CN104935426A

CN104935426A - 密钥协商方法、用户设备和近距离通信控制网元

Info

Publication number: CN104935426A
Application number: CN201410182372.0A
Authority: CN
Inventors: 张博; 何承东; 甘露
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2014-03-21
Filing date: 2014-04-30
Publication date: 2015-09-23
Anticipated expiration: 2034-04-30
Also published as: WO2015139622A1; CN104935426B

Abstract

本发明实施例公开了一种密钥协商方法、用户设备和近距离通信控制网元。所述方法包括：近距离通信控制网元接收用户设备发送的注册请求信息；根据所述注册请求信息向控制网元发送安全上下文请求信息；接收控制网元根据所述安全上下文请求信息发送的安全上下文响应信息；根据所述安全上下文响应信息确定协商密钥；向所述用户设备发送注册响应信息，用以所述用户设备根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。本发明实施例提供的密钥协商方法、用户设备和近距离通信控制网元，在不改变现有ProSe的架构的基础上，实现UE与近距离通信控制网元之间的密钥协商。

Description

密钥协商方法、用户设备和近距离通信控制网元

本申请要求于2014年3月21日提交中国专利局、申请号为201410109503.2、发明名称为“密钥协商方法、用户设备和近距离通信控制网元”的中国专利申请的优先权。

技术领域

本发明涉及通信技术领域，尤其涉及一种密钥协商方法、用户设备和近距离通信控制网元。

背景技术

近距离通信业务(Proximity Service,ProSe)技术主要应用于在两个近距离端到端数据传输的用户设备(UE)之间建立安全的通信通道，使得数据能够进行安全的交换。在现有的ProSe系统架构中，如图1所示，包括UE、演进的分组核心(Evolved Packet Core,EPC)、近距离通信控制网元(ProSeFunction)和演进的通用陆基无线接入网(E-UTRAN)。UE与近距离通信控制网元之间通过PC3接口进行相互通信。通过PC3接口，近距离通信控制网元可以向UE传递配置信息和信令。

但是，在交互过程中可能存在安全威胁，例如通信的内容可被攻击者窃听、篡改等，因此需要一定的安全机制进行保护。而安全保护的前提为UE与近距离通信控制网元之间安全的对称密钥协商。目前通常采用基于通用引导架构(General Bootstrapping Architecture，GBA)和安全传输层协议(Pre-Shared Key based Transport Layer Security，PSK TLS)技术的相互认证。

但是由于GBA技术需要引导服务器网元(Bootstrapping ServerFunction，BSF)的支持，因此若ProSe中引入GBA技术，则需要引入一个新的网元BSF来完成认证；并且要求近距离通信控制网元建立一个与BSF通信的接口。因此对于ProSe的架构有一定的影响。

发明内容

本发明实施例提供了一种密钥协商方法、用户设备和近距离通信控制网元，在不改变现有ProSe的架构的基础上，实现UE与近距离通信控制网元之间的密钥协商。

第一方面，本发明实施例提供了一种密钥协商方法，包括：

近距离通信控制网元接收用户设备发送的注册请求信息；

根据所述注册请求信息向控制网元发送安全上下文请求信息；

接收控制网元根据所述安全上下文请求信息发送的安全上下文响应信息；

根据所述安全上下文响应信息确定协商密钥；

向所述用户设备发送注册响应信息，用以所述用户设备根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

在第一种可能的实现方式中，所述安全上下文请求信息包括所述近距离通信控制网元生成的或由注册请求信息中获取的第一密钥协商参数，所述根据所述安全上下文响应信息确定协商密钥具体为：

所述近距离通信控制网元由所述安全上下文响应信息中，获取所述控制网元根据所述第一密钥协商参数和存储的共享密钥生成的协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥；或者

所述近距离通信控制网元由所述安全上下文响应信息中，获取所述控制网元根据所述第一密钥协商参数和存储的共享密钥生成的基本密钥；

所述近距离通信控制网元根据所述基本密钥和存储的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

在第二种可能的实现方式中，所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元存储的共享密钥，所述根据所述安全上下文响应信息确定协商密钥具体为：

所述近距离通信控制网元根据所述安全上下文响应信息中携带的第一密钥协商参数和所述共享密钥生成所述协商密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；或者

所述近距离通信控制网元根据所述注册请求信息中携带的第一密钥协商参数和所述共享密钥生成所述协商密钥。

在第三种可能的实现方式中，所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元生成的基本密钥，所述根据所述安全上下文响应信息确定协商密钥具体为：

结合第一方面或第一方面的第一种或第二种或第三种可能的实现方式，在第四种可能的实现方式中，所述注册响应信息包括从所述安全上下文响应信息中获取的所述第一密钥协商参数，或者所述近距离通信控制网元生成的所述第一密钥协商参数。

第二方面，本发明实施例提供了一种密钥协商方法，包括：

用户设备向近距离通信控制网元发送注册请求信息；

用户设备接收所述近距离通信控制网元发送的注册响应信息；

根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

在第一种可能的实现方式中，在所述用户设备向近距离通信控制网元发送注册请求信息之前，所述方法还包括：

所述用户设备生成第一密钥协商参数，以使用户设备在向近距离通信控制网元发送的注册请求信息中携带第一密钥协商参数。

结合第二方面或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述根据所述注册响应信息生成协商密钥具体为：

根据所述第一密钥协商参数和存储的共享密钥生成协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥。

在第三种可能的实现方式中，所述注册响应信息包括第一密钥协商参数，所述根据所述注册响应信息生成协商密钥具体为：

根据所述第一密钥协商参数和存储的共享密钥生成协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥；或者

根据所述第一密钥协商参数和存储的共享密钥生成基本密钥；

根据所述基本密钥和存储的第二密钥协商参数生成协商密钥。

第三方面，本发明实施例提供了一种密钥协商方法，包括：

控制网元接收近距离通信控制网元发送的安全上下文请求信息；

根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息。

在第一种可能的实现方式中，在根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息之前，所述方法还包括：

生成第一密钥协商参数；

根据所述安全上下文请求信息生成安全上下文响应信息；所述安全上下文响应信息中携带第一密钥协商参数。

在第二种可能的实现方式中，在根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息之前，所述方法还包括：

根据存储的共享密钥和所述控制网元生成的或由所述安全上下文请求信息中获取的第一密钥协商参数生成基本密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；

根据所述安全上下文请求信息生成安全上下文响应信息，所述安全上下文响应信息中包括基本密钥。

在第三种可能的实现方式中，在根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息之前，所述方法还包括：

根据所述安全上下文请求信息生成安全上下文响应信息，所述安全上下文响应信息中包括所述控制网元存储的共享密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥。

在第四种可能的实现方式中，在根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息之前，所述方法还包括：

根据所述存储的共享密钥和所述控制网元生成的第一密钥协商参数生成协商密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；或者

根据所述存储的共享密钥和由所述安全上下文请求信息中获取的第一密钥协商参数生成协商密钥；

根据所述安全上下文请求信息生成响应信息，所述安全上下文响应信息中包括协商密钥。

第四方面，本发明实施例提供了一种密钥协商方法，包括：

近距离通信控制网元接收用户设备发送的注册请求信息；

根据所述注册请求信息向控制网元发送认证数据请求信息；

接收所述控制网元根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES、加密密钥CK、完整性密钥IK；

对所述CK、IK和XRES进行存储；

向所述用户设备发送认证请求信息；所述认证请求信息包括由所述认证数据响应信息中获取的RAND和AUTN；

接收所述用户设备发送的认证响应信息；所述认证响应信息中包括所述用户设备根据所述认证请求信息生成的用户响应RES；

根据所述认证响应信息对所述用户设备进行认证；

向所述用户设备发送注册响应信息，用以所述用户和设备根据接收到的注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

在第一种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，在向所述用户设备发送注册响应信息之前，所述方法还包括：

所述近距离通信控制网元根据用户设备的安全算法列表和所述近距离通信控制网元存储的近距离通信控制网元的安全算法列表进行算法选择，得到选择出的安全算法。

结合第四方面或第四方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册响应信息包括所述选择出的安全算法。

在第三种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元中存储有近距离通信控制网元的安全算法列表，在收到所述用户设备发送的所述注册请求信息之后，所述方法还包括：

所述近距离通信控制网元根据所述近距离通信控制网元的安全算法列表和所述用户设备的安全算法列表进行算法选择，得到选择出的安全算法。

结合第四方面或第四方面的第二种或第三种可能的实现方式，在第四种可能的实现方式中，所述注册响应信息包括第一密钥协商参数，在向所述用户设备发送注册响应信息之前，所述方法还包括：

近距离通信控制网元生成第一密钥协商参数。

结合第四方面或第四方面的第四种可能的实现方式，在第五种可能的实现方式中，所述方法还包括：

近距离通信控制网元根据所述第一密钥协商参数和所述CK、IK进行密钥推衍函数计算，得到协商密钥。

结合第四方面或第四方面的第二种或第三种可能的实现方式，在第六种可能的实现方式中，所述方法还包括：

近距离通信控制网元根据所述CK、IK和存储在所述近距离通信控制网元中的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

第五方面，本发明实施例提供了一种密钥协商方法，包括：

用户设备向近距离通信控制网元发送注册请求信息；

接收所述近距离通信控制网元发送的认证请求信息；所述认证请求信息包括所述近距离通信控制网元由所述控制网元获取的RAND和AUTN；

利用RAND验证AUTN的正确性；

当验证所述AUTN正确时，根据所述认证请求信息计算得到CK、IK、RES；

向近距离通信控制网元发送认证响应信息，用以所述近距离通信控制网元根据所述认证响应信息对用户设备进行认证；所述认证响应信息中包括所述RES；

接收所述近距离通信控制网元发送的注册响应信息，用以根据所述注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

在第一种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

在第二种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述方法还包括：

根据所述近距离通信控制网元的安全算法列表和所述用户设备的安全算法列表进行算法选择，得到的选择出的安全算法。

结合第五方面或第五方面的第一种或第二种可能的实现方式，在第三种可能的实现方式中，所述注册响应信息包括所述近距离通信控制网元生成的第一密钥协商参数，所述方法还包括：

用户设备根据所述第一密钥协商参数和所述CK、IK进行密钥推衍函数计算，得到协商密钥。

结合第五方面或第五方面的第一种或第二种可能的实现方式，在第四种可能的实现方式中，所述方法还包括：

用户设备根据所述CK、IK和存储在所述用户设备中的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

第六方面，本发明实施例提供了一种近距离通信控制网元，包括：

接收单元，用于接收用户设备发送的注册请求信息；

发送单元，用于向控制网元发送安全上下文请求信息；

所述接收单元还用于，接收控制网元根据所述安全上下文请求信息发送的安全上下文响应信息；

处理单元，用于根据所述安全上下文响应信息确定协商密钥；

所述发送单元还用于，向所述用户设备发送注册响应信息，用以所述用户设备根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

在第一种可能的实现方式中，所述安全上下文请求信息包括所述处理单元生成的或由所述注册请求信息中获取的第一密钥协商参数，所述处理单元具体用于：

由所述安全上下文响应信息中，获取所述控制网元根据所述第一密钥协商参数和存储的共享密钥生成的协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥；或者

由所述安全上下文响应信息中，获取所述控制网元根据所述第一密钥协商参数和存储的共享密钥生成的基本密钥；根据所述基本密钥和存储的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

在第二种可能的实现方式中，所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元存储的共享密钥，所述处理单元具体用于：

根据所述安全上下文响应信息中携带的第一密钥协商参数和所述共享密钥生成所述协商密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；或者

根据所述注册请求信息中携带的第一密钥协商参数和所述共享密钥生成所述协商密钥。

在第三种可能的实现方式中，所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元生成的基本密钥，所述处理单元具体用于：

根据所述基本密钥和存储的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

结合第六方面或第六方面的第一种或第二种或第三种可能的实现方式，在第四种可能的实现方式中，所述注册响应信息包括由所述接收单元获取的所述第一密钥协商参数，或者所述处理单元生成的所述第一密钥协商参数。

第七方面，本发明实施例提供了用户设备，包括：

发送单元，用于向近距离通信控制网元发送注册请求信息；

接收单元，用于接收所述近距离通信控制网元发送的注册响应信息；

处理单元，用于根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

在第一种可能的实现方式中，所述处理单元还用于，生成第一密钥协商参数，以使用户设备在向近距离通信控制网元发送的注册请求信息中携带第一密钥协商参数。

结合第七方面或第七方面的第一种可能的实现方式，在第二种可能的实现方式中，所述处理单元具体用于，根据所述第一密钥协商参数和所述用户设备内存储的共享密钥生成协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥。

在第三种可能的实现方式中，所述注册响应信息包括第一密钥协商参数，所述处理单元具体用于，

根据所述第一密钥协商参数和所述用户设备内存储的共享密钥生成协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥；或者

根据所述第一密钥协商参数和用户设备内存储的共享密钥生成基本密钥；根据所述基本密钥和存储的第二密钥协商参数生成协商密钥。

第八方面，本发明实施例提供了一种控制网元，包括：

接收单元，用于接收近距离通信控制网元发送的安全上下文请求信息；

发送单元，用于根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息。

在第一种可能的实现方式中，所述控制网元还包括：

处理单元，用于生成第一密钥协商参数；根据所述安全上下文请求信息生成安全上下文响应信息；所述安全上下文响应信息中携带第一密钥协商参数。

在第二种可能的实现方式中，所述控制网元还包括：

处理单元，用于根据存储的共享密钥和所述处理单元生成的或由所述安全上下文请求信息获取的第一密钥协商参数生成基本密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；根据所述安全上下文请求信息生成安全上下文响应信息，所述安全上下文响应信息中包括基本密钥。

在第三种可能的实现方式中，所述控制网元还包括：

处理单元，用于根据所述安全上下文请求信息生成安全上下文响应信息，所述安全上下文响应信息中包括所述控制网元存储的共享密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥。

在第四种可能的实现方式中，所述控制网元还包括：

处理单元，用于根据所述存储的共享密钥和所述处理单元生成的第一密钥协商参数生成协商密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；或者

用于根据所述存储的共享密钥和由所述安全上下文请求信息中获取的第一密钥协商参数生成协商密钥；根据所述安全上下文请求信息生成响应信息，所述安全上下文响应信息中包括协商密钥。

第九方面，本发明实施例提供了一种近距离通信控制网元，包括：

接收单元，用于接收用户设备发送的注册请求信息；

发送单元，用于根据所述注册请求信息向控制网元发送认证数据请求信息；

所述接收单元还用于，接收所述控制网元根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES、加密密钥CK、完整性密钥IK；

存储单元，用于对所述CK、IK和XRES进行存储；

所述发送单元还用于，向所述用户设备发送认证请求信息；所述认证请求信息包括由所述认证数据响应信息中获取的RAND和AUTN；

所述接收单元还用于，接收所述用户设备发送的认证响应信息；所述认证响应信息中包括所述用户设备根据所述认证请求信息生成的用户响应RES；

认证单元，用于根据所述认证响应信息对所述用户设备进行认证；

所述发送单元还用于，向所述用户设备发送注册响应信息，用以所述用户和设备根据接收到的注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

在第一种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元还包括：

处理单元，用于根据用户设备的安全算法列表和所述近距离通信控制网元存储的近距离通信控制网元的安全算法列表进行算法选择，得到选择出的安全算法。

结合第九方面或第九方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册响应信息包括所述选择出的安全算法。

在第三种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元中存储有近距离通信控制网元的安全算法列表，所述近距离通信控制网元还包括：

处理单元，用于根据所述近距离通信控制网元的安全算法列表和所述用户设备的安全算法列表进行算法选择，得到选择出的安全算法。

结合第九方面或第九方面的第二种或第三种可能的实现方式，在第四种可能的实现方式中，所述注册响应信息包括第一密钥协商参数，所述近距离通信控制网元还包括：

生成单元，用于生成第一密钥协商参数。

结合第九方面或第九方面的第四种可能的实现方式，在第五种可能的实现方式中，所述处理单元还用于：

根据所述第一密钥协商参数和所述CK、IK进行密钥推衍函数计算，得到协商密钥。

结合第九方面或第九方面的第二种或第三种可能的实现方式，在第六种可能的实现方式中，所述处理单元还用于：

根据所述CK、IK和存储在所述近距离通信控制网元中的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

第十方面，本发明实施例提供了一种用户设备，包括：

发送单元，用于向近距离通信控制网元发送注册请求信息；

接收单元，用于接收所述近距离通信控制网元发送的认证请求信息；所述认证请求信息包括所述近距离通信控制网元由所述控制网元获取的RAND和AUTN；

验证单元，用于利用RAND验证AUTN的正确性；

处理单元，用于当验证所述AUTN正确时，根据所述认证请求信息计算得到CK、IK、RES；

所述发送单元还用于，向近距离通信控制网元发送认证响应信息，用以所述近距离通信控制网元根据所述认证响应信息对用户设备进行认证；所述认证响应信息中包括所述RES；

所述接收单元还用于，接收所述近距离通信控制网元发送的注册响应信息，用以根据所述注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

在第一种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表，进行算法选择得到的选择出的安全算法。

在第二种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表；

所述处理单元还用于：根据所述近距离通信控制网元的安全算法列表和所述用户设备的安全算法列表进行算法选择，得到的选择出的安全算法。

结合第十方面或第十方面的第一种或第二种可能的实现方式，在第三种可能的实现方式中，所述注册响应信息包括所述近距离通信控制网元生成的第一密钥协商参数，所述处理单元还用于：

结合第十方面或第十方面的第一种或第二种可能的实现方式，在第四种可能的实现方式中，所述处理单元还用于：

第十一方面，本发明实施例提供了一种密钥协商方法，包括：

近距离通信控制网元接收用户设备发送的注册请求信息；

根据所述注册请求信息向归属用户服务器HSS发送认证数据请求信息；

接收所述HSS根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：推衍加密密钥CK’、推衍完整性密钥IK’；或者，基本密钥K1；

向所述用户设备发送认证请求信息；

接收所述用户设备发送的认证响应信息；

根据所述认证响应信息对所述用户设备进行认证；

向所述用户设备发送注册响应信息，用以所述用户设备根据接收到的注册响应信息完成所述近距离通信控制网元与所述用户设备之间的根据所述推衍加密密钥CK’、推衍完整性密钥IK’的协商；或者，完成基本密钥K1的密钥协商。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述注册响应信息包括所述选择出的安全算法。

结合第一方面、第一方面的第二种、第三种可能的实现方式，在第四种可能的实现方式中，所述方法还包括：

近距离通信控制网元根据密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

近距离通信控制网元根据密钥协商参数和所述K1进行密钥推衍函数计算，得到协商密钥。

在第五种可能的实现方式中，所述注册响应信息还包括所述密钥协商参数。

在第十二方面，本发明实施例还提供了一种密钥协商方法，包括：

用户设备向近距离通信控制网元发送注册请求信息；

接收所述近距离通信控制网元发送的认证请求信息；

根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；

根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1；

向近距离通信控制网元发送认证响应信息；

接收所述近距离通信控制网元发送的注册响应信息。

在第一种可能的实现方式中，所述认证请求信息包含鉴权令牌AUTN参数；所述AUTN中包括认证管理域AMF；

根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1，之前还包括：

判断AMF的第X比特位是否被置位，当置位时，所述HSS计算CK’，IK’或K1，所述X取值范围为0至7中的任意值。

结合第十二方面或第十二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

结合第十二方面或第十二方面的第一种可能的实现方式，在第三种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述方法还包括：

结合第十二方面或第十二方面的第一种、第二种、第三种可能的实现方式，在第四种可能的实现方式中，所述注册响应信息包含第一密钥协商参数，

用户设备根据所述第一密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

根据第一密钥协商参数和所述K1进行密钥推衍函数计算，得到协商密钥。

结合第十二方面或第十二方面的第一种、第二种、第三种可能的实现方式，在第五种可能的实现方式中，所述方法还包括：

用户设备根据存储的第二密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

根据所述第二密钥协商参数和所述K1进行密钥推衍函数计算，得到协商密钥。

在第十三方面，本发明实施例还提供了一种密钥协商方法，包括：

用户设备向近距离通信控制网元发送注册请求信息；

接收所述近距离通信控制网元发送的认证请求信息；

根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；

向近距离通信控制网元发送认证响应信息；

接收所述近距离通信控制网元发送的注册响应信息；

根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1。

在第一种可能的实现方式中，所述认证请求信息包含AUTN参数；所述AUTN中包括认证管理域AMF参数；

判断AMF参数的第X比特位被置位，所述用户设备计算CK’，IK’或K1，所述X取值范围为0至7中的任意值。

结合第十三方面或第十三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

结合第十三方面或第十三方面的第一种可能的实现方式，在第三种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述方法还包括：

结合第十三方面或第十三方面的第一种、第二种、第三种可能的实现方式，在第四种可能的实现方式中，所述注册响应信息包含第一密钥协商参数；

根据所述第一密钥协商参数和所述K1进行密钥推衍函数计算，得到协商密钥。结合第十三方面或第十三方面的第一种、第二种、第三种可能的实现方式，在第五种可能的实现方式中，所述方法还包括：

在第十四方面，本发明实施例还提供了一种密钥协商方法，包括：

HSS接收近距离通信控制网元发送的认证数据请求信息；所述认证数据请求信息包括ID参数，或者所述HSS中存储有ID参数；

根据所述认证数据请求信息计算出认证向量；所述认证向量包括：加密密钥CK、完整性密钥IK；

向近距离通信控制网元发送认证数据响应信息；所述认证数据响应信息包括所述CK’、IK’，或，所述K1。

在第一种可能的实现方式中，所述认证向量包括AUTN参数，所述AUTN中包括认证管理域AMF参数，所述HSS将所述AMF参数的第X比特位置位，所述X取值范围为0至7中的任意值。

在第十五方面，本发明实施例还提供了一种近距离通信控制网元包括：

接收单元，用于接收用户设备发送的注册请求信息；

发送单元，用于根据所述注册请求信息向HSS发送认证数据请求信息；

所述接收单元还用于，接收所述HSS根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：推衍加密密钥CK’、推衍完整性密钥IK’；或者，基本密钥K1；

所述发送单元还用于，向所述用户设备发送认证请求信息；所述接收单元还用于，接收所述用户设备发送的认证响应信息；所述认证响应信息中包括所述用户设备根据所述认证请求信息生成的用户响应RES；

所述发送单元还用于，向所述用户设备发送注册响应信息，用以所述用户设备根据接收到的注册响应信息完成所述近距离通信控制网元与所述用户设备之间的根据所述推衍加密密钥CK’、推衍完整性密钥IK’的协商；或者，完成基本密钥K1的协商。

结合第十五方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册响应信息包括所述选择出的安全算法。

结合第十五方面的第三种可能的实现方式，在第四种可能的实现方式中，所述处理单元还用于，根据密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

根据密钥协商参数和所述K1进行密钥推衍函数计算，得到协商密钥。

结合第十五方面的第四种可能的实现方式，在第五种可能的实现方式中，所述注册响应信息还包括密钥协商参数。

在第十六方面，本发明实施例还提供了一种用户设备包括：

发送单元，用于向近距离通信控制网元发送注册请求信息；

接收单元，用于接收所述近距离通信控制网元发送的认证请求信息；处理单元，用于根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；并根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1；

所述发送单元还用于，向近距离通信控制网元发送认证响应信息；

所述接收单元还用于，接收所述近距离通信控制网元发送的注册响应信息。

所述用户设备还包括验证单元，用于判断AMF的第X比特位是否被置位，当置位时，所述HSS计算CK’，IK’或K1，所述X取值范围为0至7中的任意值。

结合第十六方面或第十六方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

结合第十六方面或第十六方面的第一种可能的实现方式，在第三种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述处理单元还用于：

结合第十六方面或第十六方面的第一种、第二种、第三种可能的实现方式，在第四种可能的实现方式中，所述注册响应信息包含第一密钥协商参数，所述处理单元还用于：

根据所述第一密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

结合第十六方面或第十六方面的第一种、第二种、第三种可能的实现方式，在第五种可能的实现方式中，所述处理单元还用于：

根据存储的第二密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

在第十七方面，本发明实施例还提供了一种用户设备，包括：

发送单元，用于向近距离通信控制网元发送注册请求信息；

接收单元，用于接收所述近距离通信控制网元发送的认证请求信息；

处理单元，用于根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；

所述接收单元还用于，接收所述近距离通信控制网元发送的注册响应信息；

所述处理单元还用于，根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1。

结合第十七方面或第十七方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

结合第十七方面或第十七方面的第一种可能的实现方式，在第三种可能的实现方式中，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述处理单元还用于：

结合第十七方面或第十七方面的第一种、第二种、第三种可能的实现方式，在第四种可能的实现方式中，

所述注册响应信息包含第一密钥协商参数；所述处理单元还用于：

根据所述第一密钥协商参数和所述K1进行密钥推衍函数计算，得到协商密钥。

结合第十七方面或第十七方面的第一种、第二种、第三种可能的实现方式，在第五种可能的实现方式中，所述处理单元还用于：

在第十八方面，本发明实施例提供了一种归属用户服务器HSS，包括：

接收单元，用于接收近距离通信控制网元发送的认证数据请求信息；所述认证数据请求信息包括ID参数，或者所述HSS中存储有ID参数；

处理单元，用于根据所述认证数据请求信息计算出认证向量；所述认证向量包括：加密密钥CK、完整性密钥IK；

所述处理单元还用于，根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1；

发送单元，用于向近距离通信控制网元发送认证数据响应信息；所述认证数据响应信息包括所述CK’、IK’，或，所述K1。

在第一种可能的实现方式中，所述认证向量包括AUTN参数，其特征在于，所述AUTN中包括认证管理域AMF参数，所述处理单元还用于，将所述AMF参数的第X比特位置位，所述X取值范围为0至7中的任意值。

通过应用本发明实施例提供的密钥协商方法、用户设备和近距离通信控制网元，为UE与近距离通信控制网元之间的密钥协商提供了完整的解决方案，在不改变现有ProSe的架构的基础上，实现UE与近距离通信控制网元之间的密钥协商。

附图说明

图1为本发明提供的ProSe系统架构图；

图2为本发明实施例一提供的一种密钥协商方法的流程图；

图3为本发明实施例二提供的一种密钥协商方法的流程图；

图4为本发明实施例三提供的一种密钥协商方法的流程图；

图5为本发明实施例四提供的第一种密钥协商方法的信令图；

图6为本发明实施例五提供的第二种密钥协商方法的信令图；

图7为本发明实施例六提供的第三种密钥协商方法的信令图；

图8为本发明实施例七提供的第四种密钥协商方法的信令图；

图9为本发明实施例八提供的第五种密钥协商方法的信令图；

图10为本发明实施例九提供的第六种密钥协商方法的信令图；

图11为本发明实施例十提供的第七种密钥协商方法的信令图；

图12为本发明实施例十一提供的第八种密钥协商方法的信令图；

图13为本发明实施例十二提供的第九种密钥协商方法的信令图；

图14为本发明实施例十三提供的一种密钥协商方法的流程图；

图15为本发明实施例十四提供的一种密钥协商方法的流程图；

图16为本发明实施例十五提供的第十种密钥协商方法的信令图；

图17为本发明实施例十六提供的第十一种密钥协商方法的信令图；

图18为本发明实施例十七提供的第十二种密钥协商方法的信令图；

图19为本发明实施例十八提供的第十三种密钥协商方法的信令图；

图20为本发明实施例十九提供的第十四种密钥协商方法的信令图；

图21为本发明实施例二十提供的第十五种密钥协商方法的信令图；

图22为本发明实施例二十一提供的第十六种密钥协商方法的信令图；

图23为本发明实施例二十二提供的第十七种密钥协商方法的信令图；

图24为本发明实施例二十三提供的第十八种密钥协商方法的信令图；

图25为本发明实施例二十四提供的一种密钥协商方法的流程图；

图26为本发明实施例二十五提供的一种密钥协商方法的流程图；

图27为本发明实施例二十六提供的一种密钥协商方法的流程图；

图28为本发明实施例二十七提供的第十九种密钥协商方法的信令图；

图29为本发明实施例二十八提供的第二十种密钥协商方法的信令图；

图30为本发明实施例二十九提供的第二十一密钥协商方法的信令图；

图31为本发明实施例三十提供的第二十二种密钥协商方法的信令图；

图32为本发明实施例三十一提供的第二十三种密钥协商方法的信令图；

图33为本发明实施例三十二提供的第二十四种密钥协商方法的信令图；

图34为本发明实施例三十三提供的一种近距离通信控制网元的结构示意图；

图35为本发明实施例三十四提供的一种用户设备的结构示意图；

图36为本发明实施例三十五提供的一种控制网元的结构示意图；

图37为本发明实施例三十六提供的一种近距离通信控制网元的结构示意图；

图38为本发明实施例三十七提供的一种用户设备的结构示意图；

图39为本发明实施例三十八提供的一种近距离通信控制网元的结构示意图；

图40为本发明实施例三十九提供的一种用户设备的结构示意图；

图41为本发明实施例四十提供的一种控制网元的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例的密钥协商方法，应用于如图1所示的ProSe系统中，如图1所示，包括UE、演进的分组核心(Evolved Packet Core,EPC)、近距离通信控制网元(ProSe Function)和演进的通用陆基无线接入网(E-UTRAN)。UE与近距离通信控制网元之间通过PC3接口进行相互通信。通过PC3接口，近距离通信控制网元可以向UE传递配置信息和信令。

实施例一

下面以图2为例详细说明本发明实施例一提供的密钥协商方法，图2为本发明实施例一提供的一种密钥协商方法流程图，在本发明实施例中实施主体为ProSe系统中的近距离通信控制网元(ProSe Function)。

如图2所示，该实施例具体包括以下步骤：

步骤201，近距离通信控制网元接收用户设备(UE)发送的注册请求信息；

具体的，注册请求信息中可以包括UE的身份标识(UE ID)，如IMSI，此外还可以包括其他标识信息或密钥协商参数等等。

步骤202，向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包含UE的身份标识，用于向控制网元请求此UE相关的安全参数。

步骤203，接收控制网元根据所述安全上下文请求信息发送的安全上下文响应信息；

具体的，安全上下文响应信息用于向近距离通信控制网元发送UE相关的安全参数。

步骤204，根据所述安全上下文响应信息确定协商密钥；

在一个具体的例子中，当所述安全上下文请求信息包括所述近距离通信控制网元生成的或由注册请求信息中获取的第一密钥协商参数时，所述根据所述安全上下文响应信息确定协商密钥可以具体为：

所述近距离通信控制网元由所述安全上下文响应信息中，获取所述控制网元根据所述第一密钥协商参数和存储的共享密钥生成的协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥。

其中，控制网元可以具体为移动管理实体(Mobility Management Entity，MME)或者归属用户服务器(Home Subscriber Server，HSS)。当控制网元为MME时，SharedKey可以具体为Kasme，NAS Key，或者NH；当控制网元为HSS时，Sharedkey可以具体为CK，IK,Kasme或者K。

在另一个具体的例子中，当所述安全上下文请求信息包括所述近距离通信控制网元生成的或由注册请求信息中获取的第一密钥协商参数时，所述根据所述安全上下文响应信息确定协商密钥可以具体为：

在一个具体的例子中，当所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元存储的共享密钥时，所述根据所述安全上下文响应信息确定协商密钥可以具体为：

所述近距离通信控制网元根据所述安全上下文响应信息中携带的第一密钥协商参数和所述共享密钥生成所述协商密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥。

在另一个具体的例子中，当所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元存储的共享密钥时，所述根据所述安全上下文响应信息确定协商密钥可以具体为：

在又一个具体的例子中，当所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元生成的基本密钥时，所述根据所述安全上下文响应信息确定协商密钥具体为：

步骤205，向所述用户设备发送注册响应信息，用以所述用户设备根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

具体的，所述注册响应信息包括从所述安全上下文响应信息中获取的所述第一密钥协商参数，或者所述近距离通信控制网元生成的所述第一密钥协商参数。

可选的，近距离通信控制网元还可以利用协商密钥对注册响应信息进行完整性保护。在用户设备生成协商密钥之后，可以利用协商密钥对校验码进行验证。

通过应用本发明实施例提供的密钥协商方法，为UE与近距离通信控制网元之间的密钥协商提供了完整的解决方案，在不改变现有ProSe的架构的基础上，实现UE与近距离通信控制网元之间的密钥协商。

实施例二

下面以图3为例详细说明本发明实施例二提供的密钥协商方法，图3为本发明实施例二提供的一种密钥协商方法流程图，在本发明实施例中实施主体为ProSe系统中的UE。

如图3所示，该实施例具体包括以下步骤：

步骤301，用户设备向近距离通信控制网元发送注册请求信息；

步骤302，用户设备接收所述近距离通信控制网元发送的注册响应信息；

具体的，注册响应信息中可以包括第一密钥协商参数。

步骤303，根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

在一个具体的例子中，在所述用户设备向近距离通信控制网元发送注册请求信息之前，所述用户设备生成第一密钥协商参数，以使用户设备在向近距离通信控制网元发送的注册请求信息中携带第一密钥协商参数。

根据所述注册响应信息生成协商密钥具体为：用户设备根据所述第一密钥协商参数和用户设备内存储的共享密钥生成协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥。

在另一个具体的例子中，当注册响应信息包括第一密钥协商参数时，用户设备根据所述第一密钥协商参数和存储的共享密钥生成协商密钥。

在又一个具体的例子中，当注册响应信息包括第一密钥协商参数时，用户设备根据所述第一密钥协商参数和存储的共享密钥生成基本密钥；再根据所述基本密钥和用户设备存储的第二密钥协商参数生成协商密钥。

实施例三

下面以图4为例详细说明本发明实施例三提供的密钥协商方法，图4为本发明实施例三提供的一种密钥协商方法流程图，在本发明实施例中实施主体为控制网元，该控制网元处于ProSe系统的EPC中。

如图4所示，该实施例具体包括以下步骤：

步骤401，控制网元接收近距离通信控制网元发送的安全上下文请求信息；

步骤402，根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息。

可选的，在根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息之前，还包括：

生成第一密钥协商参数；

根据所述安全上下文请求信息生成安全上下文响应信息，所述安全上下文响应信息中包括第一密钥协商参数。

根据所述存储的共享密钥和所述控制网元生成的第一密钥协商参数生成协商密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；

前述实施例中分别以近距离通信控制网元、用户设备和控制网元为执行主体说明了密钥协商方法的过程，在下述实施例四到实施例十二中，结合ProSe系统中的UE、控制网元和近距离通信控制网元，分别对密钥协商方法的具体实施过程进行详细的说明。需要说明的是，在执行下述各个实施例的密钥协商方法之前，控制网元已经预先与UE通过第四代移动通讯网络的认证与密钥协商协议(Authentication and Key Agreement,AKA)进行了认证，控制网元和UE内分别存储有控制网元与UE之间的共享密钥(SharedKey)。

实施例四

如图5所示，图5为本发明实施例提供的第一种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤501，UE向近距离通信控制网元发送注册请求信息；

具体的，注册请求信息中可以包括UE的身份标识(UE ID)，如IMSI。

步骤502，近距离通信控制网元生成第一密钥协商参数p1；

具体的，第一密钥协商参数p1为用于完成近距离通信控制网元与UE进行密钥协商的参数；第一密钥协商参数p1可以具体包括计数器值、时间、序列号、随机数或新鲜参数中的任意一个或多个，也可以包括其他形式的参数。

步骤503，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID和p1。

步骤504，控制网元根据安全上下文请求信息生成协商密钥Kp；

具体的，在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元由安全上下文请求信息中获取p1，根据p1和SharedKey进行密钥推衍函数计算。具体如下式：

Kp＝KDF(SharedKey,p1) (式1)

其中KDF()为密钥推衍函数；另外，不局限于KDF函数，其他安全的函数也可以用于Kp的推衍，如安全的NMAC函数。

控制网元可以具体为移动管理实体(Mobility Management Entity，MME)或者归属用户服务器(Home Subscriber Server，HSS)。当控制网元为MME时，SharedKey可以具体为Kasme，NAS Key，或者NH；当控制网元为HSS时，Sharedkey可以具体为CK，IK,Kasme或者K。

步骤505，控制网元向所述近距离通信控制网元发送安全上下文响应信息；

具体的，安全上下文响应信息中包括协商密钥Kp。

步骤506，近距离通信控制网元向UE发送注册响应信息；

具体的，注册响应信息中包括第一密钥协商参数p1。

步骤507，近距离通信控制网元由安全上下文响应信息中获取协商密钥Kp；

上述步骤507可以在步骤506之前执行，也可以与步骤506并行执行。

步骤508，UE根据接收到的注册响应信息生成协商密钥Kp。

具体的，UE中预先存储有控制网元与UE之间的SharedKey。UE由注册响应信息中获取p1，根据p1和SharedKey进行密钥推衍函数计算，从而得到协商密钥Kp。具体计算公式同式1。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行完整性保护。具体的，在步骤506中，近距离通信控制网元向UE发送的注册响应信息中还可以包括校验码。所述校验码为根据Kp和注册响应信息生成的校验码。在步骤508中生成协商密钥Kp之后，可以利用Kp和接收到的注册响应信息对校验码进行验证。

实施例五

如图6所示，图6为本发明实施例提供的第二种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤601，UE向近距离通信控制网元发送注册请求信息；

具体的，注册请求信息中可以包括UE ID，具体可以如IMSI。

步骤602，近距离通信控制网元生成第一密钥协商参数p1；

步骤603，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID。

步骤604，控制网元根据安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息；

具体的，在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元在安全上下文响应信息中携带SharedKey发送给近距离通信控制网元。

步骤605，近距离控制网元根据安全上下文响应信息生成协商密钥Kp；

具体的，近距离控制网元由安全上下文请求信息中获取SharedKey，根据步骤602中生成的p1和SharedKey进行密钥推衍函数计算。具体如式1。

步骤606，近距离通信控制网元向UE发送注册响应信息；

具体的，注册响应信息中包括第一密钥协商参数p1。

上述步骤606可以在步骤605之前执行，也可以与步骤605并行执行。

步骤607，UE根据接收到的注册响应信息生成协商密钥Kp。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行完整性保护。具体的，在步骤606中，近距离通信控制网元向UE发送的注册响应信息中还可以包括校验码。所述校验码为根据Kp和注册响应信息生成的校验码。在步骤607中生成协商密钥Kp之后，可以利用Kp和接收到的注册响应信息对校验码进行验证。

实施例六

如图7所示，图7为本发明实施例提供的第三种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤701，UE生成第一密钥协商参数p1；

步骤702，UE向近距离通信控制网元发送注册请求信息；

具体的，注册请求信息中可以包括UE ID和p1，其中，UE ID可以是IMSI。

步骤703，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID和p1。

步骤704，控制网元根据安全上下文请求信息生成协商密钥Kp；

具体的，在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元由安全上下文请求信息中获取p1，根据p1和SharedKey进行密钥推衍函数计算。具体同前述式1，此处不再赘述。

步骤705，控制网元向所述近距离通信控制网元发送安全上下文响应信息；

具体的，安全上下文响应信息中包括协商密钥Kp。

步骤706，近距离通信控制网元向UE发送注册响应信息；

步骤707，近距离通信控制网元由安全上下文响应信息中获取协商密钥Kp；

上述步骤707可以在步骤706之前执行，也可以与步骤706并行执行。

步骤708，UE根据接收到的注册响应信息生成协商密钥Kp。

具体的，UE中预先存储有控制网元与UE之间的SharedKey。UE根据步骤701中生成的p1和SharedKey进行密钥推衍函数计算，从而得到协商密钥Kp。具体计算公式同式1。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行机密性和/或完整性保护。例如，在步骤706中，近距离通信控制网元利用Kp对向UE发送的注册响应信息进行了机密性和/或完整性处理，则在步骤708中UE在生成协商密钥Kp之后，利用Kp进行相应的解密和/或验证的操作。

实施例七

如图8所示，图8为本发明实施例提供的第四种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤801，UE生成第一密钥协商参数p1；

步骤802，UE向近距离通信控制网元发送注册请求信息；

步骤803，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID。

步骤804，控制网元根据安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息；

步骤805，近距离控制网元根据安全上下文响应信息生成协商密钥Kp；

具体的，近距离控制网元由安全上下文请求信息中获取SharedKey，根据SharedKey和注册请求信息中获取的p1进行密钥推衍函数计算。具体如式1。

步骤806，近距离通信控制网元向UE发送注册响应信息；

上述步骤806可以在步骤805之前执行，也可以与步骤805并行执行。

步骤807，UE根据接收到的注册响应信息生成协商密钥Kp。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行机密性和/或完整性保护。例如，在步骤806中，近距离通信控制网元利用Kp对向UE发送的注册响应信息进行了机密性和/或完整性处理，则在步骤807中UE在生成协商密钥Kp之后，利用Kp进行相应的解密和/或验证的操作。

实施例八

如图9所示，图9为本发明实施例提供的第五种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤901，UE向近距离通信控制网元发送注册请求信息；

具体的，注册请求信息中可以包括UE ID，具体可以如IMSI。

步骤902，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID。

步骤903，控制网元根据安全上下文请求信息生成第一密钥协商参数p1；

步骤904，控制网元生成协商密钥Kp；

具体的，在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元根据前步生成的p1和SharedKey进行密钥推衍函数计算。具体同前述式1，此处不再赘述。

步骤905，控制网元向所述近距离通信控制网元发送安全上下文响应信息；

具体的，安全上下文响应信息中包括协商密钥Kp和p1。

步骤906，近距离通信控制网元向UE发送注册响应信息；

具体的，注册响应信息中包括第一密钥协商参数p1。

步骤907，近距离通信控制网元由安全上下文响应信息中获取协商密钥Kp；

上述步骤907可以在步骤906之前执行，也可以与步骤906并行执行。

步骤908，UE根据接收到的注册响应信息生成协商密钥Kp。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行完整性保护。具体的，在步骤906中，近距离通信控制网元向UE发送的注册响应信息中还可以包括校验码。所述校验码为根据Kp和注册响应信息生成的校验码。在步骤908中生成协商密钥Kp之后，可以利用Kp和接收到的注册响应信息对校验码进行验证。

实施例九

如图10所示，图10为本发明实施例提供的第六种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤1001，UE向近距离通信控制网元发送注册请求信息；

具体的，注册请求信息中可以包括UE ID，具体可以如IMSI。

步骤1002，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID。

步骤1003，控制网元根据安全上下文请求信息生成第一密钥协商参数p1；

步骤1004，控制网元向所述近距离通信控制网元发送安全上下文响应信息；

具体的，安全上下文响应信息中包括共享密钥SharedKey和p1。

在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元可以具体为移动管理实体(Mobility Management Entity，MME)或者归属用户服务器(Home Subscriber Server，HSS)。当控制网元为MME时，SharedKey可以具体为Kasme，NAS Key，或者NH；当控制网元为HSS时，Sharedkey可以具体为CK，IK,Kasme或者K。

步骤1005，近距离控制网元根据安全上下文响应信息生成协商密钥Kp；

具体的，近距离控制网元由安全上下文请求信息中获取SharedKey和p1，根据SharedKey和p1进行密钥推衍函数计算。具体如式1。

步骤1006，近距离通信控制网元向UE发送注册响应信息；

具体的，注册响应信息中包括第一密钥协商参数p1。

上述步骤1006可以在步骤1005之前执行，也可以与步骤1005并行执行。

步骤1007，UE根据接收到的注册响应信息生成协商密钥Kp。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行完整性保护。具体的，在步骤1006中，近距离通信控制网元向UE发送的注册响应信息中还可以包括校验码。所述校验码为根据Kp和注册响应信息生成的校验码。在步骤1007中生成协商密钥Kp之后，可以利用Kp和接收到的注册响应信息对校验码进行验证。

以上实施例四至实施例九中提供的密钥协商方法都是经过一次密钥推衍获得协商密钥Kp的，下述实施例十至十二提供了经过二次推衍获得协商密钥Kp的密钥协商方法。

实施例十

如图11所示，图11为本发明实施例提供的第七种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤1101，UE向近距离通信控制网元发送注册请求信息；

步骤1102，近距离通信控制网元生成第一密钥协商参数p1；

步骤1103，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID和p1。

步骤1104，控制网元根据安全上下文请求信息生成基本密钥K1；

具体的，在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元由安全上下文请求信息中获取p1，根据p1和SharedKey进行第一次密钥推衍函数计算。具体如下式：

K1＝KDF(SharedKey,p1) (式2)

步骤1105，控制网元向所述近距离通信控制网元发送安全上下文响应信息；

具体的，安全上下文响应信息中包括基本密钥K1。

步骤1106，近距离控制网元根据安全上下文响应信息生成协商密钥Kp；

具体的，近距离控制网元由安全上下文请求信息中获取K1，根据近距离控制网元中存储的第二次密钥推衍函数p2和K1进行密钥推衍函数计算。具体如下式：

Kp＝KDF(K1,p2) (式3)

其中KDF()为密钥推衍函数；另外，不局限于KDF函数，其他安全的函数也可以用于Kp的推衍，如安全的NMAC函数；第二密钥推衍函数p2可以为UEID，近距离通信控制网元ID，算法ID,ProSe App ID中的一个或任意多个。

步骤1107，近距离通信控制网元向UE发送注册响应信息；

具体的，注册响应信息中包括第一密钥协商参数p1。

上述步骤1107可以在步骤1106之前执行，也可以与步骤1106并行执行。

步骤1108，UE根据接收到的注册响应信息生成基本密钥K1。

具体的，UE中预先存储有控制网元与UE之间的SharedKey。UE由注册响应信息中获取p1，根据p1和SharedKey进行第一次密钥推衍函数计算，得到基本密钥K1，具体计算公式同上述式2。

步骤1109，UE根据基本密钥K1生成协商密钥Kp。

具体的，因为p2为ID参数，因此UE中同样存储有第二次密钥推衍函数p2，利用p2和K1进行第二次密钥推衍函数计算，从而得到协商密钥Kp。具体计算公式同式3。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行完整性保护。具体的，在步骤1107中，近距离通信控制网元向UE发送的注册响应信息中还可以包括校验码。所述校验码为根据Kp和注册响应信息生成的校验码。在步骤1109中生成协商密钥Kp之后，可以利用Kp和接收到的注册响应信息对校验码进行验证。

实施例十一

如图12所示，图12为本发明实施例提供的第八种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤1201，UE生成第一密钥协商参数p1；

步骤1202，UE向近距离通信控制网元发送注册请求信息；

步骤1203，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了近距离通信控制网元由注册请求信息中获取的UE ID和p1。

步骤1204，控制网元根据安全上下文请求信息生成基本密钥K1；

具体的，在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元由安全上下文请求信息中获取p1，根据p1和SharedKey进行第一次密钥推衍函数计算。具体如前述式2。

步骤1205，控制网元向所述近距离通信控制网元发送安全上下文响应信息；

具体的，安全上下文响应信息中包括基本密钥K1。

步骤1206，近距离控制网元根据安全上下文响应信息生成协商密钥Kp；

具体的，近距离控制网元由安全上下文请求信息中获取K1，根据近距离控制网元中存储的第二次密钥推衍函数p2和K1进行密钥推衍函数计算。具体如前述式3。第二密钥推衍函数p2可以为UE ID，近距离通信控制网元ID，算法ID,ProSe App ID中的一个或任意多个。

步骤1207，近距离通信控制网元向UE发送注册响应信息；

具体的，注册响应信息中包括第一密钥协商参数p1。

上述步骤1207可以在步骤1206之前执行，也可以与步骤1206并行执行。

步骤1208，UE生成基本密钥K1。

具体的，UE中预先存储有控制网元与UE之间的SharedKey。UE根据在步骤1201中生成的p1和SharedKey进行第一次密钥推衍函数计算，得到基本密钥K1，具体计算公式同前述式2。

步骤1209，UE根据基本密钥K1生成协商密钥Kp。

具体的，因为p2为ID参数，因此UE中同样存储有第二次密钥推衍函数p2，利用p2和K1进行第二次密钥推衍函数计算，从而得到协商密钥Kp。具体计算公式同前述式3。

上步骤1208和步骤1209可以在步骤1201之后的任意步骤的前、后执行，或与任意步骤并行执行。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行机密性和/或完整性保护。如果在步骤1207中，近距离通信控制网元对向UE发送的注册响应信息进行了机密性和/或完整性保护，则在步骤1209中生成协商密钥Kp之后，UE可以利用Kp做相应的解密和/或验证的操作。

实施例十二

如图13所示，图13为本发明实施例提供的第九种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤1301，UE向近距离通信控制网元发送注册请求信息；

具体的，注册请求信息中可以包括UE ID，具体可以如IMSI。

步骤1302，近距离通信控制网元向控制网元发送安全上下文请求信息；

具体的，安全上下文请求信息中包括了UE ID。

步骤1303，控制网元根据安全上下文请求信息生成第一密钥协商参数p1；

步骤1304，控制网元根据安全上下文请求信息生成基本密钥K1；

具体的，在执行本实施例的密钥协商方法之前，控制网元已经预先与UE通过AKA进行认证，控制网元内存储有控制网元与UE之间的SharedKey。控制网元根据生成的p1和SharedKey进行第一次密钥推衍函数计算。具体如前述式2。

步骤1305，控制网元向所述近距离通信控制网元发送安全上下文响应信息；

具体的，安全上下文响应信息中包括基本密钥K1和第一密钥协商参数p1。

步骤1306，近距离控制网元根据安全上下文响应信息生成协商密钥Kp；

步骤1307，近距离通信控制网元向UE发送注册响应信息；

具体的，注册响应信息中包括第一密钥协商参数p1。

上述步骤1307可以在步骤1306之前执行，也可以与步骤1306并行执行。

步骤1308，UE根据接收到的注册响应信息生成基本密钥K1。

具体的，UE中预先存储有控制网元与UE之间的SharedKey。UE由注册响应信息中获取p1，根据p1和SharedKey进行第一次密钥推衍函数计算，得到基本密钥K1，具体计算公式同前述式2。

步骤1309，UE根据基本密钥K1生成协商密钥Kp。

由此，实现了UE与近距离通信控制网元共享协商密钥Kp。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行完整性保护。具体的，在步骤1307中，近距离通信控制网元向UE发送的注册响应信息中还可以包括校验码。所述校验码为根据Kp和注册响应信息生成的校验码。在步骤1309中生成协商密钥Kp之后，可以利用Kp和接收到的注册响应信息对校验码进行验证。

实施例十三

下面以图14为例详细说明本发明实施例十三提供的密钥协商方法，图14为本发明实施例十三提供的一种密钥协商方法流程图，在本发明实施例中实施主体为ProSe系统中的近距离通信控制网元(ProSe Function)。

如图14所示，该实施例具体包括以下步骤：

步骤1401，近距离通信控制网元接收用户设备发送的注册请求信息；

步骤1402，根据所述注册请求信息向控制网元发送认证数据请求信息；

具体的，控制网元可以具体为归属用户服务器(Home Subscriber Server，HSS)。

另外认证数据请求信息中可能还包括ID参数：ProSe UE ID，近距离通信控制网元ID，ProSe App ID，PLMN ID，ProSe App Code，EPC ProSe SubscriberID，Application Layer User ID，Application ID中的一个或任意多个。

步骤1403，接收所述控制网元根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES、加密密钥CK、完整性密钥IK；

另外，如果在步骤1402中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元。

步骤1404，对所述CK、IK和XRES进行存储；

步骤1405，向所述用户设备发送认证请求信息；所述认证请求信息包括由所述认证数据响应信息中获取的RAND和AUTN；

步骤1406，接收所述用户设备发送的认证响应信息；所述认证响应信息中包括所述用户设备根据所述认证请求信息生成的用户响应RES；

步骤1407，根据所述认证响应信息对所述用户设备进行认证；

具体的，对由认证响应信息中获取的RES和近距离通信控制网元中存储的XRES进行匹配，当二者相同时，近距离通信控制网元通过对用户设备的认证。

步骤1408，向所述用户设备发送注册响应信息，用以所述用户和设备根据接收到的注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，在步骤1408向所述用户设备发送注册响应信息之前，所述方法还包括：

所述近距离通信控制网元根据用户设备的安全算法列表和所述近距离通信控制网元存储的近距离通信控制网元的安全算法列表进行算法选择，得到选择出的安全算法。其中，所述注册响应信息包括所述选择出的安全算法。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元中存储有近距离通信控制网元的安全算法列表，在步骤1401收到所述用户设备发送的所述注册请求信息之后，所述方法还包括：

可选的，所述注册响应信息包括第一密钥协商参数，在向所述用户设备发送注册响应信息之前，所述方法还包括：

近距离通信控制网元生成第一密钥协商参数；

可选的，近距离通信控制网元根据所述CK、IK和存储在所述近距离通信控制网元中的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

实施例十四

下面以图15为例详细说明本发明实施例十四提供的密钥协商方法，图15为本发明实施例十四提供的一种密钥协商方法流程图，在本发明实施例中实施主体为ProSe系统中的UE。

如图15所示，该实施例具体包括以下步骤：

步骤1501，用户设备向近距离通信控制网元发送注册请求信息；

步骤1502，接收所述近距离通信控制网元发送的认证请求信息；所述认证请求信息包括所述近距离通信控制网元由所述控制网元获取的RAND和AUTN；

如果认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元。

步骤1503，利用RAND验证AUTN的正确性；

具体的，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；其中，密钥参数可以具体为K。

步骤1504，当验证所述AUTN正确时，根据所述认证请求信息计算得到CK、IK、RES；

如果HSS根据ID参数生成了CK’和IK’，UE可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为上述CK、IK。

步骤1505，向近距离通信控制网元发送认证响应信息，用以所述近距离通信控制网元根据所述认证响应信息对用户设备进行认证；所述认证响应信息中包括所述RES；

步骤1506，接收所述近距离通信控制网元发送的注册响应信息，用以根据所述注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述方法还包括：

可选的，所述注册响应信息包括所述近距离通信控制网元生成的第一密钥协商参数，所述方法还包括：

可选的，所述方法还包括：

前述实施例十三、十四中分别以近距离通信控制网元和用户设备为执行主体说明了密钥协商方法的过程，在下述实施例十五到实施例二十三中，结合ProSe系统中的UE、控制网元和近距离通信控制网元，分别对密钥协商方法的具体实施过程进行详细的说明。

实施例十五

如图16所示，图16为本发明实施例提供的第十种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤1601，UE向近距离通信控制网元发送注册请求信息；

步骤1602，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

可选的，认证数据请求信息中可能还包括ID参数：ProSe UE ID，近距离通信控制网元ID，ProSe App ID，PLMN ID，ProSe App Code，EPC ProSeSubscriberID，Application Layer User ID，Application ID中的一个或任意多个。

步骤1603，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK，或者AV包括RAND,AUTN,XRES,K1。

如果在步骤1602中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元；或者

HSS可以进一步根据CK，IK和ID参数生成K1，K1＝KDF(CK||IK,ID参数)，K1为256比特。或者，HSS根据Kasme和ID参数生成K1＝KDF(Kasme,ID参数)，其中Kasme为LTE AV参数之一；此时认证数据响应信息AV具体包括RAND,AUTN,XRES,K1。

步骤1604，近距离通信网元对接收到的XRES,CK和IK，或者XRES，K1进行存储。

步骤1605，近距离通信控制网元向用户设备发送认证请求信息；

其中，认证请求信息中包括了近距离通信控制网元从认证数据响应信息中获取的RAND和AUTN。

步骤1606，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤1607，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES，或者用户设备根据RAND和AUTN计算得到K1和RES；

如果HSS根据ID参数生成了CK’和IK’，UE可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为上述CK、IK；或者

如果HSS根据CK，IK或Kasme生成K1，UE可以进一步根据CK，IK和ID参数生成K1，K1＝KDF(CK||IK,ID参数)，K1为256比特。或者，UE根据Kasme和ID参数生成K1＝KDF(Kasme,ID参数)。

步骤1608，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤1609，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤1610，近距离通信控制网元向用户设备发送注册响应信息，用以所述用户设备根据接收到的注册响应信息和CK、IK或K1完成近距离通信控制网元与用户设备之间的密钥协商。

实施例十六

如图17所示，图17为本发明实施例提供的第十一种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤1701，UE向近距离通信控制网元发送注册请求信息；

步骤1702，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤1703，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK，或者AV包括RAND,AUTN,XRES,K1；

如果在步骤1702中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元；或者

步骤1704，近距离通信网元对接收到的XRES,CK和IK，或者XRES，K1进行存储。

步骤1705，近距离通信控制网元向用户设备发送认证请求信息；

步骤1706，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤1707，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES，或者用户设备根据RAND和AUTN计算得到K1和RES；

步骤1708，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤1709，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤1710，近距离通信控制网元生成第一密钥协商参数p1；

具体的，第一密钥协商参数p1为用于完成近距离通信控制网元与UE进行密钥协商的参数；第一密钥协商参数p1可以具体为新鲜参数(FreshParameter)。

步骤1711，近距离通信控制网元向用户设备发送注册响应信息，用以所述用户设备根据接收到的注册响应信息完成近距离通信控制网元与用户设备之间的密钥协商。

具体的，注册响应信息中包括近距离通信控制网元生成的第一密钥协商参数p1。

步骤1712，近距离通信控制网元生成协商密钥Kp；

具体的，近距离通信控制网元根据第一密钥协商参数p1和IK、CK进行密钥推衍函数计算。具体如下式：

Kp＝KDF(CK||IK,p1) (式4)

其中KDF()为密钥推衍函数；另外，不局限于KDF函数，其他安全的函数也可以用于Kp的推衍，如安全的NMAC函数；或者

Kp＝KDF(K1,p1) (式5)

步骤1713，用户设备根据接收到的注册响应信息生成协商密钥Kp；

具体的，用户设备根据由注册响应信息中获取的第一密钥协商参数p1和IK、CK或者K1进行密钥推衍函数计算。具体如上述步骤1712内计算方式。

实施例十七

如图18所示，图18为本发明实施例提供的第十二种密钥协商方法的信令图。该实施例具体包括以下步骤：

其中步骤1801至步骤1810与前述实施例十五中步骤1601至步骤1610的执行过程一样，此处不再赘述。

在步骤1810之后，还包括：

步骤1811，近距离通信控制网元根据存储的第二次密钥推衍函数p2和CK、IK进行密钥推衍函数计算。具体如下式：

Kp＝KDF(CK||IK,p2) (式6)

其中KDF()为密钥推衍函数；另外，不局限于KDF函数，其他安全的函数也可以用于Kp的推衍，如安全的NMAC函数；第二密钥推衍函数p2具体为用户设备与近距离通信控制网元之间共享的ID信息。

步骤1812，用户设备根据接收到的注册响应信息生成协商密钥Kp；

具体的，用户设备在接收到注册响应信息之后，根据存储的第二次密钥推衍函数p2和CK、IK进行密钥推衍函数计算。具体如上述式6。

实施例十八

如图19所示，图19为本发明实施例提供的第十三种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤1901，UE向近距离通信控制网元发送注册请求信息；

具体的，注册请求信息中包括UE的身份标识(UE ID)，如IMSI，还包括UE的安全算法列表。UE的安全算法列表中包括了UE支持的全部安全算法。

步骤1902，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤1903，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK；或者AV包括RAND,AUTN,XRES,K1

如果在步骤1902中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元；或者

步骤1904，近距离通信网元对接收到的XRES,CK和IK；或XRES，K1进行存储。

步骤1905，近距离通信控制网元向用户设备发送认证请求信息；

步骤1906，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤1907，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES，或者用户设备根据RAND和AUTN计算得到K1和RES；

步骤1908，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤1909，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤1910，近距离通信控制网元根据存储的近距离通信网元的安全算法列表，与在前述步骤1901中获取的UE的安全算法列表进行算法选择。

其中算法选择可以为，根据近距离通信网元的安全算法列表中的优先级顺序，依次对近距离通信控制网元的安全算法列表中安全算法与UE的安全算法列表中的算法进行匹配，第一个匹配成功的安全算法即为选择出的算法。

步骤1911，近距离通信控制网元向用户设备发送注册响应信息，其中注册响应信息中包括近距离通信控制网元确定的选择出的安全算法。

其中，步骤1910可以在步骤1901至步骤1911之间的任意步骤的前后执行，或与步骤1902至步骤1909任一步骤并行。

可选的，近距离通信控制网元还可以利用IK对注册响应信息进行完整性保护。

实施例十九

如图20所示，图20为本发明实施例提供的第十四种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤2001，UE向近距离通信控制网元发送注册请求信息；

步骤2002，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤2003，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK；或者AV包括RAND,AUTN,XRES,K1。

如果在步骤2002中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元；或者

HSS可以进一步根据CK，IK和ID参数生成K1，K1＝KDF(CK||IK,ID参数)，K1为256比特。或者，HSS根据Kasme和ID参数生成K1，其中Kasme为LTEAV参数之一；此时认证数据响应信息AV具体包括RAND,AUTN,XRES,K1。

步骤2004，近距离通信网元对接收到的XRES,CK和IK进行存储。

步骤2005，近距离通信控制网元向用户设备发送认证请求信息；

步骤2006，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤2007，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES，或者用户设备根据RAND和AUTN计算得到K1和RES；

如果HSS根据CK，IK或Kasme生成K1，UE可以进一步根据CK，IK和ID参数生成K1，K1＝KDF(CK||IK,ID参数)，K1为256比特。或者，UE根据Kasme和ID参数生成K1。

步骤2008，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤2009，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤2010，近距离通信控制网元生成第一密钥协商参数p1；

步骤2011，近距离通信控制网元生成协商密钥Kp；

Kp＝KDF(CK||IK,p1) (式4)

Kp＝KDF(K1,p1) (式5)

步骤2012，近距离通信控制网元根据存储的近距离通信网元的安全算法列表，与在前述步骤2001中获取的UE的安全算法列表进行算法选择。

其中，步骤2012可以在步骤2001至步骤2011之间的任意步骤的前后执行，或与步骤2002至步骤2011任一步骤并行。

步骤2013，近距离通信控制网元向用户设备发送注册响应信息，其中注册响应信息中包括近距离通信控制网元确定的选择出安全算法，和第一密钥协商参数p1。

可选的，近距离通信控制网元还可以利用Kp对注册响应信息进行完整性保护。

步骤2014，用户设备根据接收到的注册响应信息生成协商密钥Kp；

具体的，用户设备根据由注册响应信息中获取的第一密钥协商参数p1和IK、CK或者K1进行密钥推衍函数计算。具体如上述步骤2011内计算方式。

实施例二十

如图21所示，图21为本发明实施例提供的第十五种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤2101，UE向近距离通信控制网元发送注册请求信息；

步骤2102，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤2103，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK；

如果在步骤2102中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元。

步骤2104，近距离通信网元对接收到的XRES,CK和IK进行存储。

步骤2105，近距离通信控制网元向用户设备发送认证请求信息；

步骤2106，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤2107，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES；

步骤2108，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤2109，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤2110，近距离通信控制网元生成协商密钥Kp；

具体的，近距离通信控制网元根据存储的第二密钥协商参数p2和IK、CK进行密钥推衍函数计算。具体如下式：

Kp＝KDF(CK||IK,p2) (式6)

其中KDF()为密钥推衍函数；另外，不局限于KDF函数，其他安全的函数也可以用于Kp的推衍，如安全的NMAC函数。第二密钥推衍函数p2为UE与近距离通信控制网元之间共享的ID信息。

步骤2111，近距离通信控制网元根据存储的近距离通信网元的安全算法列表，与在前述步骤2101中获取的UE的安全算法列表进行算法选择。

其中，步骤2111可以在步骤2101至步骤2110之间的任意步骤的前后执行，或与步骤2101至步骤2110任一步骤并行。

步骤2112，近距离通信控制网元向用户设备发送注册响应信息，其中注册响应信息中包括近距离通信控制网元确定的选择出的安全算法。

步骤2113，用户设备根据接收到的注册响应信息生成协商密钥Kp；

具体的，用户设备根据存储的第二密钥协商参数p2和IK、CK进行密钥推衍函数计算。具体如上述式6。

实施例二十一

如图22所示，图22为本发明实施例提供的第十六种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤2201，UE向近距离通信控制网元发送注册请求信息；

步骤2202，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤2203，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK；

如果在步骤2202中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元。

步骤2204，近距离通信网元对接收到的XRES,CK和IK进行存储。

步骤2205，近距离通信控制网元向用户设备发送认证请求信息；

步骤2206，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤2207，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES；

步骤2208，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤2209，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤2210，近距离通信控制网元向用户设备发送注册响应信息，其中注册响应信息中包括近距离通信控制网元的安全算法列表。

步骤2211，用户设备根据存储的UE的安全算法列表，与在前述步骤2210中获取的近距离通信控制网元的安全算法列表进行算法选择。

步骤2212，近距离通信控制网元根据存储的近距离通信网元的安全算法列表，与在前述步骤2201中获取的UE的安全算法列表进行算法选择。

具体的，根据近距离通信网元的安全算法列表中的优先级顺序，依次对近距离通信控制网元的安全算法列表中加密算法与UE的安全算法列表中的加密算法进行匹配，第一个匹配成功的安全算法即为选择出的加密算法。对完整性算法的选择也采用相同的方法。

实施例二十二

如图23所示，图23为本发明实施例提供的第十七种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤2301，UE向近距离通信控制网元发送注册请求信息；

步骤2302，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤2303，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK；

如果在步骤2302中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元。

步骤2304，近距离通信网元对接收到的XRES,CK和IK进行存储。

步骤2305，近距离通信控制网元向用户设备发送认证请求信息；

步骤2306，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤2307，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES；

步骤2308，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤2309，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤2310，近距离通信控制网元生成第一密钥协商参数p1；

步骤2311，近距离通信控制网元生成协商密钥Kp；

Kp＝KDF(CK||IK,p1) (式4)

步骤2312，近距离通信控制网元根据存储的近距离通信网元的安全算法列表，与在前述步骤2301中获取的UE的安全算法列表进行算法选择。

步骤2313，近距离通信控制网元向用户设备发送注册响应信息，其中注册响应信息中包括近距离通信控制网元确定的选择出的安全算法，以及第一密钥协商参数p1。

步骤2314，用户设备根据接收到的注册响应信息生成协商密钥Kp；

具体的，用户设备根据由注册响应信息中获取的第一密钥协商参数p1和IK、CK进行密钥推衍函数计算。具体如上述式4。

步骤2315，用户设备根据存储的UE的安全算法列表，与在前述步骤2313中获取的近距离通信控制网元的安全算法列表进行算法选择。

具体的，根据近距离通信网元的安全算法列表中的优先级顺序，依次对近距离通信控制网元的安全算法列表中加密算法与UE的安全算法列表中的加密算法进行匹配，第一个匹配成功的安全算法即为选择出的加密算法。对完整性算法的选择也采用相同的方法。如果没有匹配成功的加密算法或完整性算法，则确定一个缺省算法作为安全算法。

实施例二十三

如图24所示，图24为本发明实施例提供的第十八种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤2401，UE向近距离通信控制网元发送注册请求信息；

步骤2402，近距离通信控制网元向控制网元发送认证数据请求信息，认证数据请求信息中包括UE ID。控制网元可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤2403，近距离通信控制网元接收控制网元根据认证数据请求信息返回的认证数据响应信息AV，其中具体包括RAND,AUTN,XRES,CK和IK；

如果在步骤2402中认证数据请求信息包含ID参数，或者HSS内配置了ID参数，HSS可以进一步根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元。

步骤2404，近距离通信网元对接收到的XRES,CK和IK进行存储。

步骤2405，近距离通信控制网元向用户设备发送认证请求信息；

步骤2406，UE根据接收到的RAND和UE内部存储的密钥参数，对AUTN的正确性进行验证；

其中，密钥参数可以具体为K。

步骤2407，当验证通过后，用户设备根据RAND和AUTN计算得到CK、IK和RES；

步骤2408，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤2409，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤2410，近距离通信控制网元生成协商密钥Kp；

Kp＝KDF(CK||IK,p2) (式6)

其中KDF()为密钥推衍函数；另外，不局限于KDF函数，其他安全的函数也可以用于Kp的推衍，如安全的NMAC函数。第二密钥推衍函数p2具体为用户设备与近距离通信控制网元之间共享的ID信息。

步骤2411，近距离通信控制网元根据存储的近距离通信网元的安全算法列表，与在前述步骤2401中获取的UE的安全算法列表进行算法选择。

步骤2412，近距离通信控制网元向用户设备发送注册响应信息，其中注册响应信息中包括近距离通信控制网元确定的选择出的安全算法。

步骤2413，用户设备根据接收到的注册响应信息生成协商密钥Kp；

具体的，用户设备根据存储的第一密钥协商参数p2和IK、CK进行密钥推衍函数计算。具体如上述式6。

步骤2414，用户设备根据存储的UE的安全算法列表，与在前述步骤2412中获取的近距离通信控制网元的安全算法列表进行算法选择。

实施例二十四

下面以图25为例详细说明本发明实施例二十四提供的密钥协商方法，图26为本发明实施例二十四提供的一种密钥协商方法流程图，在本发明实施例中实施主体为ProSe系统中的近距离通信控制网元(ProSe Function)。

如图25所示，该实施例具体包括以下步骤：

步骤2501，近距离通信控制网元接收用户设备发送的请求信息；

具体的，所述请求消息可以为注册请求消息，也可以为其他类型的请求消息。请求信息中包括UE的身份标识(UE ID)，如IMSI。

步骤2502，根据所述请求信息向归属用户服务器(Home SubscriberServer，HSS)发送认证数据请求信息；

具体的，所述认证数据请求信息中包括用户设备ID和ID参数；ID参数可以包括：ProSe UE ID，近距离通信控制网元ID，ProSe App ID，PLMN ID，ProSe App Code，EPC ProSe Subscriber ID，Application Layer User ID，Application ID中的一个或任意多个。

步骤2503，接收所述HSS根据所述认证数据请求信息发送的认证数据响应信息；

其中，所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES、推衍加密密钥CK’和推衍完整性密钥IK’，或者认证数据响应信息AV包括：随机数RAND、AUTN参数、期望的用户响应XRES和基本密钥K1；

具体的，HSS根据密钥协商协议(AKA)算法对认证数据请求信息进行计算，得到随机数RAND、AUTN参数、期望的用户响应XRES、加密密钥CK和完整性密钥IK。

可选的，鉴权令牌(AUTN)中包括认证管理域(Authentication ManagementField，AMF)参数，所述AMF参数的第X比特位为对CK,IK做进一步推衍的标志位；其中，第X比特为AMF参数中空闲的8个比特中的任意一个，0≤X≤7。比如，HSS将该第X比特位的值置为1，以此作为进一步推衍的标识信息。

之后，

HSS进一步根据CK、IK和ID参数完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；或者，CK’为Key的后128比特，IK’为Key的前128比特。然后将CK’和IK’发送给近距离通信控制网元。

或者，HSS进一步根据CK、IK和ID参数完成K1的计算：K1＝KDF(CK||IK,ID参数)。

步骤2504，向所述用户设备发送认证请求信息；

具体的，所述认证请求信息包括由所述认证数据响应信息中获取的RAND和AUTN；

步骤2505，接收所述用户设备发送的认证响应信息；

具体的，所述认证响应信息中包括所述用户设备根据所述认证请求信息生成的用户响应RES；用户设备在接收到认证请求信息后，会验证AUTN中AMF的第X个比特位是否被置位；若第X比特被置位，则生成认证响应信息，若第X比特没有被置位，UE会中断认证过程。例如：判断是否被置位的方法可以为判断第X比特是否为1。

步骤2506，根据所述认证响应信息对所述用户设备进行认证；

步骤2507，向所述用户设备发送响应信息，用以所述用户设备根据接收到的响应信息完成所述近距离通信控制网元与所述用户设备之间的根据所述推衍加密密钥CK’、推衍完整性密钥IK’；或者，基本密钥K1进行的密钥协商。

可选的，所述响应信息可以为注册响应信息，也可以是其他类型的响应信息，包括第一密钥协商参数，在认证数据响应信息为五元组的情况下，在向所述用户设备发送响应信息之前，所述方法还包括：

生成第一密钥协商参数p1；

在所述响应信息中携带所述第一密钥协商参数p1。

在发送响应信息之后，近距离通信控制网元根据所述第一密钥协商参数p1和CK’、IK’进行密钥推衍函数计算，得到协商密钥Kp：

Kp＝KDF(CK’||IK’,p1)。

可选的，在认证数据响应信息为五元组的情况下，所述近距离通信控制网元根据所述CK’、IK’和存储的第二密钥协商参数p2进行密钥推衍函数计算，得到协商密钥Kp:

Kp＝KDF(CK’||IK’,p2)。

可选的，所述响应信息包括第一密钥协商参数，在认证数据响应信息为四元组的情况下，在向所述用户设备发送响应信息之前，所述方法还包括：

生成第一密钥协商参数p1；

在所述响应信息中携带所述第一密钥协商参数p1。

在发送响应信息之后，近距离通信控制网元根据所述第一密钥协商参数p1和K1进行密钥推衍函数计算，得到协商密钥Kp：

Kp＝KDF(K1,p1)。

可选的，在认证数据响应信息为四元组的情况下，根据K1和存储的第二密钥协商参数p2进行密钥推衍函数计算，得到协商密钥Kp：

Kp＝KDF(K1,p2)。

可选的，所述方法还包括：在向用户设备发送认证请求信息之前，对所述认证数据响应信息进行存储；

具体的，如果认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES、推衍加密密钥CK’和推衍完整性密钥IK’，对CK’、IK’和XRES进行存储；

如果认证数据响应信息AV包括：随机数RAND、AUTN参数、期望的用户响应XRES和基本密钥K1，对K1和XRES进行存储。

进一步可选的，CK’,IK’的推衍可以在验证完认证响应信息之后执行；也可以在发送注册响应信息之后执行。

实施例二十五

下面以图26为例详细说明本发明实施例二十五提供的密钥协商方法，图26为本发明实施例二十五提供的一种密钥协商方法流程图，在本发明实施例中实施主体为ProSe系统中的UE。

如图26所示，该实施例具体包括以下步骤：

步骤2601，用户设备向近距离通信控制网元发送请求信息；

具体的，请求信息可以为注册请求信息，也可以是其他类型的请求信息，其中包括UE的身份标识(UE ID)，如IMSI。

步骤2602，接收所述近距离通信控制网元发送的认证请求信息AV；

具体的，所述认证请求信息AV包括所述近距离通信控制网元由所述HSS获取的RAND和AUTN；

可选的，AUTN中包括认证管理域(Authentication Management Field，AMF)参数，所述AMF参数的第X比特位为对CK,IK做进一步推衍的标志位；其中，第X比特为AMF参数中空闲的8个比特中的任意一个，0≤X≤7。比如，HSS将该第X比特位的值置为1，以此作为进一步推衍的标识信息；所述CK，IK为通过密钥协商协议AKA算法计算得到的加密密钥和完整性密钥。

步骤2603，根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；

步骤2604，根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1；

具体的，AUTN可以为四元组或者五元组；ID参数预先存储在UE中，UE根据所述CK、IK和所述ID参数进行密钥推衍函数计算。

UE根据CK、IK和ID参数得到推衍加密密钥CK’、推衍完整性密钥IK’；具体过程为，计算Key＝KDF(CK||IK,ID参数)，其中CK’为Key的前128比特，IK’为Key的后128比特，或者，CK’为Key的后128比特，IK’为Key的前128比特。用户设备生成认证响应信息，其中认证响应信息包括RES。或者

UE根据CK、IK和ID参数计算得到K1。

步骤2605，向近距离通信控制网元发送认证响应信息；

具体的所述认证响应信息用以所述近距离通信控制网元根据所述认证响应信息对用户设备进行认证；所述认证响应信息中包括所述RES；近距离通信控制网元对由认证响应信息中获取的RES和近距离通信控制网元中存储的XRES进行匹配，当二者相同时，近距离通信控制网元通过对用户设备的认证。

步骤2606，接收所述近距离通信控制网元发送的响应信息，用以根据所述响应信息完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

可选的，所述响应信息可以为注册响应信息，也可以是其他类型的响应信息，响应信息中还包括近距离通信控制网元生成的第一密钥协商参数p1。用户设备根据所述CK’、IK’和所述第一密钥协商参数p1进行密钥推衍函数计算，得到协商密钥:

Kp＝KDF(CK’||IK’,p1)。

可选的，用户设备中存储有第二密钥协商参数p2,用户设备根据所述CK’、IK’和存储的第二密钥协商参数p2进行密钥推衍函数计算，得到协商密钥Kp:

Kp＝KDF(CK’||IK’,p2)。

可选的，响应信息包括第一密钥协商参数，用户设备根据所述第一密钥协商参数p1和K1进行密钥推衍函数计算，得到协商密钥Kp：

Kp＝KDF(K1,p1)。

可选的，用户设备根据K1和存储的第二密钥协商参数p2进行密钥推衍函数计算，得到协商密钥Kp：

Kp＝KDF(K1,p2)。

可选的，在步骤2603之前，该方法还可以包括：验证所述认证请求信息的正确性；

具体的，用户设备在接收到认证请求信息后，会验证AUTN中AMF的第X个比特位是否被置位，例如判定AUTN中AMF的第X个比特位是否为1。

如果第X个比特位不为1，UE中断认证过程。

如果第X个比特位为1，则根据认证请求信息计算得到RES、CK、IK，并根据所述CK、IK和所述ID参数进行密钥推衍函数计算，得到推衍加密密钥CK’、推衍完整性密钥IK’；具体过程为，计算Key＝KDF(CK||IK,ID参数)，其中CK’为Key的前128比特，IK’为Key的后128比特，或者，CK’为Key的后128比特，IK’为Key的前128比特。用户设备生成认证响应信息，其中认证响应信息包括RES。或者如果第X个比特位为1，则根据认证请求信息计算得到RES、CK、IK，并根据CK、IK和所述ID参数计算K1＝KDF(CK||IK,ID参数)。

进一步可选的，上述CK’,IK’的推衍可以在计算完CK和IK之后执行；也可以在接收到注册响应消息之后执行。

实施例二十六

下面以图27为例详细说明本发明实施例二十六提供的密钥协商方法，图27为本发明实施例二十六提供的一种密钥协商方法流程图，在本发明实施例中实施主体为ProSe系统中的HSS。

如图27所示，该实施例具体包括以下步骤：

步骤2701，HSS接收近距离通信控制网元发送的认证数据请求信息；

具体的，所述认证数据请求信息包括ID参数，或者所述HSS中存储有ID参数。

步骤2702，根据所述认证数据请求信息计算出认证向量；所述认证向量包括：加密密钥CK、完整性密钥IK；

具体的，HSS通过密钥协商协议AKA算法计算得到加密密钥CK、完整性密钥IK；此外还包括RAND,AUTN,XRES；

可选的，AUTN中包括AMF参数，所述AMF参数的第X比特位为对CK,IK做进一步推衍的标志位；其中，第X比特为AMF参数中空闲的8个比特中的任意一个，0≤X≤7。例如：HSS将该第X比特位的值置为1，以此作为进一步推衍的标识信息。

步骤2703，根据所述CK，IK和ID参数完成对推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1的计算；

具体的，HSS进一步根据CK、IK和ID参数完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；或者，CK’为Key的后128比特，IK’为Key的前128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元。

步骤2704，向近距离通信控制网元发送所述认证数据响应信息，所述认证数据响应信息包括所述CK’、IK’，或，所述K1。

具体的，认证数据响应信息AV＝(RAND,AUTN,XRES,CK’,IK’)或者AV＝(RAND,AUTN,XRES,K1)。

该认证数据响应信息用于实现UE与近距离通信控制网元之间的密钥协商。

前述实施例二十四至二十六中分别以近距离通信控制网元、用户设备和HSS为执行主体说明了密钥协商方法的过程，在下述实施例二十七到实施例三十二中，结合ProSe系统中的UE、HSS和近距离通信控制网元，分别对密钥协商方法的具体实施过程进行详细的说明。

实施例二十七

如图28所示，图28为本发明实施例提供的第十九种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤2801，UE向近距离通信控制网元发送请求信息；

具体的，注册请求信息中包括UE的身份标识(UE ID)，如IMSI。

步骤2802，近距离通信控制网元向HSS发送认证数据请求信息，认证数据请求信息中包括UE ID和ID参数。

ID参数具体可以包括：ProSe UE ID，近距离通信控制网元ID，ProSe AppID，PLMN ID，ProSe App Code，EPC ProSe SubscriberID，Application LayerUser ID，Application ID中的一个或任意多个。

步骤2803，HSS根据所述ID参数，通过密钥协商协议AKA算法计算得到认证数据响应信息；所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES和推衍加密密钥CK’和推衍完整性密钥IK’。

AUTN中包括认证管理域(Authentication Management Field，AMF)参数，所述AMF参数的第X比特位为对CK,IK做进一步推衍的标志位；其中，第X比特为AMF参数中空闲的8个比特中的任意一个，0≤X≤7。比如，HSS将该第X比特位的值置为1，以此作为进一步推衍的标识信息；所述CK，IK为通过密钥协商协议AKA算法计算得到的加密密钥和完整性密钥。

具体的，HSS根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；或者，CK’为Key的后128比特，IK’为Key的前128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元；此时，AV具体包括RAND,AUTN,XRES,CK’和IK’；

步骤2804，近距离通信控制网元接收HSS根据认证数据请求信息返回的认证数据响应信息AV，其中AV具体包括RAND,AUTN,XRES,CK’和IK’。

步骤2805，近距离通信网元对接收到的XRES,CK’和IK’进行存储。

步骤2806，近距离通信控制网元向用户设备发送认证请求信息；

步骤2807，UE根据接收到的AUTN进行验证，当验证通过时计算CK’、IK’和RES生成认证响应信息；

具体的，用户设备在接收到认证请求信息后，会验证AUTN中AMF的第X个比特位是否被置位；例如：验证AUTN中AMF的第X个比特位是否为1。如果第X个比特位为1，则UE根据认证请求信息计算得到RES，CK和IK，并进一步根据ID参数，采用和HSS相同的方法计算得到CK’、IK’。

步骤2808，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤2809，近距离通信控制网元根据认证响应信息对用户设备进行认证；

具体的，近距离通信控制网元对认证响应信息中获取的RES和近距离通信控制网元中存储的XRES进行匹配，当二者相同时，近距离通信控制网元通过对用户设备的认证。

步骤2810，近距离通信控制网元向用户设备发送响应信息，用以所述用户设备根据接收到的响应信息完成近距离通信控制网元与用户设备之间的密钥协商。

具体的，向所述用户设备发送注册响应信息，用以所述用户设备根据接收到的注册响应信息完成所述近距离通信控制网元与所述用户设备之间的所述推衍加密密钥CK’、推衍完整性密钥IK’的协商；或者，完成基本密钥K1的协商。

进一步可选的：用户设备根据CK和IK对CK’,IK’的推衍可以在计算完CK和IK之后执行；也可以在接收到注册响应信息之后执行。

实施例二十八

如图29所示，图29为本发明实施例提供的第二十种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤2901，UE向近距离通信控制网元发送请求信息；

具体的，注册请求信息中包括UE的身份标识(UE ID)，如IMSI。

步骤2902，近距离通信控制网元向HSS发送认证数据请求信息，认证数据请求信息中包括UE ID和ID参数。HSS可以具体为归属用户服务器(HomeSubscriber Server，HSS)。

步骤2903，HSS根据所述ID参数，通过密钥协商协议AKA算法计算得到认证数据响应信息；所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES和基本密钥K1。

具体的，认证向量可以为根据所述CK、IK和ID参数进行密钥推衍函数计算得到的基本密钥K1；HSS根据CK，IK和ID参数生成K1，K1＝KDF(CK||IK,ID参数)，K1为256比特。此时认证数据响应信息AV具体包括RAND,AUTN,XRES,K1。

步骤2904，近距离通信控制网元接收HSS根据认证数据请求信息返回的认证数据响应信息AV，其中AV具体包括RAND,AUTN,XRES,K1。

步骤2905，近距离通信网元对接收到的XRES，K1进行存储。

步骤2906，近距离通信控制网元向用户设备发送认证请求信息；

步骤2907，UE根据接收到的AUTN进行验证，当验证通过时计算K1和RES生成认证响应信息；

具体的，具体的，用户设备在接收到认证请求信息后，会验证AUTN中AMF的第X个比特位是否被置位；例如：验证AUTN中AMF的第X个比特位是否为1。如果第X个比特位为1，则UE根据认证请求信息计算得到RES，CK和IK，并进一步根据ID参数，采用和HSS相同的方法计算得到K1。

步骤2908，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤2909，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤2910，近距离通信控制网元向用户设备发送响应信息，用以所述用户设备根据接收到的响应信息完成近距离通信控制网元与用户设备之间的密钥协商。

进一步可选的：用户设备对K1的推衍可以在计算完CK和IK之后执行；也可以在接收到注册响应信息之后执行。

实施例二十九

如图30所示，图30为本发明实施例提供的第二十一种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤3001，UE向近距离通信控制网元发送请求信息；

具体的，注册请求信息中包括UE的身份标识(UE ID)，如IMSI。

步骤3002，近距离通信控制网元向HSS发送认证数据请求信息，认证数据请求信息中包括UE ID和ID参数。

步骤3003，HSS根据所述ID参数，通过密钥协商协议AKA算法计算得到认证数据响应信息；所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES和推衍加密密钥CK’和推衍完整性密钥IK’。

具体的，认证向量可以为根据CK、IK和ID参数进行密钥推衍函数计算，得到的推衍加密密钥CK’和推衍完整性密钥IK’；HSS根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；或者，CK’为Key的后128比特，IK’为Key的前128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元；此时，AV具体包括RAND,AUTN,XRES,CK’和IK’；

步骤3004，近距离通信控制网元接收HSS根据认证数据请求信息返回的认证数据响应信息AV，其中AV具体包括RAND,AUTN,XRES,CK’和IK’。

步骤3005，近距离通信网元对接收到的XRES,CK’和IK’进行存储。

步骤3006，近距离通信控制网元向用户设备发送认证请求信息；

步骤3007，UE根据接收到的AUTN进行验证，当验证通过时计算CK’、IK’和RES生成认证响应信息；

步骤3008，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤3009，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤3010，近距离通信控制网元生成第一密钥协商参数p1；

具体的，第一密钥协商参数p1为用于完成近距离通信控制网元与UE进行密钥协商的参数,第一密钥协商参数p1可以具体为新鲜参数(FreshParameter)。

步骤3011，近距离通信控制网元向用户设备发送响应信息；

其中响应信息中携带了第一密钥协商参数p1。

步骤3012，近距离通信控制网元生成协商密钥Kp；

具体的，近距离通信控制网元根据第一密钥协商参数p1和IK’、CK’进行密钥推衍函数计算。具体如下式：

Kp＝KDF(CK’||IK’,p1)

步骤3013，用户设备根据接收到的响应信息生成协商密钥Kp；

具体的，用户设备根据由响应信息中获取的第一密钥协商参数p1与IK’、CK’进行密钥推衍函数计算。具体如上述步骤3012内计算方式。

进一步可选的，近距离通信网元对CK’,IK’的推衍可以在生成第一密钥协商参数p1之后执行；也可以在发送注册响应信息之后执行。

实施例三十

如图31所示，图31为本发明实施例提供的第二十二种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤3101，UE向近距离通信控制网元发送请求信息；

具体的，注册请求信息中包括UE的身份标识(UE ID)，如IMSI。

步骤3102，近距离通信控制网元向HSS发送认证数据请求信息，认证数据请求信息中包括UE ID和ID参数。

步骤3103，HSS根据所述ID参数，通过密钥协商协议AKA算法计算得到认证数据响应信息；所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES和基本密钥K1。

步骤3104，近距离通信控制网元接收HSS根据认证数据请求信息返回的认证数据响应信息AV，其中AV具体包括RAND,AUTN,XRES,K1。

步骤3105，近距离通信网元对接收到的者XRES，K1进行存储。

步骤3106，近距离通信控制网元向用户设备发送认证请求信息；

步骤3107，UE根据接收到的AUTN进行验证，当验证通过时计算K1和RES生成认证响应信息；

具体的，用户设备在接收到认证请求信息后，会验证AUTN中AMF的第X个比特位是否被置位；例如：验证AUTN中AMF的第X个比特位是否为1。如果第X个比特位为1，则UE根据认证请求信息计算得到RES，CK和IK，并进一步根据ID参数，采用和HSS相同的方法计算得到K1。

步骤3108，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤3109，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤3110，近距离通信控制网元生成第一密钥协商参数p1；

步骤3111，近距离通信控制网元向用户设备发送响应信息；

其中响应信息中携带了第一密钥协商参数p1。

步骤3112，近距离通信控制网元生成协商密钥Kp；

具体的，近距离通信控制网元根据第一密钥协商参数p1和K1进行密钥推衍函数计算。具体如下式：

Kp＝KDF(K1,p1)

步骤3113，用户设备根据接收到的响应信息生成协商密钥Kp；

具体的，用户设备根据由响应信息中获取的第一密钥协商参数p1与K1进行密钥推衍函数计算。具体如上述步骤3112内计算方式。

进一步可选的：用户设备根据CK和IK对K1的推衍可以在计算完CK和IK之后执行；也可以在接收到注册响应信息之后执行。

进一步可选的，近距离通信网元对K1的推衍可以在生成p1之后执行；也可以在发送注册响应信息之后执行。

实施例三十一

如图32所示，图32为本发明实施例提供的第二十三种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤3201，UE向近距离通信控制网元发送请求信息；

具体的，注册请求信息中包括UE的身份标识(UE ID)，如IMSI。

步骤3202，近距离通信控制网元向HSS发送认证数据请求信息，认证数据请求信息中包括UE ID和ID参数。

步骤3203，HSS根据所述ID参数，通过密钥协商协议AKA算法计算得到认证数据响应信息；所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES和和推衍加密密钥CK’和推衍完整性密钥IK’。

具体的，认证向量可以为根据CK、IK和ID参数进行密钥推衍函数计算，得到的推衍加密密钥CK’和推衍完整性密钥IK’；HSS根据CK和IK完成CK’和IK’的计算：Key＝KDF(CK||IK,ID参数)，其中Key为临时密钥，CK’为Key的前128比特，IK’为Key的后128比特；然后将CK’和IK’分别作为AV中的CK和IK发送给近距离通信控制网元；此时，AV具体包括RAND,AUTN,XRES,CK’和IK’；

步骤3204，近距离通信控制网元接收HSS根据认证数据请求信息返回的认证数据响应信息AV，其中AV具体包括RAND,AUTN,XRES,CK’和IK’。

步骤3205，近距离通信网元对接收到的XRES,CK’和IK’进行存储。

步骤3206，近距离通信控制网元向用户设备发送认证请求信息；

步骤3207，UE根据接收到的AUTN进行验证，当验证通过时计算CK’、IK’和RES生成认证响应信息；

步骤3208，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤3209，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤3210，近距离通信控制网元向用户设备发送响应信息；

步骤3211，近距离通信控制网元生成协商密钥Kp；

Kp＝KDF(CK’||IK’,p2)

其中，p2为近距离通信控制网元内存储的第二密钥协商参数，可以为ProSe UE ID，近距离通信控制网元ID，ProSe App ID，PLMN ID，ProSe AppCode，EPC ProSe SubscriberID，Application Layer User ID，ApplicationID，UE ID，算法ID中的一个或任意多个。

步骤3212，用户设备根据接收到的响应信息生成协商密钥Kp；

具体的，用户设备根据由响应信息中获取的第二密钥协商参数p2与IK’、CK’进行密钥推衍函数计算。具体如上述步骤3211内计算方式。

进一步可选的，近距离通信网元对CK’,IK’的推衍可以在验证完认证响应信息之后执行；也可以在发送注册响应信息之后执行。

实施例三十二

如图33所示，图33为本发明实施例提供的第二十四种密钥协商方法的信令图。该实施例具体包括以下步骤：

步骤3301，UE向近距离通信控制网元发送请求信息；

具体的，注册请求信息中包括UE的身份标识(UE ID)，如IMSI。

步骤3302，近距离通信控制网元向HSS发送认证数据请求信息，认证数据请求信息中包括UE ID和ID参数。

步骤3303，HSS根据所述ID参数，通过密钥协商协议AKA算法计算得到认证数据响应信息；所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES和基本密钥K1。

步骤3304，近距离通信控制网元接收HSS根据认证数据请求信息返回的认证数据响应信息AV，其中AV具体包括RAND,AUTN,XRES,K1。

步骤3305，近距离通信网元对接收到的者XRES，K1进行存储。

步骤3306，近距离通信控制网元向用户设备发送认证请求信息；

步骤3307，UE根据接收到的AUTN进行验证，当验证通过时计算K1和RES生成认证响应信息；

步骤3308，用户设备向近距离通信控制网元发送认证响应信息；

其中，认证响应信息包括RES。

步骤3309，近距离通信控制网元根据认证响应信息对用户设备进行认证；

步骤3310，近距离通信控制网元向用户设备发送响应信息；

步骤3311，近距离通信控制网元生成协商密钥Kp；

具体的，近距离通信控制网元根据存储的第二密钥协商参数p2和K1进行密钥推衍函数计算。具体如下式：

Kp＝KDF(K1,p2)

其中，p2可以为UE ID，近距离通信控制网元ID，算法ID,ProSe App ID中的一个或任意多个。

步骤3312，用户设备根据接收到的响应信息生成协商密钥Kp；

具体的，用户设备接收响应信息，根据存储的第二密钥协商参数p2和K1进行密钥推衍函数计算。具体如上述步骤3311内计算方式。

进一步可选的，近距离通信网元对K1的推衍可以在验证完认证响应信息之后执行；也可以在发送注册响应信息之后执行。

实施例三十三

上述实施例一描述了以近距离通信控制网元为执行主体实现的密钥协商方法，相应地，本发明实施例三十三还提供了一种近距离通信控制网元，用以实现实施例一中的密钥协商方法，如图34所示，所述近距离通信控制网元包括：接收单元3401、发送单元3402和处理单元3403。

接收单元3401，用于接收用户设备发送的注册请求信息；

发送单元3402，用于根据所述注册请求信息向控制网元发送安全上下文请求信息；

所述接收单元3401还用于，接收控制网元根据所述安全上下文请求信息发送的安全上下文响应信息；

处理单元3403，用于根据所述安全上下文响应信息确定协商密钥；

所述发送单元3402还用于，向所述用户设备发送注册响应信息，用以所述用户设备根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

所述注册响应信息包括由所述接收单元3401获取的所述第一密钥协商参数，或者所述处理单元3403生成的所述第一密钥协商参数。

可选的，所述安全上下文请求信息包括所述处理单元2503生成的或由所述注册请求信息中获取的第一密钥协商参数，所述处理单元2503具体用于：

可选的，所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元存储的共享密钥，所述处理单元2503具体用于：

可选的，所述安全上下文响应信息包括所述控制网元生成的第一密钥协商参数和/或所述控制网元生成的基本密钥，所述处理单元3403具体用于：

通过应用本发明实施例提供的近距离通信控制网元，在不改变现有ProSe的架构的基础上，实现与UE之间的密钥协商。

实施例三十四

上述实施例二描述了以用户设备为执行主体实现的密钥协商方法，相应地，本发明实施例三十四还提供了一种用户设备，用以实现实施例二中的密钥协商方法，如图35所示，所述用户设备包括：接收单元3501、发送单元3502和处理单元3503。

发送单元352，用于向近距离通信控制网元发送注册请求信息；

接收单元3501，用于接收所述近距离通信控制网元发送的注册响应信息；

处理单元3503，用于根据所述注册响应信息生成协商密钥；所述协商密钥为用于用户设备与近距离控制网元之间的交互的密钥。

可选的，所述处理单元3503还用于，生成第一密钥协商参数，以使用户设备在向近距离通信控制网元发送的注册请求信息中携带第一密钥协商参数。

进一步的，所述处理单元3503具体用于，根据所述第一密钥协商参数和所述用户设备内存储的共享密钥生成协商密钥；所述共享密钥为控制网元与用户设备之间共享的密钥。

可选的，所述注册响应信息包括第一密钥协商参数，所述处理单元3503具体用于，

通过应用本发明实施例提供的用户设备，在不改变现有ProSe的架构的基础上，实现与近距离通信控制网元之间的密钥协商。

实施例三十五

上述实施例三描述了以演进的分组核心中的控制网元为执行主体实现的密钥协商方法，相应地，本发明实施例三十五还提供了一种用户设备，用以实现实施例三中的密钥协商方法，如图36所示，所述控制网元包括：接收单元3601、发送单元3602和处理单元3603。

接收单元3601，用于接收近距离通信控制网元发送的安全上下文请求信息；

发送单元3602，用于根据所述安全上下文请求信息向近距离通信控制网元发送安全上下文响应信息。

可选的，所述处理单元3603用于生成第一密钥协商参数；根据所述安全上下文请求信息生成安全上下文响应信息；所述安全上下文响应信息中携带第一密钥协商参数。

可选的，所述处理单元3603用于根据存储的共享密钥和所述处理单元生成的或由所述安全上下文请求信息获取的第一密钥协商参数生成基本密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；根据所述安全上下文请求信息生成安全上下文响应信息，所述安全上下文响应信息中包括基本密钥。

可选的，所述处理单元3603用于根据所述安全上下文请求信息生成安全上下文响应信息，所述安全上下文响应信息中包括所述控制网元存储的共享密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥。

可选的，所述处理单元3603用于根据所述存储的共享密钥和所述处理单元3603生成的第一密钥协商参数生成协商密钥；其中，所述共享密钥为控制网元与用户设备之间共享的密钥；或者

所述处理单元3603用于根据所述存储的共享密钥和由所述安全上下文请求信息中获取的第一密钥协商参数生成协商密钥；根据所述安全上下文请求信息生成响应信息，所述安全上下文响应信息中包括协商密钥。

通过应用本发明实施例提供的控制网元，在不改变现有ProSe的架构的基础上，实现用户设备与近距离通信控制网元之间的密钥协商。

实施例三十六

上述实施例十三描述了以近距离通信控制网元为执行主体实现的密钥协商方法，相应地，本发明实施例三十六还提供了一种近距离通信控制网元，用以实现实施例十三中的密钥协商方法，如图37所示，所述近距离通信控制网元包括：接收单元3701、发送单元3702、存储单元3703、认证单元3704和处理单元3705。

接收单元3701，用于接收用户设备发送的注册请求信息；

发送单元3702，用于根据所述注册请求信息向控制网元发送认证数据请求信息；

所述接收单元3702还用于，接收所述控制网元根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：随机数RAND、AUTN参数、期望的用户响应XRES、加密密钥CK、完整性密钥IK；

存储单元3703，用于对所述CK、IK和XRES进行存储；

所述发送单元3702还用于，向所述用户设备发送认证请求信息；所述认证请求信息包括由所述认证数据响应信息中获取的RAND和AUTN；

所述接收单元3701还用于，接收所述用户设备发送的认证响应信息；所述认证响应信息中包括所述用户设备根据所述认证请求信息生成的用户响应RES；

认证单元3704，用于根据所述认证响应信息对所述用户设备进行认证；

所述发送单元3702还用于，向所述用户设备发送注册响应信息，用以所述用户和设备根据接收到的注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，所述处理单元3705，用于根据用户设备的安全算法列表和所述近距离通信控制网元存储的近距离通信控制网元的安全算法列表进行算法选择，得到选择出的安全算法。其中，所述注册响应信息包括所述选择出的安全算法。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元中存储有近距离通信控制网元的安全算法列表，所述处理单元3705，用于根据所述近距离通信控制网元的安全算法列表和所述用户设备的安全算法列表进行算法选择，得到选择出的安全算法。

进一步可选的，所述注册响应信息包括第一密钥协商参数，所述近距离通信控制网元还包括：生成单元3706，用于生成第一密钥协商参数。所述处理单元3705还用于：根据所述第一密钥协商参数和所述CK、IK进行密钥推衍函数计算，得到协商密钥。

进一步可选的，所述处理单元3705还用于：根据所述CK、IK和存储在所述近距离通信控制网元中的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

本发明实施例提供的近距离通信控制网元，在不改变现有ProSe的架构的基础上，实现UE与近距离通信控制网元之间的密钥协商。

实施例三十七

上述实施例十四描述了以用户设备为执行主体实现的密钥协商方法，相应地，本发明实施例三十七还提供了一种用户设备，用以实现实施例十四中的密钥协商方法，如图38所示，所述近距离通信控制网元包括：接收单元3801、发送单元3802、验证单元3803和处理单元3804。

发送单元3802，用于向近距离通信控制网元发送注册请求信息；

接收单元3801，用于接收所述近距离通信控制网元发送的认证请求信息；所述认证请求信息包括所述近距离通信控制网元由所述控制网元获取的RAND和AUTN；

验证单元3803，用于利用RAND验证AUTN的正确性；

处理单元3804，用于当验证所述AUTN正确时，根据所述认证请求信息计算得到CK、IK、RES；

所述发送单元3802还用于，向近距离通信控制网元发送认证响应信息，用以所述近距离通信控制网元根据所述认证响应信息对用户设备进行认证；所述认证响应信息中包括所述RES；

所述接收单元3801还用于，接收所述近距离通信控制网元发送的注册响应信息，用以根据所述注册响应信息和所述CK、IK完成所述近距离通信控制网元与所述用户设备之间的密钥协商。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表，进行算法选择得到的选择出的安全算法。

可选的，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表；所述处理单元2904还用于：根据所述近距离通信控制网元的安全算法列表和所述用户设备的安全算法列表进行算法选择，得到的选择出的安全算法。

进一步可选的，所述注册响应信息包括所述近距离通信控制网元生成的第一密钥协商参数，所述处理单元3804还用于：用户设备根据所述第一密钥协商参数和所述CK、IK进行密钥推衍函数计算，得到协商密钥。

进一步可选的，所述处理单元3804还用于：用户设备根据所述CK、IK和存储在所述用户设备中的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

本发明实施例提供的用户设备，在不改变现有ProSe的架构的基础上，实现UE与近距离通信控制网元之间的密钥协商。

实施例三十八

上述实施例二十四描述了以近距离通信控制网元为执行主体实现的密钥协商方法，相应地，本发明实施例三十八还提供了一种近距离通信控制网元，用以实现实施例二十四中的密钥协商方法，如图39所示，所述近距离通信控制网元包括：接收单元3901、发送单元3902和认证单元3904。

接收单元3901，用于接收用户设备发送的请求信息；

发送单元3902，用于根据所述请求信息向HSS发送认证数据请求信息；

所述接收单元3901还用于，接收所述HSS根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：推衍加密密钥CK’、推衍完整性密钥IK’；或者，基本密钥K1；

所述发送单元3902还用于，向所述用户设备发送认证请求信息；

所述接收单元3901还用于，接收所述用户设备发送的认证响应信息；所述认证响应信息中包括所述用户设备根据所述认证请求信息生成的用户响应RES；

认证单元3904，根据所述认证响应信息对所述用户设备进行认证；

所述发送单元3902还用于，向所述用户设备发送响应信息，用以所述用户设备根据所述响应信息完成所述近距离通信控制网元与所述用户设备之间的根据所述推衍加密密钥CK’、推衍完整性密钥IK’的协商；或者，完成基本密钥K1的密钥协商。

可选的，所述AUTN中包括认证管理域AMF参数，所述AMF参数的第X比特位为对CK,IK做进一步推衍的标志位；其中，0≤X≤7。

进一步可选的，

所述处理单元还用于，根据密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

进一步可选的，所述注册响应信息还包括：密钥协商参数。

进一步可选的，在向所述用户设备发送响应信息之前，所述处理单元3903还用于：

生成第一密钥协商参数；

在所述响应信息中携带所述第一密钥协商参数。

进一步可选的，所述处理单元3903还用于：根据所述第一密钥协商参数和CK’、IK’进行密钥推衍函数计算，得到协商密钥。

进一步可选的，所述处理单元3903还用于：根据所述第一密钥协商参数和基本密钥进行密钥推衍函数计算，得到协商密钥。

进一步可选的，所述处理单元3903还用于，根据所述基本密钥和存储的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

可选的，所述处理单元3903还用于，根据所述CK’、IK’和存储的第二密钥协商参数进行密钥推衍函数计算，得到协商密钥。

可选的，CK’,IK’的推衍可以在计算完CK和IK之后执行；也可以在接收到注册响应消息之后执行。

实施例三十九

上述实施例二十五描述了以用户设备为执行主体实现的密钥协商方法，相应地，本发明实施例三十九还提供了一种用户设备，用以实现实施例二十五中的密钥协商方法，如图40所示，所述用户设备包括：接收单元4001、发送单元4002和处理单元4003。

发送单元4002，用户设备向近距离通信控制网元发送请求信息；所述请求信息包括用户ID；

接收单元4001，用于接收所述近距离通信控制网元发送的认证请求信息；

处理单元4003，用于根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；并根据所述CK，IK和ID参数计算推衍加密密钥CK’、推衍完整性密钥IK’，或基本密钥K1；

所述发送单元4001还用于，向近距离通信控制网元发送认证响应信息；

所述接收单元4002还用于，接收所述近距离通信控制网元发送的响应信息。

可选的，所述AUTN中包括认证管理域AMF参数，所述AMF参数的第X比特位为对CK,IK做进一步推衍的标志位；其中，0≤X≤7；

所述CK，IK为通过密钥协商协议AKA算法计算得到的加密密钥和完整性密钥；

所述用户设备还包括验证单元4004，用于判断AMF的第X比特位是否被置位，当置位时，所述HSS计算CK’，IK’或K1。

可选的，所述响应信息包括第一密钥协商参数，所述处理单元4003还用于：

根据第一密钥协商参数和所述CK’，IK’进行密钥推衍函数计算，得到协商密钥，或者，

可选的，所述处理单元4003还用于：

通过应用本发明实施例提供的用户设备，在不改变现有ProSe的架构的基础上，实现与UE之间的密钥协商。

实施例四十

上述实施例二十六描述了以演进的分组核心中的控制网元为执行主体实现的密钥协商方法，相应地，本发明实施例四十还提供了一种HSS，用以实现实施例二十六中的密钥协商方法，如图41所示，所述HSS包括：接收单元4101、发送单元4102和处理单元4103。

接收单元4101，用于接收近距离通信控制网元发送的认证数据请求信息；所述认证数据请求信息包括ID参数，或者所述HSS中存储有ID参数；

处理单元4103，用于根据所述认证数据请求信息计算出认证向量；所述认证向量包括：加密密钥CK、完整性密钥IK；

所述处理单元4103还用于，用于根据所述认证数据请求信息计算出认证向量；所述认证向量包括：加密密钥CK、完整性密钥IK；

发送单元4102，用于向近距离通信控制网元发送所述认证数据响应信息，所述认证数据响应信息包括所述CK’、IK’，或，所述K1。

可选的，所述认证向量包括AUTN参数，其特征在于，所述AUTN中包括认证管理域AMF参数，所述处理单元还用于，将所述AMF参数的第X比特位置位。

进一步的，所述AUTN中包括认证管理域AMF参数；所述AMF参数的第X比特位为对CK,IK做进一步推衍的标志位；其中，0≤X≤7；所述处理单元还用于：

将所述第X比特位进行置位。

通过应用本发明实施例提供的HSS，在不改变现有ProSe的架构的基础上，实现与UE之间的密钥协商。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种密钥协商方法，其特征在于，所述方法包括：

近距离通信控制网元接收用户设备发送的注册请求信息；

接收所述HSS根据所述认证数据请求信息发送的认证数据响应信息；其中，所述认证数据响应信息包括：推衍加密密钥CK’、推衍完整性密钥IK’；或者，基本密钥K1；向所述用户设备发送认证请求信息；

接收所述用户设备发送的认证响应信息；

根据所述认证响应信息对所述用户设备进行认证；

向所述用户设备发送注册响应信息，用以所述用户设备根据接收到的注册响应信息完成所述近距离通信控制网元与所述用户设备之间的所述推衍加密密钥CK’、推衍完整性密钥IK’的协商；或者，完成基本密钥K1的协商。

2.根据权利要求1所述的方法，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，在向所述用户设备发送注册响应信息之前，所述方法还包括：

3.根据权利要求2所述的方法，其特征在于，所述注册响应信息包括所述选择出的安全算法。

4.根据权利要求1所述的方法，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元中存储有近距离通信控制网元的安全算法列表，在收到所述用户设备发送的所述注册请求信息之后，所述方法还包括：

5.根据权利要求1、3、4所述的方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述注册响应信息还包括所述密钥协商参数。

7.一种密钥协商方法，其特征在于，所述方法包括：

用户设备向近距离通信控制网元发送注册请求信息；

接收所述近距离通信控制网元发送的认证请求信息；

根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；

向近距离通信控制网元发送认证响应信息；

接收所述近距离通信控制网元发送的注册响应信息。

8.根据权利要求7所述的方法，其特征在于，所述认证请求信息包含鉴权令牌AUTN参数；所述AUTN中包括认证管理域AMF；

9.根据权利要求7或8所述的方法，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

10.根据权利要求7或8所述的方法，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述方法还包括：

11.根据权利要求7至10任一所述的方法，其特征在于，所述注册响应信息包含第一密钥协商参数，

12.根据权利要求7-10任一权项所述的方法，其特征在于，所述方法还包括：

13.一种密钥协商方法，其特征在于，所述方法包括：

用户设备向近距离通信控制网元发送注册请求信息；

接收所述近距离通信控制网元发送的认证请求信息；

根据所述认证请求信息计算得到加密密钥CK和完整性密钥IK；

向近距离通信控制网元发送认证响应信息；

接收所述近距离通信控制网元发送的注册响应信息；

14.根据权利要求13所述的方法，其特征在于，所述认证请求信息包含AUTN参数；所述AUTN中包括认证管理域AMF参数；

15.根据权利要求13或14所述的方法，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

16.根据权利要求13或14所述的方法，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述方法还包括：

17.根据权利要求14至16任一所述的方法，其特征在于，所述注册响应信息包含第一密钥协商参数；

18.根据权利要求13-16任一权项所述的方法，其特征在于，所述方法还包括：

19.一种密钥协商方法，其特征在于，所述方法包括：

20.根据权利要求19所述的方法，所述认证向量包括AUTN参数，其特征在于，

所述AUTN中包括认证管理域AMF参数，所述HSS将所述AMF参数的第X比特位置位，所述X取值范围为0至7中的任意值。

21.一种近距离通信控制网元，其特征在于，所述近距离通信控制网元包括：

接收单元，用于接收用户设备发送的注册请求信息；

所述发送单元还用于，向所述用户设备发送认证请求信息；

22.根据权利要求21所述的近距离通信控制网元，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元还包括：

23.根据权利要求22所述的近距离通信控制网元，其特征在于，所述注册响应信息包括所述选择出的安全算法。

24.根据权利要求21所述的近距离通信控制网元，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述近距离通信控制网元中存储有近距离通信控制网元的安全算法列表，所述近距离通信控制网元还包括：

25.根据权利要求24所述的近距离通信控制网元，其特征在于，

26.根据权利要求25任一权项所述的近距离通信控制网元，其特征在于，

所述注册响应信息还包括密钥协商参数。

27.一种用户设备，其特征在于，所述用户设备包括：

发送单元，用于向近距离通信控制网元发送注册请求信息；

28.根据权利要求27所述的用户设备，其特征在于，所述认证请求信息包含鉴权令牌AUTN参数；所述AUTN中包括认证管理域AMF；

29.根据权利要求27或28所述的用户设备，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括：所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择，得到的选择出的安全算法。

30.根据权利要求27或28所述的用户设备，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述处理单元还用于：

31.根据权利要求27-30任一所述的用户设备，其特征在于，所述注册响应信息包含第一密钥协商参数，所述处理单元还用于：

32.根据权利要求27-30任一权项所述的用户设备，其特征在于，所述处理单元还用于：

33.一种用户设备，其特征在于，所述用户设备包括：

发送单元，用于向近距离通信控制网元发送注册请求信息；

34.根据权利要求33所述的用户设备，其特征在于，所述认证请求信息包含鉴权令牌AUTN参数；所述AUTN中包括认证管理域AMF；

35.根据权利要求33或34所述的用户设备，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括所述近距离通信控制网元根据所述用户设备的安全算法列表和所述近距离通信控制网元内存储的近距离通信网元的安全算法列表进行算法选择得到的选择出的安全算法。

36.根据权利要求33或34所述的用户设备，其特征在于，所述注册请求信息包括所述用户设备的安全算法列表，所述注册响应信息包括近距离通信控制网元的安全算法列表，所述处理单元还用于：

37.根据权利要求34-36任一所述的用户设备，其特征在于，所述注册响应信息包含第一密钥协商参数；所述处理单元还用于：

38.根据权利要求33-36任一权项所述的用户设备，其特征在于，所述处理单元还用于：

39.一种归属用户服务器HSS，其特征在于，所述HSS包括：

40.根据权利要求39所述的HSS,其特征在于，所述认证向量包括AUTN参数，其特征在于，所述AUTN中包括认证管理域AMF参数，所述处理单元还用于，将所述AMF参数的第X比特位置位，所述X取值范围为0至7中的任意值。