WO2019024937A1

WO2019024937A1 - 密钥协商方法、装置及***

Info

Publication number: WO2019024937A1
Application number: PCT/CN2018/098964
Authority: WO
Inventors: 谢振华
Original assignee: 中兴通讯股份有限公司
Priority date: 2017-08-04
Filing date: 2018-08-06
Publication date: 2019-02-07
Also published as: CN109391938A

Abstract

一种密钥协商方法、装置及***。所述方法包括：第一网元接收来自第二网元的公钥PubK2和随机字符串RAND；第一网元基于PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，RES基于RAND生成；第一网元接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks。

Description

密钥协商方法、装置及***

本公开要求申请日为2017年08月04日、申请号为201710662149.X、名称为“密钥协商方法、装置及***”的中国专利申请的优先权，该申请的全部内容通过引用结合在本公开中。

技术领域

本公开涉及通信技术领域，例如涉及一种密钥协商方法、装置及***。

背景技术

第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)提出了一种移动网络认证方案，网元之间的密钥协商方案比较单一，相关技术中的密钥协商方案只注重保护终端与终端直接拜访的网络之间的通信保护，如果只注重终端与拜访网之间的连接，而归属网与拜访网之间的信令连接基本处于无保护状态，相关技术中的移动网络认证过程要求归属网把终端与拜访网之间使用的密钥传递给拜访网，这导致该密钥往往是明文传输，导致泄密。

发明内容

本申请实施例提供了一种密钥协商方法、装置及***，以至少解决相关技术中通过明文传输密钥导致密钥安全性差的技术问题。

本申请提供了一种密钥协商方法，包括：第一网元接收来自第二网元的第二公钥PubK2和随机字符串RAND；所述第一网元基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES基于所述RAND生成；所述第一网元接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks。

本申请还提供了另一种密钥协商方法，包括：第二网元接收来自第一网元的第一公钥PubK1，并基于所述PubK1生成信令密钥SK；所述第二网元向所述第一网元发送随机字符串RAND；所述第二网元接收来自所述第一网元的响应字符串RES，并向所述第一网元发送加密共享密钥EKs，其中，所述RES基于所述RAND生成，所述EKs基于所述SK和共享密钥Ks生成。

本申请还提供了一种密钥协商装置，应用在第一网元，包括：传输模块，设置为接收来自第二网元的第二公钥PubK2和随机字符串RAND；生成模块，设置为基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES为基于所述RAND生成；处理模块，设置为接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks。

本申请还提供了另一种密钥协商装置，应用在第二网元，包括：接收模块，设置为接收来自第一网元的第一公钥PubK1，并基于所述PubK1生成信令密钥SK；发送模块，设置为向所述第一网元发送随机字符串RAND；处理模块，设置为接收来自所述第一网元的响应字符串RES，并向所述第一网元发送加密共享密钥EKs，其中，所述RES基于所述RAND生成，所述EKs基于所述SK和共享密钥Ks生成。

本申请还提供了一种密钥协商***，包括第一网元、第二网元以及第三网元，其中，所述第一网元包括：传输模块，设置为向所述第二网元发送第一公钥PubK1，以及接收来自所述第二网元的第二公钥PubK2和随机字符串RAND；生成模块，设置为基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES为基于所述RAND生成；第一处理模块，设置为接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks；所述第二网元包括：第一接收模块，设置为接收来自第一网元的第一公钥PubK1，并基于所述PubK1生成所述SK；发送模块，设置为向所述第一网元发送所述PubK2，以及所述RAND；第二处理模块，设置为接收来自所述第一网元的所述RES，并向所述第一网元发送所述EKs，其中，所述EKs基于所述SK和所述Ks生成。

本申请还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码：

接收来自第二网元的第二公钥PubK2和随机字符串RAND；

基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES为基于所述RAND生成；

接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks。

附图说明

图1是本申请一实施例提供的一种密钥协商方法的流程图；

图2是本申请另一实施例提供的一种密钥协商方法的流程图；

图3是本申请另一实施例提供的一种密钥协商方法的流程图；

图4是本申请另一实施例提供的一种密钥协商方法的流程图；

图5是本申请一实施例提供的一种密钥协商装置的结构框图；

图6是本申请另一实施例提供的一种密钥协商装置的结构框图；

图7是本申请一实施例提供的密钥协商***的结构框图；

图8是本申请另一实施例提供的密钥协商***的结构框图；

图9为本申请一实施例提供的基于核心网的密钥协商方法的流程示意图；

图10为本申请另一实施例提供的基于核心网的密钥协商方法的流程示意图。

具体实施方式

下文中将参考附图并结合实施例来说明本申请。

本申请的说明书和权利要求书及上述附图中的术语“第一”以及“第二”等是用于区别类似的对象，而不必用于描述指定的顺序或先后次序。

实施例1

图1是本申请一实施例提供的一种密钥协商方法的流程图。如图1所示，本实施例提供的密钥协商方法包括如下步骤。

步骤110、第一网元接收来自第二网元的公钥PubK2和随机字符串RAND。

步骤120、第一网元基于PubK2生成信令密钥SK，以及向第二网元发送响应字符串RES。

在一实施例中，RES基于RAND生成。

步骤130、第一网元接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks。

本实施例通过与第二网元协商传输加密共享密钥，解决了通过明文传输共享密钥导致的密钥安全性差的问题。

图2是本申请另一实施例提供的一种密钥协商方法的流程图。如图2所示，该流程包括如下步骤。

步骤102，第一网元向第二网元发送第一公钥PubK1，以及接收来自第二网元的第二公钥PubK2和随机字符串RAND。

步骤104，第一网元基于PubK2生成信令密钥SK，以及向第二网元发送响应字符串RES。

步骤106，第一网元接收来自第二网元的共享密钥Ks，或者，第一网元接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks。

通过上述步骤，由于第一网元与第二网元协商传输密钥，可以保护第一网元与第二网元之间的信令连接，因此，解决了相关技术中通过明文传输密钥导致密钥安全性差的技术问题，降低了密钥泄密的可能性。

在一实施例中，上述步骤的执行主体第一网元可以为网元设备，如拜访网网元等，但不限于此。

本实施例中，获取Ks的实现方式包括两种：其一，第一网元接收来自第二网元的共享密钥Ks；其二，步骤104，第一网元基于PubK2生成信令密钥SK，第一网元接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks。

在一实施例中，步骤104和步骤106中部分操作根据上述两种实现方式确定，执行顺序是可以互换的。

在一实施例中，在第一网元接收来自第二网元的共享密钥Ks或加密共享密钥EKs之后，还包括：第一网元使用SK或基于SK派生的密钥对与第二网元间交互的数据进行机密性或完整性保护。

在一实施例中，所述方法还包括：第一网元向第三网元发送RAND；第一网元接收来自第三网元的RES。

在一实施例中，本实施例的方案还包括：第一网元接收来自第二网元的令牌Token；第一网元判断Token是否基于Ks和SK生成；第一网元基于判断结果确定SK或Ks的合法性。

在一实施例中，在第一网元基于SK和EKs生成共享密钥Ks之后，还包括：第一网元向第三网元发送基于Ks生成的第一校验码MAC1。

在一实施例中，本实施例的方案还包括：第一网元接收来自第三网元的第二校验码MAC2；第一网元判断MAC2是否基于Ks生成；第一网元基于判断结果确定SK或Ks的合法性。确定合法性包括确定SK或Ks是否正确，是否是正确网元发送的，还是经过篡改过的。

在一实施例中，本实施例的方案还包括：第一网元接收来自第二网元的令牌Token；第一网元判断Token是否基于Ks和SK生成；第一网元基于判断结果执行或停止向第三网元发送MAC1的操作。

图3为本申请另一实施例提供的一种密钥协商方法的流程图。如图3所示，本实施例提供的密钥协商方法包括如下步骤。

步骤210、第二网元接收来自第一网元的公钥PubK1，并基于PubK1生成信令密钥SK。

步骤220、第二网元向第一网元发送随机字符串RAND。

步骤230、第二网元接收来自第一网元的响应字符串RES，并向第一网元发送加密共享密钥EKs。

在一实施例中，RES基于RAND生成，EKs基于SK和共享密钥Ks生成。

本实施例通过与第一网元进行协商，向第一网元发送加密共享密钥，解决了通过明文传输共享密钥导致的密钥安全性差的问题。

在本申请另一实施例中提供了一种密钥协商方法，图4是本实施例提供的另一种密钥协商方法的流程图。如图4所示，该流程包括如下步骤.

步骤202，第二网元接收来自第一网元的第一公钥PubK1，并基于PubK1生成信令密钥SK。

步骤204，第二网元向第一网元发送第二公钥PubK2，以及随机字符串RAND。

步骤206，第二网元接收来自第一网元的响应字符串RES，以及向第一网元发送共享密钥Ks或加密共享密钥EKs，其中，EKs基于SK和共享密钥Ks生成。

在一实施例中，上述步骤的执行主体第二网元可以为网元设备，如归属网网元等，但不限于此。

在一实施例中，在第二网元向第一网元发送共享密钥Ks或加密共享密钥 EKs之后，方法还包括：第二网元使用SK或基于SK派生的密钥对与第一网元间交互的数据进行机密性或完整性保护。

在一实施例中，所述方法还包括：第二网元判断RES是否基于RAND生成；第二网元基于判断结果执行或停止向第一网元发送Ks或EKs的操作。

在一实施例中，所述方法还包括：

第二网元接收来自第三网元的RAND；第二网元向第三网元发送RES。

在一实施例中，所述方法还包括：第二网元接收来自第三网元的Ks。

在一实施例中，所述方法还包括：第二网元接收来自第三网元的指示；第二网元基于指示执行或停止向第一网元发送Ks或EKs的操作。

在一实施例中，所述方法还包括：第二网元向第一网元发送令牌Token，其中，Token基于SK和Ks生成。

在本实施例中，第一网元为拜访网网元，第二网元为归属网网元，第三网元为终端或归属网网元。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory，ROM)/随机存取存储器(Random Access Memory，RAM)、磁碟、光盘)中，包括多个指令用以使得一台终端设备(如手机、计算机、服务器或者网络设备等)执行本申请任意实施例所述的方法。

实施例2

在本实施例中还提供了一种密钥协商装置、***，用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图5是本申请一实施例提供的一种密钥协商装置的结构框图。如图5所示，应用在第一网元，该装置包括：

传输模块30，设置为接收来自第二网元的公钥PubK2和随机字符串RAND；生成模块32，设置为基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES基于所述RAND生成；处理模块34，设置为接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks。

请继续参照图5。在另一实施例中，传输模块30，设置为向第二网元发送第一公钥PubK1，以及接收来自第二网元的第二公钥PubK2和随机字符串RAND；生成模块32，设置为基于PubK2生成信令密钥SK，以及向第二网元发送响应字符串RES；处理模块34，设置为接收来自第二网元的共享密钥Ks，或，接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks。

在一实施例中，装置还包括；发送模块，设置为向第三网元发送基于Ks生成的第一校验码MAC1。

在一实施例中，装置还包括：保护模块，设置为在处理模块34接收来自第二网元的共享密钥Ks或加密共享密钥EKs之后，使用SK或基于SK派生的密钥对与第二网元间交互的数据进行机密性或完整性保护。

图6是本申请另一实施例提供的一种密钥协商装置的结构框图。如图6所示，应用在第二网元，该装置包括：

接收模块40，设置为接收来自第一网元的公钥PubK1，并基于所述PubK1生成信令密钥SK；发送模块42，设置为向所述第一网元发送随机字符串RAND；处理模块44，设置为接收来自所述第一网元的响应字符串RES，并向所述第一网元发送加密共享密钥EKs，其中，所述RES基于所述RAND生成，所述EKs基于所述SK和共享密钥Ks生成。

请继续参照图6，在另一实施例中，接收模块40，设置为接收来自第一网元的第一公钥PubK1，并基于PubK1生成信令密钥SK；发送模块42，设置为向第一网元发送第二公钥PubK2，以及随机字符串RAND；处理模块44，设置为接收来自第一网元的响应字符串RES，以及向第一网元发送共享密钥Ks或加密共享密钥EKs，其中，EKs基于SK和共享密钥Ks生成。

在一实施例中，装置还包括：保护模块，设置为在处理模块44向第一网元发送共享密钥Ks或加密共享密钥EKs之后，使用SK或基于SK派生的密钥对与第一网元间交互的数据进行机密性或完整性保护。

图7是本申请一实施例提供的密钥协商***的结构框图。如图7所示，本实施例提供的密钥协商***包括：第一网元50和第二网元52。本实施例中，所述第一网元50包括：传输模块500，设置为向所述第二网元52发送第一公钥PubK1，以及接收来自所述第二网元52的第二公钥PubK2和随机字符串RAND；生成模块502，设置为基于所述PubK2生成信令密钥SK，以及向所述第二网元52发送响应字符串RES，其中，所述RES为基于所述RAND生成；第一处理模块504，设置为接收来自所述第二网元52的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks。

所述第二网元52包括：第一接收模块520，设置为接收来自所述第一网元50的第一公钥PubK1，并基于所述PubK1生成所述SK；发送模块522，设置为向所述第一网元50发送所述PubK2，以及所述RAND；第二处理模块524，设置为接收来自所述第一网元50的所述RES，以及向所述第一网元50发送所述EKs，其中，所述EKs基于所述SK和所述Ks生成。

图8是本申请另一实施例提供的密钥协商***的结构框图。如图8所示，本实施例提供的密钥协商***包括：第一网元50、第二网元52和第三网元54。

在本实施例中，第一网元50包括：传输模块500，设置为向第二网元52发送第一公钥PubK1，以及接收来自第二网元52的第二公钥PubK2和随机字符串RAND；生成模块502，设置为基于PubK2生成信令密钥SK，以及向第二网元52发送响应字符串RES，其中，所述RES为基于所述RAND生成；第一处理模块504，设置为接收来自第二网元的共享密钥Ks，或，接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks；第一发送模块506，设置为向第三网元54发送基于Ks生成的第一校验码MAC1；第二网元52包括：第一接收模块520，设置为接收来自第一网元50的第一公钥PubK1，并基于PubK1生成信令密钥SK；第二发送模块522，设置为向第一网元50发送第二公钥PubK2，以及随机字符串RAND；第二处理模块524，设置为接收来自第一网元50的响应字符串RES，以及向第一网元发送共享密钥Ks或加密共享密钥EKs，其中，EKs基于SK和共享密钥Ks生成；第三网元54包括：第二接收模块540，设置为接收第一网元50基于Ks生成的第一校验码MAC1。

上述多个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述多个模块均位于同一处理器中；或者，上述多个模块以任意组合的形式分别位于不同的处理器中。

实施例3

本实施例集合具体的场景对本申请进行解释和说明：

图9为本申请一实施例提供的基于核心网的密钥协商方法的流程示意图。如图9所示，第二网元和第三网元间已经存在长期密钥LTK或共享密钥Ks，该流程包括：

步骤601：第一网元，拜访网(比如移动管理功能(Mobile Management Function，MMF)、安全锚点功能(Security Anchor Function，SEAF)或接入管理实体(Access Management Function，AMF)等)向第二网元，归属网(比如认证服务功能(Authentication Server Function，AUSF)、认证授权记账(Authentication、Authorization、Accounting，AAA)、认证向量存储功能ARPF，或归属签约用户服务器(Home Subscriber Server，HSS)等)发送共享密钥建立请求，比如发送认证数据请求(Authentication Data Request)消息，消息中携带第一网元的公钥PubK1。

步骤602：第二网元获取随机字符串RAND，基于Ks和RAND生成期望响应XRES，第二网元基于PubK1生成一个信令密钥SK，比如使用迪菲-赫尔曼密钥交换(Diffie-Hellman key exchange)协议，第二网元还可以基于Ks和SK生成Token，比如使用安全散列算法256(Secure Hash Algorithm-256，SHA-256)或散列消息身份验证码-安全散列算法-256(Hashed Message Authentication Code-Secure Hash Algorithm-256，HMAC-SHA-256)算法，以Ks和SK作为输入。

步骤603，第二网元向第一网元发送共享密钥建立响应，比如发送认证数据响应(Authentication Data Response)消息，消息携带RAND和第二网元的公钥PubK2，还可以包括Token。

步骤604：第一网元基于PubK2生成一个信令密钥SK，比如使用Diffie- Hellman key exchange协议，该协议可以在数据没有被篡改的情况下使得第一网元生成的SK与第二网元生成的SK相同。

步骤605，第一网元向第三网元(比如终端(User Equipment，UE)、认证服务功能AUSF、认证授权记账AAA、认证向量存储功能ARPF或HSS等)发送认证请求，比如发送用户认证请求(User Authentication Request)消息，User Authentication Request消息中携带RAND。

步骤606：第三网元收到RAND，基于LTK或Ks以及RAND计算出响应字符串RES，第三网元向第一网元发送认证响应，比如发送用户认证响应(User Authentication Response)消息，消息中携带RES。

步骤607：第一网元转发RES给第二网元，第二网元可以基于LTK或Ks以及RAND生成期望响应字符串XRES，并比较XRES与RES，相同则执行后续步骤，不同则停止。

步骤608：如果第二网元和第三网元间共享的是LTK，则第二网元和第三网元分别基于LTK生成Ks。

步骤609：第二网元向第一网元发送认证校验成功消息，比如发送可扩展认证协议成功(Extensible Authentication Protocol，EAP-Success)消息，消息携带Ks或基于SK和Ks生成的EKs。

步骤610：第一网元收到认证校验成功消息，如果收到的是EKs则基于SK和EKs生成Ks，如果收到Token，则基于SK和Ks生成期望令牌XToken，并比较XToken和Token，如果相同则执行后续步骤，否则停止；

步骤611：第一网元向第三网元发送数据验证请求，比如发送安全模式指令(Secure Mode Command)消息，消息中携带基于Ks生成的第一校验码MAC1；

步骤612：第三网元收到数据验证请求，基于Ks生成期望第一校验码XMAC1，比较XMAC1和MAC1，相同则向第一网元发送数据验证响应，比如发送安全模式完成(Secure Mode Complete)消息，消息中携带基于Ks生成的第二校验码MAC2，第一网元可以通过Ks生成期望第二校验码XMAC2，比较XMAC2和MAC2，相同则确认生成的SK与第二网元生成的SK相同，收到的Ks与第二网元发送的Ks相同，即没有被篡改。

图10为本申请另一实施例提供的基于核心网的密钥协商方法的流程示意图。如图10所示，第一网元和第三网元间已经存在长期密钥LTK或共享密钥Ks，该流程包括：

步骤701：第一网元，拜访网(比如移动管理功能MMF，或安全锚点功能SEAF，或接入管理实体AMF等)向第二网元，归属网(比如安全网关(Secure Gateway，SEG))发送共享密钥建立请求，比如发送Authentication Data Request消息，消息中携带第一网元的公钥PubK1。

步骤702：第二网元向第三网元，归属网(比如认证服务功能AUSF，或认证授权记账AAA，或认证向量存储功能ARPF，或HSS等)发送认证请求(Authentication Request)。

步骤703：如果第一网元和第三网元间共享的是LTK，则第一网元和第三网元分别基于LTK生成Ks。

步骤704：第三网元获取随机字符串RAND，基于Ks和RAND生成期望响应XRES。

步骤705：第三网元向第二网元发送认证响应(Authentication Response)，认证响应中携带RAND和Ks。

步骤706：第二网元基于PubK1生成一个信令密钥SK，比如使用Diffie-Hellman key exchange协议，第二网元还可以基于Ks和SK生成Token，比如使用SHA-256或HMAC-SHA-256算法，以Ks和SK作为输入。

步骤707：第二网元向第一网元发送共享密钥建立响应，比如发送Authentication Data Response消息，消息携带RAND和第二网元的公钥PubK2，还可以包括Token。

步骤708：第一网元基于PubK2生成一个信令密钥SK，比如使用Diffie-Hellman key exchange协议，该协议可以在数据没有被篡改的情况下使得第一网元生成的SK与第二网元生成的SK相同。

步骤709：第一网元基于LTK或Ks以及RAND计算出响应字符串RES，向第二网元发送认证校验请求(Authentication Verification Request)，认证校验请求中携带RES。

步骤710：第二网元向第三网元转发认证校验请求。

步骤711：第三网元可以基于LTK或Ks以及RAND生成期望响应字符串XRES，并比较XRES与RES，第三网元向第二网元发送认证校验响应(Authentication Verification Response)，认证校验响应中携带比较结果指示；

步骤712：第二网元依据指示信息，如果指示成功，则向第一网元转发认证校验响应，认证校验响应中携带Ks或基于SK和Ks生成的EKs，否则不转发认证校验响应。

步骤713：第一网元收到认证校验响应消息，判断消息中的指示信息，如果指示成功，且收到的是EKs则基于SK和EKs生成Ks，如果没收到过Token则接受SK和/或Ks，如果还收到过Token，则基于SK和Ks生成期望令牌XToken，并比较XToken和Token，如果相同则接受SK和/或Ks，否则拒绝，如果指示不成功，则拒绝接受SK和/或Ks。接受SK表明确认生成的SK与第二网元生成的SK相同，收到的Ks与第三网元发送的Ks相同，即没有被篡改。

实施例4

本公开的实施例还提供了一种存储介质。在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

接收来自第二网元的公钥PubK2和随机字符串RAND；基于PubK2生成信令密钥SK，以及向第二网元发送响应字符串RES；接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks。

在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、移动硬盘、磁碟或者光盘等可以存储程序代码的介质。

在本实施例中，处理器根据存储介质中已存储的程序代码执行向第二网元发送第一公钥PubK1，以及接收来自第二网元的第二公钥PubK2和随机字符串RAND；在本实施例中，处理器根据存储介质中已存储的程序代码执行基于PubK2生成信令密钥SK，以及向第二网元发送响应字符串RES；在本实施例中，处理器根据存储介质中已存储的程序代码执行接收来自第二网元的共享密钥Ks，或者，接收来自第二网元的加密共享密钥EKs，并基于SK和EKs生成共享密钥Ks。

本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本申请的多个模块或多个步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，在一实施例中，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成一个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。

以上所述仅为本申请的实施例而已，并不用于限制本申请。

Claims

一种密钥协商方法，包括：

第一网元接收来自第二网元的公钥PubK2和随机字符串RAND；

所述第一网元基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES基于所述RAND生成；

所述第一网元接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks。
根据权利要求1所述的方法，还包括：

所述第一网元向第三网元发送所述RAND；

所述第一网元接收来自所述第三网元的所述RES。
根据权利要求1所述的方法，还包括：

所述第一网元接收来自所述第二网元的令牌Token；

所述第一网元判断所述Token是否基于所述Ks和所述SK生成。
根据权利要求1所述的方法，其中，在所述第一网元基于所述SK和所述EKs生成所述Ks之后，还包括：

所述第一网元向第三网元发送基于所述Ks生成的第一校验码MAC1。
根据权利要求4所述的方法，还包括：

所述第一网元接收来自所述第三网元的第二校验码MAC2；

所述第一网元判断所述MAC2是否基于所述Ks生成。
根据权利要求4所述的方法，还包括：

所述第一网元接收来自所述第二网元的令牌Token；

所述第一网元判断所述Token是否基于所述Ks和所述SK生成；

所述第一网元基于判断结果执行或停止向所述第三网元发送所述MAC1的操作。
根据权利要求2、4、5或6所述的方法，其中，所述第一网元为拜访网网元，所述第二网元为归属网网元，以及所述第三网元为终端或归属网网元。
一种密钥协商方法，包括：

第二网元接收来自第一网元的公钥PubK1，并基于所述PubK1生成信令密钥SK；

所述第二网元向所述第一网元发送随机字符串RAND；

所述第二网元接收来自所述第一网元的响应字符串RES，并向所述第一网元发送加密共享密钥EKs，其中，所述RES基于所述RAND生成，所述EKs 基于所述SK和共享密钥Ks生成。
根据权利要求8所述的方法，还包括：

所述第二网元判断所述RES是否基于所述RAND生成；

所述第二网元基于判断结果执行或停止向所述第一网元发送所述EKs的操作。
根据权利要求8所述的方法，还包括：

所述第二网元接收来自第三网元的所述RAND；

所述第二网元向所述第三网元发送所述RES。
根据权利要求10所述的方法，其中，在所述向所述第一网元发送EKs之前，还包括：

所述第二网元接收来自所述第三网元的所述Ks。
根据权利要求10或11所述的方法，还包括：

所述第二网元接收来自所述第三网元的指示；

所述第二网元基于所述指示执行或停止向所述第一网元发送所述EKs的操作。
根据权利要求8所述的方法，还包括：

所述第二网元向所述第一网元发送令牌Token，其中，所述Token基于所述SK和所述Ks生成。
根据权利要求10所述的方法，其中，所述第一网元为拜访网网元，所述第二网元为归属网网元，以及所述第三网元为终端或归属网网元。
一种密钥协商装置，应用在第一网元，包括：

传输模块，设置为接收来自第二网元的公钥PubK2和随机字符串RAND；

生成模块，设置为基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES基于所述RAND生成；

处理模块，设置为接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks。
根据权利要求15所述的装置，还包括；

发送模块，设置为向第三网元发送基于所述Ks生成的第一校验码MAC1。
一种密钥协商装置，应用在第二网元，包括：

接收模块，设置为接收来自第一网元的公钥PubK1，并基于所述PubK1生成信令密钥SK；

发送模块，设置为向所述第一网元发送随机字符串RAND；

处理模块，设置为接收来自所述第一网元的响应字符串RES，并向所述第一网元发送加密共享密钥EKs，其中，所述RES基于所述RAND生成，所述EKs基于所述SK和共享密钥Ks生成。
一种密钥协商***，包括第一网元、第二网元以及第三网元，其中，

所述第一网元包括：

传输模块，设置为向所述第二网元发送第一公钥PubK1，以及接收来自所述第二网元的第二公钥PubK2和随机字符串RAND；

生成模块，设置为基于所述PubK2生成信令密钥SK，以及向所述第二网元发送响应字符串RES，其中，所述RES为基于所述RAND生成；

第一处理模块，设置为接收来自所述第二网元的加密共享密钥EKs，并基于所述SK和所述EKs生成共享密钥Ks；

所述第二网元包括：

第一接收模块，设置为接收来自所述第一网元的第一公钥PubK1，并基于所述PubK1生成所述SK；

发送模块，设置为向所述第一网元发送所述PubK2，以及所述RAND；

第二处理模块，设置为接收来自所述第一网元的所述RES，以及向所述第一网元发送所述EKs，其中，所述EKs基于所述SK和所述Ks生成。
一种存储介质，所述存储介质包括存储的程序，其中，所述程序运行时执行权利要求1至14中任一项所述的方法。
一种处理器所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至14中任一项所述的方法。