[发明专利]一种实现密钥协商的方法和装置

权利要求书

1.一种实现密钥协商的方法，应用于用户终端，该方法包括：

通过非接入层NAS信令消息向密钥中心发送密入网申请消息，接收所述密钥中心通过NAS信令消息发送的密入网响应消息；所述密入网申请消息中携带用户终端的标识，所述密入网响应消息中携带密钥中心的标识；

通过NAS信令消息与所述密钥中心之间进行鉴权认证；

在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商，协商成功后切换到密入网状态。

2.如权利要求1所述的方法，在切换到密入网状态后，其特征在于，所述方法还包括：

在与接收方用户终端进行加密通信时，将经过密卡加密后的加密数据发送到密钥中心，由所述密钥中心进行处理后发送给接收方用户终端。

3.如权利要求2所述的方法，在切换到密入网状态后，其特征在于，所述方法还包括：

在与接收方用户终端进行加密通信时，如接收到密钥中心转发的加密通信数据，则将所述加密通信数据发送给密卡，由所述密卡进行解密处理。

4.如权利要求1所述的方法，其特征在于：

在接收到所述密钥中心的密入网响应消息后，所述方法还包括：

将接收到的密钥中心的标识写入密卡中。

5.如权利要求1所述的方法，其特征在于：

所述通过NAS信令消息与所述密钥中心之间进行鉴权认证，包括：通过NAS信令消息与所述密钥中心之间进行双向认证：

接收密卡发送的第一认证消息，所述第一认证消息中携带用户终端的上行鉴权信息，通过NAS信令消息将所述第一认证消息发送到密钥中心；

接收所述密钥中心通过NAS信令消息发送的第二认证消息，所述第二认证消息中携带密钥中心的下行鉴权信息和密钥中心对所述用户终端的鉴权结果；将所述密钥中心的下行鉴权信息发送给密卡，由所述密卡对所述密钥中心进行鉴权，生成鉴权结果；

接收所述密卡发送的第三认证消息，所述第三认证消息中携带用户终端对密钥中心的鉴权结果，通过NAS信令消息将所述第三认证消息发送到密钥中心。

6.一种实现密钥协商的方法，应用于密钥中心，该方法包括：

接收用户终端通过非接入层NAS信令消息发送的密入网申请消息后，通过NAS信令消息向所述用户终端发送密入网响应消息；所述密入网申请消息中携带用户终端的标识，所述密入网响应消息中携带密钥中心的标识；

通过NAS信令消息与所述密钥中心之间进行鉴权认证；

在所述用户终端与所述密钥中心之间通过所述鉴权认证后，通过NAS信令消息与所述密钥中心进行密钥协商。

7.如权利要求6所述的方法，其特征在于，所述方法还包括：

在发送方用户终端与接收方用户终端进行加密通信时，如接收到所述发送方用户终端发送的加密数据，则对所述加密数据进行处理后发送到所述接收方用户终端。

8.如权利要求6所述的方法，其特征在于：

所述通过NAS信令消息与所述用户终端之间进行鉴权认证，包括：通过NAS信令消息与所述用户终端之间进行双向认证：

接收用户终端通过NAS信令消息发送的第一认证消息，所述第一认证消息中携带所述用户终端的上行鉴权信息；对所述用户终端进行鉴权，生成鉴权结果；

通过NAS信令消息向用户终端发送第二认证消息，其中携带密钥中心对所述用户终端的鉴权结果和密钥中心的下行鉴权信息；

接收用户终端通过NAS信令消息发送的第三认证消息，所述第三认证消息中携带所述用户终端对所述密钥中心的鉴权结果。