密钥分发和接收方法、密钥管理中心、第一和第二网元与流程

技术特征：

1.一种密钥分发方法，其特征在于，包括：

第一密钥管理中心获取第一网元的应用服务器NAF密钥的信息以及所述第一网元的NAF密钥，所述第一网元的NAF密钥的信息为获取所述第一网元的NAF密钥所需的信息；

所述第一密钥管理中心获取业务密钥，所述业务密钥用于所述第一网元和第二网元通信时对通信数据的加密和/或完整性保护；

所述第一密钥管理中心采用所述第一网元的NAF密钥对所述业务密钥进行加密和/或完整性保护，生成第一安全保护参数；

所述第一密钥管理中心执行以下步骤A和步骤B的其中一个：

A、发送第一通用引导架构GBA push消息至所述第一网元，其中，所述第一GBA push消息携带有所述第一安全保护参数和所述第一网元的NAF密钥的信息；

B、发送第一GBA push消息至第二密钥管理中心，以便所述第二密钥管理中心发送所述第一GBA push消息至所述第一网元，或者以便所述第二密钥管理中心发送所述第一GBA push消息至第二网元，再由所述第二网元将所述第一GBA push消息发送至所述第一网元，其中，所述第一GBA push消息携带有所述第一安全保护参数和所述第一网元的NAF密钥的信息。

2.根据权利要求1所述的密钥分发方法，其特征在于，所述第一密钥管理中心执行所述步骤A时，所述密钥分发方法还包括：

所述第一密钥管理中心获取第二网元的NAF密钥的信息以及所述第二网元的NAF密钥，所述第二网元的NAF密钥的信息为获取所述第二网元的NAF密钥所需的信息；

所述第一密钥管理中心采用所述第二网元的NAF密钥对所述业务密钥进行加密和/或完整性保护，生成第二安全保护参数；

所述第一密钥管理中心执行以下步骤C、步骤D、步骤E的其中一个：

C、所述第一GBA push消息还包括第二GBA push消息，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

D、发送第二GBA push消息至所述第一网元，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

E、发送第二GBA push消息至所述第二网元；

其中，所述第二GBA push消息携带有所述第二安全保护参数和所述第二网元的NAF密钥的信息。

3.根据权利要求1或2所述的密钥分发方法，其特征在于，所述第一密钥管理中心获取业务密钥，包括：

选择一个随机数，所述业务密钥包括所述随机数；

或者，

获取第一参数集合和第二参数集合，计算所述第一参数集合和所述第二参数集合为预置密钥推衍函数的自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量；

或者，

获取第一参数集合和第二参数集合，所述业务密钥包括所述第一参数集合和所述第二参数集合；

其中，所述第一参数集合包括随机数、所述第一网元的NAF密钥和第二网元的NAF密钥中的至少一个，所述第二参数集合包括身份标识、用于指示所述业务密钥的有效期的时间、序列号中的至少一个。

4.根据权利要求1所述的密钥分发方法，其特征在于，所述第一密钥管理中心执行所述步骤A时，所述密钥分发方法还包括：

所述第一密钥管理中心接收第二密钥管理中心发送的第二GBA push消息；其中，所述第二GBA push消息携带有所述第二安全保护参数和所述第二网元的NAF密钥的信息，所述第二网元的NAF密钥的信息为获取所述第二网元的NAF密钥所需的信息，所述第二安全保护参数为所述第二密钥管理中心采用所述第二网元的NAF密钥对所述业务密钥进行加密和/或完整性保护生成的；

所述第一密钥管理中心执行以下步骤F、步骤G、步骤H的其中一个：

F、所述第一GBA push消息还包括所述第二GBA push消息，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

G、发送所述第二GBA push消息至所述第一网元，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

H、发送所述第二GBA push消息至所述第二网元。

5.根据权利要求4所述的密钥分发方法，其特征在于，所述第一密钥管理中心获取业务密钥，包括：

选择一个随机数，所述业务密钥包括所述随机数；或者，

与所述第二密钥管理中心协商所述业务密钥；或者，

接收所述第二密钥管理中心发送的业务密钥；或者，

获取第一参数集合和第二参数集合，计算所述第一参数集合和所述第二参数集合为预置密钥推衍函数的自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量；

其中，所述第一参数集合包括所述第一密钥管理中心确定的随机数和所述第一网元的NAF密钥中的至少一个，所述第二参数集合包括身份标识、用于指示所述业务密钥的有效期的时间、序列号中的至少一个。

6.根据权利要求5所述的密钥分发方法，其特征在于，所述第一密钥管理中心与所述第二密钥管理中心协商所述业务密钥，包括：

接收所述第二密钥管理中心发送的第二随机数和/或第二网元的NAF密钥；

计算当身份标识、用于指示所述业务密钥的有效期的时间、序列号、所述第一密钥管理中心确定的随机数、所述第一网元的NAF密钥中的至少一个以及所述第二随机数和/或第二网元的NAF密钥为所述预置密钥推衍函数的自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量；

或者，

所述第一密钥管理中心与所述第二密钥管理中心协商所述业务密钥，包括：

获取第一随机数；

将所述第一随机数和/或所述第一网元的NAF密钥发送至所述第二密钥管理中心；

接收所述第二密钥管理中心发送的业务密钥，其中，所述业务密钥为所述第二密钥管理中心根据所述第一随机数和/或所述第一网元的NAF密钥确定的；

或者，

所述第一密钥管理中心与所述第二密钥管理中心协商所述业务密钥，包括：

与所述第二密钥管理中心通过DH密钥协商的方法协商所述业务密钥；

或者，

所述第一密钥管理中心与所述第二密钥管理中心协商所述业务密钥，包括：

与所述第二密钥管理中心通过DH密钥协商得到协商参数；

计算所述协商参数为预置密钥推衍函数的其中一个自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量。

7.根据权利要求4所述的密钥分发方法，其特征在于，所述第一密钥管理中心获取业务密钥，包括：

获取第一参数集合和第二参数集合，所述业务密钥包括所述第一参数集合和所述第二参数集合；

其中，所述第一参数集合包括所述第一密钥管理中心确定的随机数、所述第二密钥管理中心确定的随机数、所述第一网元的NAF密钥和所述第二网元的NAF密钥中的至少一个，所述第二参数集合包括身份标识、用于指示所述业务密钥的有效期的时间、序列号中的至少一个。

8.根据权利要求1所述的密钥分发方法，其特征在于，所述第二网元和所述第一密钥管理中心之间建立有安全信道；

所述第一密钥管理中心所述步骤A时，所述密钥分发方法还包括：

将所述业务密钥通过所述安全信道发送至所述第二网元。

9.根据权利要求1所述的密钥分发方法，其特征在于，所述第一GBA push消息中携带有所述第一网元的身份标识。

10.根据权利要求9所述的密钥分发方法，其特征在于，所述第一GBApush消息包括第一GPI消息，其中，所述第一GPI消息携带有所述第一网元的身份标识；

或者，

所述第一GBA push消息包括第一GPL消息，所述第一GPL消息中携带 有所述第一网元的身份标识，或者携带有所述第一网元的身份标识以及所述身份标识的长度信息。

11.根据权利要求3、5、6、7、9中任一项所述的密钥分发方法，其特征在于，所述身份标识包括IMSI，GUTI，IMPI，TMSI，TMPI，IMPU，Service ID，session ID，网络ID，链路ID，App ID，网关ID中的至少一个。

12.根据权利要求1所述的密钥分发方法，其特征在于，所述第一密钥管理中心获取所述第一网元的应用服务器NAF密钥，之前还包括：

所述第一密钥管理中心接收发起端发送的通信请求，所述通信请求用于申请用于所述第一网元和第二网元进行数据通信的业务密钥，所述发起端为所述第一网元和所述第二网元中的数据发送端，所述通信请求包括第一网元的身份标识和第二网元的身份标识。

13.根据权利要求1所述的密钥分发方法，其特征在于，所述第一GBA push消息中还包括所述业务密钥的标识信息，

所述标识信息包括用于指示所述业务密钥的有效期的时间、第一网元的身份标识、第二网元的身份标识以及service ID的至少一种；所述service ID用于指示所述业务密钥用于所述service ID对应的业务。

14.一种密钥接收方法，其特征在于，包括：

第一网元接收密钥管理中心发送的第一GBA push消息，所述第一GBA push消息携带有所述第一网元的第一安全保护参数和第一NAF密钥的信息；

所述第一网元根据所述第一NAF密钥的信息计算出第一NAF密钥；

所述第一网元根据所述第一NAF密钥对所述第一安全保护参数解密，获得业务密钥，所述业务密钥用于所述第一网元和第二网元通信时对通信数据的加密和/或完整性保护。

15.根据权利要求14所述的密钥接收方法，其特征在于，所述第一GBA push消息还携带有第二GBA push消息，或者，所述第一网元还接收密钥管理中心发送的第二GBA push消息，所述第二GBA push消息包括所述第二网元的第二安全保护参数和第二NAF密钥的信息；所述第二网元的NAF密钥的信息为获取所述第二网元的NAF密钥所需的信息，所述第二安全保护参数为所述密钥管理中心采用所述第二网元的NAF密钥对所述业务密钥进行加密和 /或完整性保护生成的；

所述密钥接收方法还包括：

将所述第二GBA push消息发送至所述第二网元。

16.根据权利要求15所述的密钥接收方法，其特征在于，所述第二GBA push消息还携带有所述第二网元的身份标识；

所述将所述第二GBA push消息发送至所述第二网元，包括：

获取所述第二GBA push消息中的所述第二网元的身份标识；

将所述第二GBA push消息发送至所述身份标识所对应的第二网元。

17.根据权利要求14所述的密钥接收方法，其特征在于，所述第一网元接收密钥管理中心发送的第一GBA push消息，之前还包括：

所述第一网元向所述密钥管理中心发送通信请求，所述通信请求用于申请所述第一网元和所述第二网元的业务密钥；所述通信请求包括所述第一网元的身份标识、所述第二网元的身份标识和service ID。

18.一种密钥接收方法，其特征在于，包括：

第二网元接收第一网元发送的第二GBA push消息，所述第二GBA push消息携带有所述第二网元的第二安全保护参数和第二NAF密钥的信息；

所述第二网元根据所述第二NAF密钥的信息计算第二NAF密钥；

所述第二网元根据所述第二NAF密钥对所述第二安全保护参数解密，获得业务密钥，所述业务密钥用于所述第一网元和所述第二网元通信。

19.一种第一密钥管理中心，其特征在于，包括：

第一获取模块，用于获取第一网元的应用服务器NAF密钥的信息以及所述第一网元的NAF密钥，所述第一网元的NAF密钥的信息为获取所述第一网元的NAF密钥所需的信息；

第二获取模块，用于获取业务密钥，所述业务密钥用于所述第一网元和第二网元通信时对通信数据的加密和/或完整性保护；

第一生成模块，用于采用所述第一网元的NAF密钥对所述业务密钥进行加密和/或完整性保护，生成第一安全保护参数；

第一发送模块，用于执行以下步骤A和步骤B的其中一个：

A、发送第一通用引导架构GBA push消息至所述第一网元，其中，所述 第一GBA push消息携带有所述第一安全保护参数和所述第一网元的NAF密钥的信息；

B、发送第一GBA push消息至第二密钥管理中心，以便所述第二密钥管理中心发送所述第一GBA push消息至所述第一网元，或者以便所述第二密钥管理中心发送所述第一GBA push消息至第二网元，再由所述第二网元将所述第一GBA push消息发送至所述第一网元，其中，所述第一GBA push消息携带有所述第一安全保护参数和所述第一网元的NAF密钥的信息。

20.根据权利要求19所述的第一密钥管理中心，其特征在于，所述第一发送模块用于执行所述步骤A时，所述第一密钥管理中心还包括：

第三获取模块，用于获取第二网元的NAF密钥的信息以及所述第二网元的NAF密钥，所述第二网元的NAF密钥的信息为获取所述第二网元的NAF密钥所需的信息；

第二生成模块，用于采用所述第二网元的NAF密钥对所述业务密钥进行加密和/或完整性保护，生成第二安全保护参数；

所述第一发送模块还用于执行以下步骤C、步骤D、步骤E的其中一个：

C、所述第一GBA push消息还包括第二GBA push消息，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

D、发送第二GBA push消息至所述第一网元，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

E、发送第二GBA push消息至所述第二网元；

其中，所述第二GBA push消息携带有所述第二安全保护参数和所述第二网元的NAF密钥的信息。

21.根据权利要求19或20所述的第一密钥管理中心，其特征在于，所述第二获取模块具体用于选择一个随机数，所述业务密钥包括所述随机数；

或者，

所述第二获取模块具体用于获取第一参数集合和第二参数集合，计算所述第一参数集合和所述第二参数集合为预置密钥推衍函数的自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量；

或者，

所述第二获取模块具体用于获取第一参数集合和第二参数集合，所述业务密钥包括所述第一参数集合和所述第二参数集合；

其中，所述第一参数集合包括随机数、所述第一网元的NAF密钥和第二网元的NAF密钥中的至少一个，所述第二参数集合包括身份标识、用于指示所述业务密钥的有效期的时间、序列号中的至少一个。

22.根据权利要求19所述的第一密钥管理中心，其特征在于，所述第一密钥管理中心用于执行所述步骤A时，所述第一密钥管理中心还包括：

第一接收模块，用于接收第二密钥管理中心发送的第二GBA push消息；其中，所述第二GBA push消息携带有所述第二安全保护参数和所述第二网元的NAF密钥的信息，所述第二网元的NAF密钥的信息为获取所述第二网元的NAF密钥所需的信息，所述第二安全保护参数为所述第二密钥管理中心采用所述第二网元的NAF密钥对所述业务密钥进行加密和/或完整性保护生成的；

所述第一发送模块还用于执行以下步骤F、步骤G、步骤H的其中一个：

F、所述第一GBA push消息还包括所述第二GBA push消息，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

G、发送所述第二GBA push消息至所述第一网元，以便所述第一网元将所述第二GBA push消息发送至所述第二网元；

H、发送所述第二GBA push消息至所述第二网元。

23.根据权利要求22所述的第一密钥管理中心，其特征在于，所述第二获取模块具体用于选择一个随机数，所述业务密钥包括所述随机数；

或者，

所述第二获取模块具体用于与所述第二密钥管理中心协商所述业务密钥；

或者，

所述第二获取模块具体用于接收所述第二密钥管理中心发送的业务密钥；

或者，

所述第二获取模块具体用于获取第一参数集合和第二参数集合，计算所述第一参数集合和所述第二参数集合为预置密钥推衍函数的自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量；

其中，所述第一参数集合包括所述第一密钥管理中心确定的随机数和所述第一网元的NAF密钥中的至少一个，所述第二参数集合包括身份标识、用于指示所述业务密钥的有效期的时间、序列号中的至少一个。

24.根据权利要求23所述的第一密钥管理中心，其特征在于，

所述第二获取模块具体用于接收所述第二密钥管理中心发送的第二随机数和/或第二网元的NAF密钥；计算当身份标识、用于指示所述业务密钥的有效期的时间、序列号、所述第一密钥管理中心确定的随机数、所述第一网元的NAF密钥中的至少一个以及所述第二随机数和/或第二网元的NAF密钥为所述预置密钥推衍函数的自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量；

或者，

所述第二获取模块具体用于获取第一随机数；将所述第一随机数和/或所述第一网元的NAF密钥发送至所述第二密钥管理中心；接收所述第二密钥管理中心发送的业务密钥，其中，所述业务密钥为所述第二密钥管理中心根据所述第一随机数和/或所述第一网元的NAF密钥确定的；

或者，

所述第二获取模块具体用于与所述第二密钥管理中心通过DH密钥协商的方法协商所述业务密钥；

或者，

所述第二获取模块具体用于与所述第二密钥管理中心通过DH密钥协商得到协商参数；计算所述协商参数为预置密钥推衍函数的其中一个自变量时所述预置密钥推衍函数的因变量，所述业务密钥包括所述因变量。

25.根据权利要求22所述的第一密钥管理中心，其特征在于，所述第二获取模块具体用于获取第一参数集合和第二参数集合，所述业务密钥包括所述第一参数集合和所述第二参数集合；

其中，所述第一参数集合包括所述第一密钥管理中心确定的随机数、所述第二密钥管理中心确定的随机数、所述第一网元的NAF密钥和所述第二网元的NAF密钥中的至少一个，所述第二参数集合包括身份标识、用于指示所述业务密钥的有效期的时间、序列号中的至少一个。

26.根据权利要求19所述的第一密钥管理中心，其特征在于，所述第二网元和所述第一密钥管理中心之间建立有安全信道；

所述第一发送模块用于执行所述步骤A时，所述第一发送模块还用于将所述业务密钥通过所述安全信道发送至所述第二网元。

27.根据权利要求19所述的第一密钥管理中心，其特征在于，所述第一GBA push消息中携带有所述第一网元的身份标识。

28.根据权利要求27所述的第一密钥管理中心，其特征在于，所述第一GBA push消息包括第一GPI消息，其中，所述第一GPI消息携带有所述第一网元的身份标识；

或者，

所述第一GBA push消息包括第一GPL消息，所述第一GPL消息中携带有所述第一网元的身份标识，或者携带有所述第一网元的身份标识以及所述身份标识的长度信息。

29.根据权利要求21、23、24、25、27所述的第一密钥管理中心，其特征在于，所述身份标识包括IMSI，GUTI，IMPI，TMSI，TMPI，IMPU，Service ID，session ID，网络ID，链路ID，App ID，网关ID中的至少一个。

30.根据权利要求19所述的第一密钥管理中心，其特征在于，所述第一密钥管理中心还包括：

第二接收模块，用于在所述第一获取模块获取所述第一网元的应用服务器NAF密钥之前，接收发起端发送的通信请求，所述通信请求用于申请用于所述第一网元和第二网元进行数据通信的业务密钥，所述发起端为所述第一网元和所述第二网元中的数据发送端，所述通信请求包括第一网元的身份标识和第二网元的身份标识。

31.根据权利要求19所述的第一密钥管理中心，其特征在于，所述第一GBA push消息中还包括所述业务密钥的标识信息，

所述标识信息包括用于指示所述业务密钥的有效期的时间、第一网元的身份标识、第二网元的身份标识以及service ID的至少一种；所述service ID用于指示所述业务密钥用于所述service ID对应的业务。

32.一种第一网元，其特征在于，包括：

第一接收模块，用于接收密钥管理中心发送的第一GBA push消息，所述第一GBA push消息携带有所述第一网元的第一安全保护参数和第一NAF密钥的信息；

计算模块，用于根据所述第一NAF密钥的信息计算出第一NAF密钥；

解密模块，用于根据所述第一NAF密钥对所述第一安全保护参数解密，获得业务密钥，所述业务密钥用于所述第一网元和第二网元通信时对通信数据的加密和/或完整性保护。

33.根据权利要求32所述的第一网元，其特征在于，所述第一GBA push消息还携带有第二GBA push消息，或者，所述第一网元包括第二接收模块，用于接收密钥管理中心发送的第二GBA push消息，所述第二GBA push消息包括所述第二网元的第二安全保护参数和第二NAF密钥的信息；所述第二网元的NAF密钥的信息为获取所述第二网元的NAF密钥所需的信息，所述第二安全保护参数为所述密钥管理中心采用所述第二网元的NAF密钥对所述业务密钥进行加密和/或完整性保护生成的；

所述第一网元还包括：

第一发送模块，用于将所述第二GBA push消息发送至所述第二网元。

34.根据权利要求33所述的第一网元，其特征在于，所述第二GBA push消息还携带有所述第二网元的身份标识；

所述第一发送模块具体用于获取所述第二GBA push消息中的所述第二网元的身份标识；将所述第二GBA push消息发送至所述身份标识所对应的第二网元。

35.根据权利要求32所述的第一网元，其特征在于，所述第一网元还包括：

第二发送模块，用于向所述密钥管理中心发送通信请求，所述通信请求用于申请所述第一网元和所述第二网元的业务密钥；所述通信请求包括所述第一网元的身份标识、所述第二网元的身份标识和service ID。

36.一种第二网元，其特征在于，包括：

接收模块，用于接收第一网元发送的第二GBA push消息，所述第二GBA push消息携带有所述第二网元的第二安全保护参数和第二NAF密钥的信息；

计算模块，用于根据所述第二NAF密钥的信息计算第二NAF密钥；

解密模块，用于根据所述第二NAF密钥对所述第二安全保护参数解密，获得业务密钥，所述业务密钥用于所述第一网元和所述第二网元通信。