[发明专利]组密钥的更新方法、设备及系统

权利要求书

1.一种组密钥的更新方法，其特征在于，该方法包括：

步骤1、归属网络实体根据用户设备提供的组标识GID、组密钥GK的版本号KV及本地根密钥SK_GID，获得组密钥GK，解密出用户设备提供的用组密钥GK加密的国际移动用户识别码IMSI；

步骤2、归属网络实体在用户提供的组密钥版本KV与本地版本号KVn不一致时，根据组标识GID、本地版本号KVn和本地根密钥SK_GID，生成新的组密钥GKn；根据IMSI、用户的鉴权密钥K生成更新密钥UK，用UK加密组标识GID、KVn及GKn并提供给用户设备；

步骤3、用户设备根据IMSI和鉴权密钥K生成更新密钥UK，解密出组标识GID、新的组密钥版本KVn及新的组密钥GKn，更新组密钥及其版本。

2.如权利要求1所述的方法，其特征在于，所述步骤1之前进一步包括：用户设备用组密钥GK加密IMSI及一随机数R；

所述步骤1中，归属网络实体根据组密钥GK及随机数R，解密出IMSI。

3.如权利要求1或2所述的方法，其特征在于，所述步骤2中，归属网络实体在用户提供的组密钥版本号KV与本地版本号KVn不一致，并进一步在用户提供的组标识GID与本地组标识GIDn不一致时，根据本地组标识GIDn、本地版本号KVn和本地根密钥SK_GIDn，生成新的组密钥GKn。

4.一种组密钥的更新方法，其特征在于，该方法包括：

步骤1、归属网络实体根据用户设备提供的组标识GID、组密钥GK的版本号KV及本地根密钥SK_GID，获得组密钥GK，解密出用户设备提供的用GK加密的国际移动用户识别码IMSI；

步骤2、归属网络实体在GID与本地组标识GIDn不一致时，根据本地组标识GIDn、用户提供的组密钥版本号KV、本地根密钥SK_GIDn，生成新的组密钥GKn；根据IMSI、用户的鉴权密钥K生成更新密钥UK，用UK加密本地组标识GIDn、用户提供的组密钥版本KV及新的组密钥GKn并提供给用户设备；

步骤3、用户设备根据IMSI和鉴权密钥K生成更新密钥UK，解密出新的组标识GIDn、组密钥版本KV及新的组密钥GKn，更新组密钥及其版本。

5.如权利要求4所述的方法，其特征在于，所述步骤1之前进一步包括：用户设备用组密钥GK加密IMSI及一随机数R；

所述步骤1中，归属网络实体根据用户提供的组密钥GK及随机数R，解密出IMSI。

6.一种归属网络实体，其特征在于，包括：

解密模块，用于根据用户设备提供的组标识GID、组密钥GK的版本号KV及本地根密钥SK_GID，获得GK，解密出用户设备提供的用GK加密的国际移动用户识别码IMSI；

更新模块，用于在用户提供的组密钥版本号KV与本地版本号KVn不一致时，根据用户提供的组标识GID或本地组标识GIDn、本地KVn、SK_GID，生成新的组密钥GKn；根据IMSI、用户的鉴权密钥K生成更新密钥UK，用UK加密GID、KVn及GKn；

发送模块，用于将用UK加密的GID、KVn及GKn提供给用户设备。

7.如权利要求6所述的归属网络实体，其特征在于，所述解密模块包括：解密单元，用于根据GK及加密IMSI时使用的随机数R，解密出IMSI。

8.一种用户设备，其特征在于，包括：

发送模块，用于向归属网络实体提供用户身份信息，所述用户身份信息包括组标识GID、组密钥GK的版本号KV、用GK加密的国际移动用户识别码IMSI；

接收模块，用于接收归属网络实体用更新密钥UK加密的GID、KVn及新的组密钥GKn；

更新模块，用于根据IMSI、K生成UK，解密出GID、KVn及GKn，更新KV及GK。

9.如权利要求8所述的用户设备，其特征在于，还包括：

加密模块，用于用GK加密IMSI及一随机数R，并交由发送模块提供给归属网络实体。