另一项实施例，该实施例提供了通信系统，该系统包括用户设备和网络侧设备两者，包括：

至少一个用户设备，用于至少接收认证向量和Diffie-Hellman公钥，至少发送Diffie-Hellman公钥和消息认证码，基于从认证过程和Diffie-Hellman过程生成的密钥至少导出或生成一个会话密钥；

至少一个网络侧设备，用于至少发送认证向量和Diffie-Hellman公钥，至少接收Diffie-Hellman公钥和消息认证码，基于从认证过程和Diffie-Hellman过程生成的密钥至少导出或生成一个会话密钥。

该通信系统可根据所附权利要求37进行操作。

上述用于使用DH过程生成会话密钥并用于CN与UE进行相互认证的方法和装置可以在3G/4G规范指定的系统中实现，或者在从3GPP标准组织定义的3G/4G规范所指定的系统演进而来的系统中实现。

本领域熟练技术人员根据对本说明书的考量和对本发明的实践将清楚其它实施例。此外，出于描述明确性的目的使用了某些术语且这些术语不会限制本发明的所揭示实施例。上文描述的实施例和特征应被视为示例性的。