[发明专利]密钥处理方法、系统和设备

权利要求书

1. 一种密钥处理方法，其特征在于，包括以下步骤：

网络侧移动管理实体接收用户终端发送的消息；

所述移动管理实体判断是否更新所述用户终端的密钥中的一组或多组；

所述判断结果为需要更新时，所述移动管理实体和所述用户终端获取更新后的密钥。

2. 如权利要求1所述密钥处理方法，其特征在于，所述移动管理实体根据网络情况、和/或所述消息判断是否更新用户终端密钥中的一组或多组。

3. 如权利要求1或2所述密钥处理方法，其特征在于，所述密钥使用相同的密钥标识符或不同的密钥标识符。

4. 如权利要求3所述密钥处理方法，其特征在于，所述密钥使用不同的密钥标识符时，

所述用户终端通过将所述消息中携带的密钥标识符设置为预设值，要求所述移动管理实体更新与所述密钥标识符对应的密钥；或

所述用户终端通过在所述消息中不携带密钥标识符，要求所述移动管理实体更新与所述未携带的密钥标识符对应的密钥。

5. 如权利要求3所述密钥处理方法，其特征在于，所述密钥使用相同的密钥标识符时，

所述用户终端通过在所述消息中携带指示字段，要求所述移动管理实体更新与所述指示字段对应的密钥；或

所述用户终端通过将所述密钥标识符设为预设值，要求所述移动管理实体更新全部密钥。

6. 如权利要求1所述密钥处理方法，其特征在于，所述消息中携带所述用户终端与所述网络侧间的共享密钥K的标识符KSI。

7. 如权利要求6所述密钥处理方法，其特征在于，所述移动管理实体更新全部密钥前，与所述用户终端设定并交互新的共享密钥K以及共享密钥K的标识符KSI，或保留原有的共享密钥K以及标识符KSI。

8. 如权利要求7所述密钥处理方法，其特征在于，所述移动管理实体和所述用户终端获取更新后的密钥的步骤具体为：

利用共享密钥K，推演得到新的密钥。

9. 如权利要求7所述密钥处理方法，其特征在于，所述移动管理实体获取更新后的密钥的步骤具体为：

所述移动管理实体利用共享密钥K和/或变化参数，推演得到新的密钥。

10. 如权利要求8或9所述密钥处理方法，其特征在于，所述移动管理实体获取更新后的密钥后，将所述新密钥发送给对应的网络侧实体。

11. 如权利要求8或9所述密钥处理方法，其特征在于，所述移动管理实体获取更新后的密钥后，在所述新密钥的密钥标识符发生变化时，将所述新密钥的密钥标识符直接发送给所述用户终端，或通过演进节点B发送给所述用户终端。

12. 如权利要求9所述密钥处理方法，其特征在于，所述移动管理实体推演不同的新的密钥时，利用的变化参数相同或不同。

13. 如权利要求12所述密钥处理方法，其特征在于，所述移动管理实体获取更新后的密钥后，在所述用户终端未获得所述变化参数时，将所述变化参数直接发送给所述用户终端，或通过演进节点B发送给所述用户终端。

14. 如权利要求13所述密钥处理方法，其特征在于，所述移动管理实体在发送所述变化参数和/或密钥标识符时，将所述变化参数和/或密钥标识符进行完整性保护和/或抗重放保护。

15. 如权利要求14所述密钥处理方法，其特征在于，所述抗重放保护具体为：

所述用户终端接收的变化参数与接收过的变化参数相同时，不进行新密钥的推演，否则利用所述变化参数和/或共享密钥K推演新的密钥；或

所述用户终端利用接收到的密钥标识符作为序列号，当接收到的密钥标识符序列号处于一个可接受的范围内时，利用所述变化参数和/或共享密钥K推演新的密钥；或

所述用户设备在发送所述消息时同时发送第一数值；所述移动管理实体向所述用户设备发送所述变化参数时同时发送第二数值；所述用户设备在接收到的所述第二数值与所述消息中的第一数值相同时，利用所述变化参数和/或共享密钥K进行新密钥的推演。