[发明专利]密钥分发、认证方法，装置及系统

权利要求书

1.一种密钥认证方法，其特征在于，包括：

终端设备接收用户管理服务器发送的来自业务中心服务器的所述终端设备的第一密钥；

所述终端设备根据所述第一密钥，与网络认证服务器基于对称密钥技术进行相互认证以得到所述终端设备与功能网元的通信密钥；

所述网络认证服务器用于在接收到密钥管理服务器发送的所述终端设备的第一密钥后，根据所述终端设备的第一密钥对数据进行加密和解密；所述第一密钥所加密和解密的对象是与所述通信密钥相关的数据，而所述通信密钥是对业务数据进行加密和解密。

2.根据权利要求1所述的方法，其特征在于，所述终端设备根据所述第一密钥，与网络认证服务器基于对称密钥技术进行相互认证以得到所述终端设备与功能网元的通信密钥，包括：

所述终端设备确定第一随机数，并采用所述第一密钥对所述第一随机数进行加密处理，以得到加密处理后的第一随机数，向网络认证服务器发送认证请求消息，所述认证请求消息包括所述加密处理后的第一随机数以及所述终端设备的设备标识；

所述终端设备接收所述网络认证服务器发送的第二消息验证码、加密处理后的第二随机数，根据所述第一密钥对所述加密的第二随机数进行解密，得到第二随机数，所述加密处理后的第二随机数为所述网络认证服务器采用所述第一密钥对第二随机数加密处理得到；

所述终端设备在对所述第二消息验证码验证通过后，根据所述第一密钥、所述第一随机数、所述第二随机数中的至少一项，采用密钥生成函数生成所述终端设备的通信密钥，根据所述通信密钥、所述第一密钥中的任一项，以及所述第一随机数，所述第二随机数，采用消息验证码生成函数生成第一消息验证码，将所述第一消息验证码，发送给所述网络认证服务器，以使所述网络认证服务器对所述第一消息验证码进行验证。

3.根据权利要求1所述的方法，其特征在于，所述终端设备根据所述第一密钥，与网络认证服务器基于对称密钥技术进行相互认证以得到所述终端设备与功能网元的通信密钥，包括：

所述终端设备确定第一随机数，向网络认证服务器发送认证请求消息，所述认证请求消息包括所述第一随机数以及所述终端设备的设备标识；

所述终端设备接收所述网络认证服务器发送的第二随机数、第二消息验证码；

所述终端设备在对所述第二消息验证码验证通过后，根据所述第一随机数和所述第二随机数中的至少一项，以及所述第一密钥，采用密钥生成函数生成所述终端设备的通信密钥，根据所述通信密钥、所述第一密钥中的任一项，以及所述第一随机数，所述第二随机数，采用消息验证码生成函数生成第一消息验证码，将所述第一消息验证码，发送给所述网络认证服务器，以使所述网络认证服务器对所述第一消息验证码进行验证。

4.根据权利要求1所述的方法，其特征在于，所述终端设备根据所述第一密钥，与网络认证服务器基于对称密钥技术进行相互认证以得到所述终端设备与功能网元的通信密钥，包括：

所述终端设备确定第一随机数，向网络认证服务器发送认证请求消息，所述认证请求消息包括所述第一随机数以及所述终端设备的设备标识；

所述终端设备接收所述网络认证服务器发送的第二随机数、加密处理后的通信密钥、第二消息验证码，根据所述第一密钥对所述加密处理后的通信密钥进行解密，得到通信密钥，所述加密处理后的通信密钥为所述网络认证服务器采用所述第一密钥对通信密钥加密处理得到；

所述终端设备在对所述第二消息验证码验证通过后，根据所述通信密钥、所述第一密钥中任一项，以及所述第一随机数，所述第二随机数，采用消息验证码生成函数生成第一消息验证码，将所述第一消息验证码，发送给所述网络认证服务器，以使所述网络认证服务器对所述第一消息验证码进行验证。