WO2012174843A1 - 一种实现端到端安全的密钥协商方法及系统 - Google Patents

Abstract

本发明公开了一种实现端到端安全的密钥协商方法和系统，方法包括：第二方生成第二密钥材料和密钥更新参数，并根据密钥更新参数、以及第一密钥材料，生成第二密钥；第二方将生成的第二密钥材料和密钥更新参数传递给第一方；第一方根据密钥更新参数、以及第一密钥材料，生成第二密钥；第一方使用第二密钥保护发送的媒体流；第二方使用第二密钥、或使用根据第二密钥材料导出的第三密钥保护发送的媒体流。通过本发明，能够保证端到端的媒体流安全，避免密钥泄露威胁和会话泄密威胁。

Description

一种实现端到端安全的密钥协商方法及系统 技术领域

本发明涉及网络通信安全技术， 尤其涉及一种实现端到端安全的密钥 协商方法及系统。 背景技术

现有的第三代合作伙伴计划 （3GPP , Third Generation Partnership Projects ) TS33.328的 IP多媒体子系统（ IMS , IP Multimedia Subsystem ) IMS 媒体面安全中使用 RFC4568 的会话描述协议（SDP, Session Description Protocol ) 的媒体流安全描述（ SDES, SDP Security Descriptions for Media Streams )作为媒体面端到端安全方案。 在 SDES方案中， 使用 SDP协议中 的加密属性来传送密钥协商材料， 通过通话双方交互 SDP数据包来导出媒 体密钥， 并且定义了如何在安全实时传输协议 ( SRTP, Secure Real-time Transport Protocol ) 中使用这些媒体密钥。

SDES本质上不是一个密钥协商协议而是一个密钥分发协议，密钥是直 接通过明文在网路上分发， 所以 SDES必须依赖于信令的安全。 如图 1所 示， SDES本质上是这样工作的： 当主叫方 UE-A和被叫方 UE-B建立了一 个 SIP会话时，他们使用提出 /应答（ Offer/Response )模式交换提供给 SRTP 进行媒体流保护所需要的密钥及相关参数。

一个使用 SDES建立端到端安全的呼叫流程如图 2所示， UE-A在发 起 SIP会话时， 首先生成根密钥 K1 , 所述根密钥 K1用来生成保护 UE-A 发给 UE-B媒体流安全的媒体会话密钥， 然后在通过 IMS网络中间网元以 及呼叫服务器发给 UE-B的一个 SIP消息中 （即 INVITE消息中）包含所述 根密钥 K1 ,将根密钥 K1发送给 UE-B;而 UE-B在返回给 UE-A的响应 SIP 消息中 （即 200 Ok消息中） 包含根密钥 K2, 向 UE-A返回根密钥 K2, 根 密钥 K2用来生成保护 UE-B发给 UE-A媒体流安全的媒体会话密钥。

在会话发起协议（SIP, Session Initiation Protocol ) 系统中， 分叉呼叫 ( forking )和呼叫转移 （communication diversion )都是非常常见的实用型 业务。 现有分叉呼叫业务的场景如图 3 所示， 分叉呼叫业务是指， 被呼叫 方的多个终端可以同时被呼叫， 从而提高了呼叫接通的概率。 需要注意的 是， 呼叫方可能并不知道其呼叫被分叉， 且当一个终端已经进行了应答， 其他终端则不能再对呼叫进行应答。 这就要求呼叫方与被呼叫方的任一终 端都有唯一的媒体密钥， 并且除应答终端之外的所有终端都不能获悉已经 在使用的会话密钥， 以此来保证会话内容不会从其他终端被监听或泄露出 去。 呼叫转移业务是指， 当呼叫过程中启用呼叫转移服务的被叫方处于不 可达、 或忙碌、 或其他状态时， 由被叫方的呼叫转移应用服务器将此呼叫 转移到被叫方事先设置的被转呼方的用户设备上， 从而提高呼叫的灵活性 和可配置性。 呼叫转移业务允许用户将其所有来话转接到预先设置的另一 个电话号码上或用户的语音信箱中。 呼叫转移还包含特殊的多次转移呼叫 场景， 即用户 A呼叫用户 B, 用户 B使用呼叫转移业务， 呼叫被转移给用 户 C, 用户 C也使用了呼叫转移业务， 该呼叫被再次转移给用户 D。

使用 SDES方案保证端到端安全时， 主叫方会在生成根密钥 K1后， 将 根密钥 K1 包含在 INVITE消息中通过 IMS网络传到被叫方， 当被叫方为 forking场景时， K1会被发给被叫方的所有终端； 而当被叫方签约了呼叫转 移服务时， 呼叫转移业务被触发， 呼叫转移应用服务器将该呼叫转移到被 叫方所设置的被转呼方，将根密钥 K1包含在 INVITE消息中转到被转呼方； 之后， 被转呼方再将根密钥 K2通过 IMS网络传到主叫方， 主叫方和被转 呼方使用根密钥 Kl、 根密钥 Κ2进行安全通信。

现有技术的缺陷在于： 在上述分叉呼叫场景下， 可能多个被叫终端都 获知了主叫方所使用的根密钥 K1 , 被叫终端也有能力解密主叫方所发送的 加密媒体流， 而用户设备的物理安全问题并不能保证使用者的合法性， 使 用一个合法设备的人可能是一个恶意攻击者， 例如用户设备被偷盗后的使 用者， 这样， 就会存在密钥泄露及单方会话泄密的威胁； 而在一次会话多 次呼叫转移的场景下， 所有被转呼方的设备都有能力获知主叫方所使用的 根密钥 K1 , 也就都有能力解密主叫方所发送的加密媒体流。 这样， 在分叉 呼叫及呼叫转移场景下， 会存在严重的安全会话泄密威胁， 无法实现端到 端安全。 发明内容

有鉴于此， 本发明的主要目的在于提供一种实现端到端安全的密钥协 商方法及系统， 以解决现有端到端安全技术存在密钥泄露威胁和会话泄密 威胁的问题。

为达到上述目的， 本发明的技术方案是这样实现的：

本发明提供了一种实现端到端安全的密钥协商方法， 该方法包括： 第二方生成第二密钥材料和密钥更新参数， 并根据所述密钥更新参 数、 以及第一密钥材料， 生成第二密钥；

第二方将生成的第二密钥材料和密钥更新参数传递给所述第一方； 所述第一方根据所述密钥更新参数、 以及所述第一密钥材料， 生成 所述第二密钥；

所述第一方使用所述第二密钥保护发送的媒体流。

该方法进一步包括：

选择生成的第二密钥材料作为所述密钥更新参数， 且当选择生成的 第二密钥材料作为密钥更新参数时， 所述第二方只将生成的第二密钥材 料传递给所述第一方。

该方法进一步包括： 所述第二方将密钥生成函数发送给所述第一方， 所述第一方和第二 方使用所述密钥生成函数生成第二密钥。

该方法进一步包括：

所述第一方和第二方分别使用各自预先配置的相同的密钥生成函 数， 根据所述密钥更新参数、 以及所述第一密钥材料， 生成所述第二密 钥。

该方法进一步包括：

所述第一密钥材料预先配置到所述第一方与所述第二方中， 或者所 述第一方生成第一密钥材料后传递给所述第二方。

该方法进一步包括：

所述第二方使用所述第二密钥、 或使用根据所述第二密钥材料导出 的第三密钥保护发送的媒体流。

本发明还提供了一种实现端到端安全的密钥协商系统， 该系统包括： 第一方和第二方，

所述第二方， 用于生成第二密钥材料和密钥更新参数， 并根据所述 密钥更新参数、 以及第一密钥材料， 生成第二密钥； 将生成的第二密钥 材料和密钥更新参数传递给所述第一方；

所述第一方， 用于根据所述密钥更新参数、 以及所述第一密钥材料， 生成所述第二密钥； 使用所述第二密钥保护发送的媒体流。

所述第二方进一步用于， 选择生成的第二密钥材料作为所述密钥更 新参数， 且当选择生成的第二密钥材料作为密钥更新参数时， 所述第二 方只将生成的第二密钥材料传递给所述第一方。

所述第二方进一步用于， 将密钥生成函数发送给所述第一方， 相应的， 所述第一方和第二方使用所述密钥生成函数生成第二密钥。 所述第一方和第二方分别使用各自预先配置的相同的密钥生成函数, 根据所述密钥更新参数、 以及所述第一密钥材料， 生成所述第二密钥。 所述第一密钥材料预先配置到所述第一方与所述第二方中， 或者所 述第一方生成第一密钥材料后传递给所述第二方。

所述第二方进一步用于， 使用所述第二密钥、 或使用根据所述第二密 钥材料导出的第三密钥保护发送的媒体流。

通过本发明的实现端到端安全的密钥协商方法及系统， 能够保证端到 端的媒体流安全， 避免密钥泄露威胁和会话泄密威胁。 附图说明

图 1为现有技术中 SDES的工作模型示意图；

图 2为现有技术中基于 SDES的端到端安全呼叫过程的流程图； 图 3为现有技术中 IMS分叉呼叫的场景示意图；

图 4为本发明一种实现端到端安全的密钥协商的方法流程图； 图 5 为本发明实施例一的单次呼叫转移中实现端到端安全的方法流程 图；

图 6为本发明实施例二的多次呼叫转移中实现端到端安全的方法流程 图；

图 7为本发明实施例三的分叉呼叫中实现端到端安全的方法流程图。 具体实施方式

下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。 本发明所提供的一种实现端到端安全的密钥协商的方法， 如图 4所示， 主要包括：

步驟 401 , 第二方生成第二密钥材料和密钥更新参数， 并根据密钥更 新参数、 以及第一密钥材料， 生成第二密钥。

其中， 第一密钥材料可以在第二方预先配置， 也可以由第一方生成 后传递给第二方。 无论采用哪种方式， 需要保证第一方和第二方所使用 的第一密钥材料相同。

在实际应用中， 可以直接选择生成的第二密钥材料作为密钥更新参 数， 且当选择生成的第二密钥材料作为密钥更新参数时， 第二方只将生 成的第二密钥材料传递给第一方即可。 当然， 也可以选择一随机数作为 密钥更新参数、 或者选择第二密钥材料和随机数的组合作为密钥更新参 数。 无论采用哪种方式， 需要保证第一方和第二方所使用的密钥更新参 数相同。

步驟 402 ,第二方将生成的第二密钥材料和密钥更新参数传递给第一 方。

需要说明的是， 如果第二方没有预先配置密钥生成函数， 那么第一 方还需要将密钥生成函数传递给第二方； 如果第二方预先配置有密钥生 成函数， 那么第一方可以不向第二方发送密钥生成函数。 优选的， 为了 避免第二方没有配置密钥生成函数、 或第二方与第一方配置的密钥生成 函数不匹配的情况发生， 第一方可以始终将密钥生成函数与第二密钥材 料和密钥更新参数一起传递给第二方。 无论采用哪种方式， 需要保证第 一方和第二方所使用的密钥生成函数相同。

步驟 403 , 第一方根据密钥更新参数、 以及第一密钥材料， 生成第二 密钥。

如果是第二方将密钥生成函数发送给第一方， 那么第一方和第二方 使用所述密钥生成函数生成第二密钥；

如果是在第一方和第二方分别预先配置相同的密钥生成函数， 那么 第一方和第二方分别使用各自预先配置的相同的密钥生成函数， 根据密 钥更新参数、 以及所述第一密钥材料， 生成第二密钥。

步驟 404, 第一方使用第二密钥保护其发送的媒体流。 较佳的， 本发明还可以进一步包括步驟 405 , 即第二方使用第二密钥保 护其发送的媒体流； 或者， 根据第二密钥材料导出第三密钥， 并使用所述 第三密钥保护其发送的媒体流。

对应上述实现端到端安全的密钥协商方法， 本发明还提供了一种实现 端到端安全的密钥协商系统， 包括： 第一方和第二方。 其中， 第二方， 用 于生成第二密钥材料和密钥更新参数， 并根据密钥更新参数、 以及第一密 钥材料， 生成第二密钥； 将生成的第二密钥材料和密钥更新参数传递给第 一方。 第一方， 用于根据密钥更新参数、 以及第一密钥材料， 生成第二密 钥； 使用第二密钥保护发送的媒体流。

较佳的， 第二方可进一步用于， 选择生成的第二密钥材料作为密钥更 新参数， 且当选择生成的第二密钥材料作为密钥更新参数时， 第二方只将 生成的第二密钥材料传递给第一方。

较佳的， 第二方还可进一步用于， 将密钥生成函数发送给第一方， 相应的， 第一方和第二方使用所述密钥生成函数生成第二密钥。

较佳的， 第一方和第二方分别使用各自预先配置的相同的密钥生成函 数， 根据密钥更新参数、 以及第一密钥材料， 生成所第二密钥。

第二方还进一步用于， 使用第二密钥、 或使用根据第二密钥材料导出 的第三密钥保护发送的媒体流。

当上述密钥协商方法和系统应用于呼叫转移场景时， 端到端安全通信 的主叫方可以作为第一方， 执行第一方的功能操作； 被叫方或被转呼方可 以作为第二方， 执行第二方的功能操作。

当上述密钥协商方法和系统应用于分叉呼叫场景时， 端到端安全通信 的主叫方可以作为第一方， 执行第一方的功能操作； 被叫方或被分叉方可 以作为第二方， 执行第二方的功能操作。

较佳的， 本发明的密钥协商系统还可以包括应用服务器， 如分叉呼叫 服务器、 呼叫转移应用服务器等。 当应用服务器作为第二方所属的呼叫服 务器时， 用于在收到第一方的呼叫后向第二方发送呼叫请求消息。

下面结合具体实施例对上述端到端安全的密钥协商方法和系统进一步 详细说明。 以下实施例分别列举呼叫转移场景和分叉呼叫场景下的端到端 安全实现， 其中实施例一和实施例二针对呼叫转移场景， 实施例三针对分 叉呼叫场景。

呼叫转移场景下被叫方将被转呼方设定为呼叫转移目标， 触发被叫方 签约的呼叫转移业务的情况， 可以是以下情况之一： 遇忙呼叫转移 （CFB, Communication Forwarding Busy )、无应答呼叫转移 ( CFNR, Communication Forwarding No Reply ), 无条件呼叫转移 ( CFU, Communication Forwarding Unconditional )、 寻呼不可及转移 ( CFNRc, Communication Forwarding on Subscriber Not Reachable ), 未注册时呼叫转移 （CFNL , Communication Forwarding on Not Logged in )和会话转移 ( CD, Communication Deflection ) 业务。

图 5 所示为本发明实施例一的单次呼叫转移中实现端到端安全呼叫转 移的方法， 即用户 A想呼叫用户 B, 用户 B签约了呼叫转移业务， 预设用 户 C为呼叫转移对象， 在呼叫建立过程中， 用户 B签约的呼叫转移业务被 触发。 在本实施例中， UE-A作为第一方， UE-C作为第二方， 实现端到端 安全呼叫转移具体包括以下步驟：

步驟 501 , UE-A生成主叫密钥 K1 (作为第一密钥材料）。

步驟 502 , UE-A向 IMS网络发送对 UE-B的呼叫请求（ INVITE )消息 , 且此呼叫请求消息中携带主叫密钥 Kl。

步驟 503 , IMS网络将收到的 INVITE消息转发到 UE-B所属的呼叫转 移应用服务器。

步驟 504, 呼叫转移应用服务器将 INVITE消息发送到 UE-B。 该步驟 为可选的， 例如： 当用户 B签约的为无条件呼叫转移时， 步驟 504省略。 步驟 505， UE-B签约的呼叫转移业务被触发。

步驟 506, 呼叫转移应用服务器将包含主叫密钥 K1的 INVITE消息通 过 IMS网络转发给用户 B设定的呼叫转移号码， 在本实施例中即 UE-C。

步驟 507, UE-C收到 INVITE消息后， 获知此为一个呼叫转移， 并由 消息中包含的主叫密钥 K1 获知该呼叫是一个 SDES端到端安全的安全呼 叫； UE-C生成被叫密钥 K2 (作为第二密钥材料）和密钥更新参数 P1 , 且 UE-C基于 P1和收到的 K1生成新的主叫密钥 K1'=KDF ( Kl , PI ), 其中 KDF为密钥生成函数 ( Key Derivation Function ), Κ 作为第二密钥。

步驟 508 , UE-C将被叫密钥 Κ2和密钥更新参数 P1 , 以及 KDF包含在

200 ΟΚ消息 （或其他含有 SDP Answer的 SIP消息 ) 中通过 IMS网络返回 给呼叫转移应用服务器。 其中， 如果 P1选择为 K2, 则消息中只包含 K2和 步驟 509~510,呼叫转移应用服务器将 200 OK消息通过 IMS网络返回 给 UE-A₀

步驟 511 , UE-A在收到该消息后基于主叫密钥 K1和收到的密钥更新 参数 P1 , 使用 KDF生成新的主叫密钥 K1'=KDF ( Kl , PI )₀

步驟 512, UE-A和 UE-C建立起端到端安全的加密媒体流通信， UE-A 使用 Κ 保护从 UE-A发给 UE-C的媒体流， UE-C可以使用 Κ 对 UE-A发 送的媒体流进行解密； UE-C使用 K2 (即直接将第二密钥材料作为第三密 钥导出 )保护从 UE-C发给 UE-A的媒体流， UE-A可以使用 K2对 UE-C 发送的媒体流进行解密。

UE-A和 UE-C也可以均使用 Κ 保护其之间交互的媒体流， UE-C可以 使用 Κ 对 UE-A发送的媒体流进行解密， UE-A可以使用 Κ 对 UE-C发送 的媒体流进行解密。 图 6所示为本发明实施例二的多次呼叫转移中实现端到端安全呼叫转 移的方法， 即用户 B签约呼叫转移业务，预设将通话转移到用户 C, 用户 C 也签约了呼叫转移业务， 预设将通话转移到用户 D, 且在 UE-A呼叫 UE-B 的会话中， UE-B和 UE-C均触发签约的呼叫转移业务， 最终会话被转移到 UE-D。 在本实施例中， UE-A作为第一方， UE-D作为第二方， 实现端到端 安全呼叫转移具体包括以下步驟：

步驟 601~606的操作与步驟 501~506的操作相同。 其中， 步驟 606也 为可选， 这与用户签约的呼叫转移业务相关， 如果是无条件呼叫转移业务， 则步驟 606省略。

步驟 607, UE-C的呼叫转移业务被触发。

步驟 608, 呼叫转移应用服务器将包含主叫密钥 K1的 INVITE消息通 过 IMS网络转发给用户 C设定的呼叫转移号码， 在本实施例中即 UE-D。

步驟 609, UE-D收到 INVITE消息后， 由消息中包含的主叫密钥 K1 (作为第一密钥材料）获知该呼叫是一个 SDES端到端安全的安全呼叫； UE-D生成被叫密钥 K2 (作为第二密钥材料 )和密钥更新参数 P1 ,且 UE-D 基于 P1和收到的 K1生成新的主叫密钥 K1'=KDF ( Kl , PI ), Κ 作为第二 密钥。

步驟 610, UE-D将被叫密钥 Κ2和密钥更新参数 P1 , 以及 KDF包含 在 200 ΟΚ消息（或其他含有 SDP Answer的 SIP消息 ) 中通过 IMS网络返 回给呼叫转移应用服务器。 其中， 如果 P1选择为 K2, 则消息中只包含 K2 和 KDF。

步驟 611~612,呼叫转移应用服务器将 200 OK消息通过 IMS网络返回 给 UE-A。

步驟 613 , UE-A在收到该消息后基于主叫密钥 K1和收到的密钥更新 参数 P1 , 使用 KDF生成新的主叫密钥 K1'=KDF ( Kl , PI )₀ 步驟 614, UE-A和 UE-D建立起端到端安全的加密媒体流通信， UE-A 使用 Κ 保护从 UE-A发给 UE-D的媒体流， UE-D可以使用 Κ 对 UE-A发 送的媒体流进行解密； UE-D使用 K2 (即直接将第二密钥材料作为第三密 钥导出）保护从 UE-D发给 UE-A的媒体流， UE-A可以使用 K2对 UE-D 发送的媒体流进行解密。

UE-A和 UE-D也可以均使用 Κ 保护其之间交互的媒体流， UE-D可以 使用 Κ 对 UE-A发送的媒体流进行解密， UE-A可以使用 Κ 对 UE-D发送 的媒体流进行解密。

图 7所示为本发明实施例三的端到端安全的分叉呼叫， 即用户 B签约 了分叉呼叫业务，当用户 A呼叫用户 B时，用户 B所拥有的 UE-B1、 UE-B2 终端将同时被呼叫，假设该实施例中 UE-B2终端最终应答。在本实施例中， UE-A作为第一方， UE-B1、 UE-B2作为第二方， 实现端到端安全呼叫转移 具体包括以下步驟：

步驟 701 , UE-A生成主叫密钥 K1 (作为第一密钥材料）。

步驟 702, UE-A向 IMS网络发送对 UE-B的呼叫请求（ INVITE )消息 , 且此呼叫请求消息中携带主叫密钥 Kl。

步驟 703 , IMS网络将收到的 INVITE消息转发到 UE-B所属的分叉呼 叫应用服务器。

步驟 704,分叉呼叫应用服务器将 INVITE消息发送到 UE-B1、 UE-B2, 即在步驟 705a和 705b步驟中， 分叉呼叫应用服务器发送包含 K1的 SDP Offer的 SIP消息给 UE-B1、 UE-B2。

步驟 706a, UE-B 1收到 INVITE消息后， 由消息中包含的主叫密钥 K1 获知该呼叫是一个 SDES端到端安全的安全呼叫； UE-B1生成被叫密钥 K2 (作为第二密钥材料）和密钥更新参数 P1 , 且 UE-B1基于 P1和收到的 K1 生成新的主叫密钥 K_al=KDF ( Kl , PI ), 其中 KDF为密钥生成函数（Key Derivation Function ), K_al作为 UE-B 1与 UE- A之间的第二密钥。 步驟 707a, UE-B1将被叫密钥 K2和密钥更新参数 P1 , 以及 KDF包含 在 SDP Answer消息中通过 IMS网络返回给呼叫转移应用服务器。其中，如 果 P1选择为 K2 , 则消息中只包含 K2和 KDF。

步驟 708a~709a, 分叉呼叫应用服务器将该消息通过 IMS 网络返回给

UE-A。

步驟 710a, UE-A在收到该消息后基于主叫密钥 K1和收到的密钥更新 参数 P1 , 使用 KDF生成新的主叫密钥 K_al=KDF ( Kl , PI )₀

步驟 706b-709b, UE-B2 生成 K3 (作为第二密钥材料）和 Ρ2, 使用 KDF生成 K_a2=KDF ( Kl , P2 ), K_a2作为 UE-B2与 UE-A之间的第二密钥； 其他过程与 706a-709a步驟相同， 不再累述。

步驟 710b, UE-A基于主叫密钥 Kl和收到的密钥更新参数 P2, 使用 KDF生成新的主叫密钥 K_a2=KDF ( Kl , P2 )₀

步驟 711-713 , UE-B2应答， 通过网络向 UE-A发送 200 Ok消息。 步驟 714, UE-A和 UE-B2建立起端到端安全的加密媒体流通信， UE-A 使用 K_a2保护从 UE-A发给 UE-B2的媒体流， UE-B2可以使用 K_a2对 UE-A 发送的媒体流进行解密； UE-B2使用 K3 (即直接将第二密钥材料作为第三 密钥导出）保护从 UE-B2发给 UE-A的媒体流， UE-A可以使用 K3对 UE-B2 发送的媒体流进行解密。

UE-A和 UE-B2也可以均使用 K_a2保护其之间交互的媒体流， UE-B2 可以使用 K_a2对 UE-A发送的媒体流进行解密， UE-A可以使用 K_a2对 UE-B2 发送的媒体流进行解密。

以上所述， 仅为本发明的较佳实施例， 并非用于限定本发明的保护范 围。

Claims

权利要求书

1、一种实现端到端安全的密钥协商方法， 其特征在于， 该方法包括： 第二方生成第二密钥材料和密钥更新参数， 并根据所述密钥更新参 数、 以及第一密钥材料， 生成第二密钥；

第二方将生成的第二密钥材料和密钥更新参数传递给所述第一方； 所述第一方根据所述密钥更新参数、 以及所述第一密钥材料， 生成 所述第二密钥；

所述第一方使用所述第二密钥保护发送的媒体流。

2、 根据权利要求 1所述实现端到端安全的密钥协商方法， 其特征在 于， 该方法进一步包括：

选择生成的第二密钥材料作为所述密钥更新参数， 且当选择生成的 第二密钥材料作为密钥更新参数时， 所述第二方只将生成的第二密钥材 料传递给所述第一方。

3、 根据权利要求 1所述实现端到端安全的密钥协商方法， 其特征在 于， 该方法进一步包括：

所述第二方将密钥生成函数发送给所述第一方， 所述第一方和第二 方使用所述密钥生成函数生成第二密钥。

4、 根据权利要求 1所述实现端到端安全的密钥协商方法， 其特征在 于， 该方法进一步包括：

所述第一方和第二方分别使用各自预先配置的相同的密钥生成函 数， 根据所述密钥更新参数、 以及所述第一密钥材料， 生成所述第二密 钥。

5、 根据权利要求 1所述实现端到端安全的密钥协商方法， 其特征在 于， 该方法进一步包括：

所述第一密钥材料预先配置到所述第一方与所述第二方中， 或者所 述第一方生成第一密钥材料后传递给所述第二方。

6、根据权利要求 1至 5任一项所述实现端到端安全的密钥协商方法， 其特征在于， 该方法进一步包括：

所述第二方使用所述第二密钥、 或使用根据所述第二密钥材料导出 的第三密钥保护发送的媒体流。

7、一种实现端到端安全的密钥协商系统， 其特征在于， 该系统包括： 第一方和第二方，

所述第二方， 用于生成第二密钥材料和密钥更新参数， 并根据所述 密钥更新参数、 以及第一密钥材料， 生成第二密钥； 将生成的第二密钥 材料和密钥更新参数传递给所述第一方；

所述第一方， 用于根据所述密钥更新参数、 以及所述第一密钥材料， 生成所述第二密钥； 使用所述第二密钥保护发送的媒体流。

8、 根据权利要求 7所述实现端到端安全的密钥协商系统， 其特征在 于， 所述第二方进一步用于， 选择生成的第二密钥材料作为所述密钥更 新参数， 且当选择生成的第二密钥材料作为密钥更新参数时， 所述第二 方只将生成的第二密钥材料传递给所述第一方。

9、 根据权利要求 7所述实现端到端安全的密钥协商系统， 其特征在 于， 所述第二方进一步用于， 将密钥生成函数发送给所述第一方，

相应的， 所述第一方和第二方使用所述密钥生成函数生成第二密钥。

10、 根据权利要求 7所述实现端到端安全的密钥协商系统， 其特征 在于， 所述第一方和第二方分别使用各自预先配置的相同的密钥生成函 数， 根据所述密钥更新参数、 以及所述第一密钥材料， 生成所述第二密 钥。

11、 根据权利要求 7所述实现端到端安全的密钥协商系统， 其特征 在于， 所述第一密钥材料预先配置到所述第一方与所述第二方中， 或者 所述第一方生成第一密钥材料后传递给所述第二方。

12、 根据权利要求 7至 11任一项所述实现端到端安全的密钥协商系 统， 其特征在于， 所述第二方进一步用于， 使用所述第二密钥、 或使用 根据所述第二密钥材料导出的第三密钥保护发送的媒体流。