本發(fā)明涉及通信領(lǐng)域，尤其涉及一種密鑰分發(fā)、認(rèn)證方法，裝置及系統(tǒng)。

背景技術(shù)：

隨著通信網(wǎng)絡(luò)技術(shù)的發(fā)展，越來(lái)越多的設(shè)備開(kāi)始加入到網(wǎng)絡(luò)中，并通過(guò)通信網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的發(fā)送和接收，如手機(jī)、電腦、無(wú)人機(jī)以及其他物聯(lián)網(wǎng)設(shè)備等。也有越來(lái)越多的企業(yè)通過(guò)通信網(wǎng)絡(luò)實(shí)現(xiàn)企業(yè)的管理中心與實(shí)現(xiàn)企業(yè)業(yè)務(wù)的各智能設(shè)備的通信，如電力公司、自來(lái)水公司或熱力公司等。

為保證安全通信，智能設(shè)備與網(wǎng)絡(luò)通常根據(jù)根密鑰進(jìn)行相互認(rèn)證以建立安全通道，相互認(rèn)證過(guò)程中所采用的根密鑰由網(wǎng)絡(luò)運(yùn)營(yíng)商提前配置或部署在智能設(shè)備與網(wǎng)絡(luò)中?，F(xiàn)有的認(rèn)證方法均基于國(guó)際移動(dòng)電信組織提出的認(rèn)證與密鑰協(xié)商協(xié)議(authenticationandkeyagreement，簡(jiǎn)稱aka)，但是基于aka協(xié)議的認(rèn)證方法需依賴存儲(chǔ)在全球用戶識(shí)別卡(universalsubscriberidentitymodule，簡(jiǎn)稱usim)卡中的根密鑰，即需要智能設(shè)備均支持usim卡。

而接入網(wǎng)絡(luò)中的大量的低成本物聯(lián)網(wǎng)設(shè)備或企業(yè)的智能設(shè)備功能和結(jié)構(gòu)簡(jiǎn)單，無(wú)法部署功能復(fù)雜的usim卡，進(jìn)而無(wú)法實(shí)現(xiàn)基于aka協(xié)議的認(rèn)證，無(wú)法應(yīng)用現(xiàn)有的認(rèn)證方法建立安全通信通道。因此現(xiàn)有的根密鑰部署方法和認(rèn)證方法無(wú)法應(yīng)用到越來(lái)越多的不支持usim卡的智能設(shè)備與網(wǎng)絡(luò)的安全通信中，導(dǎo)致該些智能設(shè)備與網(wǎng)絡(luò)進(jìn)行通信的安全性無(wú)法收到保證。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種密鑰分發(fā)、認(rèn)證方法，裝置及系統(tǒng)，用以解決現(xiàn)有根密鑰部署、認(rèn)證方法無(wú)法應(yīng)用到不支持usim卡的智能設(shè)備中的問(wèn)題。

第一方面，本發(fā)明實(shí)施例提供一種密鑰分發(fā)方法，包括：

用戶管理服務(wù)器向業(yè)務(wù)中心服務(wù)器發(fā)送第一密鑰請(qǐng)求消息，第一密鑰請(qǐng)求消息用于指示業(yè)務(wù)中心服務(wù)器生成用戶管理服務(wù)器的第一層密鑰，第一密 鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；接收業(yè)務(wù)中心服務(wù)器發(fā)送的用戶管理服務(wù)器的第一層密鑰；根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以獲取終端設(shè)備與功能網(wǎng)元的通信密鑰。

用戶管理服務(wù)器根據(jù)接收到的第一層密鑰，為不同的終端設(shè)備生成并分發(fā)不同的第二層密鑰，可解決現(xiàn)有根密鑰部署、認(rèn)證方法無(wú)法應(yīng)用到不支持usim卡的智能設(shè)備中的問(wèn)題，還減輕了由業(yè)務(wù)中心服務(wù)器直接為不同的終端設(shè)備生成不同的第二層密鑰的負(fù)擔(dān)。

結(jié)合第一方面，在第一方面的第一種可能的實(shí)現(xiàn)方式中，生成第二層密鑰的過(guò)程具體包括：用戶管理服務(wù)器根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰；

該方法還包括：用戶管理服務(wù)器將第一參數(shù)集合發(fā)送給終端設(shè)備；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

結(jié)合第一方面，在第一方面的第二種可能的實(shí)現(xiàn)方式中，第一層密鑰為用戶管理服務(wù)器的私鑰，生成第二層密鑰的過(guò)程具體包括：

用戶管理服務(wù)器根據(jù)用戶管理服務(wù)器的私鑰和第一參數(shù)集合，生成終端設(shè)備的第二層密鑰和終端設(shè)備的公鑰，第二層密鑰為與終端設(shè)備的公鑰對(duì)應(yīng)的終端設(shè)備的私鑰；

該方法還包括：

用戶管理服務(wù)器根據(jù)第一層密鑰、終端設(shè)備的公鑰，以及第一參數(shù)集合生成第一數(shù)字簽名；并將終端設(shè)備的公鑰、第一數(shù)字簽名，以及第二參數(shù)集合發(fā)送給終端設(shè)備；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第一方面，在第一方面的第三種可能的實(shí)現(xiàn)方式中，第一層密鑰為 用戶管理服務(wù)器的私鑰，生成第二層密鑰的過(guò)程具體包括：

用戶管理服務(wù)器根據(jù)用戶管理服務(wù)器的私鑰和終端設(shè)備的設(shè)備標(biāo)識(shí)，基于設(shè)備身份生成算法生成終端設(shè)備的第二層密鑰，第二層密鑰為終端設(shè)備的私鑰；

該方法還包括：

用戶管理服務(wù)器將第二參數(shù)集合以及與終端設(shè)備的私鑰對(duì)應(yīng)的終端設(shè)備的公鑰發(fā)送給終端設(shè)備；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第一方面，在第一方面的第四種可能的實(shí)現(xiàn)方式中，第一層密鑰為用戶管理服務(wù)器的私鑰，生成第二層密鑰的過(guò)程具體包括：

用戶管理服務(wù)器根據(jù)用戶管理服務(wù)器的私鑰，采用隱私增強(qiáng)的密鑰技術(shù)的生成算法生成終端設(shè)備的第二層密鑰，第二層密鑰為終端設(shè)備的私鑰；

該方法還包括：

用戶管理服務(wù)器接收業(yè)務(wù)中心服務(wù)器發(fā)送的用戶管理服務(wù)器的公鑰，并將用戶管理服務(wù)器的公鑰和第二參數(shù)集合發(fā)送給終端設(shè)備；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第二方面，本發(fā)明實(shí)施例提供一種密鑰分發(fā)方法，包括：

業(yè)務(wù)中心服務(wù)器接收用戶管理服務(wù)器發(fā)送的第一密鑰請(qǐng)求消息，第一密鑰請(qǐng)求消息用于指示業(yè)務(wù)中心服務(wù)器生成用戶管理服務(wù)器的第一層密鑰，第一密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；根據(jù)第一密鑰請(qǐng)求消息生成用戶標(biāo)識(shí)對(duì)應(yīng)的用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器。

業(yè)務(wù)中心服務(wù)器為不同的用戶管理服務(wù)器生成第一層密鑰，即可解決現(xiàn)有根密鑰部署、認(rèn)證方法無(wú)法應(yīng)用到不支持usim卡的智能設(shè)備中的問(wèn)題。

結(jié)合第二方面，在第二方面的第一種可能的實(shí)現(xiàn)方式中，生成第一層密鑰的過(guò)程具體包括：業(yè)務(wù)中心服務(wù)器根據(jù)第三參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰；

其中，第三參數(shù)集合包括第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰；

或者

業(yè)務(wù)中心服務(wù)器確定業(yè)務(wù)隨機(jī)數(shù)，并將其作為用戶管理服務(wù)器的第一層密鑰。

結(jié)合第二方面，在第二方面的第二種可能的實(shí)現(xiàn)方式中，第一密鑰請(qǐng)求消息中還包括用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種，生成第一層密鑰的過(guò)程具體包括：業(yè)務(wù)中心服務(wù)器根據(jù)第四參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰；

其中，第四參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰。

結(jié)合第二方面，在第二方面的第三種可能的實(shí)現(xiàn)方式中，生成第一層密鑰的過(guò)程具體包括：業(yè)務(wù)中心服務(wù)器根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰，第一層密鑰為用戶管理服務(wù)器的私鑰。

結(jié)合第二方面，在第二方面的第四種可能的實(shí)現(xiàn)方式中，生成第一層密鑰的過(guò)程具體包括：業(yè)務(wù)中心服務(wù)器根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)和第五參數(shù)集合，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰，第一層密鑰為用戶管理服務(wù)器的私鑰；

其中，第五參數(shù)集合包括如下中的至少一種：

第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)。

結(jié)合第二方面，在第二方面的第五種可能的實(shí)現(xiàn)方式中，生成第一層密鑰的過(guò)程具體包括：業(yè)務(wù)中心服務(wù)器采用隱私增強(qiáng)的密鑰技術(shù)生成用戶管理服務(wù)器的私鑰和用戶管理服務(wù)器的公鑰，其中用戶管理服務(wù)器的私鑰為用戶管理服務(wù)器的第一層密鑰；

該方法還包括：

業(yè)務(wù)中心服務(wù)器將用戶管理服務(wù)器的公鑰發(fā)送給用戶管理服務(wù)器。

結(jié)合第二方面、第二方面的第一種、第二方面的第二種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第二方面的第六種可能的實(shí)現(xiàn)方式中，該方法還包括：業(yè)務(wù)中心服務(wù)器接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；根據(jù)第二密鑰請(qǐng)求消息中用戶管理服務(wù)器的用戶標(biāo)識(shí)檢索得到第一層密鑰，或生成第一層密鑰，并將第一層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證。

結(jié)合第二方面、第二方面的第一種、第二方面的第二種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第二方面的第七種可能的實(shí)現(xiàn)方式中，該方法還包括：業(yè)務(wù)中心服務(wù)器接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息中包括第一參數(shù)集合；根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器以使得網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

第三方面，本發(fā)明實(shí)施例提供一種密鑰認(rèn)證方法，包括：

終端設(shè)備接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的第二層密鑰；根據(jù)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以獲取終端設(shè)備與功能網(wǎng)元的通信密鑰。

結(jié)合第三方面，在第三方面的第一種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和加密處理后的第一隨機(jī)數(shù)；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二 隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第二種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和第一隨機(jī)數(shù)；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第三種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和第一隨機(jī)數(shù)；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼和加密處理后的通信密鑰，根據(jù)第二層密鑰對(duì)加密處理后的通信密鑰進(jìn)行解密，得到通信密鑰，加密處理后的通信密鑰為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)通信密鑰加密處理得到；

終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，以及第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第四種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一隨機(jī)數(shù)、第一傳輸參數(shù)和第一參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備 標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第五種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的第一隨機(jī)數(shù)、第一參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二消息驗(yàn)證碼和加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第六種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第七種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼和加密處理后的通信密鑰；

終端設(shè)備在根據(jù)第二隨機(jī)數(shù)對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰對(duì)加密處理后的通信密鑰進(jìn)行解密，得到通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第八種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第二層密鑰、通信密鑰中的任一項(xiàng)，以及第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證 請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的第一隨機(jī)數(shù)、第一參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二消息驗(yàn)證碼和加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到，根據(jù)第二隨機(jī)數(shù)對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定通過(guò)；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第九種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，根據(jù)第一隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第二層密鑰、通信密鑰中的任一項(xiàng)，以及第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定通過(guò)；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第十種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，根據(jù)第二層密鑰、 第一隨機(jī)數(shù)和第二參數(shù)集合，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一隨機(jī)數(shù)、第一傳輸參數(shù)、第一消息驗(yàn)證碼、第一參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第十一種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的公鑰、第一數(shù)字簽名，以及第二參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

終端設(shè)備在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器， 以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第十二種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的公鑰和第二參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

終端設(shè)備在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面，在第三方面的第十三種可能的實(shí)現(xiàn)方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的用戶管理服務(wù)器的公鑰和第二參數(shù)集合，用戶管理服務(wù)器的公鑰為與終端設(shè)備的第二層密鑰對(duì)應(yīng)的終端設(shè)備的公鑰；相互認(rèn)證過(guò)程具體包括：

終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二 數(shù)字簽名，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

終端設(shè)備在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及通信密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，或者根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第三方面的第十一種至第十三種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第三方面的第十四種可能的實(shí)現(xiàn)方式中，終端設(shè)備還向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送公鑰請(qǐng)求消息；接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

結(jié)合第三方面、第三方面的第一種至第十四種中任一種可能的實(shí)現(xiàn)方式，在第三方面的第十五種可能的實(shí)現(xiàn)方式中，該方法還包括：網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成終端設(shè)備的會(huì)話密鑰。

下面第四方面和第五方面提供一種密鑰認(rèn)證方法，與上述第三方面提供的密鑰認(rèn)證方法進(jìn)行交互，為對(duì)稱側(cè)方法，具有相對(duì)應(yīng)的技術(shù)特征和技術(shù)效果，本發(fā)明實(shí)施例對(duì)此不再贅述。

第四方面，本發(fā)明實(shí)施例提供一種密鑰認(rèn)證方法，包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合，向業(yè)務(wù)中心服務(wù)器發(fā)送第二密鑰請(qǐng)求消息，接收業(yè)務(wù)中心服務(wù)器發(fā)送的第二層密鑰，第二密鑰請(qǐng)求消息包括第一參數(shù)集合；或者網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集 合，向業(yè)務(wù)中心服務(wù)器發(fā)送第二密鑰請(qǐng)求消息，接收業(yè)務(wù)中心服務(wù)器發(fā)送的第一層密鑰，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰；

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰，與終端設(shè)備進(jìn)行相互認(rèn)證以獲得終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第一種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括加密處理后的第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第二種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，并將第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第三種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)，根據(jù)密鑰隨機(jī)數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，采用第二層密鑰對(duì)通信密鑰進(jìn)行加密處理，得到加密處理后的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，并將第二隨機(jī)數(shù)、加密處理后的通信密鑰和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第四種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一傳輸參數(shù)和第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一傳輸參數(shù)，第二傳輸參數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第五種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和加密處理后的第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

網(wǎng)絡(luò)認(rèn)證服務(wù)器在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第六種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第七種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)密鑰隨機(jī)數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，采用第二層密鑰對(duì)通信密鑰進(jìn)行加密處理，得到加密處理后的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)、加密處理后的通信密鑰和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第八種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和加密處理后的第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

網(wǎng)絡(luò)認(rèn)證服務(wù)器在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第九種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面，在第四方面的第十種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼、第一傳輸參數(shù)和第一隨機(jī)數(shù)，相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳 輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

網(wǎng)絡(luò)認(rèn)證服務(wù)器在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第一傳輸參數(shù)、第二傳輸參數(shù)、第二參數(shù)集合中的任一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第四方面、第四方面的第一種至第十種中任一種可能的實(shí)現(xiàn)方式，在第四方面的第十一種可能的實(shí)現(xiàn)方式中，該方法還包括：網(wǎng)絡(luò)認(rèn)證服務(wù)器和終端設(shè)備進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的會(huì)話密鑰，并將會(huì)話密鑰發(fā)送給功能網(wǎng)元。

第五方面，本發(fā)明實(shí)施例提供一種密鑰認(rèn)證方法，包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰，根據(jù)終端設(shè)備的公鑰、網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰和網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，與終端設(shè)備進(jìn)行相互認(rèn)證以獲得終端設(shè)備與功能網(wǎng)元的通信密鑰。

結(jié)合第五方面，在第五方面的第一種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)和第二參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

網(wǎng)絡(luò)認(rèn)證服務(wù)器在對(duì)第一數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù) 和第二參數(shù)集合生成第二數(shù)字簽名，將第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，發(fā)送給終端設(shè)備；

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第五方面，在第五方面的第二種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括加密處理后的第一隨機(jī)數(shù)和第二參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將加密處理后的第二隨機(jī)數(shù)、第二數(shù)字簽名，發(fā)送給設(shè)備終端；

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第五方面，在第五方面的第三種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；相互認(rèn)證過(guò)程具體包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第二數(shù)字簽名，將第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名，發(fā)送給終端設(shè)備；

網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名， 在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，或根據(jù)終端設(shè)備的公鑰對(duì)第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第五方面、第五方面的第一種至第三種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第五方面的第四種可能的實(shí)現(xiàn)方式中，網(wǎng)絡(luò)認(rèn)證服務(wù)器還接收終端設(shè)備發(fā)送的公鑰請(qǐng)求消息；向終端設(shè)備發(fā)送網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

結(jié)合第五方面、第五方面的第一種至第四種中任一種可能的實(shí)現(xiàn)方式，在第五方面的第五種可能的實(shí)現(xiàn)方式中，該方法還包括：網(wǎng)絡(luò)認(rèn)證服務(wù)器和終端設(shè)備進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的會(huì)話密鑰，并將會(huì)話密鑰發(fā)送給功能網(wǎng)元。

下面介紹本發(fā)明實(shí)施例提供的一種密鑰分發(fā)、認(rèn)證裝置，該裝置與上述方法一一對(duì)應(yīng)，用以實(shí)現(xiàn)上述實(shí)施例中的密鑰分發(fā)、認(rèn)證方法，具有相同的技術(shù)特征和技術(shù)效果，本發(fā)明實(shí)施例對(duì)此不再贅述。

第六方面，本發(fā)明實(shí)施例提供一種用戶管理服務(wù)器，包括：

請(qǐng)求發(fā)送模塊，用于向業(yè)務(wù)中心服務(wù)器發(fā)送第一密鑰請(qǐng)求消息，第一密鑰請(qǐng)求消息用于指示業(yè)務(wù)中心服務(wù)器生成用戶管理服務(wù)器的第一層密鑰，第一密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；

密鑰接收模塊，用于接收業(yè)務(wù)中心服務(wù)器發(fā)送的用戶管理服務(wù)器的第一層密鑰；

密鑰生成分發(fā)模塊，用于根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以獲取終端設(shè)備與功能網(wǎng)元的通信密鑰。

結(jié)合第六方面，在第六方面的第一種可能的實(shí)現(xiàn)方式中，密鑰生成分發(fā)模塊具體用于：

根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰，并將第二層密鑰和第一參數(shù)集合發(fā)送給終端設(shè)備，以使終端設(shè)備 通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

結(jié)合第六方面，在第六方面的第二種可能的實(shí)現(xiàn)方式中，第一層密鑰為用戶管理服務(wù)器的私鑰，密鑰生成分發(fā)模塊具體用于：

根據(jù)用戶管理服務(wù)器的私鑰和第一參數(shù)集合，生成終端設(shè)備的第二層密鑰和終端設(shè)備的公鑰，第二層密鑰為與終端設(shè)備的公鑰對(duì)應(yīng)的終端設(shè)備的私鑰；

根據(jù)第一層密鑰、終端設(shè)備的公鑰，以及第一參數(shù)集合生成第一數(shù)字簽名；

將終端設(shè)備的公鑰、第二層密鑰、第一數(shù)字簽名，以及第二參數(shù)集合發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第六方面，在第六方面的第三種可能的實(shí)現(xiàn)方式中，第一層密鑰為用戶管理服務(wù)器的私鑰，密鑰生成分發(fā)模塊具體用于：

根據(jù)用戶管理服務(wù)器的私鑰和終端設(shè)備的設(shè)備標(biāo)識(shí)，基于設(shè)備身份生成算法生成終端設(shè)備的第二層密鑰，第二層密鑰為終端設(shè)備的私鑰；

將第二參數(shù)集合、第二層密鑰以及與終端設(shè)備的私鑰對(duì)應(yīng)的終端設(shè)備的公鑰發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第六方面，在第六方面的第四種可能的實(shí)現(xiàn)方式中，第一層密鑰為 用戶管理服務(wù)器的私鑰，密鑰接收模塊還用于接收業(yè)務(wù)中心服務(wù)器發(fā)送的用戶管理服務(wù)器的公鑰；密鑰生成分發(fā)模塊具體用于：

根據(jù)用戶管理服務(wù)器的私鑰，采用隱私增強(qiáng)的密鑰技術(shù)的生成算法生成終端設(shè)備的第二層密鑰，第二層密鑰為終端設(shè)備的私鑰；

將用戶管理服務(wù)器的公鑰、第二層密鑰、和第二參數(shù)集合發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第七方面，本發(fā)明實(shí)施例提供一種業(yè)務(wù)中心服務(wù)器，包括：

密鑰請(qǐng)求接收模塊，用于接收用戶管理服務(wù)器發(fā)送的第一密鑰請(qǐng)求消息，第一密鑰請(qǐng)求消息用于指示業(yè)務(wù)中心服務(wù)器生成用戶管理服務(wù)器的第一層密鑰，第一密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；

密鑰生成分發(fā)模塊，用于根據(jù)第一密鑰請(qǐng)求消息生成用戶標(biāo)識(shí)對(duì)應(yīng)的用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器。

結(jié)合第七方面，在第七方面的第一種可能的實(shí)現(xiàn)方式中，密鑰生成分發(fā)模塊具體用于：

根據(jù)第三參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器；

其中，第三參數(shù)集合包括第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰；

或者

確定業(yè)務(wù)隨機(jī)數(shù)，并將其作為用戶管理服務(wù)器的第一層密鑰，將第一層密鑰發(fā)送給用戶管理服務(wù)器。

結(jié)合第七方面，在第七方面的第二種可能的實(shí)現(xiàn)方式中，第一密鑰請(qǐng)求消息中還包括用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種，密鑰生成分發(fā)模塊具體用于：根據(jù)第四參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器；

其中，第四參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰。

結(jié)合第七方面，在第七方面的第三種可能的實(shí)現(xiàn)方式中，密鑰生成分發(fā)模塊具體用于：

根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器，第一層密鑰為用戶管理服務(wù)器的私鑰。

結(jié)合第七方面，在第七方面的第四種可能的實(shí)現(xiàn)方式中，密鑰生成分發(fā)模塊具體用于：根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)和第五參數(shù)集合，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器，第一層密鑰為用戶管理服務(wù)器的私鑰；

其中，第五參數(shù)集合包括如下中的至少一種：

第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)。

結(jié)合第七方面，在第七方面的第五種可能的實(shí)現(xiàn)方式中，密鑰生成分發(fā)模塊具體用于：

采用隱私增強(qiáng)的密鑰技術(shù)生成用戶管理服務(wù)器的私鑰和用戶管理服務(wù)器的公鑰，其中用戶管理服務(wù)器的私鑰為用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰和用戶管理服務(wù)器的公鑰發(fā)送給用戶管理服務(wù)器。

結(jié)合第七方面、第七方面的第一種、第七方面的第二種中任一種可能的實(shí)現(xiàn)方式，在第七方面的第六種可能的實(shí)現(xiàn)方式中，密鑰請(qǐng)求接收模塊還用于，接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；

密鑰生成分發(fā)模塊還用于，根據(jù)第二密鑰請(qǐng)求消息中用戶管理服務(wù)器的用戶標(biāo)識(shí)檢索得到第一層密鑰，或生成第一層密鑰，并將第一層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證。

結(jié)合第七方面、第七方面的第一種、第七方面的第二種中任一種可能的 實(shí)現(xiàn)方式，在第七方面的第七種可能的實(shí)現(xiàn)方式中，密鑰請(qǐng)求接收模塊還用于，接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息中包括第一參數(shù)集合；

密鑰生成分發(fā)模塊還用于，根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器以使得網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

第八方面，本發(fā)明實(shí)施例提供一種終端設(shè)備，包括：

密鑰接收模塊，用于接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的第二層密鑰；

認(rèn)證模塊，用于根據(jù)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以獲取終端設(shè)備與功能網(wǎng)元的通信密鑰。

結(jié)合第八方面，在第八方面的第一種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和加密處理后的第一隨機(jī)數(shù)；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、 第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第二種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和第一隨機(jī)數(shù)；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第三種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和第一隨機(jī)數(shù)；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼和加密處理后的通信密鑰，根據(jù)第二層密鑰對(duì)加密處理后的通信密鑰進(jìn)行解密，得到通信密鑰，加密處理后的通信密鑰為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)通信密鑰加密處理得到；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，以及第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第四種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一隨機(jī)數(shù)、第一傳輸參數(shù)和第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第五種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二消息驗(yàn)證碼和加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第六種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第七種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及 第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼和加密處理后的通信密鑰；

在根據(jù)第二隨機(jī)數(shù)對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰對(duì)加密處理后的通信密鑰進(jìn)行解密，得到通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第八種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第二層密鑰、通信密鑰中的任一項(xiàng)，以及第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二消息驗(yàn)證碼和加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到，根據(jù)第二隨機(jī)數(shù)對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定通過(guò)；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第九種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，根據(jù)第一隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第二層密鑰、通信密鑰中的任一項(xiàng)，以及第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定通過(guò)；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第十種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)和第二參數(shù)集合，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一隨機(jī)數(shù)、第一傳輸參數(shù)、第一消息驗(yàn)證碼、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、 用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第十一種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的公鑰、第一數(shù)字簽名，以及第二參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第十二種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的公鑰和第二參數(shù)集合；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰對(duì) 第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面，在第八方面的第十三種可能的實(shí)現(xiàn)方式中，密鑰接收模塊還用于，接收用戶管理服務(wù)器發(fā)送的用戶管理服務(wù)器的公鑰和第二參數(shù)集合，用戶管理服務(wù)器的公鑰為與終端設(shè)備的第二層密鑰對(duì)應(yīng)的終端設(shè)備的公鑰；認(rèn)證模塊具體用于：

確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及通信密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，或者根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第八方面的第十一種至第十三種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第八方面的第十四種可能的實(shí)現(xiàn)方式中，該服務(wù)器還包括公鑰 請(qǐng)求模塊，用于向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送公鑰請(qǐng)求消息；密鑰接收模塊還用于接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

結(jié)合第八方面、第八方面的第一種至第十四種中任一種可能的實(shí)現(xiàn)方式，在第八方面的第十五種可能的實(shí)現(xiàn)方式中，認(rèn)證模塊具體用于：與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成終端設(shè)備的會(huì)話密鑰。

第九方面，本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)認(rèn)證服務(wù)器，包括：

密鑰獲取模塊，用于接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合，向業(yè)務(wù)中心服務(wù)器發(fā)送第二密鑰請(qǐng)求消息，接收業(yè)務(wù)中心服務(wù)器發(fā)送的第二層密鑰，第二密鑰請(qǐng)求消息包括第一參數(shù)集合；或者用于接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合，向業(yè)務(wù)中心服務(wù)器發(fā)送第二密鑰請(qǐng)求消息，接收業(yè)務(wù)中心服務(wù)器發(fā)送的第一層密鑰，并根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰；

認(rèn)證模塊，用于根據(jù)第二層密鑰，與終端設(shè)備進(jìn)行相互認(rèn)證以獲得終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第一種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括加密處理后的第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成 第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第二種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，并將第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第三種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)，根據(jù)密鑰隨機(jī)數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，采用第二層密鑰對(duì)通信密鑰進(jìn)行加密處理，得到加密處理后的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，并將第二隨機(jī)數(shù)、加密處理后的通信密鑰和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第四種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一傳輸參數(shù)和第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一傳輸參數(shù)，第二傳輸參數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第五種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和加密處理后的第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第六種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一 項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第七種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)密鑰隨機(jī)數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，采用第二層密鑰對(duì)通信密鑰進(jìn)行加密處理，得到加密處理后的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)、加密處理后的通信密鑰和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第八種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和加密處理后的第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第九種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面，在第九方面的第十種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼、第一傳輸參數(shù)和第一隨機(jī)數(shù)，認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第一傳輸參數(shù)、第二傳輸參數(shù)、第二參數(shù)集合中的任一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第九方面、第九方面的第一種至第十種中任一種可能的實(shí)現(xiàn)方式，在第九方面的第十一種可能的實(shí)現(xiàn)方式中，認(rèn)證模塊具體用于：與終端設(shè)備進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的會(huì)話密鑰，并將會(huì)話密鑰發(fā)送給功能網(wǎng)元。

第十方面，本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)認(rèn)證服務(wù)器，包括：

公鑰獲取模塊，用于接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰；

認(rèn)證模塊，用于根據(jù)終端設(shè)備的公鑰、網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰和網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，與終端設(shè)備進(jìn)行相互認(rèn)證以獲得終端設(shè)備與功能網(wǎng)元的通 信密鑰。

結(jié)合第十方面，在第十方面的第一種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)和第二參數(shù)集合；認(rèn)證模塊具體用于：

根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

在對(duì)第一數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第十方面，在第十方面的第二種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括加密處理后的第一隨機(jī)數(shù)和第二參數(shù)集合；認(rèn)證模塊具體用于：

根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將加密處理后的第二隨機(jī)數(shù)、第二數(shù)字簽名，發(fā)送給設(shè)備終端；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備 標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第十方面，在第十方面的第三種可能的實(shí)現(xiàn)方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；認(rèn)證模塊具體用于：

確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第二數(shù)字簽名，將第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，或根據(jù)終端設(shè)備的公鑰對(duì)第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

結(jié)合第十方面、第十方面的第一種至第三種中任一種可能的實(shí)現(xiàn)方式，在第十方面的第四種可能的實(shí)現(xiàn)方式中，該服務(wù)器還包括公鑰請(qǐng)求接收模塊，用于接收終端設(shè)備發(fā)送的公鑰請(qǐng)求消息；

公鑰發(fā)送模塊，用于向終端設(shè)備發(fā)送網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

結(jié)合第十方面、第十方面的第一種至第四種中任一種可能的實(shí)現(xiàn)方式，在第十方面的第五種可能的實(shí)現(xiàn)方式中，認(rèn)證模塊具體用于：與終端設(shè)備進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的會(huì)話密鑰，并將會(huì)話密鑰發(fā)送給功能網(wǎng)元。

第十一方面，本發(fā)明實(shí)施例提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述第一方面、第一方面的第一種至第四種中任一種可能的實(shí)現(xiàn)方式中的密鑰分發(fā)方法。

第十二方面，本發(fā)明實(shí)施例提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀 存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述第二方面、第二方面的第一種至第七種中任一種可能的實(shí)現(xiàn)方式中的密鑰分發(fā)方法。

第十三方面，本發(fā)明實(shí)施例提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述第三方面、第三方面的第一種至第十五種中任一種可能的實(shí)現(xiàn)方式中的密鑰認(rèn)證方法。

第十四方面，本發(fā)明實(shí)施例提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述第四方面、第四方面的第一種至第十一種、第五方面、第五方面的第一種至第五種中任一種可能的實(shí)現(xiàn)方式中的密鑰認(rèn)證方法。

第十五方面，本發(fā)明實(shí)施例提供一種密鑰分發(fā)、認(rèn)證系統(tǒng)，包括：如上述第六方面、第六方面的第一種至第七種中任一種可能的實(shí)現(xiàn)方式中的業(yè)務(wù)中心服務(wù)器；如第七方面、第七方面的第一種、第七方面的第二種中任一種可能的實(shí)現(xiàn)方式中的用戶管理服務(wù)器；如第八方面、第八方面的第一種至第十五種中任一種可能的實(shí)現(xiàn)方式中的終端設(shè)備；如第九方面、第九方面的第一種至第十一種、第十方面、第十方面的第一種至第五種中任一種可能的實(shí)現(xiàn)方式中的網(wǎng)絡(luò)認(rèn)證服務(wù)器。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明密鑰分發(fā)、認(rèn)證方法實(shí)施例一的系統(tǒng)架構(gòu)示意圖；

圖2為本發(fā)明密鑰分發(fā)、認(rèn)證方法實(shí)施例一的信令流程圖；

圖3為本發(fā)明密鑰認(rèn)證方法實(shí)施例一的信令流程圖；

圖4為本發(fā)明密鑰認(rèn)證方法實(shí)施例二的信令流程圖；

圖5為本發(fā)明密鑰認(rèn)證方法實(shí)施例三的信令流程圖；

圖6為本發(fā)明密鑰認(rèn)證方法實(shí)施例四的信令流程圖；

圖7為本發(fā)明密鑰認(rèn)證方法實(shí)施例五的信令流程圖；

圖8為本發(fā)明密鑰認(rèn)證方法實(shí)施例六的信令流程圖；

圖9為本發(fā)明密鑰認(rèn)證方法實(shí)施例七的信令流程圖；

圖10為本發(fā)明密鑰認(rèn)證方法實(shí)施例八的信令流程圖；

圖11為本發(fā)明密鑰認(rèn)證方法實(shí)施例九的信令流程圖；

圖12為本發(fā)明密鑰認(rèn)證方法實(shí)施例十的信令流程圖；

圖13為本發(fā)明密鑰認(rèn)證方法實(shí)施例十一的信令流程圖；

圖14為本發(fā)明密鑰認(rèn)證方法實(shí)施例十二的信令流程圖；

圖15為本發(fā)明密鑰認(rèn)證方法實(shí)施例十三的信令流程圖；

圖16為本發(fā)明用戶管理服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖；

圖17為本發(fā)明業(yè)務(wù)中心服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖；

圖18為本發(fā)明終端設(shè)備實(shí)施例一的結(jié)構(gòu)示意圖；

圖19為本發(fā)明網(wǎng)絡(luò)認(rèn)證服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖；

圖20為本發(fā)明網(wǎng)絡(luò)認(rèn)證服務(wù)器實(shí)施例二的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明的說(shuō)明書(shū)和權(quán)利要求書(shū)的術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

本發(fā)明實(shí)施例提供一種密鑰分發(fā)、認(rèn)證方法及設(shè)備，用于為終端設(shè)備分發(fā)密鑰，并使終端設(shè)備根據(jù)分發(fā)的密鑰在與網(wǎng)絡(luò)認(rèn)證服務(wù)器相互認(rèn)證后得到 通信密鑰，使得終端設(shè)備能夠根據(jù)通信密鑰連入到通信網(wǎng)絡(luò)中，并進(jìn)行安全通信。下面采用具體的實(shí)施例，對(duì)本發(fā)明實(shí)施例進(jìn)行密鑰分發(fā)和認(rèn)證的系統(tǒng)架構(gòu)進(jìn)行詳細(xì)說(shuō)明。

圖1為本發(fā)明密鑰分發(fā)、認(rèn)證方法實(shí)施例一的系統(tǒng)架構(gòu)示意圖。如圖1所示，該系統(tǒng)架構(gòu)包括業(yè)務(wù)中心服務(wù)器101、用戶管理服務(wù)器102、終端設(shè)備103、網(wǎng)絡(luò)認(rèn)證服務(wù)器104和功能網(wǎng)元105。其中，業(yè)務(wù)中心服務(wù)器101用于為用戶管理服務(wù)器102安全生成和分配第一層密鑰，在用戶管理服務(wù)器102發(fā)送第一密鑰請(qǐng)求消息時(shí)，根據(jù)用戶管理服務(wù)器102的用戶標(biāo)識(shí)的不同，為不同的用戶管理服務(wù)器102分配不同的第一層密鑰，業(yè)務(wù)中心服務(wù)器101還可針對(duì)用戶管理服務(wù)器102的不同業(yè)務(wù)類型采用不同算法分發(fā)不同類型或不同安全等級(jí)的密鑰。業(yè)務(wù)中心服務(wù)器101可以由網(wǎng)絡(luò)運(yùn)營(yíng)商控制，也可由獨(dú)立于網(wǎng)絡(luò)運(yùn)營(yíng)商和用戶管理服務(wù)器之外的第三方控制。業(yè)務(wù)中心服務(wù)器101具體可以為服務(wù)器、基站、工作站、計(jì)算機(jī)、網(wǎng)關(guān)等設(shè)備，本發(fā)明實(shí)施例僅以服務(wù)器為例，而并非對(duì)此進(jìn)行限制。用戶管理服務(wù)器102可以為一個(gè)公司、企業(yè)，也可以為一個(gè)終端用戶或者一個(gè)終端，其下部署了一個(gè)或者多個(gè)終端設(shè)備103，圖1中以一個(gè)用戶管理服務(wù)器102管理兩個(gè)終端設(shè)備103為例，本領(lǐng)域技術(shù)人員應(yīng)該明白，這并非對(duì)本發(fā)明實(shí)施例的限制。用戶管理服務(wù)器102用于為其所管理的終端設(shè)備103安全生成和分配第二層密鑰，在接收到業(yè)務(wù)中心服務(wù)器101發(fā)送的第一層密鑰后，根據(jù)終端設(shè)備103的設(shè)備標(biāo)識(shí)的不同，生成不同的第二層密鑰，用戶管理服務(wù)器102還可針對(duì)終端設(shè)備103的不同業(yè)務(wù)類型采用不同算法分發(fā)不同類型或不同安全等級(jí)的第二層密鑰。終端設(shè)備103可以為如手機(jī)、平板電腦、智能終端等智能設(shè)備，或者服務(wù)器等通信設(shè)備，或者如傳感器、電表、水表等物聯(lián)網(wǎng)設(shè)備。網(wǎng)絡(luò)認(rèn)證服務(wù)器104與功能網(wǎng)元105由網(wǎng)絡(luò)運(yùn)營(yíng)商控制，網(wǎng)絡(luò)認(rèn)證服務(wù)器104用于與終端設(shè)備103根據(jù)分發(fā)的第二層密鑰進(jìn)行相互認(rèn)證并得到通信密鑰，網(wǎng)絡(luò)認(rèn)證服務(wù)器104具體可以為移動(dòng)管理節(jié)點(diǎn)(mobilitymanagemententity，簡(jiǎn)稱mme)、歸屬簽約用戶服務(wù)器(homesubscriberserver，簡(jiǎn)稱hss)、控制器、控制節(jié)點(diǎn)、網(wǎng)關(guān)、服務(wù)器等。功能網(wǎng)元105用于根據(jù)認(rèn)證過(guò)程中得到的通信密鑰與終端設(shè)備103實(shí)現(xiàn)安全通信，功能網(wǎng)元105具體可以為終端設(shè)備103接入通信網(wǎng)絡(luò)的數(shù)據(jù)面錨點(diǎn)、核心網(wǎng)服務(wù)器、控制節(jié)點(diǎn)、用戶數(shù)據(jù)面網(wǎng)關(guān)，如pdh設(shè)備、 sdh-adm、dacs、tem、reg、pcm等等。

可選的，業(yè)務(wù)中心服務(wù)器101包括業(yè)務(wù)認(rèn)證服務(wù)器和密鑰管理服務(wù)器。示例性的，業(yè)務(wù)認(rèn)證服務(wù)器與用戶管理服務(wù)器102進(jìn)行通信，密鑰管理服務(wù)器與網(wǎng)絡(luò)認(rèn)證服務(wù)器104通信，業(yè)務(wù)認(rèn)證服務(wù)器接收用戶管理服務(wù)器102發(fā)送的第一密鑰請(qǐng)求消息，并將第一密鑰請(qǐng)求消息轉(zhuǎn)發(fā)給密鑰管理服務(wù)器，當(dāng)密鑰管理服務(wù)器生成第一層密鑰時(shí)，密鑰管理服務(wù)器通過(guò)業(yè)務(wù)認(rèn)證服務(wù)器將第一層密鑰發(fā)送給用戶管理服務(wù)器102，用戶管理服務(wù)器102根據(jù)第一層密鑰生成第二層密鑰并發(fā)送給終端設(shè)備103，在終端設(shè)備103和網(wǎng)絡(luò)認(rèn)證服務(wù)器104基于對(duì)稱秘鑰技術(shù)進(jìn)行相互認(rèn)證時(shí)，密鑰管理服務(wù)器可直接向網(wǎng)絡(luò)認(rèn)證服務(wù)器104發(fā)送第一層密鑰以使網(wǎng)絡(luò)認(rèn)證服務(wù)器104根據(jù)第一層密鑰生成第二層密鑰。示例性的，也可為業(yè)務(wù)認(rèn)證服務(wù)器與網(wǎng)絡(luò)認(rèn)證服務(wù)器104進(jìn)行通信，密鑰管理服務(wù)器與用戶管理服務(wù)器102直接通信，密鑰管理服務(wù)器直接接收用戶管理服務(wù)器102發(fā)送的第一密鑰請(qǐng)求消息，并將生成的第一層密鑰直接發(fā)送給用戶管理服務(wù)器102，在終端設(shè)備103和網(wǎng)絡(luò)認(rèn)證服務(wù)器104基于對(duì)稱秘鑰技術(shù)進(jìn)行相互認(rèn)證時(shí)，密鑰管理服務(wù)器通過(guò)業(yè)務(wù)認(rèn)證服務(wù)器向網(wǎng)絡(luò)認(rèn)證服務(wù)器104發(fā)送第一層密鑰。示例性的，也可為業(yè)務(wù)認(rèn)證服務(wù)器與用戶管理服務(wù)器102、網(wǎng)絡(luò)認(rèn)證服務(wù)器104進(jìn)行通信，密鑰管理服務(wù)器僅與業(yè)務(wù)認(rèn)證服務(wù)器通信，業(yè)務(wù)認(rèn)證服務(wù)器與用戶管理服務(wù)器102直接通信，業(yè)務(wù)認(rèn)證服務(wù)器直接接收用戶管理服務(wù)器102發(fā)送的第一密鑰請(qǐng)求消息，并將密鑰管理服務(wù)器生成的第一層密鑰直接發(fā)送給用戶管理服務(wù)器102，在終端設(shè)備103和網(wǎng)絡(luò)認(rèn)證服務(wù)器104基于對(duì)稱秘鑰技術(shù)進(jìn)行相互認(rèn)證時(shí)，業(yè)務(wù)認(rèn)證服務(wù)器向網(wǎng)絡(luò)認(rèn)證服務(wù)器104發(fā)送第一層密鑰。

下面在上述系統(tǒng)架構(gòu)的基礎(chǔ)上，以具體地實(shí)施例對(duì)本發(fā)明的技術(shù)方案以及本發(fā)明的技術(shù)方案如何實(shí)現(xiàn)進(jìn)行詳細(xì)說(shuō)明。下面這幾個(gè)具體的實(shí)施例可以相互結(jié)合，對(duì)于相同或相似的概念或過(guò)程可能在某些實(shí)施例中不再贅述。

圖2為本發(fā)明密鑰分發(fā)、認(rèn)證方法實(shí)施例一的信令流程圖。如圖2所示，本方法包括：

s201、用戶管理服務(wù)器向業(yè)務(wù)中心服務(wù)器發(fā)送第一密鑰請(qǐng)求消息。

第一密鑰請(qǐng)求消息用于指示業(yè)務(wù)中心服務(wù)器生成用戶管理服務(wù)器的第一層密鑰，第一密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)。

具體的，在步驟201之前，用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器已相互認(rèn)證通過(guò)，建立了安全的通信通道，示例性的，認(rèn)證方式可以為根據(jù)用戶名口令、證書(shū)、對(duì)稱密鑰、aka協(xié)議等方式。

s202、業(yè)務(wù)中心服務(wù)器接收用戶管理服務(wù)器發(fā)送的第一密鑰請(qǐng)求消息，生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器。

具體的，當(dāng)業(yè)務(wù)中心服務(wù)器接收到用戶管理服務(wù)器發(fā)送的第一密鑰請(qǐng)求消息時(shí)，生成第一層密鑰并將該第一層密鑰發(fā)送給用戶管理服務(wù)器，以使得用戶管理服務(wù)器根據(jù)該第一層密鑰生成終端設(shè)備的第二層密鑰。示例性的，不同的用戶管理服務(wù)器向業(yè)務(wù)中心服務(wù)器發(fā)送的第一密鑰請(qǐng)求消息中，包含用戶管理服務(wù)器的用戶標(biāo)識(shí)，業(yè)務(wù)中心服務(wù)器根據(jù)每一個(gè)第一密鑰請(qǐng)求消息中所包含的用戶標(biāo)識(shí)所指示的用戶管理服務(wù)器生成一個(gè)第一層密鑰。示例性，業(yè)務(wù)中心服務(wù)器在生成用戶管理服務(wù)器的第一層密鑰時(shí)，包括如下可行的實(shí)現(xiàn)方式：

第一種可行的實(shí)現(xiàn)方式，基于對(duì)稱密鑰技術(shù)的密鑰生成過(guò)程：

業(yè)務(wù)中心服務(wù)器根據(jù)第三參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰；

或者

業(yè)務(wù)中心服務(wù)器確定業(yè)務(wù)隨機(jī)數(shù)，并將其作為用戶管理服務(wù)器的第一層密鑰；

或者

當(dāng)?shù)谝幻荑€請(qǐng)求消息中還包括用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種時(shí)，業(yè)務(wù)中心服務(wù)器根據(jù)第四參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰；

其中，第三參數(shù)集合包括第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰；

第四參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰。

在第一種可行的實(shí)現(xiàn)方式中，業(yè)務(wù)中心服務(wù)器將第一層密鑰發(fā)送給用戶管理服務(wù)器，用戶管理服務(wù)器根據(jù)第一層密鑰生成第二層密鑰并發(fā)送給終端設(shè)備。

為使終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器基于對(duì)稱密鑰技術(shù)進(jìn)行相互認(rèn)證，業(yè)務(wù)中心服務(wù)器可將該第一層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)該第一層密鑰生成與終端設(shè)備的第二層密鑰相同的第二層密鑰。

具體的，業(yè)務(wù)中心服務(wù)器接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；業(yè)務(wù)中心服務(wù)器根據(jù)第二密鑰請(qǐng)求消息中用戶管理服務(wù)器的用戶標(biāo)識(shí)檢索得到第一層密鑰，或生成第一層密鑰，并將第一層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證。

業(yè)務(wù)中心服務(wù)器可將用戶管理服務(wù)器的用戶標(biāo)識(shí)和第一層密鑰對(duì)應(yīng)存儲(chǔ)，可以在每次接收到包含用戶標(biāo)識(shí)的密鑰請(qǐng)求消息后，根據(jù)用戶標(biāo)識(shí)重新生成當(dāng)前用戶標(biāo)識(shí)對(duì)應(yīng)的用戶管理服務(wù)器的第一層密鑰。

也可先根據(jù)第一層密鑰為網(wǎng)絡(luò)認(rèn)證服務(wù)器生成與終端設(shè)備的第二層密鑰相同的第二層密鑰，并將第二層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器。

具體的，業(yè)務(wù)中心服務(wù)器接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息中包括第一參數(shù)集合；業(yè)務(wù)中心服務(wù)器根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器以使得網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證；

其中，第一參數(shù)集合為用戶管理服務(wù)器為不同終端設(shè)備生成終端設(shè)備的第二層密鑰時(shí)使用的參數(shù)，為保證終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器的第二層密鑰相同，根據(jù)生成第二層密鑰的服務(wù)器的不同，需將第一參數(shù)集合發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器或業(yè)務(wù)中心服務(wù)器。

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

終端設(shè)備在接收到用戶管理服務(wù)器發(fā)送的第二層密鑰后，可與網(wǎng)絡(luò)認(rèn)證 服務(wù)器基于對(duì)稱密鑰技術(shù)進(jìn)行相互認(rèn)證，由于第二層密鑰僅終端設(shè)備和網(wǎng)絡(luò)認(rèn)證服務(wù)器具有，并未公開(kāi)，故終端設(shè)備和網(wǎng)絡(luò)認(rèn)證服務(wù)器可根據(jù)第二層密鑰進(jìn)行數(shù)據(jù)加密和解密，從而保證了認(rèn)證過(guò)程的保密性。

在第一種可行的實(shí)現(xiàn)方式中，密鑰生成函數(shù)(keyderivationfunction,簡(jiǎn)稱kdf)根據(jù)輸入的參數(shù)，進(jìn)行推衍得到密鑰，輸入?yún)?shù)的內(nèi)容、個(gè)數(shù)與順序不同，得到不同的密鑰，具體的，kdf所采用的算法可以為hmac算法(如hmac-sha256)，omac，cbc-mac，pmac，umac和vmac等算法。

在第一種可行的實(shí)現(xiàn)方式中，用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰可以是提前預(yù)設(shè)的，也可以是用戶與密鑰管理中心執(zhí)行ipsec，tls等協(xié)議后協(xié)商的密鑰，也可以是用戶與密鑰管理中心在aka認(rèn)證后得到的密鑰(如kasme，ck，ik等)。

第二種可行的實(shí)現(xiàn)方式，基于身份密碼系統(tǒng)或基于分等級(jí)的身份密碼系統(tǒng)的密鑰生成過(guò)程：

業(yè)務(wù)中心服務(wù)器根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰；

或者

業(yè)務(wù)中心服務(wù)器根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)和第五參數(shù)集合，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰；

其中，第一層密鑰為用戶管理服務(wù)器的私鑰，用戶管理服務(wù)器的用戶標(biāo)識(shí)即為用戶管理服務(wù)器的公鑰?？蛇x的，還可選擇基于用戶管理服務(wù)器的用戶標(biāo)識(shí)生成的公鑰作為用戶管理服務(wù)器的公鑰。以下實(shí)施例中均以用戶管理服務(wù)器的用戶標(biāo)識(shí)作為用戶管理服務(wù)器的公鑰為例，而非對(duì)其的限定。第五參數(shù)集合包括如下中的至少一種：第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)。

在第二種實(shí)現(xiàn)方式中，身份密碼系統(tǒng)的密鑰生成算法，基于不同用戶管理服務(wù)器的用戶標(biāo)識(shí)為不同的用戶管理服務(wù)器生成不同的用戶管理服務(wù)器的私鑰，與用戶管理服務(wù)器的私鑰對(duì)應(yīng)的還有用戶管理服務(wù)器的公鑰。當(dāng)用戶管理服務(wù)器根據(jù)用戶管理服務(wù)器的私鑰為終端設(shè)備生成第二層密鑰時(shí)，同樣 得到了終端設(shè)備的私鑰和終端設(shè)備的公鑰，同時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器同樣具有基于身份密碼系統(tǒng)的公鑰和私鑰，其中公鑰為公開(kāi)數(shù)據(jù)，終端設(shè)備的私鑰僅終端設(shè)備具有，不公開(kāi)。當(dāng)某一設(shè)備采用終端設(shè)備的公鑰加密數(shù)據(jù)并發(fā)送給終端設(shè)備后，終端設(shè)備可利用終端設(shè)備的私鑰對(duì)加密數(shù)據(jù)進(jìn)行解密，得到數(shù)據(jù)。而其他設(shè)備即使獲取了加密數(shù)據(jù)，由于不具有終端設(shè)備的私鑰，而無(wú)法進(jìn)行正確解密或驗(yàn)證。因此，該類基于身份密碼系統(tǒng)的密鑰適用于基于身份密鑰技術(shù)的相互認(rèn)證過(guò)程。在相互認(rèn)證過(guò)程中，網(wǎng)絡(luò)認(rèn)證服務(wù)器也可提前預(yù)設(shè)由基于身份密碼系統(tǒng)的公鑰和私鑰。

第三種可行的實(shí)現(xiàn)方式，基于隱私增強(qiáng)的密鑰生成過(guò)程；

業(yè)務(wù)中心服務(wù)器采用隱私增強(qiáng)的密鑰技術(shù)生成用戶管理服務(wù)器的私鑰和用戶管理服務(wù)器的公鑰；

其中用戶管理服務(wù)器的私鑰為用戶管理服務(wù)器的第一層密鑰，業(yè)務(wù)中心服務(wù)器還將用戶管理服務(wù)器的公鑰發(fā)送給用戶管理服務(wù)器。

隱私增強(qiáng)的密鑰技術(shù)，可基于不同用戶管理服務(wù)器的用戶標(biāo)識(shí)為不同的用戶管理服務(wù)器生成不同的用戶管理服務(wù)器的私鑰，以及與用戶管理服務(wù)器的私鑰對(duì)應(yīng)的用戶管理服務(wù)器的公鑰。當(dāng)用戶管理服務(wù)器根據(jù)用戶管理服務(wù)器的私鑰為終端設(shè)備生成終端設(shè)備的私鑰，即第二層密鑰時(shí)，終端設(shè)備可以根據(jù)第二層密鑰生成數(shù)字簽名；而接收者僅使用用戶管理服務(wù)器的公鑰即可完成對(duì)于終端設(shè)備的數(shù)字簽名的驗(yàn)證。與第二種方式的不同點(diǎn)在于，終端設(shè)備不具有自己的公鑰，僅具有用戶管理服務(wù)器的公鑰。

上述任一種可行的實(shí)現(xiàn)方式中，第一密鑰新鮮參數(shù)(如，序列號(hào)，freshparameter,nonce等等)用于指示第一密鑰的新鮮性，抵御重放攻擊，不同時(shí)刻的第一密鑰的新鮮參數(shù)應(yīng)該不同，如果相同則可認(rèn)為受到了重放攻擊。第一密鑰的預(yù)設(shè)時(shí)間參數(shù)用于指示該第一密鑰的有效期，包括：第一密鑰有效的時(shí)間、無(wú)效的時(shí)間和有效期中的至少一種。以下實(shí)施例中的任意密鑰的新鮮參數(shù)具有同樣含義，不再贅述。

用戶管理服務(wù)器的標(biāo)識(shí)包括但不限于如下中的至少一種：行業(yè)用戶id，公司的標(biāo)識(shí)id，業(yè)務(wù)id，個(gè)人用戶的id(如：imei、imsi、impi、tmsi、 impu、用戶的appid、mac地址、ip地址、手機(jī)號(hào)碼和guti等)。

網(wǎng)絡(luò)標(biāo)識(shí)包括但不限于如下中的至少一種：運(yùn)營(yíng)商id(plmnid)，接入網(wǎng)絡(luò)id(accessnetworkid)，服務(wù)網(wǎng)絡(luò)id(servingnetworkid)，局域網(wǎng)網(wǎng)絡(luò)id等網(wǎng)絡(luò)id標(biāo)識(shí)。

業(yè)務(wù)參數(shù)包括但不限于如下中的至少一種：業(yè)務(wù)中的序列號(hào)sn、時(shí)間戳、該業(yè)務(wù)中的相關(guān)id，業(yè)務(wù)新鮮參數(shù)、業(yè)務(wù)隨機(jī)數(shù)(nonce’/randomnumber1)，業(yè)務(wù)等級(jí)，時(shí)延參數(shù)，其中，該業(yè)務(wù)中的相關(guān)id可以為業(yè)務(wù)的名稱，包括密鑰管理中心的id、業(yè)務(wù)認(rèn)證中心的id，業(yè)務(wù)中心id，會(huì)話id、鏈路id、應(yīng)用id、服務(wù)器id中的至少一個(gè)。其中，時(shí)間戳可以為發(fā)送此請(qǐng)求消息時(shí)用戶的系統(tǒng)時(shí)間。

終端設(shè)備的設(shè)備標(biāo)識(shí)包括但不限于如下中的至少一項(xiàng)：設(shè)備的編號(hào)，序列號(hào)，imei、imsi、impi、tmsi、impu、設(shè)備的appid、mac地址、ip地址、手機(jī)號(hào)碼和guti。可選的，還可為其他可能的唯一標(biāo)識(shí)設(shè)備的標(biāo)識(shí)。

在上述任一生成第一層密鑰的方式中，通常采用不同的參數(shù)，以針對(duì)不同的用戶管理服務(wù)器生成不同的第一層密鑰。示例性的，可在生成第一層密鑰的過(guò)程中，增加用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)，以為不同用戶管理服務(wù)器的不同業(yè)務(wù)，生成復(fù)雜度不同的第一層密鑰，即業(yè)務(wù)中心服務(wù)器可根據(jù)用戶管理服務(wù)器的不同，為不同的用戶管理服務(wù)器設(shè)置復(fù)雜度不同的第一層密鑰。當(dāng)同一用戶管理服務(wù)器的不同業(yè)務(wù)向業(yè)務(wù)中心服務(wù)器請(qǐng)求密鑰時(shí)，業(yè)務(wù)中心服務(wù)器可為同一用戶管理服務(wù)器設(shè)置多個(gè)第一層密鑰，進(jìn)而實(shí)現(xiàn)，用戶管理服務(wù)器上的不同業(yè)務(wù)采用不同密鑰來(lái)保護(hù)的目的。

s203、用戶管理服務(wù)器根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給終端設(shè)備。

具體的，用戶管理服務(wù)器接收業(yè)務(wù)中心服務(wù)器發(fā)送的第一層密鑰，根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰。

示例性的，當(dāng)用戶管理服務(wù)器管理多個(gè)終端設(shè)備時(shí)，用戶管理服務(wù)器根據(jù)終端設(shè)備的設(shè)備標(biāo)識(shí)，為不同的終端設(shè)備生成不同的第二層密鑰。進(jìn)一步可通過(guò)增加生成第二層密鑰時(shí)使用的參數(shù)，可使得第二層密鑰更具有保密性， 且具有不同的保密等級(jí)。通過(guò)由用戶管理服務(wù)器為不同的終端設(shè)備生成第二層密鑰，可大大減輕業(yè)務(wù)中心服務(wù)器生成密鑰的負(fù)荷。

可選的，業(yè)務(wù)中心服務(wù)器在將第一層密鑰發(fā)送給用戶管理服務(wù)器，以及用戶管理服務(wù)器在將第二層密鑰發(fā)送給終端設(shè)備時(shí)，同時(shí)還發(fā)送有各密鑰的時(shí)間信息，以限定該密鑰的有效可用時(shí)間。

示例性，用戶管理服務(wù)器在生成終端設(shè)備的第二層密鑰時(shí)，包括如下可行的實(shí)現(xiàn)方式：

第一種可行的實(shí)現(xiàn)方式，基于對(duì)稱密鑰技術(shù)的密鑰生成過(guò)程：

用戶管理服務(wù)器根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰。

該方法應(yīng)用于當(dāng)?shù)谝粚用荑€為基于對(duì)稱密鑰技術(shù)生成時(shí)。具體的，用戶管理服務(wù)器將第二層密鑰和第一參數(shù)集合發(fā)送給終端設(shè)備。

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

第二種可行的實(shí)現(xiàn)方式，基于身份密鑰技術(shù)的密鑰生成過(guò)程：

用戶管理服務(wù)器根據(jù)用戶管理服務(wù)器的私鑰和第一參數(shù)集合，生成終端設(shè)備的第二層密鑰和終端設(shè)備的公鑰。

具體的，第一層密鑰為用戶管理服務(wù)器的私鑰，第二層密鑰為與終端設(shè)備的公鑰對(duì)應(yīng)的終端設(shè)備的私鑰；用戶管理服務(wù)器還根據(jù)第一層密鑰、終端設(shè)備的公鑰，以及第一參數(shù)集合生成第一數(shù)字簽名；并將終端設(shè)備的公鑰、第二層密鑰、第一數(shù)字簽名，以及第二參數(shù)集合發(fā)送給終端設(shè)備。其中終端設(shè)備的公鑰可以為終端設(shè)備的設(shè)備標(biāo)識(shí)。

該方法應(yīng)用于當(dāng)?shù)谝粚用荑€為基于身份密鑰技術(shù)生成時(shí)。其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第三種可行的實(shí)現(xiàn)方式，基于分等級(jí)的身份密鑰技術(shù)的密鑰生成過(guò)程：

用戶管理服務(wù)器根據(jù)第一層密鑰和終端設(shè)備的設(shè)備標(biāo)識(shí)，基于設(shè)備身份生成算法生成終端設(shè)備的第二層密鑰。

具體的，第一層密鑰為用戶管理服務(wù)器的私鑰，第二層密鑰為終端設(shè)備的私鑰。用戶管理服務(wù)器將第二參數(shù)集合，第二層密鑰，以及與終端設(shè)備的私鑰對(duì)應(yīng)的終端設(shè)備的公鑰發(fā)送給終端設(shè)備。其中終端設(shè)備的公鑰可以為終端設(shè)備的設(shè)備標(biāo)識(shí)。

該方法應(yīng)用于當(dāng)?shù)谝粚用荑€為基于身份密鑰技術(shù)生成時(shí)。其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第四種可行的實(shí)現(xiàn)方式，基于隱私增強(qiáng)的密鑰技術(shù)的密鑰生成過(guò)程：

用戶管理服務(wù)器根據(jù)用戶管理服務(wù)器的私鑰，采用隱私增強(qiáng)的密鑰技術(shù)的生成算法生成終端設(shè)備的第二層密鑰。

具體的，第一層密鑰為用戶管理服務(wù)器的私鑰，第二層密鑰為終端設(shè)備的私鑰。用戶管理服務(wù)器將用戶管理服務(wù)器的公鑰、第二層密鑰、和第二參數(shù)集合發(fā)送給終端設(shè)備。其中用戶管理服務(wù)器的公鑰為與終端設(shè)備的私鑰相對(duì)應(yīng)的公鑰。

該方法應(yīng)用于當(dāng)?shù)谝粚用荑€為基于隱私增強(qiáng)的密鑰技術(shù)生成時(shí)。其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

s204、終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以得到通信密鑰。

具體的，終端設(shè)備接收用戶管理服務(wù)器發(fā)送的第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以得到終端設(shè)備與功能網(wǎng)元的通信密鑰。

可選的，在步驟204之后，本發(fā)明實(shí)施例還包括：

網(wǎng)絡(luò)認(rèn)證服務(wù)器向功能網(wǎng)元發(fā)送通信密鑰，使得終端設(shè)備與功能網(wǎng)元可基于通信密鑰進(jìn)行安全通信。

可選的，在生成通信密鑰后，本發(fā)明實(shí)施例中網(wǎng)絡(luò)認(rèn)證中心和終端設(shè)備還可根據(jù)共享的通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成會(huì)話密鑰，并將會(huì)話密鑰發(fā)送給功能網(wǎng)元，采用會(huì)話密鑰替代通信密鑰實(shí)現(xiàn)功能網(wǎng)元與終端設(shè)備的安全通信。

步驟201至步驟203中，主要說(shuō)明密鑰的分發(fā)方法，步驟204主要說(shuō)明密鑰的認(rèn)證過(guò)程。

具體的，在步驟204中，根據(jù)終端設(shè)備的第二層密鑰的生成方式不同，終端設(shè)備與網(wǎng)絡(luò)認(rèn)證中心的相互認(rèn)證包括如下可行的實(shí)現(xiàn)方式：

一種可行的實(shí)現(xiàn)方式：終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器基于對(duì)稱密鑰技術(shù)進(jìn)行相互認(rèn)證。

在該種可行的實(shí)現(xiàn)方式中，業(yè)務(wù)中心服務(wù)器將用戶管理服務(wù)器的第一層密鑰發(fā)送給用戶管理服務(wù)器，用戶管理服務(wù)器根據(jù)第一層密鑰生成第二層密鑰，與此同時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器接收業(yè)務(wù)中心服務(wù)器發(fā)送的第一層密鑰或第二層密鑰，當(dāng)為第一層密鑰時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)根據(jù)第一層密鑰生成第二層密鑰，具體的生成方法與用戶管理服務(wù)器生成第二層密鑰的方式相同，不再贅述，最后網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證。

示例性的，如圖2中虛線所示，業(yè)務(wù)中心服務(wù)器可在向用戶管理服務(wù)器發(fā)送第一層密鑰的同時(shí)或之后，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一層密鑰或第二層密鑰。可選的，也可是在接收到網(wǎng)絡(luò)認(rèn)證服務(wù)器向業(yè)務(wù)中心服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息后，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一層密鑰或第二層密鑰。

示例性的，網(wǎng)絡(luò)認(rèn)證服務(wù)器也可在與終端設(shè)備的相互認(rèn)證過(guò)程中，在接收到終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息后，向業(yè)務(wù)中心服務(wù)器發(fā)送第二密鑰請(qǐng)求消息，業(yè)務(wù)中心服務(wù)器在接收到第二密鑰請(qǐng)求消息后將第一層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器。

另一種可行的實(shí)現(xiàn)方式：終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器基于非對(duì)稱密鑰技術(shù)進(jìn)行相互認(rèn)證。

在該種可行的實(shí)現(xiàn)方式中，終端設(shè)備的第二層密鑰為終端設(shè)備的私鑰，終端設(shè)備的設(shè)備標(biāo)識(shí)為終端設(shè)備的公鑰?？蛇x的，還可選擇基于終端設(shè)備的設(shè)備標(biāo)識(shí)生成的公鑰作為終端設(shè)備的公鑰。以下實(shí)施例中不再贅述。

此時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器在接收到終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息后，就獲取了終端設(shè)備的公鑰，即網(wǎng)絡(luò)認(rèn)證服務(wù)器中存儲(chǔ)有終端設(shè)備的公鑰和網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰和私鑰，終端設(shè)備中存儲(chǔ)有網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰，網(wǎng)絡(luò)認(rèn)證服務(wù)器可根據(jù)終端設(shè)備的公鑰對(duì)待傳輸數(shù)據(jù)進(jìn)行加密，終端設(shè)備可根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)傳輸數(shù)據(jù)進(jìn)行加密，進(jìn)而使得終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服 務(wù)器可在保密的情況下進(jìn)行相互認(rèn)證得到通信密鑰。

示例性的，網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰和私鑰基于身份密碼系統(tǒng)生成，網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰可以為網(wǎng)絡(luò)認(rèn)證服務(wù)器的id，或者采用根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的id生成的公鑰作為網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

示例性的，可將網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰預(yù)存在終端設(shè)備中。示例性的，網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰的獲取還可以是在網(wǎng)絡(luò)認(rèn)證服務(wù)器與終端設(shè)備相互認(rèn)證之前，網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的公鑰請(qǐng)求消息或證書(shū)請(qǐng)求消息；網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰或網(wǎng)絡(luò)認(rèn)證服務(wù)器的證書(shū)，該證書(shū)中包含有網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

示例性的，還可以是在相互認(rèn)證過(guò)程中，由網(wǎng)絡(luò)認(rèn)證服務(wù)器將網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰發(fā)送給終端設(shè)備。

其中，網(wǎng)絡(luò)認(rèn)證服務(wù)器也可基于公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure，簡(jiǎn)稱pki)密碼系統(tǒng)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的第三公鑰和第三私鑰，以代替網(wǎng)絡(luò)認(rèn)證服務(wù)器基于身份密碼系統(tǒng)生成的公鑰和私鑰。

可選的，終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器還可根據(jù)ipsec，tls等協(xié)議進(jìn)行相互認(rèn)證。可選的，終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器還可直接采用第二層密鑰作為終端設(shè)備與功能網(wǎng)元的安全通信密鑰。

特別地，本發(fā)明實(shí)施例適用于一個(gè)企業(yè)或公司基于多種業(yè)務(wù)同時(shí)管理多個(gè)終端設(shè)備時(shí)的密鑰分發(fā)與認(rèn)證，可使得多個(gè)終端設(shè)備在未提前預(yù)設(shè)根密鑰或不支持usim卡的情況下，依據(jù)終端設(shè)備處理的業(yè)務(wù)的不同，得到業(yè)務(wù)中心服務(wù)器分發(fā)的不同密鑰，進(jìn)而可實(shí)現(xiàn)安全通信，同時(shí)實(shí)現(xiàn)了企業(yè)或公司主導(dǎo)的基于業(yè)務(wù)的密鑰分發(fā)和認(rèn)證，降低了運(yùn)營(yíng)商的運(yùn)行復(fù)雜度。

本發(fā)明實(shí)施例提供的密鑰分發(fā)、認(rèn)證方法，由業(yè)務(wù)中心服務(wù)器為各用戶管理服務(wù)器分發(fā)不同密鑰，各用戶管理服務(wù)器為各終端設(shè)備分發(fā)不同密鑰，然后各終端設(shè)備基于各自密鑰與網(wǎng)絡(luò)認(rèn)證中心進(jìn)行相互認(rèn)證，最終得到終端設(shè)備與功能網(wǎng)元的通信密鑰。本發(fā)明實(shí)施例為終端設(shè)備提供了安全通信通道的建立方法，具有廣泛的應(yīng)用范圍，同時(shí)降低了運(yùn)營(yíng)商網(wǎng)絡(luò)的復(fù)雜度。

下面采用具體實(shí)施例對(duì)步驟204中的相互認(rèn)證過(guò)程進(jìn)行詳細(xì)說(shuō)明，如上所述，相互認(rèn)證方式至少包括基于對(duì)稱密鑰技術(shù)的認(rèn)證方式和基于非對(duì)稱密 鑰技術(shù)的認(rèn)證方式。

在基于對(duì)稱密鑰技術(shù)的認(rèn)證方式中，終端設(shè)備還接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合。具體的，相互認(rèn)證過(guò)程包括如下可能的實(shí)現(xiàn)方式：

第一種可能的認(rèn)證實(shí)現(xiàn)方式：

圖3為本發(fā)明密鑰認(rèn)證方法實(shí)施例一的信令流程圖。如圖3所示，包括：

s301、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和加密處理后的第一隨機(jī)數(shù)；

s302、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)、第二消息驗(yàn)證碼；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰k_dev、第一隨機(jī)數(shù)nonce1、第二隨機(jī)數(shù)nonce2中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰k_com，即k_com＝kdf((k_dev，nonce1，nonce2的至少一項(xiàng))，第二參數(shù)集合)，根據(jù)通信密鑰k_com、第二層密鑰k_dev中的任一項(xiàng)，以及第一隨機(jī)數(shù)nonce1，第二隨機(jī)數(shù)nonce2，第二參數(shù)集合生成第二消息驗(yàn)證碼mac2，即mac2＝mac((k_com或k_dev)，nonce1，nonce2，第二參數(shù)集合)，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備。

s303、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一消息驗(yàn)證碼；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，終端設(shè)備在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰k_dev、第一隨機(jī)數(shù)nonce1、第二隨機(jī)數(shù)nonce2中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)kdf生成終端設(shè)備的通信密鑰k_com，即k_com＝kdf((k_dev，nonce1，nonce2的至少一項(xiàng))，第二參數(shù)集合)，根據(jù)通信密鑰k_com、第二層密鑰k_dev中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第一消息驗(yàn)證碼mac1，并將第一消息驗(yàn)證碼發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，示例性的，mac1＝mac((k_com或k_dev)，(nonce2，nonce1， 第二參數(shù)集合的至少一項(xiàng)))。

s304、網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰。

可選的，在實(shí)現(xiàn)上述認(rèn)證方式的過(guò)程中，在生成通信密鑰、消息驗(yàn)證碼過(guò)程中通過(guò)增加第二參數(shù)集合，可以提高保密性，增加通信密鑰與終端設(shè)備的相關(guān)性。其中第二參數(shù)集合包括：用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種?？蛇x的，在實(shí)現(xiàn)上述認(rèn)證方式的過(guò)程中，在生成通信密鑰、消息驗(yàn)證碼過(guò)程中還可不根據(jù)第二參數(shù)集合，以簡(jiǎn)化通信密鑰。

本申請(qǐng)各實(shí)施例中的第一參數(shù)集合和第二參數(shù)集合均相同，故下文不再贅述。

可選的，在上述生成通信密鑰的過(guò)程中，也可采用通信密鑰的密鑰參數(shù)替代第二參數(shù)集合，也可同時(shí)采用通信密鑰的密鑰參數(shù)和第二參數(shù)集合。通信密鑰的密鑰參數(shù)包括如下中的至少一種：通信密鑰隨機(jī)數(shù)、通信密鑰新鮮參數(shù)、通信密鑰的預(yù)設(shè)時(shí)間參數(shù)。本領(lǐng)域技術(shù)人員清楚增加其他類似的參數(shù)、刪除部分參數(shù)或采用其他類似參數(shù)替換本申請(qǐng)中的參數(shù)，也在本申請(qǐng)的保護(hù)范圍內(nèi)。具體的，在上述相互認(rèn)證的過(guò)程中，當(dāng)網(wǎng)絡(luò)認(rèn)證服務(wù)器生成通信密鑰的過(guò)程中采用了通信密鑰的密鑰參數(shù)時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器需向終端設(shè)備發(fā)送通信密鑰的密鑰參數(shù)，當(dāng)網(wǎng)絡(luò)認(rèn)證服務(wù)器生成通信密鑰的過(guò)程中未采用通信密鑰的密鑰參數(shù)時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器無(wú)需向終端設(shè)備發(fā)送通信密鑰的密鑰參數(shù)。

具體的，在上述認(rèn)證過(guò)程中，還可根據(jù)第二層密鑰對(duì)第一消息驗(yàn)證碼、第二消息驗(yàn)證碼進(jìn)行加密，以提高認(rèn)證過(guò)程的保密性。具體的，在生成通信密鑰k_com的過(guò)程中，若選擇采用終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器共享的第二層密鑰生成k_com，則在相互認(rèn)證過(guò)程中，也可不對(duì)第一隨機(jī)數(shù)或第二隨機(jī)數(shù)進(jìn)行加密。在上述認(rèn)證過(guò)程中，終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器采用相同的密鑰生成函數(shù)以及參數(shù)生成終端設(shè)備的通信密鑰。終端設(shè)備與網(wǎng)絡(luò)認(rèn)證服務(wù)器在生成消息驗(yàn)證碼的過(guò)程中，可采用不同的參數(shù)或采用順序不同的參數(shù)，得到不同的消息驗(yàn)證碼。

以下多種可能的認(rèn)證方式中，也可采用上述相同或相似設(shè)置，下文不再 贅述。

可選的，上述步驟s302中的通信密鑰可由網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第三隨機(jī)數(shù)獲得，當(dāng)通信密鑰根據(jù)第三隨機(jī)數(shù)獲得時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰將該通信密鑰進(jìn)行加密，發(fā)送給終端設(shè)備，以使終端設(shè)備在對(duì)加密后的通信密鑰進(jìn)行解密后，即可得到通信密鑰?？蛇x的，在隨機(jī)生成通信密鑰的過(guò)程中，可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。

第二種可能的認(rèn)證實(shí)現(xiàn)方式：

圖4為本發(fā)明密鑰認(rèn)證方法實(shí)施例二的信令流程圖。如圖4所示，包括：

s401、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)。示例性的，可先確定第一參數(shù)x，根據(jù)第一參數(shù)x得到dh協(xié)議的第一傳輸參數(shù)g^x，第一傳輸參數(shù)g^x為預(yù)設(shè)dh協(xié)議的生成元g的第一參數(shù)次方，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一隨機(jī)數(shù)、第一傳輸參數(shù)和第一參數(shù)集合；

其中，本發(fā)明各實(shí)施例中的dh協(xié)議為diffie-hellman協(xié)議。

s402、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二消息驗(yàn)證碼；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器接收第一隨機(jī)數(shù)、第一傳輸參數(shù)、第一參數(shù)集合，確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，示例性的，可先確定第二參數(shù)y，根據(jù)第二參數(shù)y得到第二傳輸參數(shù)g^y，第二傳輸參數(shù)g^y為預(yù)設(shè)dh協(xié)議的生成元g的第二參數(shù)次方，根據(jù)第一傳輸參數(shù)g^x和第二傳輸參數(shù)g^y執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)g^xy，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一傳輸參數(shù)，第二傳輸參數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

s403、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一消息驗(yàn)證碼；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二傳輸參數(shù)、第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、 第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器；

s404、網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰。

可選的，在相互認(rèn)證過(guò)程中，還可將第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密傳輸?？蛇x的，在相互認(rèn)證過(guò)程中，還可選擇第一傳輸參數(shù)和第二傳輸參數(shù)中的至少一個(gè)進(jìn)行加密。

可選的，當(dāng)存在多種預(yù)設(shè)dh協(xié)議和群組時(shí)，在步驟401中，認(rèn)證請(qǐng)求消息還包括終端設(shè)備選擇的預(yù)設(shè)dh協(xié)議的dh協(xié)議標(biāo)識(shí)和/或dh群組標(biāo)識(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)接收的dh協(xié)議標(biāo)識(shí)，確定采用哪一種dh協(xié)議；根據(jù)dh群組標(biāo)識(shí)確定傳輸參數(shù)生成中所采用的預(yù)設(shè)dh協(xié)議的群組，如生成元g。

與第一種可能的認(rèn)證實(shí)現(xiàn)方式相比，通過(guò)增加第一傳輸參數(shù)和第二傳輸參數(shù)，增加了認(rèn)證過(guò)程中密鑰協(xié)商的保密性。

第三種可能的認(rèn)證實(shí)現(xiàn)方式：

圖5為本發(fā)明密鑰認(rèn)證方法實(shí)施例三的信令流程圖。如圖5所示，包括：

s501、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求消息；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的第一隨機(jī)數(shù)、第一參數(shù)集合；

s502、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集 合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰。

s503、終端設(shè)備生成通信密鑰；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二消息驗(yàn)證碼和加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰。

可選的，在根據(jù)第二層密鑰生成通信密鑰時(shí)，可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。可選的，上述步驟s502中的通信密鑰可由網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第三隨機(jī)數(shù)獲得，當(dāng)通信密鑰根據(jù)第三隨機(jī)數(shù)獲得時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰將該通信密鑰進(jìn)行加密，發(fā)送給終端設(shè)備，以使終端設(shè)備在對(duì)加密后的通信密鑰進(jìn)行解密后，即可得到通信密鑰。可選的，在隨機(jī)生成通信密鑰的過(guò)程中，也可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。

該種認(rèn)證實(shí)現(xiàn)方式與第一種和第二種可能的認(rèn)證實(shí)現(xiàn)方式相比，減少了信令交互次數(shù)，提高了認(rèn)證效率。

第四種可能的認(rèn)證實(shí)現(xiàn)方式：

圖6為本發(fā)明密鑰認(rèn)證方法實(shí)施例四的信令流程圖。如圖6所示，包括：

s601、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第二層密鑰、通信密鑰中的任一項(xiàng)，以及第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的第一隨機(jī)數(shù)、第一參數(shù)集合；

s602、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，網(wǎng)絡(luò)認(rèn)證服務(wù)器在對(duì)第一消 息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

s603、終端設(shè)備對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第二層密鑰對(duì)加密的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，終端設(shè)備對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定驗(yàn)證通過(guò)。

該種認(rèn)證實(shí)現(xiàn)方式與第一種和第二種可能的認(rèn)證實(shí)現(xiàn)方式相比，減少了信令交互次數(shù)，提高了認(rèn)證效率。

該種認(rèn)證方式與第三種可能的認(rèn)證方式相比，終端設(shè)備先根據(jù)第一隨機(jī)數(shù)生成通信密鑰，不再依賴網(wǎng)絡(luò)認(rèn)證中心服務(wù)器發(fā)送的第二隨機(jī)數(shù)?？蛇x的，在根據(jù)第二層密鑰生成通信密鑰時(shí)，可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。

第五種可能的認(rèn)證方式：

圖7為本發(fā)明密鑰認(rèn)證方法實(shí)施例五的信令流程圖。如圖7所示，包括：

s701、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，根據(jù)第一密鑰和第一隨機(jī)數(shù)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一傳輸參數(shù)以及終端設(shè)備的設(shè)備標(biāo)識(shí)；

s702、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二消息驗(yàn)證碼；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，網(wǎng)絡(luò)認(rèn)證服務(wù)器在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第一傳輸參數(shù)、第二傳輸參數(shù)、第二參數(shù)集 合中的任一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

s703、終端設(shè)備驗(yàn)證第二消息驗(yàn)證碼；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二傳輸參數(shù)、第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定通過(guò)驗(yàn)證。

該種認(rèn)證實(shí)現(xiàn)方式與第一種和第二種可能的認(rèn)證實(shí)現(xiàn)方式相比，減少了信令交互次數(shù)，提高了認(rèn)證效率。

可選的，在相互認(rèn)證過(guò)程中，還可將第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第一傳輸參數(shù)、第二傳輸參數(shù)進(jìn)行加密傳輸，以提高保密性。

可選的，當(dāng)存在多種預(yù)設(shè)dh協(xié)議和群組時(shí)，在步驟701中，認(rèn)證請(qǐng)求消息還包括終端設(shè)備選擇的預(yù)設(shè)dh協(xié)議的dh協(xié)議標(biāo)識(shí)和/或dh群組標(biāo)識(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)接收的dh協(xié)議標(biāo)識(shí)，確定采用哪一種dh協(xié)議；根據(jù)dh群組標(biāo)識(shí)確定傳輸參數(shù)生成中所采用的預(yù)設(shè)dh協(xié)議的群組，如生成元g。

與第一種可能的認(rèn)證實(shí)現(xiàn)方式相比，通過(guò)增加第一傳輸參數(shù)和第二傳輸參數(shù)，增加了認(rèn)證過(guò)程的保密性。

在基于身份密鑰技術(shù)的認(rèn)證方式中，包括如下可能的實(shí)現(xiàn)方式：

第六種可能的認(rèn)證實(shí)現(xiàn)方式：

圖8為本發(fā)明密鑰認(rèn)證方法實(shí)施例六的信令流程圖。如圖8所示，包括：

s801、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、第一隨機(jī)數(shù)，以及第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

s802、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)和第二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第 一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，在對(duì)第一數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，發(fā)送給終端設(shè)備；

s803、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一消息驗(yàn)證碼或第三數(shù)字簽名；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器；

s804、網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰。

其中，終端設(shè)備接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的公鑰、第一數(shù)字簽名，以及第二參數(shù)集合。

具體的，在上述認(rèn)證過(guò)程中，還可對(duì)第一數(shù)字簽名、第二數(shù)字簽名和第三數(shù)字簽名進(jìn)行加密，以提高認(rèn)證過(guò)程的保密性。

可選的，上述步驟s802中的通信密鑰可由網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第三隨機(jī)數(shù)獲得，當(dāng)通信密鑰根據(jù)第三隨機(jī)數(shù)獲得時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰將該通信密鑰進(jìn)行加密，發(fā)送給終端設(shè)備，以使終端設(shè)備根據(jù)終端設(shè)備的私鑰，即第二層密鑰對(duì)加密后的通信密鑰進(jìn)行解密后，即可得到通信密鑰?？蛇x的，在隨機(jī)生成通信密鑰的過(guò)程中，可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。

第七種可能的認(rèn)證實(shí)現(xiàn)方式：

圖9為本發(fā)明密鑰認(rèn)證方法實(shí)施例七的信令流程圖。如圖9所示，包括：

s901、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

s902、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，在對(duì)第一數(shù)字簽名驗(yàn)證通過(guò)后，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第二數(shù)字簽名，將第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名，發(fā)送給終端設(shè)備；

s903、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一消息驗(yàn)證碼或第三數(shù)字簽名；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及通信密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，或者根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器；

s904、網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰。

第八種可能的認(rèn)證實(shí)現(xiàn)方式：

圖10為本發(fā)明密鑰認(rèn)證方法實(shí)施例八的信令流程圖。如圖10所示，包括：

s1001、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、第三數(shù)字簽名、第一隨機(jī)數(shù)，以及第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、第三數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

s1002、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)和第二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，在對(duì)第一數(shù)字簽名和第三數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰。

s1003、終端設(shè)備生成通信密鑰；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰。

可選的，上述步驟s1002中的通信密鑰可由網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第三隨機(jī)數(shù)獲得，當(dāng)通信密鑰根據(jù)第三隨機(jī)數(shù)獲得時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰將該通信密鑰進(jìn)行加密，發(fā)送給終端設(shè)備，以使終端設(shè)備根據(jù)終端設(shè)備的私鑰，即第二層密鑰對(duì)加密后的通信密鑰進(jìn)行解密后，即可得到通信 密鑰?？蛇x的，在隨機(jī)生成通信密鑰的過(guò)程中，可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。

該種認(rèn)證實(shí)現(xiàn)方式與第六種和第七種可能的認(rèn)證實(shí)現(xiàn)方式相比，減少了信令交互次數(shù)，提高了認(rèn)證效率。

在基于分等級(jí)的身份密鑰技術(shù)的認(rèn)證方式中，包括如下可能的實(shí)現(xiàn)方式：

第九種可能的認(rèn)證實(shí)現(xiàn)方式，

圖11為本發(fā)明密鑰認(rèn)證方法實(shí)施例九的信令流程圖。如圖11所示，包括：

s1101、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一隨機(jī)數(shù)，以及第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

s1102、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)和第二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將加密處理后的第二隨機(jī)數(shù)、第二數(shù)字簽名，發(fā)送給設(shè)備終端；

s1103、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一消息驗(yàn)證碼或第三數(shù)字簽名；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二 參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器；

s1104、網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰。

可選的，上述步驟s1102中的通信密鑰可由網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第三隨機(jī)數(shù)獲得，當(dāng)通信密鑰根據(jù)第三隨機(jī)數(shù)獲得時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰將該通信密鑰進(jìn)行加密，發(fā)送給終端設(shè)備，以使終端設(shè)備根據(jù)終端設(shè)備的私鑰，即第二層密鑰對(duì)加密后的通信密鑰進(jìn)行解密后，即可得到通信密鑰?？蛇x的，在隨機(jī)生成通信密鑰的過(guò)程中，可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。

第十種可能的認(rèn)證實(shí)現(xiàn)方式：

圖12為本發(fā)明密鑰認(rèn)證方法實(shí)施例十的信令流程圖。如圖12所示，包括：

s1201、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

s1202、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第二數(shù)字簽名，將第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名，發(fā)送給終端設(shè)備；

s1203、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一消息驗(yàn)證碼或第三數(shù)字簽名；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及通信密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，或者根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器；

s1204、網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰。

第十一種可能的認(rèn)證實(shí)現(xiàn)方式：

圖13為本發(fā)明密鑰認(rèn)證方法實(shí)施例十一的信令流程圖。如圖13所示，包括：

s1301、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第三數(shù)字簽名、第一隨機(jī)數(shù)，以及第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第三數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

s1302、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)和第二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，在對(duì)第三數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn) 證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰。

s1303、終端設(shè)備生成通信密鑰；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰。

可選的，上述步驟s1302中的通信密鑰可由網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第三隨機(jī)數(shù)獲得，當(dāng)通信密鑰根據(jù)第三隨機(jī)數(shù)獲得時(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰將該通信密鑰進(jìn)行加密，發(fā)送給終端設(shè)備，以使終端設(shè)備根據(jù)終端設(shè)備的私鑰，即第二層密鑰對(duì)加密后的通信密鑰進(jìn)行解密后，即可得到通信密鑰。可選的，在隨機(jī)生成通信密鑰的過(guò)程中，可選擇不對(duì)第一隨機(jī)數(shù)和第二隨機(jī)數(shù)進(jìn)行加密。可選的，若僅使用第一隨機(jī)數(shù)生成通信密鑰時(shí)，終端設(shè)備可以在步驟s1301時(shí)執(zhí)行步驟s1303中生成通信密鑰的動(dòng)作。

該種認(rèn)證實(shí)現(xiàn)方式與第九種和第十種可能的認(rèn)證實(shí)現(xiàn)方式相比，減少了信令交互次數(shù)，提高了認(rèn)證效率。

在隱私增強(qiáng)的身份密鑰技術(shù)的認(rèn)證方式中，用戶管理服務(wù)器的公鑰為與終端設(shè)備的第二層密鑰對(duì)應(yīng)的終端設(shè)備的公鑰，認(rèn)證方式包括如下可能的實(shí)現(xiàn)方式：

第十二種可能的認(rèn)證實(shí)現(xiàn)方式：

圖14為本發(fā)明密鑰認(rèn)證方法實(shí)施例十二的信令流程圖。如圖14所示，包括：

s1401、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括用戶管理服務(wù)器的公鑰、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括用戶管理服務(wù)器的公鑰、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

s1402、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)、第二傳輸參數(shù)和第 二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第二數(shù)字簽名，將第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名，發(fā)送給終端設(shè)備；

s1403、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第一消息驗(yàn)證碼或第三數(shù)字簽名；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及通信密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，或者根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器；

s1404、網(wǎng)絡(luò)認(rèn)證服務(wù)器接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰。

第十三種可能的認(rèn)證實(shí)現(xiàn)方式：

圖15為本發(fā)明密鑰認(rèn)證方法實(shí)施例十三的信令流程圖。如圖15所示，包括：

s1501、終端設(shè)備向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括用戶管理服務(wù)器的公鑰、第三數(shù)字簽名、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

具體地，終端設(shè)備確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，根據(jù)第一 隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，第一傳輸參數(shù)，生成第三數(shù)字簽名，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括用戶管理服務(wù)器的公鑰、第三數(shù)字簽名，第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

s1502、網(wǎng)絡(luò)認(rèn)證服務(wù)器向終端設(shè)備發(fā)送第二隨機(jī)數(shù)和第二數(shù)字簽名；

具體地，網(wǎng)絡(luò)認(rèn)證服務(wù)器確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，在對(duì)第三數(shù)字簽名驗(yàn)證通過(guò)后，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第二數(shù)字簽名，將第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰

s1503、終端設(shè)備生成通信密鑰；

具體地，終端設(shè)備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)，在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰。

可選的，在步驟1502中，網(wǎng)絡(luò)認(rèn)證服務(wù)器還可在生成通信密鑰后，根據(jù)通信密鑰生成消息驗(yàn)證碼，并將消息驗(yàn)證碼發(fā)送給終端設(shè)備，終端設(shè)備可先生成通信密鑰，再對(duì)接收到的消息驗(yàn)證碼進(jìn)行驗(yàn)證?？蛇x的，若僅使用第一隨機(jī)數(shù)生成通信密鑰時(shí)，終端設(shè)備可以在步驟s1501時(shí)執(zhí)行步驟s1503中生成通信密鑰的動(dòng)作。

該種認(rèn)證實(shí)現(xiàn)方式與第十二種可能的認(rèn)證實(shí)現(xiàn)方式相比，減少了信令交互次數(shù)，提高了認(rèn)證效率。

可選的，在上述第七種、第十種、第十二種、第十三種可能的認(rèn)證實(shí)現(xiàn)方式中，當(dāng)存在多種預(yù)設(shè)dh協(xié)議和群組時(shí)，認(rèn)證請(qǐng)求消息還包括終端設(shè)備選擇的預(yù)設(shè)dh協(xié)議的dh協(xié)議標(biāo)識(shí)和/或dh群組標(biāo)識(shí)，網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)接收的dh協(xié)議標(biāo)識(shí)，確定采用哪一種dh協(xié)議；根據(jù)dh群組標(biāo)識(shí)確定 傳輸參數(shù)生成中所采用的預(yù)設(shè)dh協(xié)議的群組，如生成元g。

在上述基于非對(duì)稱密鑰技術(shù)的認(rèn)證方式中，網(wǎng)絡(luò)認(rèn)證服務(wù)器還接收終端設(shè)備發(fā)送的公鑰請(qǐng)求消息；并向終端設(shè)備發(fā)送網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

本發(fā)明實(shí)施例另一方面提供一種業(yè)務(wù)中心服務(wù)器用以執(zhí)行上述實(shí)施例中的密鑰分發(fā)方法，具有相同的技術(shù)特征和技術(shù)效果。

圖16為本發(fā)明用戶管理服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖。如圖16所示，該服務(wù)器包括：

請(qǐng)求發(fā)送模塊1601，用于向業(yè)務(wù)中心服務(wù)器發(fā)送第一密鑰請(qǐng)求消息，第一密鑰請(qǐng)求消息用于指示業(yè)務(wù)中心服務(wù)器生成用戶管理服務(wù)器的第一層密鑰，第一密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；

密鑰接收模塊1602，用于接收業(yè)務(wù)中心服務(wù)器發(fā)送的用戶管理服務(wù)器的第一層密鑰；

密鑰生成分發(fā)模塊1603，用于根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以獲取終端設(shè)備與功能網(wǎng)元的通信密鑰。

可選的，在圖16所示實(shí)施例的基礎(chǔ)上，密鑰生成分發(fā)模塊1602具體用于：

根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰，并將第二層密鑰和第一參數(shù)集合發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

可選的，在圖16所示實(shí)施例的基礎(chǔ)上，第一層密鑰為用戶管理服務(wù)器的私鑰，密鑰生成分發(fā)模塊1602具體用于：

根據(jù)用戶管理服務(wù)器的私鑰和第一參數(shù)集合，生成終端設(shè)備的第二層密鑰和終端設(shè)備的公鑰，第二層密鑰為與終端設(shè)備的公鑰對(duì)應(yīng)的終端設(shè)備的私鑰；

根據(jù)第一層密鑰、終端設(shè)備的公鑰，以及第一參數(shù)集合生成第一數(shù)字簽名；

將終端設(shè)備的公鑰、第二層密鑰、第一數(shù)字簽名，以及第二參數(shù)集合發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

可選的，在圖16所示實(shí)施例的基礎(chǔ)上，第一層密鑰為用戶管理服務(wù)器的私鑰，密鑰生成分發(fā)模塊1602具體用于：

根據(jù)用戶管理服務(wù)器的私鑰和終端設(shè)備的設(shè)備標(biāo)識(shí)，基于設(shè)備身份生成算法生成終端設(shè)備的第二層密鑰，第二層密鑰為終端設(shè)備的私鑰；

將第二參數(shù)集合、第二層密鑰以及與終端設(shè)備的私鑰對(duì)應(yīng)的終端設(shè)備的公鑰發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

可選的，在圖16所示實(shí)施例的基礎(chǔ)上，第一層密鑰為用戶管理服務(wù)器的私鑰，密鑰接收模塊還用于接收業(yè)務(wù)中心服務(wù)器發(fā)送的用戶管理服務(wù)器的公鑰，密鑰生成分發(fā)模塊1602具體用于：

根據(jù)用戶管理服務(wù)器的私鑰，采用隱私增強(qiáng)的密鑰技術(shù)的生成算法生成終端設(shè)備的第二層密鑰，第二層密鑰為終端設(shè)備的私鑰；

將用戶管理服務(wù)器的公鑰、第二層密鑰、和第二參數(shù)集合發(fā)送給終端設(shè)備，以使終端設(shè)備通過(guò)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證獲取終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

本發(fā)明實(shí)施例再一方面提供一種業(yè)務(wù)中心服務(wù)器用以執(zhí)行上述實(shí)施例中的密鑰分發(fā)方法，具有相同的技術(shù)特征和技術(shù)效果。

圖17為本發(fā)明業(yè)務(wù)中心服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖。如圖17所示，該服務(wù)器包括：

密鑰請(qǐng)求接收模塊1701，用于接收用戶管理服務(wù)器發(fā)送的第一密鑰請(qǐng)求消息，第一密鑰請(qǐng)求消息用于指示業(yè)務(wù)中心服務(wù)器生成用戶管理服務(wù)器的第一層密鑰，第一密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；

密鑰生成分發(fā)模塊1702，用于根據(jù)第一密鑰請(qǐng)求消息生成用戶標(biāo)識(shí)對(duì)應(yīng)的用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器。

可選的，在圖17所示實(shí)施例的基礎(chǔ)上，密鑰生成分發(fā)模塊1702具體用于：

根據(jù)第三參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器；

其中，第三參數(shù)集合包括第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰；

或者

確定業(yè)務(wù)隨機(jī)數(shù)，并將其作為用戶管理服務(wù)器的第一層密鑰，將第一層密鑰發(fā)送給用戶管理服務(wù)器。

可選的，在圖17所示實(shí)施例的基礎(chǔ)上，第一密鑰請(qǐng)求消息中還包括用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種，密鑰生成分發(fā)模塊1702具體用于：

根據(jù)第四參數(shù)集合，采用密鑰生成函數(shù)生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器；

其中，第四參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)、共享密鑰中的至少一種，共享密鑰為用戶管理服務(wù)器與業(yè)務(wù)中心服務(wù)器的共享密鑰。

可選的，在圖17所示實(shí)施例的基礎(chǔ)上，密鑰生成分發(fā)模塊1702具體用于：

根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器，第一層密鑰為用戶管理服務(wù)器的私鑰。

可選的，在圖17所示實(shí)施例的基礎(chǔ)上，密鑰生成分發(fā)模塊1702具體用于：

根據(jù)用戶管理服務(wù)器的用戶標(biāo)識(shí)和第五參數(shù)集合，基于身份密碼系統(tǒng)的密鑰生成算法生成用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰發(fā)送給用戶管理服務(wù)器，第一層密鑰為用戶管理服務(wù)器的私鑰；

其中，第五參數(shù)集合包括如下中的至少一種：

第一層密鑰的密鑰隨機(jī)數(shù)、第一層密鑰的新鮮參數(shù)、第一層密鑰的時(shí)間參數(shù)。

可選的，在圖17所示實(shí)施例的基礎(chǔ)上，密鑰生成分發(fā)模塊1702具體用于：

采用隱私增強(qiáng)的密鑰技術(shù)生成用戶管理服務(wù)器的私鑰和用戶管理服務(wù)器的公鑰，其中用戶管理服務(wù)器的私鑰為用戶管理服務(wù)器的第一層密鑰，并將第一層密鑰和用戶管理服務(wù)器的公鑰發(fā)送給用戶管理服務(wù)器。

可選的，在圖17所示實(shí)施例的基礎(chǔ)上，當(dāng)相互認(rèn)證過(guò)程為基于對(duì)稱密鑰技術(shù)時(shí)，密鑰請(qǐng)求接收模塊1701還用于，接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息包含用戶管理服務(wù)器的用戶標(biāo)識(shí)；

密鑰生成分發(fā)模塊1202還用于，根據(jù)第二密鑰請(qǐng)求消息中用戶管理服務(wù)器的用戶標(biāo)識(shí)檢索得到第一層密鑰，或生成第一層密鑰，并將第一層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第一層密鑰生成終端設(shè)備的第二層密鑰，并根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證。

可選的，在圖17所示實(shí)施例的基礎(chǔ)上，當(dāng)相互認(rèn)證過(guò)程為基于對(duì)稱密鑰技術(shù)時(shí)，密鑰請(qǐng)求接收模塊1701還用于，接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二密鑰請(qǐng)求消息，第二密鑰請(qǐng)求消息中包括第一參數(shù)集合；

密鑰生成分發(fā)模塊1702還用于，根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰，并將第二層密鑰發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器以使得網(wǎng)絡(luò)認(rèn)證服務(wù)器根據(jù)第二層密鑰與終端設(shè)備進(jìn)行相互認(rèn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備 標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

本發(fā)明實(shí)施例又一方面提供一種終端設(shè)備用以執(zhí)行上述實(shí)施例中的密鑰認(rèn)證方法，具有相同的技術(shù)特征和技術(shù)效果。

圖18為本發(fā)明終端設(shè)備實(shí)施例一的結(jié)構(gòu)示意圖。如圖18所示，該終端設(shè)備包括：

密鑰接收模塊1801，用于接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的第二層密鑰；

認(rèn)證模塊1802，用于根據(jù)第二層密鑰，與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證以獲取終端設(shè)備與功能網(wǎng)元的通信密鑰。

下面采用具體實(shí)施例對(duì)認(rèn)證模塊1802的相互認(rèn)證過(guò)程進(jìn)行詳細(xì)說(shuō)明，如上述方法實(shí)施例所述，相互認(rèn)證方式至少包括基于對(duì)稱密鑰技術(shù)的認(rèn)證方式和基于身份密鑰技術(shù)的認(rèn)證方式。

在基于對(duì)稱密鑰技術(shù)的認(rèn)證方式中，包括如下可能的實(shí)現(xiàn)方式：

第一種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和加密處理后的第一隨機(jī)數(shù)；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備 標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第二種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和第一隨機(jī)數(shù)；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第三種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合和第一隨機(jī)數(shù)；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼和加密處理后的通信密鑰，根據(jù)第二層密鑰對(duì)加密處理后的通信密鑰進(jìn)行解密，得到通信密鑰，加密處理后的通信密鑰為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)通信密鑰加密處理得到；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，以及第二參數(shù)集合生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一 消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第四種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一隨機(jī)數(shù)、第一傳輸參數(shù)和第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，并將第一消息驗(yàn)證碼，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第五種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的 第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二消息驗(yàn)證碼和加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第六種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

備接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第七種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，根據(jù)第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二層密鑰采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼和加密處理后的通信密鑰；

在根據(jù)第二隨機(jī)數(shù)對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰對(duì)加密處理后的通信密鑰進(jìn)行解密，得到通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第八種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，采用第二層密鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第二層密鑰、通信密鑰中的任一項(xiàng)，以及第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、加密處理后的第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二消息驗(yàn)證碼和加密處理后的第二隨機(jī)數(shù)，根據(jù)第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用第二層密鑰對(duì)第二隨機(jī)數(shù)加密處理得到，根據(jù)第二隨機(jī)數(shù)對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定通過(guò)；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、 用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第九種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，根據(jù)第一隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第二層密鑰、通信密鑰中的任一項(xiàng)，以及第二參數(shù)集合、第一隨機(jī)數(shù)中的至少一項(xiàng)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一消息驗(yàn)證碼、第一隨機(jī)數(shù)、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，對(duì)第二消息驗(yàn)證碼進(jìn)行驗(yàn)證并確定通過(guò)；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第十種可行的認(rèn)證方式中，密鑰接收模塊1801還用于接收用戶管理服務(wù)器發(fā)送的第一參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，根據(jù)第二層密鑰、第一隨機(jī)數(shù)和第二參數(shù)集合，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一隨機(jī)數(shù)、第一傳輸參數(shù)、第一消息驗(yàn)證碼、第一參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第二消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種；

第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

基于身份密鑰技術(shù)的認(rèn)證方式中，第二層密鑰為終端設(shè)備的私鑰，終端設(shè)備的公鑰為與第二層密鑰相對(duì)應(yīng)。包括如下可能的實(shí)現(xiàn)方式：

第二十一種可行的認(rèn)證方式中，密鑰接收模塊1801還用于，接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的公鑰、第一數(shù)字簽名，以及第二參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第二十二種可行的認(rèn)證方式中，密鑰接收模塊1801還用于，接收用戶管理服務(wù)器發(fā)送的終端設(shè)備的公鑰和第二參數(shù)集合；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)，采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第一隨機(jī)數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、加密處理后的第一隨機(jī)數(shù)，以及第二參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的加密處理后的第二隨機(jī)數(shù)和第二數(shù)字簽名， 根據(jù)終端設(shè)備的第二層密鑰對(duì)加密處理后的第二隨機(jī)數(shù)進(jìn)行解密，得到第二隨機(jī)數(shù)，加密處理后的第二隨機(jī)數(shù)為網(wǎng)絡(luò)認(rèn)證服務(wù)器采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)加密處理得到；

在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第一消息驗(yàn)證碼，或者根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第二十三種可行的認(rèn)證方式中，密鑰接收模塊1801還用于，接收用戶管理服務(wù)器發(fā)送的用戶管理服務(wù)器的公鑰和第二參數(shù)集合，用戶管理服務(wù)器的公鑰為與終端設(shè)備的第二層密鑰對(duì)應(yīng)的終端設(shè)備的公鑰；認(rèn)證模塊1802具體用于：

確定第一隨機(jī)數(shù)、dh協(xié)議的第一傳輸參數(shù)，向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰、第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；

接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的第二傳輸參數(shù)、第二隨機(jī)數(shù)和第二數(shù)字簽名，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第二數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及通信密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，采用消息驗(yàn)證碼生成函數(shù)生成第一消息驗(yàn)證碼，或者根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第三數(shù)字簽名，將第一消息驗(yàn)證碼或第三數(shù)字簽名，發(fā)送給網(wǎng)絡(luò)認(rèn)證服務(wù)器，以使網(wǎng)絡(luò)認(rèn)證服務(wù)器對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名進(jìn)行驗(yàn)證；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

在基于身份密鑰技術(shù)的認(rèn)證方式中，終端設(shè)備還包括公鑰請(qǐng)求模塊，用于向網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送公鑰請(qǐng)求消息；密鑰接收模塊，還用于接收網(wǎng)絡(luò)認(rèn)證服務(wù)器發(fā)送的網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

可選的，認(rèn)證模塊1802具體用于：與網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成終端設(shè)備的會(huì)話密鑰。

本發(fā)明實(shí)施例又一方面提供一種網(wǎng)絡(luò)認(rèn)證服務(wù)器，用以執(zhí)行上述實(shí)施例中的密鑰認(rèn)證方法，以實(shí)現(xiàn)與終端設(shè)備的信令交互完成相互認(rèn)證，與上述方法實(shí)施例具有相同的技術(shù)特征和技術(shù)效果。

如上述方法實(shí)施例所述，網(wǎng)絡(luò)認(rèn)證服務(wù)器的相互認(rèn)證過(guò)程至少包括基于對(duì)稱密鑰技術(shù)的認(rèn)證方式和基于身份密鑰技術(shù)的認(rèn)證方式。

在基于對(duì)稱密鑰技術(shù)的認(rèn)證方式中，結(jié)合圖19對(duì)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行詳細(xì)說(shuō)明。圖19為本發(fā)明網(wǎng)絡(luò)認(rèn)證服務(wù)器實(shí)施例一的結(jié)構(gòu)示意圖。如圖19所示，該服務(wù)器包括：

密鑰獲取模塊1901，用于接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合，向業(yè)務(wù)中心服務(wù)器發(fā)送第二密鑰請(qǐng)求消息，接收業(yè)務(wù)中心服務(wù)器發(fā)送的第二層密鑰，第二密鑰請(qǐng)求消息包括第一參數(shù)集合；或者用于接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括第一參數(shù)集合，向業(yè)務(wù)中心服務(wù)器發(fā)送第二密鑰請(qǐng)求消息，接收業(yè)務(wù)中心服務(wù)器發(fā)送的第一層密鑰，并根據(jù)第一層密鑰和第一參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的第二層密鑰；

認(rèn)證模塊1902，用于根據(jù)第二層密鑰，與終端設(shè)備進(jìn)行相互認(rèn)證以獲得終端設(shè)備與功能網(wǎng)元的通信密鑰；

其中，第一參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)、第二層密鑰的密鑰隨機(jī)數(shù)、第二層密鑰的新鮮參數(shù)、第二層密鑰的時(shí)間參數(shù)中的至少一種。

在基于對(duì)稱密鑰技術(shù)的認(rèn)證方式中，認(rèn)證模塊1902的認(rèn)證方式包括如下可能的實(shí)現(xiàn)方式：

第一種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括加密處理后的第一隨機(jī) 數(shù)，認(rèn)證模塊1902具體用于：

根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第二種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

確定第二隨機(jī)數(shù)，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，并將第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第三種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

確定第二隨機(jī)數(shù)，根據(jù)密鑰隨機(jī)數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，采用第二層密鑰對(duì)通信密鑰進(jìn)行加密處理，得到加密處理后的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及第一隨機(jī)數(shù)，第二隨機(jī)數(shù)，第二參 數(shù)集合生成第二消息驗(yàn)證碼，并將第二隨機(jī)數(shù)、加密處理后的通信密鑰和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第四種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一傳輸參數(shù)和第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一傳輸參數(shù)，第二傳輸參數(shù)，第二參數(shù)集合生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第五種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和加密處理后的第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元 發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第六種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第七種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)密鑰隨機(jī)數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，采用第二層密鑰對(duì)通信密鑰進(jìn)行加密處理，得到加密處理后的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)、加密處理后的通信密鑰和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第八種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和加密處理后的第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

根據(jù)第二層密鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用第二層密鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用第二層密鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第二層密鑰、第一隨機(jī)數(shù)中的至 少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將加密處理后的第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第九種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼和第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

確定第二隨機(jī)數(shù)，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第二層密鑰采用密鑰生成函數(shù)生成終端設(shè)備的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)、第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第十種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一消息驗(yàn)證碼、第一傳輸參數(shù)和第一隨機(jī)數(shù)，認(rèn)證模塊1902具體用于：

確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)通信密鑰、第二層密鑰中的任一項(xiàng)，以及，第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第一傳輸參數(shù)、第二傳輸參數(shù)、第二參數(shù)集合中的任一項(xiàng)生成第二消息驗(yàn)證碼，將第二隨機(jī)數(shù)和第二消息驗(yàn)證碼，發(fā)送給終端設(shè)備，并向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

在基于非對(duì)稱密鑰技術(shù)的認(rèn)證方式中，結(jié)合圖20對(duì)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)認(rèn)證服務(wù)器進(jìn)行詳細(xì)說(shuō)明。圖20為本發(fā)明網(wǎng)絡(luò)認(rèn)證服務(wù)器實(shí)施例二的結(jié) 構(gòu)示意圖。如圖20所示，該網(wǎng)絡(luò)認(rèn)證服務(wù)器包括：

公鑰獲取模塊2001，用于接收終端設(shè)備發(fā)送的認(rèn)證請(qǐng)求消息，認(rèn)證請(qǐng)求消息包括終端設(shè)備的公鑰；

認(rèn)證模塊2002，用于根據(jù)終端設(shè)備的公鑰、網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰和網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，與終端設(shè)備進(jìn)行相互認(rèn)證以獲得終端設(shè)備與功能網(wǎng)元的通信密鑰。

在基于非對(duì)稱密鑰技術(shù)的認(rèn)證方式中，認(rèn)證模塊2002的認(rèn)證方式包括如下可能的實(shí)現(xiàn)方式：

第十一種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一數(shù)字簽名、加密處理后的第一隨機(jī)數(shù)和第二參數(shù)集合；認(rèn)證模塊2002具體用于：

根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

在對(duì)第一數(shù)字簽名驗(yàn)證通過(guò)后，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將第二數(shù)字簽名和加密處理后的第二隨機(jī)數(shù)，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第十二種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括加密處理后的第一隨機(jī)數(shù)和第二參數(shù)集合；認(rèn)證模塊2002具體用于：

根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰對(duì)加密處理后的第一隨機(jī)數(shù)進(jìn)行解密，得到第一隨機(jī)數(shù)，確定第二隨機(jī)數(shù)，采用終端設(shè)備的公鑰對(duì)第二隨機(jī)數(shù)進(jìn)行加密處理，得到加密處理后的第二隨機(jī)數(shù)，加密處理后的第一隨機(jī)數(shù)為終端設(shè)備采用網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰對(duì)第一隨機(jī)數(shù)加密處理得到；

根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)中的至少一項(xiàng)，以及第二參數(shù)集合，采用 密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰、第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和第二參數(shù)集合生成第二數(shù)字簽名，將加密處理后的第二隨機(jī)數(shù)、第二數(shù)字簽名，發(fā)送給設(shè)備終端；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼或第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

第十三種可行的認(rèn)證方式中，認(rèn)證請(qǐng)求消息還包括第一隨機(jī)數(shù)、第一傳輸參數(shù)和第二參數(shù)集合；用戶管理服務(wù)器的公鑰為與終端設(shè)備的第二層密鑰對(duì)應(yīng)的終端設(shè)備的公鑰；認(rèn)證模塊2002具體用于：

確定第二隨機(jī)數(shù)、dh協(xié)議的第二傳輸參數(shù)，根據(jù)第一傳輸參數(shù)和第二傳輸參數(shù)執(zhí)行dh密鑰協(xié)商算法得到第三傳輸參數(shù)；

根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及第三傳輸參數(shù)采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的通信密鑰，根據(jù)第一隨機(jī)數(shù)、第二隨機(jī)數(shù)、第二參數(shù)集合中的至少一項(xiàng)，以及網(wǎng)絡(luò)認(rèn)證服務(wù)器的私鑰，第一傳輸參數(shù)，第二傳輸參數(shù)，生成第二數(shù)字簽名，將第二隨機(jī)數(shù)、第二傳輸參數(shù)和第二數(shù)字簽名，發(fā)送給終端設(shè)備；

接收終端設(shè)備發(fā)送的第一消息驗(yàn)證碼或第三數(shù)字簽名，在對(duì)第一消息驗(yàn)證碼驗(yàn)證通過(guò)后，或根據(jù)終端設(shè)備的公鑰對(duì)第三數(shù)字簽名驗(yàn)證通過(guò)后，向功能網(wǎng)元發(fā)送通信密鑰；

其中，第二參數(shù)集合包括用戶管理服務(wù)器的用戶標(biāo)識(shí)、終端設(shè)備的設(shè)備標(biāo)識(shí)、用戶管理服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)、業(yè)務(wù)參數(shù)中的至少一種。

在上述任一基于身份密鑰技術(shù)的認(rèn)證方式中，該服務(wù)器還包括公鑰請(qǐng)求接收模塊，用于接收終端設(shè)備發(fā)送的公鑰請(qǐng)求消息；公鑰發(fā)送模塊，用于向終端設(shè)備發(fā)送網(wǎng)絡(luò)認(rèn)證服務(wù)器的公鑰。

可選的，基于對(duì)稱密鑰技術(shù)和基于身份密鑰技術(shù)的認(rèn)證方式中，認(rèn)證模塊1902或認(rèn)證模塊2002還可具體用于：與終端設(shè)備進(jìn)行相互認(rèn)證，根據(jù)通信密鑰、第二參數(shù)集合、會(huì)話密鑰隨機(jī)數(shù)、會(huì)話密鑰新鮮參數(shù)、會(huì)話密鑰的預(yù)設(shè)時(shí)間參數(shù)中的任一項(xiàng)，采用密鑰生成函數(shù)生成網(wǎng)絡(luò)認(rèn)證服務(wù)器的會(huì)話密鑰，并將會(huì)話密鑰發(fā)送給功能網(wǎng)元。

可選的，如圖18所示的終端設(shè)備和如圖20所示的網(wǎng)絡(luò)認(rèn)證服務(wù)器還可用于執(zhí)行如圖8至15所示的第六種至第十三種可能的認(rèn)證實(shí)現(xiàn)方式。

本發(fā)明實(shí)施例又一方面提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述任一業(yè)務(wù)中心服務(wù)器的密鑰分發(fā)方法實(shí)施例所述的方法。

本發(fā)明實(shí)施例又一方面提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述任一用戶管理服務(wù)器的密鑰分發(fā)方法實(shí)施例所述的方法。

本發(fā)明實(shí)施例又一方面提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述任一終端設(shè)備的密鑰認(rèn)證方法實(shí)施例所述的方法。

本發(fā)明實(shí)施例又一方面提供一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有一個(gè)或多個(gè)程序，一個(gè)或多個(gè)程序包括指令，指令當(dāng)被包括多個(gè)應(yīng)用程序的電子設(shè)備執(zhí)行時(shí)，使電子設(shè)備執(zhí)行上述任一網(wǎng)絡(luò)認(rèn)證服務(wù)器的密鑰認(rèn)證方法實(shí)施例所述的方法。

本發(fā)明實(shí)施例又一方面提供一種密鑰分發(fā)、認(rèn)證系統(tǒng)用以執(zhí)行上述實(shí)施例中的密鑰分發(fā)、認(rèn)證方法，具有相同的技術(shù)特征和技術(shù)效果。

該系統(tǒng)包括如上述任一實(shí)施例所述的業(yè)務(wù)中心服務(wù)器、如上述任一實(shí)施例所述的用戶管理服務(wù)器、如上述任一實(shí)施例所述的終端設(shè)備、如上述任一實(shí)施例所述的網(wǎng)絡(luò)認(rèn)證服務(wù)器。

本領(lǐng)域普通技術(shù)人員可以意識(shí)到，結(jié)合本文中所公開(kāi)的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、或者計(jì)算機(jī)軟件和電子硬件的結(jié)合來(lái)實(shí)現(xiàn)。這些功能究竟以硬件還是軟件方式來(lái)執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡(jiǎn)潔，上述描 述的系統(tǒng)、裝置和單元的具體工作過(guò)程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程，在此不再贅述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的系統(tǒng)、裝置和方法，可以通過(guò)其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

本發(fā)明的說(shuō)明書(shū)和權(quán)利要求書(shū)及上述附圖中的術(shù)語(yǔ)“第一”、“第二”、“第三”“第四”等(如果存在)是用于區(qū)別類似的對(duì)象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例例如能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。

所述功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者 網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤、移動(dòng)硬盤、只讀存儲(chǔ)器(read-onlymemory，簡(jiǎn)稱rom)、隨機(jī)存取存儲(chǔ)器(randomaccessmemory，簡(jiǎn)稱ram)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

最后應(yīng)說(shuō)明的是：以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案，而非對(duì)其限制；盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。