一种网络认证方法、相关设备及系统与流程

文档序号：13520687阅读：250来源：国知局

本发明涉及计算机技术领域，尤其涉及一种网络认证方法、相关设备及系统。

背景技术：

物联网(英文：internetofthings，简称：iot)是第五代移动通信技术(英文：5th-generation，简称：5g)的重要应用场景，iot中的用户设备接入到5g网络需要进行网络认证，从而生成用于保护网络数据安全传输的共享密钥。用户设备通过网络访问的某项业务时也需要进行业务认证，从而生成用于保护业务数据安全传输的共享密钥。基于共享密钥来保证数据安全传输的原理如下：

用户1(user1)和用户2(user2)提前共享对称密钥k，也称作共享密钥。

方式一：user1使用共享密钥k对消息m进行加密，例如，可表示为ciphtext＝en_k_(m)；然后user1并将加密后的消息发送给user2。user2接收该user1发送的消息并利用k和ciphertext恢复出消息m，例如，可表示为m＝decrypt(k,ciphtext)，该过程保证了消息m传输的安全性。基于该共享密钥k的加密技术可以为高级加密标准(英文：advancedencryptionstandard，缩写：aes)，三重数据加密算法(英文：tripledataencryptionalgorithm，简称：3des)，blowfish,serpent,snow3g，zuc，hc-256，grain等算法。

方式二：user1利用共享密钥k计算消息m的消息认证码(英文：messageauthenticationcode，简称：mac)，例如，可表示为mac1＝mac_k_(m)，即利用共享密钥k计算出消息m对应的消息认证码mac1。然后user1将消息m和消息认证码mac1发送给该user2。该user2接收该消息m和该消息认证码mac1，并利用k和m验证mac1的正确性，若验证正确则表明消息m未被篡改，该过程保证了消息m传输的安全性。基于该共享密钥k生成消息认证码的技术可以为哈希消息认证码(英文：hash-basedmessageauthenticationcode，简称：hmac)，omac，cbc-mac，pmac，umac和vmac等算法。

如何在海量iot的场景下提高网络认证的效率以及提高网络认证的安全性，是本领域的技术人员正在探讨的问题。

技术实现要素：

本发明实施例公开了一种网络认证方法、相关设备及系统，能够提高网络认证的效率以及提高网络认证的安全性。

第一方面，本发明实施例提供了一种网络认证系统，所述系统包括用户设备、网络认证设备和业务认证设备，其中：

所述业务认证设备用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥，所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥，所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息；

所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥；

所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备；

所述网络认证设备用于接收所述第二共享密钥，所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在上述系统中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

结合第一方面，在第一方面的第一种可能的实现方式中，所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中：

所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥；

所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥，具体为：

所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成第四共享密钥；

所述网络认证设备和所述用户设备均用于根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

结合第一方面，在第一方面的第三种可能的实现方式中，所述结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥；

所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。

结合第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中：

所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备；

所述业务认证设备用于接收所述目标共享密钥；

所述业务认证设备和所述用户设备用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第一方面，在第一方面的第五种可能的实现方式中：

所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥；

所述结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥；

所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。

结合第一方面，在第一方面的第六种可能的实现方式中：

所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第一方面，在第一方面的第七种可能的实现方式中：所述参考信息包括所述网络认证设备所在蜂窝网的网络参数；所述结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

根据所述参考信息和所述第一共享密钥进行业务认证生成第二共享密钥；

所述业务认证设备还用于将所述第二共享密钥作为所述目标共享密钥。

结合第一方面，在第一方面的第八种可能的实现方式中：

所述业务认证设备用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥；

所述结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述参考信息、第一共享密钥和所述第五共享密钥进行业务认证生成第二共享密钥；

所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。

结合第一方面，在第一方面的第九种可能的实现方式中：

所述网络认证设备用于向所述业务认证设备获取所述第一共享密钥；

所述网络认证设备用于根据所述第一共享密钥和第五共享密钥生成网络侧信息，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥；

所述网络认证设备用于将所述网络侧信息发送给所述业务认证设备；

所述业务认证设备用于接收并向所述用户设备转发所述网络侧信息；

所述结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息；

所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，或者第一方面的第五种可能的实现方式，或者第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，或者第一方面的第八种可能的实现方式，或者第一方面的第九种可能的实现方式，在第一方面的第十种可能的实现方式中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

结合第一方面的第十种可能的实现方式，在第一方面的第十一种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第二方面，本发明实施例提供一种网络认证系统，其特征在于，所述系统包括用户设备、网络认证设备和业务认证设备，其中：

所述业务认证设备用于将预存的目标业务的业务参数发送给所述网络认证设备和所述用户设备；

所述网络认证设备和所述用户设备用于接收所述业务参数；

所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

在上述系统中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

结合第二方面，在第二方面的第一种可能的实现方式中，所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享秘生成目标共享密钥，具体为：

所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第二方面，或者第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

第三方面，本发明实施例提供一种网络认证系统，所述系统包括用户设备、网络认证设备和业务认证设备，其中：

所述业务认证设备用于获取所述用户设备的身份标识；

所述业务认证设备用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥，并将所述身份密钥、所述业务公钥发送给所述网络认证设备；

所述网络认证设备用于接收所述身份密钥和所述业务公钥，并结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥；

所述网络认证设备用于将所述认证根密钥写入所述用户设备；

所述网络认证设备和所述用户设备用于根据所述认证根密钥进行网络认证生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在上述系统中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

结合第三方面，在第三方面的第一种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第四方面，本发明实施例提供一种网络认证系统，其特征在于，所述系统包括用户设备、网络认证设备和业务认证设备，其中：

所述业务认证设备和所述用户设备用于进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备用于预先配置参考共享密钥；

所述业务认证设备用于将所述参考共享密钥发送给所述网络认证设备；

所述网络认证设备用于接收所述参考共享密钥；

所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在上述网络认证系统中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

结合第四方面，在第四方面的第一种可能的实现方式中，所述网络认证设备用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备；所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥，具体为：

所述网络认证设备和所述用户设备均用于根据所述网络参数和所述参考共享密钥生成认证共享密钥；

所述网络认证设备和所述用户设备用于根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

结合第四方面，或者第四方面的第一种可能的实现方式，或者第四方面的第二种可能的实现方式，在第四方面的第三种可能的实现方式中：

所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备；

所述业务认证设备用于接收所述目标共享密钥；

所述业务认证设备和所述用户设备用于将所述目标共享密钥，或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。

第五方面，本发明实施例提供一种业务认证设备，该业务认证设备包括：

第一获取单元，用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥，所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥，所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息；

发送单元，用于将所述第二共享密钥发送给所述网络认证设备，所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

通过运行上述单元，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

结合第五方面，在第五方面的第一种可能的实现方式中，所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

结合第五方面，或者第五方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，还包括：

第一接收单元，用于接收所述网络认证设备发送的所述目标共享密钥；

生成单元，用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第五方面，或者第五方面的第一种可能的实现方式，在第五方面的第三种可能的实现方式中，还包括：

生成单元，用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第五方面，在第五方面的第四种可能的实现方式中，还包括：

第二获取单元，用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥；

所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。

结合第五方面，在第五方面的第五种可能的实现方式中，还包括：

第二接收单元，用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息，并向所述用户设备转发所述网络侧信息；

所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

结合第五方面，或者第五方面的第一种可能的实现方式，或者第五方面的第二种可能的实现方式，或者第五方面的第三种可能的实现方式，或者第五方面的第四种可能的实现方式，或者第五方面的第五种可能的实现方式，在第五方面的第六种可能的实现方式中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

结合第五方面的第六种可能的实现方式，在第五方面的第七种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第六方面，本发明实施例提供一种用户设备，该用户设备包括：

获取单元，用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥；所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥，所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备；

生成单元，用于根据所述第二共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第六方面，在第六方面的第一种可能的实现方式中，所述获取单元根据所述第二共享密钥生成目标共享密钥，具体为：

将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。

结合第六方面，在第六方面的第二种可能的实现方式中，所述获取单元根据所述第二共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。

结合第六方面的第二种可能的实现方式，在第六方面的第三种可能的实现方式中，该用户设备还包括：

认证单元，用于和所述网络认证设备进行网络认证生成第三共享密钥；

所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥，具体为：

和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

结合第六方面，在第六方面的第四种可能的实现方式中，所述生成单元根据所述第二共享密钥生成目标共享密钥，具体为：

和所述网络认证设备进行网络认证生成第三共享密钥；

根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。

结合第六方面，在第六方面的第五种可能的实现方式中，所述生成单元根据所述第二共享密钥生成目标共享密钥，具体为：

根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第六方面，在第六方面的第六种可能的实现方式中，所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥；所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥，所述业务认证设备用于获取所述第五共享密钥。

结合第六方面，或者第六方面的第一种可能的实现方式，或者第六方面的第二种可能的实现方式，或者第六方面的第三种可能的实现方式，或者第六方面的第四种可能的实现方式，或者第六方面的第五种可能的实现方式，在第六方面的第七种可能的实现方式中，所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

结合第六方面，或者第六方面的第一种可能的实现方式，或者第六方面的第二种可能的实现方式，或者第六方面的第三种可能的实现方式，或者第六方面的第四种可能的实现方式，或者第六方面的第五种可能的实现方式，在第六方面的第八种可能的实现方式中，还包括：

第一接收单元，用于接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息，所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥；

所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

结合第六方面，或者第六方面的第一种可能的实现方式，或者第六方面的第二种可能的实现方式，或者第六方面的第三种可能的实现方式，或者第六方面的第四种可能的实现方式，或者第六方面的第五种可能的实现方式，或者第六方面的第六种可能的实现方式，或者第六方面的第七种可能的实现方式，或者第六方面的第八种可能的实现方式，在第六方面的第九种可能的实现方式中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

结合第六方面的第九种可能的实现方式，在第六方面的第十种可能的实现方式中，当所述参考信息包含所述业务参数时，还包括：

第二接收单元，用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。

结合第六方面的第九种可能的实现方式，或者第六方面的第十种可能的实现方式，在第六方面的第十一种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第七方面，本发明实施例提供一种网络认证设备，该网络认证设备包括：

接收单元，用于接收业务认证设备发送的第二共享密钥，业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥，所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥，所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息；

第一生成单元，用于根据所述第二共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第七方面，在第七方面的第一种可能的实现方式中，所述第一生成单元根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。

结合第七方面的第一种可能的实现方式，在第七方面的第二种可能的实现方式中，还包括：

认证单元，用于和所述用户设备进行网络认证生成第三共享密钥；

所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥，具体为：

和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

结合第七方面，在第七方面的第三种可能的实现方式中，所述第一生成单元根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。

结合第七方面，在第七方面的第四种可能的实现方式中，所述第一生成单元根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备进行网络认证生成第三共享密钥；

和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。

结合第七方面，在第七方面的第五种可能的实现方式中，所述第一生成单元根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，或者第七方面的第五种可能的实现方式，在第七方面的第六种可能的实现方式中，还包括：

获取单元，用于向所述业务认证设备获取所述第一共享密钥；

第二生成单元，用于根据所述第一共享密钥和第五共享密钥生成网络侧信息，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥；

所述网络认证设备将所述网络侧信息发送给所述业务认证设备，以使所述业务认证设备向所述用户设备转发所述网络侧信息，所述网络参数属于所述参考信息。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，或者第七方面的第五种可能的实现方式，在第七方面的第七种可能的实现方式中，还包括：

发送单元，用于将所述目标共享密钥发送给所述业务认证设备，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第七方面，或者第七方面的第一种可能的实现方式，或者第七方面的第二种可能的实现方式，或者第七方面的第三种可能的实现方式，或者第七方面的第四种可能的实现方式，或者第七方面的第五种可能的实现方式，或者第七方面的第六种可能的实现方式，或者第七方面的第七种可能的实现方式，在第七方面的第八种可能的实现方式中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

结合第七方面的第八种可能的实现方式，在第七方面的第九种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第八方面，本发明实施例提供一种业务认证设备，该业务认证设备包括：

发送单元，用于将预存的目标业务的业务参数发送给网络认证设备和用户设备；以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

通过运行上述单元，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

结合第八方面，在第八方面的第一种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

第九方面，本发明实施例提供一种用户设备，该用户设备包括：

接收单元，用于接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给网络认证设备；

生成单元，用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第九方面，在第九方面的第一种可能的实现方式中，所述生成单元和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第九方面，或者第九方面的第一种可能的实现方式，在第九方面的第二种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

第十方面，本发明实施例提供一种网络认证设备，该网络认证设备包括：

接收单元，用于接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给用户设备；

生成单元，用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第十方面，在第十方面的第一种可能的实现方式中，所述生成单元和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，具体为：

和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第十方面，或者第十方面的第一种可能的实现方式，在第十方面的第二种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

第十一方面，本发明实施例提供一种业务认证设备，该业务认证设备包括

获取单元，用于获取用户设备的身份标识；

生成单元，用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥，并将所述身份密钥、所述业务公钥发送给所述网络认证设备，所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

通过运行上述单元，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

第十二方面，本发明实施例提供一种用户设备，该用户设备包括：

生成单元，用于和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥，所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥，所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的，所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备；所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十二方面，在第十二方面的第一种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第十三方面，本发明实施例提供一种网络认证设备，该网络认证设备包括：

接收单元，用于接收身份密钥和业务认证设备管理的目标业务的业务公钥，所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥；

生成单元，用于结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥；

写入单元，用于将所述认证根密钥写入所述用户设备；

认证单元，用于和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十三方面，在第十三方面的第一种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第十四方面，本发明实施例提供一种业务认证设备，该业务认证设备包括：

认证单元，用于和用户设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥；

发送单元，用于将所述参考共享密钥发送给网络认证设备，以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

通过运行上述单元，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

结合第十四方面，在第十四方面的第一种可能的实现方式中，还包括：

接收单元，用于接收所述网络认证设备发送的所述目标共享密钥；

确定单元，用于将所述目标共享密钥，或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。

第十五方面，本发明实施例提供一种用户设备，该用户设备包括：

配置单元，用于和业务认证设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥，所述业务认证设备用于将所述参考共享密钥发送给网络认证设备；

生成单元，用于和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十五方面，在第十五方面的第一种可能的实现方式中，还包括：

接收单元，用于接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数；

所述生成单元和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥；

和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第十五方面的第一种可能的实现方式，在第十五方面的第二种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第十六方面，本发明实施例提供一种网络认证设备，该网络认证设备包括：

接收单元，用于接收业务认证设备发送的参考共享密钥，所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的；

生成单元，用于和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十六方面，在第十六方面的第一种可能的实现方式中，该网络认证设备还包括：

第一发送单元，用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备；

所述生成单元和所述用户设备结合所述参考共享密钥生成目标共享密钥，具体为：

和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥；

和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第十六方面的第一种可能的实现方式，在第十六方面的第二种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

结合第十六方面，或者第十六方面的第一种可能的实现方式中，或者第十六方面的第二种可能的实现方面，在第十六方面的第三种可能的实现方式中，该网络认证设备还包括：

第二发送单元，用于将所述目标共享密钥发送给所述业务认证设备，以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。

第十七方面，本发明实施例提供一种网络认证方法，该方法包括：

业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥，所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥，所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息；

所述业务认证设备将所述第二共享密钥发送给所述网络认证设备，所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

通过执行上述步骤，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

结合第十七方面，在第十七方面的第一种可能的实现方式中，所述结合所述参考信息和第一共享密钥生成第二共享密钥，包括：

所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

结合第十七方面，或者第十七方面的第一种可能的实现方式，在第十七方面的第二种可能的实现方式中，所述业务认证设备将所述第二共享密钥发送给所述网络认证设备之后，所述方法还包括：

所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥；

所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十七方面，或者第十七方面的第一种可能的实现方式，在第十七方面的第三种可能的实现方式中，所述业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后，所述方法还包括：

所述业务认证设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十七方面，在第十七方面的第四种可能的实现方式中，所述结合所述参考信息和第一共享密钥生成第二共享密钥之前，所述方法还包括：

所述业务认证设备获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥；

所述结合所述参考信息和第一共享密钥生成第二共享密钥，包括：

结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。

结合第十七方面，在第十七方面的第五种可能的实现方式中，所述结合所述参考信息和第一共享密钥生成第二共享密钥之前，所述方法还包括：

所述业务认证设备接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息，并向所述用户设备转发所述网络侧信息；

所述结合所述参考信息和第一共享密钥生成第二共享密钥，包括：

结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

结合第十七方面，或者第十七方面的第一种可能的实现方式，或者第十七方面的第一种可能的实现方式，或者第十七方面的第二种可能的实现方式，或者第十七方面的第三种可能的实现方式，或者第十七方面的第四种可能的实现方式，或者第十七方面的第五种可能的实现方式，在第十七方面的第六种可能的实现方式中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

结合第十七方面的第六种可能的实现方式，在第十七方面的第七种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第十八方面，本发明实施例提供一种网络认证方法，该方法包括：

用户设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥；所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥，所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备；

所述用户设备根据所述第二共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十八方面，在第十八方面的第一种可能的实现方式中，所述用户设备根据所述第二共享密钥生成目标共享密钥，包括：

所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。

结合第十八方面，在第十八方面的第二种可能的实现方式中，所述用户设备根据所述第二共享密钥生成目标共享密钥，包括：

所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。

结合第十八方面的第二种可能的实现方式，在第十八方面的第三种可能的实现方式中，所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前，所述方法还包括：

所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥；

所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥，包括：

所述用户设备和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

所述用户设备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

结合第十八方面，在第十八方面的第四种可能的实现方式中，所述用户设备根据所述第二共享密钥生成目标共享密钥，包括：

所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥；

所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。

结合第十八方面，在第十八方面的第五种可能的实现方式中，所述用户设备根据所述第二共享密钥生成目标共享密钥，包括：

所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第十八方面，在第十八方面的第六种可能的实现方式中，所述结合所述参考信息和第一共享密钥生成第二共享密钥，包括：

结合第十八方面，或者第十八方面的第一种可能的实现方式，或者第十八方面的第二种可能的实现方式，或者第十八方面的第三种可能的实现方式，或者第十八方面的第四种可能的实现方式，或者第十八方面的第五种可能的实现方式，或者第十八方面的第六种可能的实现方式，在第十八方面的第七种可能的实现方式中，所述结合所述参考信息和第一共享密钥生成第二共享密钥，包括：

用户设备和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

结合第十八方面，或者第十八方面的第一种可能的实现方式，或者第十八方面的第二种可能的实现方式，或者第十八方面的第三种可能的实现方式，或者第十八方面的第四种可能的实现方式，或者第十八方面的第五种可能的实现方式，或者第十八方面的第六种可能的实现方式，在第十八方面的第八种可能的实现方式中，所述结合所述参考信息和第一共享密钥生成第二共享密钥之前，所述方法还包括：

所述用户设备接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息，所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥；

所述结合所述参考信息和第一共享密钥生成第二共享密钥，包括：

结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

结合第十八方面，或者第十八方面的第一种可能的实现方式，或者第十八方面的第二种可能的实现方式，或者第十八方面的第三种可能的实现方式，或者第十八方面的第四种可能的实现方式，或者第十八方面的第五种可能的实现方式，或者第十八方面的第六种可能的实现方式，或者第十八方面的第七种可能的实现方式，或者第十八方面的第八种可能的实现方式，在第十八方面的第九种可能的实现方式中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

结合第十八方面的第九种可能的实现方式，在第十八方面的第十种可能的实现方式中，当所述参考信息包含所述业务参数时，所述结合所述参考信息和第一共享密钥生成第二共享密钥之前，所述方法还包括：

所述用户设备接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。

结合第十八方面的第九种可能的实现方式，或者结合第十八方面的第十种可能的实现方式，在第十八方面的第十一种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第十九方面，本发明实施例提供一种网络认证方法，该方法包括：

网络认证设备接收业务认证设备发送的第二共享密钥，业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥，所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥，所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息；

所述网络认证设备根据所述第二共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十九方面，在第十九方面的第一种可能的实现方式中，所述网络认证设备根据所述第二共享密钥生成目标共享密钥，包括：

所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。

结合第十九方面的第一种可能的实现方式，在第十九方面的第二种可能的实现方式中，所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前，所述方法还包括：

所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥；

所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥，包括：

所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

所述网络认证设备和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

结合第十九方面，在第十九方面的第三种可能的实现方式中，所述网络认证设备根据所述第二共享密钥生成目标共享密钥，包括：

所述网络认证设备和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。

结合第十九方面，在第十九方面的第四种可能的实现方式中，所述网络认证设备根据所述第二共享密钥生成目标共享密钥，包括：

所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥；

所述网络认证设备和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。

结合第十九方面，在第十九方面的第五种可能的实现方式中，所述网络认证设备根据所述第二共享密钥生成目标共享密钥，包括：

所述网络认证设备和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第十九方面，或者第十九方面的第一种可能的实现方式，或者第十九方面的第二种可能的实现方式，或者第十九方面的第三种可能的实现方式，或者第十九方面的第四种可能的实现方式，或者第十九方面的第五种可能的实现方式，在第十九方面的第六种可能的实现方式中，所述方法还包括：

所述网络认证设备向所述业务认证设备获取所述第一共享密钥；

所述网络认证设备根据所述第一共享密钥和第五共享密钥生成网络侧信息，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥；

结合第十九方面，或者第十九方面的第一种可能的实现方式，或者第十九方面的第二种可能的实现方式，或者第十九方面的第三种可能的实现方式，或者第十九方面的第四种可能的实现方式，或者第十九方面的第五种可能的实现方式，在第十九方面的第七种可能的实现方式中，所述网络认证设备根据所述第二共享密钥生成目标共享密钥之前，所述方法还包括：

所述网络认证设备将所述目标共享密钥发送给所述业务认证设备，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第十九方面，或者第十九方面的第一种可能的实现方式，或者第十九方面的第二种可能的实现方式，或者第十九方面的第三种可能的实现方式，或者第十九方面的第四种可能的实现方式，或者第十九方面的第五种可能的实现方式，或者第十九方面的第六种可能的实现方式，或者第十九方面的第七种可能的实现方式，在第十九方面的第八种可能的实现方式中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

结合第十九方面的第八种可能的实现方式，在第十九方面的第九种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第二十方面，本发明实施例提供一种网络认证方法，该方法包括：

业务认证设备将预存的目标业务的业务参数发送给网络认证设备和用户设备；以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

通过执行上述步骤，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

结合第二十方面，在第二十方面的第一种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

第二十一方面，本发明实施例提供一种网络认证方法，该方法包括：

用户设备接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给网络认证设备；

所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第二十一方面，在第二十一方面的第一种可能的实现方式中，所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，包括：

所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第二十一方面，或者第二十一方面的第一种可能的实现方式，在第二十一方面的第二种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

第二十二方面，本发明实施例提供一种网络认证方法，该方法包括：

网络认证设备接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给用户设备；

所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

结合第二十二方面，在第二十二方面的第一种可能的实现方式中，所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，包括：

所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第二十二方面，或者第二十二方面的第一种可能的实现方式，在第二十二方面的第二种可能的实现方式中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

第二十三方面，本发明实施例提供一种网络认证方法，该方法包括：

业务认证设备获取用户设备的身份标识；

所述业务认证设备结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥，并将所述身份密钥、所述业务公钥发送给所述网络认证设备，所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

通过执行上述步骤，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

第二十四方面，本发明实施例提供一种网络认证方法，该方法包括：

用户设备和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥，所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥，所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的，所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备；所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第二十四方面，在第二十四方面的第一种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第二十五方面，本发明实施例提供一种网络认证方法，该方法包括：

网络认证设备接收身份密钥和业务认证设备管理的目标业务的业务公钥，所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥；

所述网络认证设备结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥；

所述网络认证设备将所述认证根密钥写入所述用户设备；

所述网络认证设备和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第二十五方面，在第二十五方面的第一种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第二十六方面，本发明实施例提供一种网络认证方法，包括：

业务认证设备和用户设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥；

所述业务认证设备将所述参考共享密钥发送给网络认证设备，以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

通过执行上述步骤，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

结合第二十六方面，在第二十六方面的第一种可能的实现方式中，所述方法还包括：

所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥；

所述业务认证设备将所述目标共享密钥，或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。

第二十七方面，本发明实施例提供一种网络认证方法，该方法包括：

用户设备和业务认证设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥，所述业务认证设备用于将所述参考共享密钥发送给网络认证设备；

所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第二十七方面，在第二十七方面的第一种可能的实现方式中，所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥之前，所述方法还包括：

所述用户设备接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数；

所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，包括：

所述用户设备和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥；

所述用户设备和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第二十七方面的第一种可能的实现方式，在第二十七方面的第二种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

第二十八方面，本发明实施例提供一种网络认证方法，该方法包括：

网络认证设备接收业务认证设备发送的参考共享密钥，所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的；

所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

结合第二十八方面，在第二十八方面的第一种可能的实现方式中，所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥之前，所述方法还包括：

所述网络认证设备将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备；

所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥，包括：

所述网络认证设备和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥；

所述网络认证设备和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

结合第二十八方面的第一种可能的实现方式，在第二十八方面的第二种可能的实现方式中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

结合第二十八方面，或者第二十八方面的第一种可能的实现方式，或者第二十八方面的第二种可能的实现方式，在第二十八方面的第三种可能的实现方式中，所述方法还包括：

所述网络认证设备将所述目标共享密钥发送给所述业务认证设备，以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。

第二十九方面，本发明实施例提供一种业务认证设备，所述业务认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第十七方面或者第十七方面的任意实现方式中的全部或部分步骤的功能单元。第三十方面，本发明实施例提供一种用户设备，所述用户设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第十八方面或者第十八方面的任意实现方式中的全部或部分步骤的功能单元。

第三十一方面，本发明实施例提供一种网络认证设备，所述网络认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第十九方面或者第十九方面的任意实现方式中的全部或部分步骤的功能单元。

第三十二方面，本发明实施例提供一种业务认证设备，所述业务认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十方面或者第二十方面的任意实现方式中的全部或部分步骤的功能单元。

第三十三方面，本发明实施例提供一种用户设备，所述用户设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十一方面或者第二十一方面的任意实现方式中的全部或部分步骤的功能单元。

第三十三方面，本发明实施例提供一种网络认证设备，所述网络认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十二方面或者第二十二方面的任意实现方式中的全部或部分步骤的功能单元。

第三十四方面，本发明实施例提供一种业务认证设备，所述业务认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十三方面或者第二十三方面的任意实现方式中的全部或部分步骤的功能单元。

第三十五方面，本发明实施例提供一种用户设备，所述用户设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十四方面或者第二十四方面的任意实现方式中的全部或部分步骤的功能单元。

第三十六方面，本发明实施例提供一种网络认证设备，所述网络认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十五方面或者第二十五方面的任意实现方式中的全部或部分步骤的功能单元。

第三十七方面，本发明实施例提供一种业务认证设备，所述业务认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十六方面或者第二十六方面的任意实现方式中的全部或部分步骤的功能单元。

第三十八方面，本发明实施例提供一种用户设备，所述用户设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十七方面或者第二十七方面的任意实现方式中的全部或部分步骤的功能单元。

第三十九方面，本发明实施例提供一种网络认证设备，所述网络认证设备包括处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第二十八方面或者第二十八方面的任意实现方式中的全部或部分步骤的功能单元。

通过实施本发明实施例，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种网络认证系统的结构示意图；

图2是本发明实施例提供的又一种网络认证系统的结构示意图；

图3a是本发明实施例提供的一种网络认证方法的流程示意图；

图3b是本发明实施例提供的又一种网络认证方法的流程示意图；

图3c是本发明实施例提供的又一种网络认证方法的流程示意图；

图3d是本发明实施例提供的又一种网络认证方法的流程示意图；

图3e是本发明实施例提供的又一种网络认证方法的流程示意图；

图3f是本发明实施例提供的又一种网络认证方法的流程示意图；

图3g是本发明实施例提供的又一种网络认证方法的流程示意图；

图3h是本发明实施例提供的又一种网络认证方法的流程示意图；

图3i是本发明实施例提供的又一种网络认证方法的流程示意图；

图3j是本发明实施例提供的又一种网络认证方法的流程示意图；

图3k是本发明实施例提供的又一种网络认证方法的流程示意图；

图3l是本发明实施例提供的又一种网络认证方法的流程示意图；

图4a是本发明实施例提供的又一种网络认证方法的流程示意图；

图5a是本发明实施例提供的又一种网络认证方法的流程示意图；

图5b是本发明实施例提供的又一种网络认证方法的流程示意图；

图6a是本发明实施例提供的又一种网络认证方法的流程示意图；

图6b是本发明实施例提供的又一种网络认证方法的流程示意图；

图6c是本发明实施例提供的又一种网络认证方法的流程示意图；

图6d是本发明实施例提供的又一种网络认证方法的流程示意图；

图6e是本发明实施例提供的又一种网络认证方法的流程示意图；

图6f是本发明实施例提供的又一种网络认证方法的流程示意图；

图6g是本发明实施例提供的又一种网络认证方法的流程示意图；

图6h是本发明实施例提供的又一种网络认证方法的流程示意图；

图6i是本发明实施例提供的又一种网络认证方法的流程示意图；

图7是本发明实施例提供的一种业务认证设备的结构示意图；

图8是本发明实施例提供的一种用户设备的结构示意图；

图9是本发明实施例提供的一种网络认证设备的结构示意图；

图10是本发明实施例提供的又一种业务认证设备的结构示意图；

图11是本发明实施例提供的又一种用户设备的结构示意图；

图12是本发明实施例提供的又一种网络认证设备的结构示意图；

图13是本发明实施例提供的又一种业务认证设备的结构示意图；

图14是本发明实施例提供的又一种用户设备的结构示意图；

图15是本发明实施例提供的又一种网络认证设备的结构示意图；

图16是本发明实施例提供的又一种业务认证设备的结构示意图；

图17是本发明实施例提供的又一种用户设备的结构示意图；

图18是本发明实施例提供的又一种网络认证设备的结构示意图；

图19是本发明实施例提供的又一种业务认证设备的结构示意图；

图20是本发明实施例提供的又一种用户设备的结构示意图；

图21是本发明实施例提供的又一种网络认证设备的结构示意图；

图22是本发明实施例提供的又一种业务认证设备的结构示意图；

图23是本发明实施例提供的又一种用户设备的结构示意图；

图24是本发明实施例提供的又一种网络认证设备的结构示意图；

图25是本发明实施例提供的又一种业务认证设备的结构示意图；

图26是本发明实施例提供的又一种用户设备的结构示意图；

图27是本发明实施例提供的又一种网络认证设备的结构示意图；

图28是本发明实施例提供的又一种业务认证设备的结构示意图；

图29是本发明实施例提供的又一种用户设备的结构示意图；

图30是本发明实施例提供的又一种网络认证设备的结构示意图；

图31是本发明实施例提供的一种网络认证系统的结构示意图。

具体实施方式

下面将结合附图对本发明实施例中的技术方案进行清楚、完整地描述

请参见图1，图1是本发明实施例提供的一种网络认证系统10的架构示意图；该网络认证系统10包括用户设备101、业务认证设备103和运营商提供网络接入的网络认证设备102。可选的，该业务认证设备103均为运营商可控的设备，即该运营商的网络认证设备102可以直接调用该业务认证设备103中的数据；可选的，该业务认证设备103为该运营商不可控的设备，即该运营商的网络认证设备102不可以直接调用该业务认证设备103中的数据。

该网络认证设备102可以为用户设备101需要接入蜂窝网时涉及到的至少一个网络侧设备，用户设备101在接入该蜂窝网时需要先与该网络认证设备102进行网络认证目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。可选的，该用户设备101可以是手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(英文：mobileinternetdevice，简称：mid)、可穿戴设备(例如智能手表(如iwatch等)、智能手环、计步器等)或其可接入运营商网络的终端设备。

可选的，该网络认证设备102包括接入网(英文：accessnetwork，简称：an)、移动性管理(英文：mobilitymanagement，简称：mm)设备、会话管理(英文：sessionmanagement，简称：sm)设备、切片选择设备ssf(英文：sliceselectionfunction)、认证功能单元(英文：controlplane-authenticationunit，简称：cp-au)、新配置与网络认证相关的功能设备(为了方便描述后续可称为网络认证服务器)等中的至少一项，以下以该网络认证设备包括网络认证服务器、cp-au和an为例来进行描述以方便理解。当该网络认证设备102只包括一个设备时，后续描述到的网络认证设备102所执行的操作均由该一个设备完成；当该网络认证设备102包括多个设备时，后续描述到的网络认证设备102所执行的操作由该多个设备协作完成，即该多个设备中不同设备各执行一些操作，执行操作所产生的数据、参数均可以根据需要在该多个设备之间传输。图2为该网络认证系统的一种可选的细化结构示意图。

该业务认证设备103至少存在如下两种情况：

一、该业务认证设备103是用来管理业务认证的设备，该业务认证设备103包括至少一个与业务相关的设备，用户设备101要使用某业务时需要与管理该某业务的业务认证设备103进行业务认证生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。

可选的，业务认证设备103可以为用户生成证书或者基于身份的私钥，最终发送给用户设备101。生成证书时可使用户设备101与网络认证设备102相互认证时使用基于证书的方法；生成基于身份的私钥时，可以使得用户设备101、网络相互认证时或者用户设备101、业务认证设备103相互认证时可以使用基于身份的密码机制的方法。

在一种可选的方案中，用来提供业务的具体数据的设备(为了方便描述后续可称为业务服务器)和用来管理该业务的业务认证的设备(为了方便描述后续可称为业务认证服务器)为同一个设备，即该业务认证设备103；在又一种可选的方案中，该业务认证设备103包括业务认证服务器，但是不包括业务管理服务器；在又一种可选的方案中，该业务认证设备103包括业务认证服务器和业务服务器，当该业务认证设备103包括业务服务器和业务认证服务器时，后续描述到的业务认证设备103所执行的操作可能由该业务认证服务器和业务服务器协作完成，该业务认证服务器和该业务服务器在操作过程中产生的数据、参数均可以根据需要进行相互传输。可选的，以上业务可以包括即时通讯业务、新闻资讯业务、水表业务、电表业务、物流业务、工厂自动化等业务。

二、该业务认证设备103不是用来提供业务的具体数据的设备，也不是用来管理业务的业务认证的设备，而是一个单纯的提供认证的设备，可以为该网络认证设备102和该业务认证设备103分担认证流程的设备。在iot场景中，会有海量的用户设备101需要与该网络认证设备102进行网络认证，导致该网络认证设备102的负载较高，因此本发明实施例提供该业务认证设备103来分担该网络认证设备102的部分或全部流程。

请参见图3a，图3a是本发明实施例提供的一种网络认证方法的流程示意图，该方法可以基于图1所示的网络认证系统来实现，该方法包括但不限于如下步骤。

步骤s301：该业务认证设备获取参考信息并结合该参考信息和第一共享密钥生成第二共享密钥。

具体地，该参考信息包括该用户设备、该网络认证设备和该业务认证设备中至少一项预先关联的信息。

该用户设备预先关联的信息可以为该用户设备的身份标识(ueid)，例如，移动设备国际识别码(英文：internationalmobileequipmentidentity，简称：imei)、移动设备签约标识(英文:internationalmobilesubscriberidentity，简称：imsi)媒体访问控制(英文：mediaaccesscontrol，简称：mac)地址、互联网协议(英文：internetprotocol，简称：ip)地址等能够在一定范围内用来与其他终端设备进行区分的信息。

该网络认证设备预先关联的信息可以为该网络认证设备所处蜂窝网的网络参数，例如公共陆地移动网络标识(plmnid)，运营商标识(operatorid)，接入网络标识(accessnetworkid)，服务网络标识(servingnetworkid)，网络类型标识(networktypeid)，局域网网络标识，切片标识，承载(bearer)id，服务质量(英文：qualityofservice，简称：qos)和流(flow)id等。所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

该业务认证设备预先关联的信息可以为该业务认证设备的身份标识、该业务特征相关的等信息，当该业务认证设备为管理目标业务的设备时，该业务认证设备预先关联的信息还可以包括目标业务的业务参数，例如，业务序列号sn、密钥管理中心的标识、会话标识(sessionid)、链路标识、应用标识(appid)、切片标识、服务标识(serviceid)、业务标识、业务等级、业务数据速率、时延和所在服务器的服务器标识等，该目标业务具体为什么业务此处暂不做限制，可选的，该目标业务为该用户设备当前需要访问的业务。该目标业务的业务参数可能预先存储在了该业务认证设备中，例如，该业务认证设备是用于管理该目标业务的业务认证流程的设备，那么可以预先将该目标业务的业务参数存储到该业务认证设备。该目标业务的业务参数也可能为其他设备在获得相应的触发操作后即时发送给该业务认证设备的，例如，该业务认证设备用来对用户设备进行业务认证，那么该网络认证设备会触发业务服务器将该目标业务的业务参数发送给该业务认证设备。

可以理解的是，该用户设备、网络认证设备和业务认证设备之间可以预先建立直接或者间接的连接关系，因此相互之间可获取所需要的参考信息。该参考信息也可能是预先配置在该用户设备、网络认证设备和业务认证设备中。

该第一共享密钥为该用户设备与该业务认证设备之间预先配置的共享密钥，包括该用户设备与该业务认证设备基于证书(certificate)、用户名与密码、身份密码机制等方式得到的共享密钥。该业务认证设备结合参考信息和第一共享密钥生成第二共享密钥旨在表明，计算该第二共享密钥用到的参数包含该参考信息和该第一共享密钥，不排除还要用到其他信息。

步骤s302：该用户设备获取该参考信息并结合该参考信息和该第一共享密钥生成该第二共享密钥。

具体地，该第二共享密钥用于该用户设备和该网络认证设备生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，该方法还可以包括：该业务认证设备将该第二共享密钥发送给该网络认证设备；该网络认证设备接收该第二共享密钥；该网络认证设备和该用户设备根据该第二共享密钥或者根据基于该第二共享密钥衍生的共享密钥进行网络认证生成该目标共享密钥。为了方便理解，以下通过图3b和3c结合不同的几个场景进行具体描述。

请参见图3b，图3b是本发明实施例提供的一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器；该用户设备与该业务认证设备预先共享了第一共享密钥，该方法包括步骤s401～s410，各个步骤的详细描述如下：

步骤s401：用户设备向网络认证服务器发送第一请求消息。

步骤s402：该网络认证服务器接收该第一请求消息，并根据该第一请求消息查找相应的业务认证服务器后，向该业务认证服务器发送第二认证请求。

具体地，该第一请求消息可以包含一些标识信息来表明该用户设备想要请求什么业务；该网络认证服务器根据该第一请求消息获知该用户设备想要请求哪种业务后，向该业务认证服务器发送第二请求消息，该第二请求消息可以包含该用户设备的身份标识(ueid)。

步骤s403：该业务认证服务器接收该第二请求消息，并根据该第二认证消息获取业务参数，该业务参数即属于上述参考信息；可选的，该业务参数存储在该业务认证服务器的存储空间中，该业务认证服务器通过读取该存储空间来获取该业务参数。可选的，该业务参数存储在该业务服务器上，该业务认证服务器可以向该业务服务器请求该业务参数。

步骤s404：该业务认证服务器将该业务参数发送给该网络认证服务器；

步骤s405：该网络认证服务器用于接收并向该用户设备转发该业务参数；

步骤s406：该业务认证服务器根据第一共享密钥、该用户设备的ueid、网络参数、业务参数等信息来生成第二共享密钥。

步骤s407：该用户设备根据第一共享密钥、该用户设备的ueid和该业务参数来生成第二共享密钥。

步骤s408：该业务认证服务器将该第二共享密钥发送给该网络认证服务器。

步骤s409：该网络认证服务器接收并向该cp-au转发该第二共享密钥。可选的，该业务认证服务器还可能直接将该第二共享密钥发送给该cp-au，相应地，该cp-au接收该业务认证服务器发送的该第二共享密钥。

步骤s410：该cp-au接收该第二共享密钥并基于该第二共享密钥与该用户设备进行网络认证生成目标共享密钥，该网络认证可以通过认证与密钥协商协议(英文:authenticationandkeyagreement，简称：aka)等认证技术来实现。

可选的，当该网络认证设备包含多个设备时，接收第一请求消息、认证用户设备、查找业务认证服务器、给该业务认证服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成，例如，可以由sm、mm、ssf、cp-au等多个网元中的一个网元单独完成，或者该多个网元中的至少两个网元协同完成。

可选的，该网络认证服务器向该用户设备发送网络参数，该用户设备相应地接收该网络参数；该网络认证服务器和该用户设备均基于该第二共享密钥和该网络参数生成新的共享密钥，该网络认证服务器还将该新的共享密钥发送给该cp-au；该cp-au与该用户设备基于该新的共享密钥进行网络认证生成目标共享密钥。

可选的，该用户设备每次发送该第一请求消息便执行一次生成目标共享密钥的流程，保证了安全性和随机性。

可选的，网络认证设备与业务认证设备提前协商以获得业务参数，当用户设备发送该第一请求消息时，网络认证设备才发送业务参数给该用户设备以使用户设备和该业务认证设备可以基于该业务参数生成。

可选的，该用户设备提前获取相关参数(如果业务参数提前获取或写入)，根据该业务参数对应推衍出第二共享密钥，网络认证服务器获取该第二共享密钥后，ue和网络认证服务器可以进一步基于网络参数和第二共享密钥生成该目标共享密钥。

可选的，该ue还含有与网络认证设备共享的根密钥，网络认证设备获取第二共享密钥后，ue与网络认证设备基于与网络认证设备共享的根密钥和第二共享密钥相互认证生成该目标根密钥。

在图3b所示的方法中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图3c，图3c是本发明实施例提供的一种网络认证方法的流程示意图，该业务认证设备可以为单纯具备认证功能的第三方，例如，具备认证、授权和计费(英文：authenticationauthorizationaccounting，简称：aaa)功能的aaa服务器，下面实施例以业务认证设备为aaa服务器为例来描述，该用户设备与该业务认证设备预先共享了第一共享密钥，该方法包括步骤s501～s507，各个步骤的详细描述如下：

步骤s501：用户设备向an发送第一请求消息，该第一请求消息可以携带该用户设备的身份标识ueid，可能还有目标业务的业务标识，aaa服务器标识(如aaaid)等。

步骤s502：该an接收该第一请求消息并根据该第一请求消息查找对应的aaa服务器，并向查找到的aaa服务器发送第二请求消息，该第二请求消息携带该用户设备的身份标识ueid，可能还有运营商标识、业务标识、业务参数、aaa服务器标识等信息。

步骤s503：该aaa服务器接收该第二请求消息，基于ueid和第一共享密钥来生成第二共享密钥，生成该第二共享密钥还可能考虑了其他信息，例如，该其他信息可以包括网络参数、业务参数和ueid中至少一项，该其他信息属于该参考信息。

步骤s504：aaa服务器将该第二共享密钥发送给网络认证服务器。

步骤s505：该网络认证服务器接收并向cp-au发送该第二共享密钥；可选的，该aaa服务器还可能直接将该第二共享密钥发送给该cp-au，相应地，该cp-au接收该aaa服务器发送的该第二共享密钥。

步骤s506：该用户设备基于该ueid和该第一共享密钥生成该第二共享密钥；当生成该第二共享密钥还需要其他信息时，该用户设备还可以向其他设备获取该其他信息。

步骤s507：该用户设备与cp-au基于该第二共享密钥进行网络认证生成目标共享密钥。

可选的，该网络认证服务器在接收到该第二共享密钥后，结合该第二共享密钥和相关信息(例如，网络参数)生成新的共享密钥，并将该新的共享密钥发送给该cp-au；该用户设备相应地从该网络认证设备获取该相关信息，并结合该第二共享密钥和该相关信息生成新的共享密钥。相应地，步骤s507就调整为通该过新的共享密钥进行网络认证。

可选的，当该网络认证设备包含多个设备时，接收第一请求消息、认证用户设备、查找aaa服务器、给aaa服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成，例如，可以由sm、mm、ssf、cp-au等多个网元中的一个网元单独完成，或者该多个网元中的至少两个网元协同完成。

可选的，该网络认证设备中可以预存aaa服务器标识、业务参数等信息与该aaa服务器的对应关系，因此可以基于aaa服务器标识、业务参数等信息查找对应的aaa服务器。

可选的，该ue还含有与网络认证设备共享的根密钥，网络认证设备获取第二共享密钥后，ue与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标根密钥。

在图3c所示的方法中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

在又一种可选的方案中，所述结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。该方法还可以包括：所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备；所述网络认证设备用于接收所述第二共享密钥；所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。为了方便理解，以下根据图3d结合具体场景进行描述。

请参见图3d，图3d是本发明实施例提供的一种网络认证方法的流程示意图，该业务认证设备可以为单纯具备认证功能的第三方，例如，具备aaa功能的aaa服务器，下面实施例以业务认证设备为aaa服务器为例来描述，该用户设备与该业务认证设备预先共享了第一共享密钥，该方法包括步骤s601～s607，各个步骤的详细描述如下：

步骤s601：用户设备向an发送第一请求消息，该第一请求消息可以携带该用户设备的身份标识ueid，可能还有业务标识，aaa服务器标识(如aaaid)等。

步骤s602：该an接收该第一请求消息并根据该第一请求消息查找对应的aaa服务器的信息，例如，ip地址信息、mac地址信息等，然后将该aaa服务器的信息发送给该用户设备。

步骤s603：该用户设备接收该aaa服务器的信息。

步骤s604：该用户设备根据该aaa服务器的信息与该aaa服务器进行业务认证生成第二共享密钥，业务认证的过程使用到了该第一共享密钥和参考信息，该参考信息可以包括该用户设备的身份标识ueid、该网络认证设备发送给该用户设备的网络参数、业务认证设备获取的业务参数等。

步骤s605：该aaa服务器将该第二共享密钥发送给该网络认证服务器。

步骤s606：该网络认证服务器接收并向cp-au转发该第二共享密钥。

步骤s607：该cp-au接收该第二共享密钥并将该第二共享密钥作为目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥；也即是说，该用户设备与该cp-au之间可以不再进行网络认证来生成保护数据安全传输的共享密钥；可选的，该sm、mm、ssf、an等网元也可以被共享该第二共享密钥。

可选的，该网络认证服务器接收到该第二共享密钥后，结合该用户设备的ueid、该网络参数等信息生成新的共享密钥；该用户设备相应的接收该网络认证设备发送的网络参数，然后基于该第二共享密钥、ueid、网络参数等信息生成该新的共享密钥；该网络认证服务器将该新的共享密钥发送给该cp-au，该cp-au和该用户设备可以将该新的共享密钥作为该目标共享密钥。可选的，该网络认证设备与该用户设备可以基于该第二共享密钥(或该新的共享密钥)进行网络认证生成该目标共享密钥。

可选的，该网络认证设备和该用户设备均有了第二共享密钥时，该网络认证设备可以将网络参数发送给该用户设备，然后基于该第二共享密钥和该网络参数生成该目标共享密钥。

在图3d所示的方法中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行相互认证生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备和该用户设备将该第二共享密钥作为该目标共享密钥。也即是说，该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥，同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥，相当于执行上述流程完成了网络认证和业务认证这两次认证，提高了认证的效率。

进一步地，该方法还可以包括：该网络认证设备和该用户设备进行网络认证生成第三共享密钥；该网络认证设备和该用户设备根据该第二共享密钥或者根据基于该第二共享密钥衍生的共享密钥进行网络认证生成该目标共享密钥，具体为：该网络认证设备和该用户设备结合该第二共享密钥进行网络认证生成第四共享密钥，根据该第三共享密钥和该第四共享密钥生成该目标共享密钥。为了方便理解，以下通过图3e和3f结合具体场景进行描述。

请参见图3e，图3e是本发明实施例提供的一种网络认证方法的流程示意图，该业务认证设备可以为单纯具备认证功能的第三方，例如，具备aaa功能的aaa服务器，下面实施例以业务认证设备为aaa服务器为例来描述，该用户设备与该业务认证设备预先共享了第一共享密钥，该方法包括步骤s701～s709，各个步骤的详细描述如下：

步骤s701：该cp-au与该用户设备进行网络认证生成第三共享密钥。

步骤s702：用户设备向an发送第一请求消息，该第一请求消息可以携带该用户设备的身份标识ueid，可能还有业务标识，aaa服务器信息等。

步骤s703：该an接收该第一请求消息并根据该第一请求消息查找对应的aaa服务器，并向查找到的aaa服务器发送第二请求消息，该第二请求消息携带该用户设备的身份标识ueid，可能还有业务参数、网络参数等信息。

步骤s704：该aaa服务器接收该第二请求消息，基于第一共享密钥来生成第二共享密钥，生成该第二共享密钥还可能考虑了其他信息，例如，ueid、网络参数和业务参数中至少一项，该其他信息均属于该参考信息。

步骤s705：该aaa服务器将该第二共享密钥发送给网络认证服务器。

步骤s706：该网络认证服务器接收并向该cp-au转发该第二共享密钥。

步骤s707：该用户设备基于该ueid和该第一共享密钥生成该第二共享密钥；当生成该第二共享密钥还需要其他信息时，该用户设备还可以向其他设备获取该其他信息。

步骤s708：该用户设备与该cp-au基于该第二共享密钥或者基于该第二共享密钥衍生的共享密钥进行网络认证生成第四共享密钥。

步骤s709：该用户设备与该cp-au均根据该第三共享密钥和该第四共享密钥生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥。

可选的，当该网络认证设备包含多个设备时，接收第一请求消息、认证用户设备、查找aaa服务器的信息、向该aaa服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成，例如，可以由sm、mm、ssf、cp-au等多个网元中的一个网元单独完成，或者该多个网元中的至少两个网元协同完成。

可选的，该用户设备与该cp-au还可以不基于该第二共享密钥进行认证，而是各自根据该第二共享密钥和该第三共享密钥生成该目标共享密钥。该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输，该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。

可选的，该用户设备与该cp-au还可以基于该第三共享密钥和该第二共享密钥进行相互认证，或者基于该第三共享密钥和该第二共享密钥衍生的共享密钥进行相互认证。

可选的，该ue还含有与网络认证设备共享的根密钥，网络认证设备获取第二共享密钥后，ue与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标共享密钥。

可选的，该ue还含有与网络认证设备共享的根密钥，该用户设备和该cp-au之间的网络认证可以基于该共享根密钥完成以生成第三共享密钥。

进一步地，该方法还可以包括：该网络认证设备还用于将该目标共享密钥发送给该业务认证设备；该业务认证设备用于接收该目标共享密钥；该业务认证设备和该用户设备用于将该目标共享密钥或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。

在图3e所示的方法中，该网络认证设备与该用户设备进行网络认证生成第三共享密钥，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，该网络认证设备与该用户设备进行网络认证生成第四共享密钥；该用户设备和该网络认证设备均根据第一次认证生成的该第三共享密钥和第二次认证生成的第四共享密钥生成目标共享密钥，也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图3f，图3f是本发明实施例提供的一种网络认证方法的流程示意图，该业务认证设备可以包括业务认证服务器和业务服务器，例如，该业务认证服务器可以为具备aaa功能的aaa服务器，下面实施例以业务认证服务器为aaa服务器为例来描述，该用户设备与该业务认证设备预先共享了第一共享密钥，该方法包括步骤s711～s719，各个步骤的详细描述如下：

步骤s711：该cp-au与该用户设备进行网络认证生成第三共享密钥。

步骤s712：用户设备向an发送第一请求消息，该第一请求消息可以携带该用户设备的身份标识ueid，可能还有业务标识等。

步骤s713：该an接收该第一请求消息并根据该第一请求消息查找对应的aaa服务器，并向查找到的aaa服务器发送第二请求消息，该第二请求消息携带该用户设备的身份标识ueid，可能还有业务参数、网络参数等信息。

步骤s714：该aaa服务器接收该第二请求消息，向业务服务器申请获取业务参数，业务服务器返回业务参数，该aaa服务器基于第一共享密钥来生成第二共享密钥，生成该第二共享密钥还可能考虑了其他信息，例如，ueid,网络参数和业务参数中至少一项，该其他信息属于该参考信息。

步骤s715：该aaa服务器将该第二共享密钥发送给网络认证服务器。

步骤s716：该网络认证服务器接收并向该cp-au转发该第二共享密钥。

步骤s717：该用户设备基于该第一共享密钥生成该第二共享密钥；生成该第二共享密钥还可能考虑了该其他信息，当生成该第二共享密钥还需要其他信息时，该用户设备还可以向其他设备获取该其他信息。

步骤s718：该用户设备与该cp-au基于该第二共享密钥进行网络认证生成第四共享密钥。

步骤s719：该用户设备与该cp-au均根据该第三共享密钥和该第四共享密钥生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥。

可选的，该用户设备与该cp-au还可以不基于该第二共享密钥进行认证，而是各自根据该第二共享密钥和该第三共享密钥生成该目标共享密钥。

可选的，该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输，该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说，将该第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥，将该第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种共享密钥。

可选的，该用户设备与该cp-au还可以基于该第三共享密钥和该第二共享密钥进行相互认证生成目标共享密钥，或者基于该第三共享密钥和该第二共享密钥衍生的共享密钥进行相互认证生成目标共享密钥。

可选的，该ue还含有与网络认证设备共享的根密钥，该用户设备与网络认证设备基于该根密钥相互认证获取第三共享密钥。

可选的，当该网络认证设备包含多个设备时，接收第一请求消息、查找aaa服务器、给aaa服务器发送第二请求消息和与用户设备相互认证的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成，例如，可以由sm、mm、ssf、cp-au、网络认证服务器等多个网元中的一个网元单独完成，或者该多个网元中的至少两个网元协同完成。

在图3f所示的方法中，该网络认证设备与该用户设备进行网络认证生成第三共享密钥，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，该网络认证设备与该用户设备进行网络认证生成第四共享密钥；该用户设备和该网络认证设备均根据第一次认证生成的该第三共享密钥和第二次认证生成的第四共享密钥生成目标共享密钥，也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

在又一种可选的方案中，该方法还可以包括：该网络认证设备与该用户设备进行网络认证生成第三共享密钥；所述结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备；该网络认证设备接收该第二共享密钥；该网络认证设备和该用户设备均根据该第二共享密钥和该第三共享密钥生成该目标共享密钥；或者将该第二共享密钥和该第三共享密钥分别作为保护不同类型数据的该目标共享密钥，例如，该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输，该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。为了方便理解，以下根据图3g和3h结合具体场景进行描述。

请参见图3g，图3g是本发明实施例提供的一种网络认证方法的流程示意图，该业务认证设备可以为单纯具备认证功能的第三方，例如，具备aaa功能的aaa服务器，下面实施例以业务认证设备为aaa服务器为例来描述，该用户设备与该业务认证设备预先共享了第一共享密钥，该方法包括步骤s801～s808，各个步骤的详细描述如下：

步骤s801：该cp-au与该用户设备进行网络认证生成第三共享密钥。

步骤s802：用户设备向an发送第一请求消息，该第一请求消息可以携带该用户设备的身份标识ueid，可能还有业务标识等。

步骤s803：该an接收该第一请求消息并根据该第一请求消息查找对应的aaa服务器的信息，例如，ip地址信息、mac地址信息等，然后将该aaa服务器的信息发送给该用户设备。

步骤s804：该用户设备根据该aaa服务器的信息与该aaa服务器进行业务认证生成第二共享密钥，业务认证的过程使用到了该第一共享密钥和参考信息，该参考信息可以包括该用户设备的身份标识ueid、该cp-au发送给该用户设备的网络参数、业务参数等。

步骤s805：该aaa服务器将该第二共享密钥发送给该网络认证服务器。

步骤s806：该网络认证服务器用于接收并向该cp-au转发该第二共享密钥。

步骤s807：该cp-au接收该第二共享密钥。

步骤s808：该用户设备和该cp-au均根据该第二共享密钥和该第三共享密钥生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥。

可选的，该用户设备和该网络认证服务器还有预先配置的共享根密钥时，该用户设备和该cp-au之间的网络认证可以基于该共享根密钥完成以生成第三共享密钥。

可选的，该用户设备含有该aaa服务器的信息时，该an无须再将aaa服务器信息返回给该用户设备。

可选的，当该网络认证设备包含多个设备时，接收第一请求消息、认证用户设备、查找aaa服务器的信息、向用户设备发送该aaa服务器的信息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成，例如，可以由sm、mm、ssf、cp-au等多个网元中的一个网元单独完成，或者该多个网元中的至少两个网元协同完成。可选的，该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输，该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说，将第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥，将第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种类型的目标共享密钥。

在图3g所示的方法中，该网络认证设备与该用户设备进行网络认证生成第三共享密钥，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行网络认证生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备；该用户设备和该网络认证设备均根据该第三共享密钥和第二共享密钥生成目标共享密钥，也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图3h，图3h是本发明实施例提供的一种网络认证方法的流程示意图，该业务认证设备可以包括业务认证服务器和业务服务器，例如，该业务认证服务器可以为具备aaa功能的aaa服务器，下面实施例以业务认证服务器为aaa服务器为例来描述，该用户设备与该业务认证设备预先共享了第一共享密钥，该方法包括步骤s811～s818，各个步骤的详细描述如下：

步骤s811：该cp-au与该用户设备进行网络认证生成第三共享密钥。

步骤s812：用户设备向an发送第一请求消息，该第一请求消息可以携带该用户设备的身份标识ueid，可能还有业务标识等。

步骤s813：该an接收该第一请求消息并根据该第一请求消息查找对应的aaa服务器的信息，例如，ip地址信息、mac地址信息等，然后将该aaa服务器的信息发送给该用户设备。

步骤s814：该用户设备根据该aaa服务器的信息与该aaa服务器进行业务认证生成第二共享密钥，业务认证的过程使用到了该第一共享密钥和参考信息，该参考信息可以包括该用户设备的身份标识ueid、该cp-au发送给该用户设备的网络参数、业务参数等。

步骤s815：该aaa服务器将该第二共享密钥发送给该网络认证服务器。

步骤s816：该网络认证服务器用于接收并向该cp-au转发该第二共享密钥。

步骤s817：该cp-au接收该第二共享密钥。

步骤s818：该用户设备和该cp-au均根据该第二共享密钥和该第三共享密钥生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥。

可选的，该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输，该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说，将第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥，将第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种类型的目标共享密钥。

在图3h所示的方法中，该网络认证设备与该用户设备进行网络认证生成第三共享密钥，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行网络认证生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备；该用户设备和该网络认证设备均根据该第三共享密钥和第二共享密钥生成目标共享密钥，也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

在又一种可选的方案中，该方法还可以包括：该参考信息为该网络认证设备所在蜂窝网的网络参数；该结合该参考信息和第一共享密钥生成第二共享密钥，具体为：该业务认证设备与该用户设备根据该参考信息和该第一共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备；该网络认证设备接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解，以下根据图3i结合具体场景进行描述。

请参照图3i，图3i为本发明实施例提供的一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器，该业务服务器用于提供业务的访问，业务认证过程中如果需要使用业务参数，那么该业务参数可能存储在该业务认证服务器中，也可能存在该业务服务器中。该用户设备与该业务认证设备预先共享了第一共享密钥，该方法可以包括步骤sa901～s907，各个步骤的详细描述如下。

步骤s901：用户设备向网络认证服务器发送第一请求消息，该第一请求消息可以包含该用户设备的身份标识ueid，还可能包含与目标业务相关的信息。

步骤s902：该网络认证服务器接收该第一请求消息，并根据该第一请求消息向该业务认证服务器发送第二请求消息。

具体地，该第一请求消息可以包含一些标识信息来表明该用户设备想要请求什么业务；该网络认证设备根据该第一请求消息获知该用户设备想要请求哪种业务后，向该业务认证设备发送第二请求消息，该第二请求消息可以包含该用户设备的身份标识(ueid)，该第二请求消息还可能包含该网络认证服务器所在蜂窝网的网络参数。

步骤s903：该业务认证服务器接收该第二请求消息；该业务认证服务器还可以获取目标业务的业务参数，该业务参数可能存储在该业务认证服务器中，也可能存储在该业务服务器中，当存储在该业务服务器中时该业务认证服务器向该业务服务器发送请求该业务参数的请求消息，该业务服务器相应地返回该业务参数给该业务认证服务器。

步骤s904：该业务认证服务器与该用户设备基于该第一共享密钥进行业务认证生成第二共享密钥，该业务认证过程中还可能用到了业务参数、网络参数、ueid等信息，用到的除该第一共享密钥的信息均可属于该参考信息，用户设备用到的业务参数和网络参数可以由该网络认证服务器发送。

步骤s905：该业务认证服务器将该第二共享密钥发送给该网络认证服务器。

步骤s906：该网络认证服务器接收并转发该第二共享密钥给该cp-au。

步骤s907：该cp-au接收该第二共享密钥，此时该用户设备与该cp-au均具有该第二共享密钥，因此可以将该第二共享密钥直接确定为目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥，可以省去该用户设备再与该cp-au进行网络认证的过程。

可选的，当该网络认证设备包含多个设备时，接收第一请求消息、向业务认证服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成，例如，可以由sm、mm、ssf、cp-au等多个网元中的一个网元单独完成，或者该多个网元中的至少两个网元协同完成。

可选的，该业务认证服务器和该用户设备均可以根据该第一共享密钥，再结合一些其他信息(例如，网络参数，业务参数、ueid等)来生成新的共享密钥。这样一来，在步骤s904中，该业务认证服务器与该用户设备具体结合该新的共享密钥进行网络认证生成第二共享密钥。

可选的，用户设备与该业务服务器在进行业务认证的过程时，交互的信息可以由该网络认证设备转发，也可以不经过该网络认证设备转发，例如，通过有线网络直接发送。

在图3i所示的方法中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行业务认证生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说，该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络的目标共享密钥，同时该第二共享密钥还可以作为该业务自身的目标共享密钥，相当于执行上述流程完成了网络认证和业务认证这两次认证，提高了认证的效率。

请参照图3j，图3j为本发明实施例提供的一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务和业务服务器，该业务服务器用于提供业务的访问，业务认证过程中如果需要使用业务参数，那么该业务参数可能存储在该业务认证服务器中，也可能存在该业务服务器中。该用户设备与该业务认证设备预先共享了第一共享密钥，该方法可以包括步骤s1001～s1007，各个步骤的详细描述如下。

步骤s1001：该用户设备向该业务服务器发送第一请求消息。

步骤s1002：该业务服务器接收该第一请求消息，并根据该第一请求消息向该cp-au发送第二请求消息，该第二请求消息用于请求该cp-au反馈该cp-au所在网络的网络参数给该业务认证服务器。

步骤s1003：该cp-au向该业务认证服务器发送该网络参数。

步骤s1004：该业务认证服务器接收该网络参数，并将该网络参数和目标业务的业务参数发送给该用户设备。

步骤s1005：该用户设备接收该网络参数和该业务参数。

步骤s1006：该业务认证服务器与该用户设备根据该第一共享密钥、该网络参数和该业务参数进行业务认证生成第二共享密钥，生成该第二共享密钥用到的信息中，除该第一共享密钥外均可以属于该参考信息。

步骤s1007：该业务认证服务器将该第二共享密钥发送给该cp-au，该cp-au可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该cp-au和该用户设备均具有该第二共享密钥，因此该将该第二共享密钥作为目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥，可以省去该用户设备再与该cp-au进行网络认证。

可选的，接收和发送该第一请求消息、第二请求消息的设备可以为该业务服务器，也可以为该业务认证服务器，或者该业务认证设备包括的其他设备；

可选的，网络认证设备中用于接收该第二请求消息的设备可以为该cp-au，也可以为该网络认证设备中的其他设备，如，网络认证服务器、cp-au、mm、sm、an等。

可选的，该用户设备用到的业务参数除了由该业务认证服务器发送外，还可以是预置在该用户设备中的。

可选的，该cp-au和该用户设备还可以基于该第二共享密钥进一步生成新的共享密钥，然后基于该新的共享密钥、网络参数、业务参数来生成该目标共享密钥。

可选的，该cp-au与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。

可选的，该业务认证设备不发送第二共享密钥给网络认证设备，该网络认证设备只需要知道该用户设备认证成功即可。

在图3j所示的方法中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行业务认证生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说，该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥，同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥，相当于执行上述流程完成了网络认证和业务认证这两次认证，提高了认证的效率。

在又一种可选的方案中，该方法还可以包括：该业务认证设备获取该用户设备与该网络认证设备之间预先配置的第五共享密钥；该结合该参考信息和第一共享密钥生成第二共享密钥，具体为：结合该参考信息、第一共享密钥和该第五共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备；该网络认证设备接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解，以下根据图3k结合具体场景进行描述。

请参见图3k，图3k是本发明实施例提供的一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该业务认证设备预先共享了第一共享密钥，该用户设备与该网络认证设备预先共享了第五共享密钥；该方法可以包括步骤s1101～s1106，各个步骤的详细描述如下。

步骤s1101：该用户设备向该业务认证服务器发送第一请求消息。

步骤s1102：该业务认证服务器接收该第一请求消息，并根据该第一请求消息向该cp-au发送第二请求消息，该第二请求消息用于请求该cp-au向该业务认证服务器发送该第五共享密钥。

步骤s1103：该cp-au接收该第二请求消息，并向该业务认证服务器发送该第五共享密钥(或者由该第五共享密钥衍生的密钥)。

步骤s1104：该业务认证服务器接收该第五共享密钥，还可能接收了该cp-au发送的网络参数。

步骤s1105：该业务认证服务器与该用户设备根据该第一共享密钥和该第五共享密钥进行业务认证生成第二共享密钥，或者根据该第一共享密钥和基于该第五共享密钥衍生的密钥进行业务认证生成第二共享密钥；该第二共享密钥或者基于该第二共享密钥衍生的共享密钥为该业务认证服务器与该用户设备协商的保护数据安全传输的共享密钥。

步骤s1106：该业务认证服务器将该第二共享密钥发送给该cp-au，该cp-au可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该cp-au和该用户设备均具有该第二共享密钥，因此该网络认证设备和该用户设备将该第二共享密钥作为目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥，可以省去该用户设备再与该cp-au进行网络认证的流程。

可选的，网络认证设备中用于接收该第二请求消息的设备可以为该cp-au，也可以为其他设备，如，网络认证服务器、mm、sm、an等。

可选的，该用户设备用到的业务参数除了由该业务认证服务器发送外，还可以是预置在该用户设备中的。

可选的，该cp-au与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。

可选的，该业务认证设备不发送第二共享密钥给网络认证设备，该网络认证设备只需要知道该用户设备认证成功即可。

在又一种可选的方案中，该方法还包括：所述业务认证设备将所述第二共享密钥发送给所述网络认证设备；所述网络认证设备接收所述第二共享密钥；所述网络认证设备和所述用户设备均根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥；或者将所述第二共享密钥和所述第五共享密钥分别作为保护不同类型数据的所述目标共享密钥，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

在图3k所示的方法中，用户设备与业务认证设备根据第一共享密钥和第五共享密钥进行业务认证生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说，该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥，同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥，相当于执行上述流程完成了网络认证和业务认证这两次认证，提高了认证的效率。

在又一种可选的方案中，该方法还可以包括：该网络认证设备根据自身所在的蜂窝网的网络参数生成网络侧信息；该网络认证设备将该网络侧信息发送给该业务认证设备；该业务认证设备接收并向该用户设备转发该网络侧信息；该结合该参考信息和第一共享密钥生成第二共享密钥，具体为：结合该网络参数和第一共享密钥进行业务认证生成第二共享密钥，该网络参数包括该网络侧信息。该业务认证设备将该第二共享密钥发送给该网络认证设备；该网络认证设备用于接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解，以下根据图3l结合具体场景进行描述。

请参见图3l，图3l是本发明实施例提供的一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该业务认证设备预先共享了第一共享密钥，用户设备与该网络认证设备预先共享了第五共享密钥；该方法可以包括步骤s1201～s1207，各个步骤的详细描述如下。

步骤s1201：该用户设备向该业务认证服务器发送第一请求消息。

步骤s1202：该业务认证服务器接收该第一请求消息，并根据该第一请求消息向该cp-au发送第二请求消息，该第二请求消息包含该第一共享密钥和目标业务的业务参数。

步骤s1203：该cp-au接收该第二请求消息，并向该业务认证服务器发送该网络参数，以及基于网络参数、业务参数、该第一共享密钥、该第五共享密钥生成的网络侧信息。

步骤s1204：该业务认证服务器接收该网络侧信息和网络参数，并向该用户设备发送该网络参数和该业务参数。

步骤s1205：该用户设备接收该网络参数和该业务参数，并基于该第一共享密钥、第五共享密钥、该网络参数和该业务参数生成该网络侧信息(如，kcombination)，该网络侧信息属于该参考信息。

步骤s1206：该业务认证服务器与该用户设备根据该网络侧信息进行业务认证生成第二共享密钥。

步骤s1207：该业务认证服务器将该第二共享密钥发送给该cp-au，该cp-au可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该cp-au和该用户设备均具有该第二共享密钥，因此该cp-au和该用户设备将该第二共享密钥作为目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该cp-au与该用户设备协商的保护数据安全传输的共享密钥，可以省去该用户设备再与该cp-au进行网络认证。

可选的，网络认证设备中用于接收该第二请求消息的设备可以为该cp-au，也可以为其他设备，如，网络认证服务器、mm、sm、an等。

可选的，该用户设备用到的业务参数除了由该业务认证服务器发送外，还可以是预置在该用户设备中的。

可选的，该cp-au与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。

可选的，该业务认证设备不发送第二共享密钥给网络认证设备，该网络认证设备只需要知道该用户设备认证成功即可。

在图3l所示的方法中，用户设备与业务认证设备根据获取的网络侧信息和预先共享的第一共享密钥进行业务认证生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说，该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥，同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥，相当于执行上述流程完成了网络认证和业务认证这两次认证，提高了认证的效率。

请参见图4a，图4a是本发明实施例提供的又一种网络认证方法的流程示意图，该方法可以基于图1所示的网络认证系统来实现，该方法包括但不限于如下步骤。

步骤s1401：该业务认证设备将预存的目标业务的业务参数发送给该网络认证设备和该用户设备。

具体地，该业务认证设备中预存了该目标业务的业务参数，该目标业务及其业务参数的具体情况可以参照图3a所示的方法实施例的描述，此处不赘述。

在一种可选的方案中，该用户设备未通过除蜂窝网以外的网络与该业务认证设备连接；该业务认证设备可以在接收到该用户设备发送的并经过该网络认证设备转发的第一请求消息后再发送该业务参数，由于该第一请求消息由该用户设备经该该网络认证设备转发给该业务认证设备，因此可通过相反路径将该业务参数发送给该网络认证设备，进而由该网络认证设备转发给该用户设备。可选的，该第一请求消息中携带了该用户设备的身份标识，并在发送到该网络认证设备时进过该网络认证设备添加了该网络认证设备所在蜂窝网的相关信息(如，网络标识)，因此该业务认证设备可以基于该用户设备的身份标识以及该蜂窝网的相关信息将该业务参数依次发送给该网络认证设备和该用户设备。

在又一种可选的方案中，该用户设备未通过除蜂窝网以外的网络与该业务认证设备连接，该业务认证设备可以在接收到该网络认证设备发送第二请求消息后再发送该业务参数，该业务认证设备接收到该网络认证设备发送的第二请求消息即向该网络认证设备反馈该业务参数，该网络认证设备接收到该业务参数后在将该业务参数发送给该用户设备。

在又一种可选的方案中，该用户设备通过除蜂窝网以外的网络与该业务认证设备建立了通信连接，该业务认证设备可以在接收到该网络认证设备发送的第二请求消息后再发送该业务参数，该第二请求消息中可以携带该网络认证设备的相关信息(如，网络标识)，这样一来，该业务认证设备就可以根据该相关信息向该网络认证设备发送该业务参数，并根据接收该第一请求消息的路径向该用户设备返回该业务参数。

步骤s1402：该网络认证设备和该用户设备接收该业务参数。

步骤s1403：该网络认证设备和该用户设备结合该业务参数和原始共享密钥进行网络认证生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。需要说明的是，此处的原始目标共享密钥相当于上面描述的第五共享密钥，即该原始共享密钥为该网络认证设备与该用户设备预先共享的共享密钥。

在一种可选的方案中，该方法还包括：该网络认证设备和该用户设备结合该业务参数和原始共享密钥进行网络认证生成目标共享密钥，具体为：网络认证设备和该用户设备结合该业务参数和原始共享密钥生成认证共享密钥。该网络认证设备和该用户设备根据该认证共享密钥进行网络认证生成目标共享密钥。

在图4a所示的方法中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图5a，图5a是本发明实施例提供的又一种网络认证方法的流程示意图，该方法可以基于图1所示的网络认证系统来实现，该方法包括但不限于如下步骤。

步骤s1701：该业务认证设备获取该用户设备的身份标识。

步骤s1702：该业务认证设备结合自身的业务公钥、业务私钥和该身份标识生成身份密钥，并将该身份密钥、该业务公钥发送给该网络认证设备。

步骤s1703：该网络认证设备接收该身份密钥，并结合该身份密钥、该业务公钥和网络参数生成认证根密钥，该网络参数为与该网络认证设备所处蜂窝网相关的参数，以上有对该网络参数的描述，此处不赘述。结合该身份密钥、该业务公钥和网络参数生成认证根密钥，具体指：生成该认证根密钥需要用到的信息包括但不限于该身份密钥、该业务公钥和网络参数。

步骤s1704：该网络认证设备将该认证跟密钥写入该用户设备；例如，该网络认证设备可以将该认证根密钥写入到全球用户识别卡(英文：universalsubscriberidentitymodule，简称：usim)，而该usim卡是用来配置到用户设备的，因此可以看做该网络认证设备将该认证根密钥写入到该用户设备。另外，该网络认证设备将该认证根密钥写入到该用户设备包括该网络认证设备直接写入该用户设备，也包括该网络认证设备通过其他设备写入该用户设备，还包括其他设备通过调用该网络认证设备中的认证根密钥并写入该用户设备。

步骤s1705：该网络认证设备与该用户设备用于通过该认证根密钥进行网络认证生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。为了便于理解，以下根据图5b结合具体场景进行描述。

请参见图5b，图5b是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该网络认证设备预先共享了第一共享密钥；该方法可以包括步骤s1801～s1806，各个步骤的详细描述如下。

步骤s1801：用户设备向业务认证服务器发送第一请求消息，该第一请求消息包含该用户设备的身份标识，上面实施例有对该用户设备的身份标识的描述，此处不再赘述。业务公钥可理解为基于ibs的全局公钥；业务私钥可理解为基于ibs的全局私钥。

步骤s1802：该业务认证服务器接收该第一请求消息，并根据自身的业务私钥(英文：secretkey，简称：sk)、业务公钥(英文：publickey，简称：pk)和该用户设备的身份标识生成身份密钥。

步骤s1803：该业务认证服务器将身份密钥、该业务公钥和该用户设备的身份标识发送给该cp-au。

步骤s1804：该cp-au接收该身份密钥、该业务公钥和该用户设备的身份标识，并结合该身份密钥、该业务公钥和该用户设备的身份标识生成认证根密钥。

步骤s1805：该cp-au将该认证根密钥写入到该用户设备中。可选的，可以将身份密钥和业务公钥写入该用户设备，如果是写入的是身份密钥和业务公钥，则后续跟用户设备与网络认证设备可以基于ibs根据该身份密钥和业务公钥相互认证。

步骤s1806：该cp-au和该用户设备基于该认证根密钥进行网络认证生成目标共享密钥。

可选的，该cp-au将生成的目标共享密钥发送给该业务认证服务器，以便该业务认证服务器和该用户设备将该目标共享密钥，或者基于该目标共享密钥衍生的共享密钥作为该业务认证服务器与该用户设备协商的保护数据安全传输的共享密钥。

可选的，cp-au可以向网络认证服务器获取认证向量来与该用户设备进行网络认证。

在图5b所示的方法中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图6a，图6a是本发明实施例提供的又一种网络认证方法的流程示意图，该方法可以基于图1所示的网络认证系统来实现，该方法包括但不限于如下步骤。

步骤s1901：该业务认证设备与该用户设备进行业务认证生成参考共享密钥。可选的，该用户设备通过蜂窝网以外的网络与该业务认证设备建立了通信连接，该用户设备与该业务认证设备可以基于证书、用户名密码、基于身份密码机制以及预置共享密钥来进行业务认证。该认证共享密钥可以具体基于该用户设备的身份标识ueid、该业务认证设备管理的目标业务的业务参数等信息来生成。以ueid为例，该用户设备可以向该业务认证设备发送请求消息来，该请求消息中携带了该ueid。

步骤s1902：该业务认证设备将该参考共享密钥发送给该网络认证设备；该业务认证设备发送的信息还可以包括该用户设备的相关信息，例如，ueid、ip地址、mac地址等，这样一来该业务认证设备就可以知道后续需要与哪个用户设备基于该参考共享密钥生成目标共享密钥。

步骤s1903：该网络认证设备接收该参考共享密钥。

步骤s1904：该网络认证设备和该用户设备结合该参考共享密钥生成目标共享密钥，该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。该用户设备与该网络认证设备生成目标共享密钥需要参考的信息至少包括该参考共享密钥。

在一种可选的方案中，该方法还可以包括：该网络认证设备将该网络认证设备所在蜂窝网的网络参数发送给该用户设备；该网络认证设备和该用户设备结合该参考共享密钥生成目标共享密钥，具体为：该网络认证设备和该用户设备均根据该网络参数和该参考共享密钥生成认证共享密钥；该网络认证设备和该用户设备根据该认证共享密钥进行网络认证生成目标共享密钥。为了方便理解，以下根据图6b结合具体场景进行描述。

请参见图6b，图6b是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤s2001～s2009，各个步骤的详细描述如下。

步骤s2001：该用户设备与该业务认证服务器进行业务认证生成参考共享密钥，或者该业务认证设备和该用户设备直接预先配置参考共享密钥，该参考共享密钥即为该用户设备与该业务认证设备之间的预先共享的根密钥。

步骤s2002：该业务认证服务器将该参考共享密钥发送给该网络认证服务器。

步骤s2003：该网络认证服务器接收该参考共享密钥并向该业务认证服务器发送网络参数。

步骤s2004：该业务认证服务器接收该网络参数并将该网络参数转发给该用户设备；可选的，该网络认证服务器还可以直接将该网络参数发送给该用户设备。

步骤s2005：该网络认证服务器根据该参考共享密钥和该网络参数生成认证共享密钥。

步骤s2006：该网络认证服务器将该认证共享密钥发送给该cp-au。

步骤s2007：该cp-au接收该认证共享密钥。

步骤s2008：该用户设备根据该参考共享密钥和该网络参数生成该认证共享密钥。

步骤s2009：该cp-au和该用户设备用于根据该认证共享密钥进行网络认证生成目标共享密钥。

可选的，该网络认证设备和该用户设备之间还可以预先共享第五共享密钥，这样一来，该网络认证设备和该用户设备就可以基于该第五共享密钥和该参考共享密钥相互认证生成该目标根密钥。

在又一种可选的方案中，该方法还可以包括：该网络认证设备将该目标共享密钥发送给该业务认证设备；该业务认证设备接收该目标共享密钥；该业务认证设备和该用户设备将该目标共享密钥，或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与用户设备协商的保护数据安全传输的共享密钥。也即是说，该网络认证设备与该用户设备进行网络认证之后，该网络认证设备将该网络认证的结果发送给该业务认证设备，该业务认证设备可以直接使用该网络认证的结果，而不需要再与该用户设备进行业务认证来生成加密传输数据的共享密钥。

在图6b所示的方法中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图6c，图6c是本发明实施例提供的又一种网络认证方法的流程示意图，该方法可以基于图1所示的网络认证系统来实现，该方法包括但不限于如下步骤。

步骤s2101：网络认证设备生成经过初始共享秘钥加密的访问令牌，所述初始共享秘钥为所述网络认证设备与业务认证设备预先共享的秘钥；

步骤s2102：所述网络认证设备将所述访问令牌发送给所述用户设备；

步骤s2103：所述用户设备接收所述访问令牌并将所述访问令牌发送给所述业务认证设备；

步骤s2104：所述业务认证设备接收所述访问令牌并通过所述初始共享秘钥验证所述访问令牌的正确性；

步骤s2105：所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息，以通知与所述用户设备之间成功完成业务认证。

在一种可选的方案中，所述访问令牌中包含目标共享秘钥，所述用户设备和所述业务认证设备用于在所述用户设备与所述业务认证设备之间成功完成业务认证时，将所述访问令牌中的所述目标共享秘钥或者基于所述目标共享密钥衍生的共享密钥，作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。可选的，该目标共享秘钥为该网络认证设备与该用户设备进行网络认证得到的共享秘钥。

在又一种可选的方案中，所述访问令牌包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项。可选的，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

进一步地，该访问令牌还可以包括通过初始共享秘钥生成的针对网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项的消息认证码。当包含该消息认证码时，在步骤s2104中还需要基于该初始共享秘钥验证该消息认证码的正确性，步骤s2105中所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息，具体为：所述业务认证设备在验证出所述访问令牌正确以及验证出所述消息认证码正确时时向所述用户设备发送验证成功消息。

为了方便理解，以下分别结合图6d和图6e的具体场景进行描述。

请参见图6d，图6d是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤s2201～s2207，各个步骤的详细描述如下。

步骤s2201：用户设备ue与网络认证设备进行网络认证，网络认证生成的共享秘钥为网络共享密钥k1；该ue可以在网络认证之前或者之后或者网络认证的过程中向该网络认证设备发送业务认证设备的相关信息，以表明该ue需要与该业务认证设备认证。

步骤s2202：网络认证设备根据该业务认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥k0；基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的，token＝enc_k0_(k2，基础信息，mac)，也即是说，该访问令牌token为采用初始共享秘钥k0对k2、基础信息和mac进行的加密；其中，k2为该网络认证设备确定的，可能用作用户设备与业务认证设备之间保护数据传输的共享秘钥，基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项，mac＝mac_k0_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该消息认证码mac的生成采用初始共享秘钥k0。

需要说明的是，若上述推衍公式中用到新鲜参数nonce，则网络认证设备还需要将用到的新鲜参数发送至ue，并由ue发送至业务认证设备，后续该业务认证设备可以通过该新鲜参数验证token的新鲜性。

进一步地，共享秘钥k2可以为配置的随机的参数，也可以为网络共享秘钥k1，还可以为基于网络共享秘钥k1推衍出来的共享秘钥，例如，k2＝kdf(k1，基础信息)，即通过预设的算法对该网络共享秘钥k1和基础信息进行计算来得到该共享秘钥k2。

进一步地，业务认证设备的相关信息为能够在一定范围内区分该业务认证设备与其他设备的信息，例如，可以为该业务认证设备的ip地址，或者业务id。步骤s2203：该网络认证设备向ue发送k2和token，还可能发送网络认证设备的相关信息，该网络认证设备的相关信息可以包括网络参数。

步骤s2204：ue接收k2和token并向业务认证设备发送该token和该网络认证设备的相关信息。ue可以自己生成该网络认证设备的相关信息，也可以在与该网络认证设备进行网络认证之时，或者之前，或者之后接收该网络认证设备发送的该网络认证设备的相关信息，优选的，ue在步骤s2203中接收该网络认证设备发送的网络认证设备的相关信息。

步骤s2205：业务认证设备接收该token和该网络认证设备的相关信息，根据该网络认证设备的相关信息来确定预先与该网络认证设备共享的初始共享秘钥k0，并使用k0解密token得到该共享秘钥k2、该基础信息和消息认证码mac；然后根据k0验证mac的正确性，验证mac成功后则表明该业务认证设备验证token成功。因此，该业务认证设备将该k2作为与该ue之间用于保护数据传输的共享秘钥。

步骤s2206：该业务认证设备向该ue发送消息以通知验证token成功，相应地，该ue接收消息。

步骤s2207：该业务认证设备和该ue将该共享秘钥k2作为该ue与该业务认证设备之间用户保护数据安全传输的共享秘钥。

可选的，ue与业务认证设备根据k2进一步推衍出共享秘钥k3，例如，k3＝kdf(k2，基础信息)，即通过预设算法对该k2和基础信息进行计算得到k3，k3用于该ue与该业务认证设备之间保护数据的安全传输。

可选的，当该共享秘钥k2为网络共享秘钥k1时，该ue和该业务认证设备均可以基于该k1衍生出的共享秘钥k3。

可选的，加密token的共享秘钥为k1而不是k0，业务认证设备接收到token后根据网络认证设备的相关信息向该网络认证设备转发该token和该ue的相关信息；该网络认证设备根据该ue的相关信息确定与该ue认证生成的共享秘钥k1，再根据k1来解密token，并验证该token中mac的正确性，验证成功即表明该ue与该业务认证设备认证成功，因此将k2发送给该业务认证设备，以便该ue和该业务认证设备将该k2作为保护数据安全传输的共享秘钥。可选的，该ue的相关信息可以由该ue发送给业务认证设备，再由该业务认证设备发送给该网络认证设备，该ue的相关信息可以为该ue的身份标识。

请参见图6e，图6e是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤s2301～s2305，各个步骤的详细描述如下。

步骤s2301：用户设备ue与网络认证设备进行网络认证，网络认证生成的共享秘钥为网络共享密钥k1；该ue可以在网络认证之前或者之后或者网络认证的过程中向该网络认证设备发送业务认证设备的相关信息，以表明该ue需要与该业务认证设备认证。

步骤s2302：网络认证设备根据该业务认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥k0；基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token，并通过该初始共享秘钥k0加密该访问令牌token。可选的，token可以为消息认证码，消息认证码mac＝mac_k_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项；该消息认证码mac还经过了该初始共享秘钥k0加密。

步骤s2303：该网络认证设备向ue发送token，还可能发送该网络认证设备的相关信息，所述网络认证设备的相关信息可以包括该网络参数。

步骤s2304：ue接收token并向业务认证设备发送该token和该网络认证设备的相关信息。

步骤s2305：业务认证设备接收该token和该网络认证设备的相关信息，根据该网络认证设备的相关信息来确定预先与该网络认证设备共享的初始共享秘钥k0，然后根据k0验证mac的正确性，验证mac成功后则表明该业务认证设备验证token成功。至此，该ue与该业务认证设备之间成功完成了认证。

可选的，生成token的共享秘钥为k1而不是k0，业务认证设备接收到token后根据网络认证设备的相关信息向该网络认证设备转发该token和该ue的相关信息；该网络认证设备根据该ue的相关信息确定与该ue认证生成的共享秘钥k1，然后验证该token中mac的正确性，验证成功即表明该ue与该业务认证设备认证成功，因此想该ue和该业务认证设备发送通知消息以通知该ue与该业务认证设备之间认证成功。

请参见图6f，图6f是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤s2401～s2408，各个步骤的详细描述如下。

步骤s2401：用户设备ue与网络认证设备进行网络认证。

步骤s2402：网络认证设备在网络认证通过后生成认证令牌token和该token的过期信息，该过期信息用于表征该token什么时候过期；还可以生成范围信息，该范围信息用于表征该token可以被哪些业务认证设备使用；或者该范围信息用于表征该token可以被哪些用户设备使用。

步骤s2403：网络认证设备向该ue发送该token；还可以发送该网络认证设备相关的信息，该网络认证设备相关的信息用于表明该token来自于该网络认证设备。

步骤s2404：该用户设备向该业务认证设备发送该token和该网络认证设备的相关信息；

步骤s2405：该业务认证设备接收该token和该网络认证设备的相关信息，并根据该网络认证设备的相关信息向该网络认证设备发送该token；发送的消息可能还包括ueid和业务认证设备的相关信息中的至少一项。

步骤s2406：该网络认证设备接收该token，判断该token是否为自身生成的token，如果该token为自身生成的token则进一步他根据该过期信息判断该token是否过期，若没过期则表明验证token成功。可选的，当该网络认证设备生成了范围信息时，该网络认证设备还需要根据该范围信息判断发送该token的业务认证设备是否为该范围信息中允许的业务认证设备，若为允许的业务认证设备且该token未过期则表明验证token成功。可选的，该范围信息用于表征该token可以被哪个用户设备使用时，该网络认证设备还需要根据该范围信息判断该用户设备是否为该范围信息中允许的用户设备，若该用户设备为允许的用户设备且该业务认证设备为允许的业务认证设备，并且该token未过期则表明验证token成功。

可选的，步骤s2405中不包含业务认证设备的相关信息，该网络认证设备也可以根据接收的token的来源确定业务认证设备的相关信息。

可选的，判断该用户设备是否为该范围信息中允许的用户设备时用到的该用户设备的相关信息，可以为该用户设备将该用户设备自身的相关信息发送至业务认证设备，再由业务认证设备在步骤s2405中一同发送至该网络认证设备。

步骤s2407：若验证token成功，则该网络认证设备向该业务认证设备发送消息通知token验证成功；

步骤s2408：该业务认证设备向该ue发送消息通知token验证成功。业务认证设备和ue双方都获知了token验证成功，即表明该业务认证设备与该ue之间认证成功。

请参见图6g，图6g是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤s2501～s2508，各个步骤的详细描述如下。

步骤s2501：用户设备ue与网络认证设备进行网络认证，网络认证生成的共享秘钥为网络共享密钥k1。

步骤s2502：ue基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token，并通过该网络共享秘钥k1加密该访问令牌token。可选的，token＝enc_k1_(k2，基础信息，mac)，也即是说，该访问令牌token为采用k1对k2、基础信息和mac加密生成；其中，k2为该ue确定的后续可能用作用户设备与业务认证设备之间保护数据传输的共享秘钥，基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项，可选的，该用户设备可以预先向该网络认证设备和该业务认证设备获取需要用到的信息；mac＝mac_k1_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该消息认证码mac由该网络共享秘钥k1生成。

需要说明的是，若上述推衍公式中用到新鲜参数nonce，则ue还需要将用到的新鲜参数发送至业务认证设备，由该业务认证设备将该新鲜参数转发给该网络认证设备，后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。

步骤s2503：ue向业务认证设备发送该token。

步骤s2504：业务认证设备接收该ue发送的该token并将该token转发该该网络认证设备，该业务认证设备还可能向该网络认证设备发送该ue的相关信息(包括但不限于ueid)，该相关信息可能由该ue发送至该业务认证设备的，该相关信息可以在一定范围内区分该ue与其他设备。

步骤s2505：该网络认证设备接收该token和该ue的相关信息；根据该ue的相关信息并找到与该ue网络认证生成的网络共享秘钥k1，并使用k1解密token得到该共享秘钥k2、该基础信息和消息认证码mac；然后根据k1验证mac的正确性，若验证mac正确则表明验证token成功。

步骤s2506：若验证token成功，则该网络认证设备向该业务认证设备发送消息通知token验证成功，该通知消息中还包括从token中获得的共享秘钥k2；

步骤s2507：该业务认证设备向该ue发送消息通知token验证成功。业务认证设备和ue双方都获知了token验证成功，即表明该业务认证设备与该ue之间认证成功。

步骤s2508：该ue和该业务认证设备将该k2作为该ue与该业务认证设备之间用于保护数据安全传输的共享秘钥。

请参见图6h，图6h是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤s2601～s2607，各个步骤的详细描述如下。

步骤s2601：用户设备ue与网络认证设备进行网络认证，网络认证生成的共享秘钥为网络共享密钥k1。

步骤s2602：ue基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token，可选的，该token为消息认证码mac，mac＝mac_k1_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该消息认证码mac由该网络共享秘钥k1生成。

需要说明的是，若上述推衍公式中用到新鲜参数nonce，则ue还需要将用到的新鲜参数发送至业务认证设备，由该业务认证设备将该新鲜参数发送给该网络认证设备，后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。

步骤s2603：ue向业务认证设备发送该token。

步骤s2604：业务认证设备接收该ue发送的该token并将该token转发该该网络认证设备，该业务认证设备还可能向该网络认证设备发送该ue的相关信息，该相关信息可能由该ue发送该业务认证设备的，该相关信息可以在一定范围内区分该ue与其他设备，例如，该用户设备的相关信息可以为该用户设备的身份标识(ueid)。

步骤s2605：该网络认证设备接收该token和该ue的相关信息；根据该ue的相关信息并找到与该ue网络认证生成的网络共享秘钥k1，并根据k1验证mac的正确性，若验证mac正确则表明验证token成功。

步骤s2606：若验证token成功，则该网络认证设备向该业务认证设备发送消息通知token验证成功；

步骤s2607：该业务认证设备向该ue发送消息通知token验证成功。业务认证设备和ue双方都获知了token验证成功，即表明该业务认证设备与该ue之间认证成功。

需要说明的是，还可以基于上述方案显而易见地推导出以下方案，即ue首先与业务认证设备建立双向认证，由ue或者业务认证设备生成token；之后ue发送token至网络认证设备，网络认证设备可以自己验证token的正确性，也可能将token发送至业务认证设备，由业务认证设备验证token的正确性，并将验证结果发送至网络认证设备。相当于将6c-6h中涉及到的业务认证设备与网络认证设备进行了调换。另外，token包含但不限于如下两种情况：情况一token＝enc_k0_(k2,基础信息，mac_k0_(基础信息和/或nonce))，情况二：token＝mac_k0_(基础信息和/或nonce)。这两种情况的理解可以参照以上描述，此处不再赘述。

为了便于理解，以下以token由业务认证设备生成为例来进行描述，token由ue生成的情况可以参照图6d～6i的描述。

请参见图6i，图6i是本发明实施例提供的又一种网络认证方法的流程示意图；该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤s2708～s2707，各个步骤的详细描述如下。

步骤s2701：用户设备ue与业务认证设备进行业务认证，生成的共享秘钥为业务共享密钥k1；该ue可以在业务认证之前或者之后或者业务认证的过程中向该业务认证设备发送网络认证设备的相关信息，以表明该ue需要与该网络认证设备认证。

步骤s2702：业务认证设备根据该网络认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥k0；基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的，token＝enc_k0_(k2，基础信息，mac)，也即是说，该访问令牌token为采用初始共享秘钥k0对k2、基础信息和mac进行的加密；其中，k2为该业务认证设备确定的，可能用作用户设备与网络认证设备之间保护数据传输的共享秘钥，基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项，mac＝mac_k0_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该消息认证码mac的生成采用初始共享秘钥k0。

需要说明的是，若上述推衍公式中用到新鲜参数nonce，则业务认证设备还需要将用到的新鲜参数发送至ue，并由ue发送至网络认证设备，后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。

进一步地，共享秘钥k2可以为配置的随机的参数，也可以为业务共享秘钥k1，还可以为基于业务共享秘钥k1推衍出来的共享秘钥，例如，k2＝kdf(k1，基础信息)，即通过预设的算法对该业务共享秘钥k1和基础信息进行计算来得到该共享秘钥k2。

进一步地，网络认证设备的相关信息为能够在一定范围内区分该网络认证设备与其他设备的信息，例如，可以为该网络认证设备的ip地址。

步骤s2703：该业务认证设备向ue发送k2和token，还可能发送业务认证设备的相关信息，所述业务认证设备的相关信息可以包括业务参数。

步骤s2704：ue接收k2和token并向网络认证设备发送该token和该业务认证设备的相关信息。ue可以自己生成该业务认证设备的相关信息，也可以在与该业务认证设备进行业务认证之时，或者之前，或者之后接收该业务认证设备发送的该业务认证设备的相关信息，优选的，在e在步骤s2703中接收该业务认证设备发送的业务认证设备的相关信息

步骤s2705：网络认证设备接收该token和该业务认证设备的相关信息，根据该业务认证设备的相关信息来确定预先与该业务认证设备共享的初始共享秘钥k0，并使用k0解密token得到该共享秘钥k2、该基础信息和消息认证码mac；然后根据k0验证mac的正确性，验证mac成功后则表明该网络认证设备验证token成功。因此，该网络认证设备将该k2作为与该ue之间用于保护数据传输的共享秘钥。

步骤s2706：该网络认证设备向该ue发送消息以通知验证token成功，相应地，该ue接收消息。

步骤s2707：该网络认证设备和该ue将该共享秘钥k2作为该ue与该网络认证设备之间用户保护数据安全传输的共享秘钥。

可选的，ue与网络认证设备根据k2进一步推衍出共享秘钥k3，例如，k3＝kdf(k2，基础信息)，即通过预设算法对该k2和基础信息进行计算得到k3，k3用于该ue与该网络认证设备之间保护数据的安全传输。

可选的，加密token的共享秘钥为k1而不是k0，网络认证设备接收到token后根据业务认证设备的相关信息向该业务认证设备转发该token和该ue的相关信息；该业务认证设备根据该ue的相关信息确定与该ue认证生成的共享秘钥k1，再根据k1来解密token，并验证该token中mac的正确性，验证成功即表明该ue与该网络认证设备认证成功，因此将k2发送给该网络认证设备，以便该ue和该网络认证设备将该k2作为保护数据安全传输的共享秘钥。可选的，该ue的相关信息可以由该ue发送给业务认证设备，该ue的相关信息可以为该ue的身份标识。

需要说明的是，还可以对图6c～6i所示实施例进行相应拓展，拓展的思路如下：

k1为ue与网络认证设备之间的共享密钥，包括但不限于kasme，加密秘钥(英文：cihperkey，简称：ck)和完整性保护密钥(英文：integritykey，简称：ik)中的的至少一项。

另外，也可能采用非对称密码的形式计算token，例如token＝enc_pk_业务_(k2,(nonce1,基本信息),signature＝mac_sk_网络_(nonce2,基本信息))。pk_业务表示该业务认证设备提供的业务的公钥参数，sk_网络表示该网络认证设备所在的运营商网络的私钥参数。此时业务认证设备可以根据自己的私钥sk_业务解密打开token；并且利用网络认证设备所在运营商网络的公钥pk_网络，验证token中签名的正确性。此时token的验证更加灵活，不需要与网络认证设备进行网络认证交互即可完成验证。另外，此处加密和签名的算法可以为基于公钥基础设施(英文：publickeyinfrastructure，简称：pki)等非对称密码技术，也可以为基于身份的密码技术。

需要说明的是，以上各个实施例中列出的步骤的先后顺序此处不做限制，有些步骤先执行还是后执行对实施例的实施不会产生实质的影响，因此在以上列出的步骤的先后顺序的基础上，对步骤执行的先后顺序进行调整所形成的方案依然落入本发明的保护范围。

上述详细阐述了本发明实施例的方法，为了便于更好地实施本发明实施例的上述方案，相应地，下面提供了本发明实施例的装置。

请参见图7，图7是本发明实施例提供的一种业务认证设备70的结构示意图，该业务认证设备70可以包括第一获取单元701和发送单元702，其中，各个单元的详细描述如下。

第一获取单元701用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥，所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥，所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息；

发送单元702用于将所述第二共享密钥发送给所述网络认证设备，所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

在又一种可选的方案中，还包括：

第一接收单元，用于接收所述网络认证设备发送的所述目标共享密钥；

在又一种可选的方案中，还包括：

第二获取单元，用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥；

所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。

在又一种可选的方案中，还包括：

第二接收单元，用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息，并向所述用户设备转发所述网络侧信息；

所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

在又一种可选的方案中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

在又一种可选的方案中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项；所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图7所示的业务认证设备中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图8，图8是本发明实施例提供的一种用户设备80的结构示意图，用户设备80可以包括获取单元801和生成单元802，其中，各个单元的详细描述如下。

获取单元801用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥；所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥，所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备；

生成单元802用于根据所述第二共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述获取单元根据所述第二共享密钥生成目标共享密钥，具体为：

将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。

在又一种可选的方案中，所述获取单元根据所述第二共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。

在又一种可选的方案中，还包括：

认证单元，用于和所述网络认证设备进行网络认证生成第三共享密钥；

所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥，具体为：

和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

在又一种可选的方案中，所述生成单元802根据所述第二共享密钥生成目标共享密钥，具体为：

和所述网络认证设备进行网络认证生成第三共享密钥；

在又一种可选的方案中，所述生成单元802根据所述第二共享密钥生成目标共享密钥，具体为：

在又一种可选的方案中，所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

在又一种可选的方案中，还包括：

所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

在又一种可选的方案中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

在又一种可选的方案中，当所述参考信息包含所述业务参数时，还包括：

第二接收单元，用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。

在本发明实施例中，各个单元的具体实现还可以对应参照方法实施例的相应描述。

在图8所示的用户设备中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图9，图9是本发明实施例提供的一种网络认证设备90的结构示意图，网络认证设备90可以包括接收单元901和第一生成单元902，其中，各个单元的详细描述如下。

接收单元901用于接收业务认证设备发送的第二共享密钥，业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥，所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥，所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息；

第一生成单元902用于根据所述第二共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述第一生成单元902根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。

在又一种可选的实现方案中，还包括：

认证单元，用于和所述用户设备进行网络认证生成第三共享密钥；

所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥，具体为：

和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

在又一种可选的方案中，所述第一生成单元902根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。

在又一种可选的方案中，所述第一生成单元902根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备进行网络认证生成第三共享密钥；

在又一种可选的方案中，所述第一生成单元902根据所述第二共享密钥生成目标共享密钥，具体为：

在又一种可选的方案中，还包括：

获取单元，用于向所述业务认证设备获取所述第一共享密钥；

在又一种可选的方案中，还包括：

在又一种可选的方案中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图9所示的网络认证设备中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图10，图10是本发明实施例提供的一种业务认证设备100的结构示意图，业务认证设备100可以包括发送单元1001。

发送单元1001用于将预存的目标业务的业务参数发送给网络认证设备和用户设备；以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

在一种可选的方案中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图10所示的业务认证设备100中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图11，图11是本发明实施例提供的一种用户设备110的结构示意图，用户设备110可以包括接收单元1101和生成单元1102，其中，各个单元的详细描述如下。

接收单元1101用于接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给网络认证设备；

生成单元1102用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

在一种可选的方案中，所述生成单元1102和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

在又一种可选的方案中，所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图11所示的用户设备110中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图12，图12是本发明实施例提供的一种网络认证设备120的结构示意图，网络认证设备120可以包括接收单元1201和生成单元1202，其中，各个单元的详细描述如下。

接收单元1201用于接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给用户设备；

生成单元1202用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

在一种可选的方案中，所述生成单元1202和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，具体为：

和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图12所示的网络认证设备中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图13，图13是本发明实施例提供的一种业务认证设备130的结构示意图，业务认证设备130可以包括获取单元1301和生成单元1302，其中，各个单元的详细描述如下。

获取单元1301用于获取用户设备的身份标识；

生成单元1302用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥，并将所述身份密钥、所述业务公钥发送给所述网络认证设备，所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图13所示的业务认证设备中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图14，图14是本发明实施例提供的一种用户设备140的结构示意图，用户设备140可以包括生成单元1401。

生成单元1401用于和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥，所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥，所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的，所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备；所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图14所示的用户设备中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图15，图15是本发明实施例提供的一种网络认证设备150的结构示意图，网络认证设备150可以包括接收单元1501、生成单元1502、写入单元1503和认证单元1504，其中，各个单元的详细描述如下。

接收单元1501用于接收身份密钥和业务认证设备管理的目标业务的业务公钥，所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥；

生成单元1502用于结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥；

写入单元1503用于将所述认证根密钥写入所述用户设备；

认证单元1504用于和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图15所示的网络认证设备中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图16，图16是本发明实施例提供的一种业务认证设备160的结构示意图，业务认证设备160可以包括认证单元1601和发送单元1602，其中，各个单元的详细描述如下。

认证单元1601用于和用户设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥；

发送单元1602用于将所述参考共享密钥发送给网络认证设备，以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，还包括：

接收单元，用于接收所述网络认证设备发送的所述目标共享密钥；

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图16所示的业务认证设备中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图17，图17是本发明实施例提供的一种用户设备170的结构示意图，用户设备170可以包括配置单元1701和生成单元1702，其中，各个单元的详细描述如下。

配置单元1701用于和业务认证设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥，所述业务认证设备用于将所述参考共享密钥发送给网络认证设备；

生成单元1702用于和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，还包括：

接收单元，用于接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数；

所述生成单元和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥；

和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

在又一种可选的方案中，所述网络参数包括运营商标识，接入网络标识，服务网络标识，网络类型标识，局域网网络标识，切片标识，承载标识，服务质量标识和流标识中的至少一项。

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图17所示的用户设备中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图18，图18是本发明实施例提供的一种网络认证设备180的结构示意图，网络认证设备180可以包括接收单元1801和生成单元1802，其中，各个单元的详细描述如下。

接收单元1801用于接收业务认证设备发送的参考共享密钥，所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的；

生成单元1802用于和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，还包括：

第一发送单元，用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备；

所述生成单元和所述用户设备结合所述参考共享密钥生成目标共享密钥，具体为：

和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥；

和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

在又一种可选的方案中，还包括：

在本发明实施例中，各个单元的具体实现还可以对应参照上述方法实施例的相应描述。

在图18所示的网络认证设备中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图19，图19是本发明实施例提供的一种业务认证设备190，该业务认证设备190包括处理器1901和存储器1902，所述处理器1901和存储器1902通过总线相互连接。

存储器1902包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器1902用于相关指令及数据。

处理器1901可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器1901是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

所述业务认证设备190中的处理器1901读取所述存储器1902中存储的程序代码，用于执行以下操作：

获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥，所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥，所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息；

将所述第二共享密钥发送给所述网络认证设备，所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

通过执行上述操作，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

在一种可选的方案中，所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

在又一种可选的方案中，所述处理器1901将所述第二共享密钥发送给所述网络认证设备之后，还用于：

接收所述网络认证设备发送的所述目标共享密钥；

将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在又一种可选的方案中，所述处理器1901获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后，还用于：

将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在又一种可选的方案中，所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥之前，还包括：

所获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥；

所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。

在又一种可选的方案中，所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥之前，还包括：

接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息，并向所述用户设备转发所述网络侧信息；

所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

在又一种可选的方案中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

在本发明实施例中，业务认证设备的具体实现还可以对应参照上述方法实施例的相应描述，此处不再赘述。

在图19所示的业务认证设备中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图20，图20是本发明实施例提供的一种用户设备200，该用户设备200包括处理器2001和存储器2002，所述处理器2001和存储器2002通过总线相互连接。

存储器2002包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2002用于相关指令及数据。

处理器2001可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2001是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

所述用户设备200中的处理器2001读取所述存储器2002中存储的程序代码，用于执行以下操作：

获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥；所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥，所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥，所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备；

根据所述第二共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述处理器2001根据所述第二共享密钥生成目标共享密钥，具体为：

将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。

在又一种可选的方案中，所述处理器2001根据所述第二共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。

在又一种可选的方案中，所述处理器2001和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前，还用于：

和所述网络认证设备进行网络认证生成第三共享密钥；

和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥，包括：

和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

在又一种可选的方案中，所述处理器2001根据所述第二共享密钥生成目标共享密钥，具体为：

和所述网络认证设备进行网络认证生成第三共享密钥；

在又一种可选的方案中，所述处理器2001根据所述第二共享密钥生成目标共享密钥，具体为：

在又一种可选的方案中，所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。

在又一种可选的方案中，所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥之前，还用于：

接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息，所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥；

所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥，具体为：

结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥，所述网络参数包括所述网络侧信息。

在又一种可选的方案中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

在又一种可选的方案中，当所述参考信息包含所述业务参数时，所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥之前，还用于：

接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。

在本发明实施例中，用户设备的具体实现可以对应参照上述方法实施例的相应描述。

在图20所示的用户设备中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图21，图21是本发明实施例提供的一种网络认证设备210，该网络认证设备210包括处理器2101和存储器2102，所述处理器2101和存储器2102通过总线相互连接。

存储器2102包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2102用于相关指令及数据。

处理器2101可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2101是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

所述网络认证设备210中的处理器2101读取所述存储器2102中存储的程序代码，用于执行以下操作：

接收业务认证设备发送的第二共享密钥，业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥，所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥，所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息；

在一种可选的方案中，所述处理器2101根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。

在又一种可选的方案中，所述处理器2101和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前，还用于：

和所述用户设备进行网络认证生成第三共享密钥；

备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥，包括：

和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥；

和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。

在又一种可选的方案中，所述处理器2101根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。

在又一种可选的方案中，所述处理器2101根据所述第二共享密钥生成目标共享密钥，具体为：

和所述用户设备进行网络认证生成第三共享密钥；

在又一种可选的方案中，所述处理器2101根据所述第二共享密钥生成目标共享密钥，具体为：

在又一种可选的方案中，所述处理器2101还用于：

向所述业务认证设备获取所述第一共享密钥；

根据所述第一共享密钥和第五共享密钥生成网络侧信息，所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥；

将所述网络侧信息发送给所述业务认证设备，以使所述业务认证设备向所述用户设备转发所述网络侧信息，所述网络参数属于所述参考信息。

在又一种可选的方案中，所述处理器2101根据所述第二共享密钥生成目标共享密钥之前，还用于：

将所述目标共享密钥发送给所述业务认证设备，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在又一种可选的方案中，所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。

在本发明实施例中，网络认证设备210的具体实现还可以参照上述方法实施例的相应描述。

在图21所述的网络认证设备210中，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

请参见图22，图22是本发明实施例提供的一种业务认证设备220，该业务认证设备220包括处理器2201和存储器2202，所述处理器2201和存储器2202通过总线相互连接。

存储器2202包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2202用于相关指令及数据。

处理器2201可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2201是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

所述业务认证设备220中的处理器2201读取所述存储器2202中存储的程序代码，用于执行以下操作：

将预存的目标业务的业务参数发送给网络认证设备和用户设备；以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

通过执行上述操作，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

在本发明实施例中，业务认证设备220的具体实现还可以对应参照上述方法实施例的相应描述。

在图22所示的业务认证设备220中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图23，图23是本发明实施例提供的一种用户设备230，该用户设备230包括处理器2301和存储器2302，所述处理器2301和存储器2302通过总线相互连接。

存储器2302包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2302用于相关指令及数据。

处理器2301可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2301是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

所述用户设备230中的处理器2301读取所述存储器2302中存储的程序代码，用于执行以下操作：

接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给网络认证设备；

和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

在一种可选的方案中，所述处理器2301和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥，具体为：

和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

在本发明实施例中，用户设备230的具体实现还可以参照上述方法实施例的相应描述。

在图23所示的用户设备230中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图24，图24是本发明实施例提供的一种网络认证设备240，该网络认证设备240包括处理器2401和存储器2402，所述处理器2401和存储器2402通过总线相互连接。

存储器2402包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2402用于相关指令及数据。

处理器2401可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2401是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

网络认证设备240中的处理器2401读取所述存储器2402中存储的程序代码，用于执行以下操作：

接收业务认证设备发送的预存的目标业务的业务参数，所述业务认证设备还用于将所述业务参数发送给用户设备；

和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥，所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。

在一种可选的方案中，所述处理器2401和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥，具体为：

和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥；或者，

和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥，并根据所述认证共享密钥进行网络认证生成目标共享密钥。

在本发明实施例中，网络认证设备240的具体实现还可以参照上述方法实施例的相应描述。

在图24所示的网络认证设备240中，该业务认证设备将业务参数发送给该网络认证设备，该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图25，图25是本发明实施例提供的一种业务认证设备250，该业务认证设备250包括处理器2501和存储器2502，所述处理器2501和存储器2502通过总线相互连接。

存储器2502包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2502用于相关指令及数据。

处理器2501可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2501是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

业务认证设备250中的处理器2501读取所述存储器2502中存储的程序代码，用于执行以下操作：

获取用户设备的身份标识；

结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥，并将所述身份密钥、所述业务公钥发送给所述网络认证设备，所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在本发明实施例中，业务认证设备250的具体实现还可以参照上述方法实施例的相应描述。

在图25所示的业务认证设备250中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图26，图26是本发明实施例提供的一种用户设备260，该用户设备260包括处理器2601和存储器2602，所述处理器2601和存储器2602通过总线相互连接。

存储器2602包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2602用于相关指令及数据。

处理器2601可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2601是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

用户设备260中的处理器2601读取所述存储器2602中存储的程序代码，用于执行以下操作：

和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥，所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥，所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的，所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备；所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在本发明实施例中，用户设备260的具体实现还可以参照上述方法实施例的相应描述。

在图26所示的用户设备260中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图27，图27是本发明实施例提供的一种网络认证设备270，该网络认证设备270包括处理器2701和存储器2702，所述处理器2701和存储器2702通过总线相互连接。

存储器2702包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2702用于相关指令及数据。

处理器2701可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2701是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

网络认证设备270中的处理器2701读取所述存储器2702中存储的程序代码，用于执行以下操作：

接收身份密钥和业务认证设备管理的目标业务的业务公钥，所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥；

备结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥；

将所述认证根密钥写入所述用户设备；

和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在本发明实施例中，网络认证设备270的具体实现还可以参照上述方法实施例的相应描述。

在图27所示的网络认证设备270中，该业务认证设备将业务公钥、身份密钥发送给该网络认证设备，该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥，该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图28，图28是本发明实施例提供的一种业务认证设备280，该业务认证设备280包括处理器2801和存储器2802，所述处理器2801和存储器2802通过总线相互连接。

存储器2802包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2802用于相关指令及数据。

处理器2801可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2801是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

业务认证设备280中的处理器2801读取所述存储器2802中存储的程序代码，用于执行以下操作：

和用户设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥；

将所述参考共享密钥发送给网络认证设备，以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述处理器2801还用于：

接收所述网络认证设备发送的所述目标共享密钥；

将所述目标共享密钥，或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。

在本发明实施例中，业务认证设备280的具体实现还可以参照上述方法实施例的相应描述。

在图28所示的业务认证设备280中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图29，图29是本发明实施例提供的一种用户设备290，该用户设备290包括处理器2901和存储器2902，所述处理器2901和存储器2902通过总线相互连接。

存储器2902包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器2902用于相关指令及数据。

处理器2901可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器2901是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

用户设备290中的处理器2901读取所述存储器2902中存储的程序代码，用于执行以下操作：

和业务认证设备进行业务认证生成参考共享密钥，或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥，所述业务认证设备用于将所述参考共享密钥发送给网络认证设备；

和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述处理器2901和所述网络认证设备结合所述参考共享密钥生成目标共享密钥之前，还用于：

接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数；

和所述网络认证设备结合所述参考共享密钥生成目标共享密钥，包括：

和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥；

和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

在本发明实施例中，用户设备290的具体实现还可以参照上述方法实施例的相应描述。

在图29所示的用户设备290中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

请参见图30，图30是本发明实施例提供的一种网络认证设备300，该网络认证设备300包括处理器3001和存储器3002，所述处理器3001和存储器3002通过总线相互连接。

存储器3002包括但不限于是随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或者快闪存储器)、或便携式只读存储器(cd-rom)，该存储器3002用于相关指令及数据。

处理器3001可以是一个或多个中央处理器(英文：centralprocessingunit，简称：cpu)，在处理器3001是一个cpu的情况下，该cpu可以是单核cpu，也可以是多核cpu。

网络认证设备300中的处理器3001读取所述存储器3002中存储的程序代码，用于执行以下操作：

接收业务认证设备发送的参考共享密钥，所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的；

和所述用户设备结合所述参考共享密钥生成目标共享密钥，所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。

在一种可选的方案中，所述处理器3001和所述用户设备结合所述参考共享密钥生成目标共享密钥之前，还用于：

将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备；

和所述用户设备结合所述参考共享密钥生成目标共享密钥，包括：

和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥；

和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。

在又一种可选的方案中，所述处理器3001还用于：

在本发明实施例中，网络认证设备300的具体实现还可以参照上述方法实施例的相应描述。

在图30所示的网络认证设备300中，该业务认证设备与该用户设备进行业务认证生成参考共享密钥，然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数；该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥，并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说，生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息，提升了该目标共享密钥的安全级别。

上述详细阐述了本发明实施例的方法和装置，为了便于更好地实施本发明实施例的上述方案，相应地，下面提供了本发明实施例的相关系统。

请参见图31，图31是本发明实施例提供的一种业务认证系统310的结构示意图，该系统包括业务认证设备3101、用户设备3102和网络认证设备3103。

在一种可选的方案中，该业务认证设备3101为图7所示的业务认证设备70或者图19所示的业务认证设备190；该用户设备3102为图8所示的用户设备80或者图20所示的用户设备200；该网络认证设备3103为图9所示的网络认证设备90或者图21所示的网络认证设备210。

在又一种可选的方案中，该业务认证设备3101为图10所示的业务认证设备100或者图22所示的业务认证设备220；该用户设备3102为图11所示的用户设备110或者图23所示的用户设备230；该网络认证设备3103为图12所示的网络认证设备120或者图24所示的网络认证设备240。

在又一种可选的方案中，该业务认证设备3101为图13所示的业务认证设备130或者图25所示的业务认证设备250；该用户设备3102为图14所示的用户设备140或者图26所示的用户设备260；该网络认证设备3103为图15所示的网络认证设备150或者图27所示的网络认证设备270。

在又一种可选的方案中，该业务认证设备3101为图16所示的业务认证设备160或者图28所示的业务认证设备280；该用户设备3102为图17所示的用户设备170或者图29所示的用户设备290；该网络认证设备3103为图18所示的网络认证设备180或者图30所示的网络认证设备300。

图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备，在一种可选的方案中，各个设备相互协作来执行如下步骤。

步骤s3101：网络认证设备生成经过初始共享秘钥加密的访问令牌，所述初始共享秘钥为所述网络认证设备与业务认证设备预先共享的秘钥；该网络认证设备包括生成单元，该网络认证设备具体通过该生成单元来执行步骤s3101，该生成单元可以基于该网络认证设备的处理器来实现步骤s3101。

步骤s3102：所述网络认证设备将所述访问令牌发送给所述用户设备；该网络认证设备包括发送单元，该网络认证设备具体通过该发送单元来执行步骤s3102，该发送单元可以基于该网络认证设备的收发器来实现步骤s3102。

步骤s3103：所述用户设备接收所述访问令牌并将所述访问令牌发送给所述业务认证设备；该用户设备包括收发单元，该用户设备具体通过该收发单元来执行步骤s3103，该收发单元可以基于该用户设备的收发器来实现步骤s3103。

步骤s3104：所述业务认证设备接收所述访问令牌并通过所述初始共享秘钥验证所述访问令牌的正确性；该业务认证设备包括接收单元，该业务认证设备具体通过该接收单元来执行步骤s3104，该接收单元可以基于该业务认证设备的收发器来实现步骤s3104。

步骤s3105：所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息，以通知与所述用户设备之间成功完成业务认证。该业务认证设备包括发送单元，该业务认证设备具体通过该发送单元来执行步骤s3105，该发送单元可以基于该业务认证设备的收发器来实现步骤s3105。

进一步地，该访问令牌还可以包括通过初始共享秘钥生成的针对网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项的消息认证码。当包含该消息认证码时，在步骤s3104中还需要基于该初始共享秘钥验证该消息认证码的正确性，步骤s3105中所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息，具体为：所述业务认证设备在验证出所述访问令牌正确以及验证出所述消息认证码正确时时向所述用户设备发送验证成功消息。此处描述的网络认证系统还可以参照图6d和图6e所对应实施例的相应描述。

图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备，在一种可选的方案中，各个设备相互协作来执行如下步骤。

步骤s3201：用户设备ue与网络认证设备进行网络认证。该用户设备和该网络认证设备均包括认证单元，该用户设备和该网络认证设备具体通过该认证单元来执行步骤s3201，该认证单元可以基于该用户设备和该网络认证设备的处理器来实现步骤s3201。

步骤s3202：网络认证设备在网络认证通过后生成认证令牌token和该token的过期信息，该过期信息用于表征该token什么时候过期；还可以生成范围信息，该范围信息用于表征该token可以被哪些业务认证设备使用；或者该范围信息用于表征该token可以被哪些用户设备使用。该网络认证设备包括生成单元，该网络认证设备具体通过该生成单元来执行步骤s3202，该生成单元可以基于该网络认证设备的处理器来实现步骤s3202。

步骤s3203：网络认证设备向该ue发送该token；还可以发送该网络认证设备相关的信息，该网络认证设备相关的信息用于表明该token来自于该网络认证设备。该网络认证设备包括发送单元，该网络认证设备具体通过该发送单元来执行步骤s3203，该发送单元可以基于该网络认证设备的收发器来实现步骤s3203。

步骤s3204：该用户设备向该业务认证设备发送该token和该网络认证设备的相关信息；该用户设备设备包括发送单元，该用户设备具体通过该发送单元来执行步骤s3204，该发送单元可以基于该用户设备的收发器来实现步骤s3204。

步骤s3205：该业务认证设备接收该token和该网络认证设备的相关信息，并根据该网络认证设备的相关信息向该网络认证设备发送该token；发送的消息可能还包括ueid和业务认证设备的相关信息中的至少一项。该业务认证设备包括接收单元，该业务认证设备具体通过该接收单元来执行步骤s3205，该接收单元可以基于该业务认证设备的收发器来实现步骤s3205。

步骤s3206：该网络认证设备接收该token，判断该token是否为自身生成的token，如果该token为自身生成的token则进一步他根据该过期信息判断该token是否过期，若没过期则表明验证token成功。可选的，当该网络认证设备生成了范围信息时，该网络认证设备还需要根据该范围信息判断发送该token的业务认证设备是否为该范围信息中允许的业务认证设备，若为允许的业务认证设备且该token未过期则表明验证token成功。可选的，该范围信息用于表征该token可以被哪个用户设备使用时，该网络认证设备还需要根据该范围信息判断该用户设备是否为该范围信息中允许的用户设备，若该用户设备为允许的用户设备且该业务认证设备为允许的业务认证设备，并且该token未过期则表明验证token成功。该网络认证设备包括判断单元，该网络认证设备具体通过该判断单元来执行步骤s3206，该判断单元可以基于该网络认证设备的处理器来实现步骤s3206。

可选的，步骤s3205中不包含业务认证设备的相关信息，该网络认证设备也可以根据接收的token的来源确定业务认证设备的相关信息。

可选的，判断该用户设备是否为该范围信息中允许的用户设备时用到的该用户设备的相关信息，可以为该用户设备将该用户设备自身的相关信息发送至业务认证设备，再由业务认证设备在步骤s3205中一同发送至该网络认证设备。

步骤s3207：若验证token成功，则该网络认证设备向该业务认证设备发送消息通知token验证成功；该网络认证设备包括发送单元，该网络认证设备具体通过该发送单元来执行步骤s3207，该发送单元可以基于该网络认证设备的收发器来实现步骤s3207。

步骤s3208：该业务认证设备向该ue发送消息通知token验证成功。业务认证设备和ue双方都获知了token验证成功，即表明该业务认证设备与该ue之间认证成功。该业务认证设备包括发送单元，该业务认证设备具体通过该发送单元来执行步骤s3208，该发送单元可以基于该业务认证设备的收发器来实现步骤s3208。

图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备，在一种可选的方案中，各个设备相互协作来执行如下步骤。

步骤s3301：用户设备ue与网络认证设备进行网络认证，网络认证生成的共享秘钥为网络共享密钥k1。该用户设备和该网络认证设备均包括认证单元，该用户设备和该网络认证设备具体通过该认证单元来执行步骤s3301，该认证单元可以基于该网络认证设备和该用户设备的处理器来实现步骤s3301。

步骤s3302：ue基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token，并通过该网络共享秘钥k1加密该访问令牌token。可选的，token＝enc_k1_(k2，基础信息，mac)，也即是说，该访问令牌token为采用k1对k2、基础信息和mac加密生成；其中，k2为该ue确定的后续可能用作用户设备与业务认证设备之间保护数据传输的共享秘钥，基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项，可选的，该用户设备可以预先向该网络认证设备和该业务认证设备获取需要用到的信息；mac＝mac_k1_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该消息认证码mac由该网络共享秘钥k1生成。该用户设备包括生成单元，该用户设备具体通过该生成单元来执行步骤s3302，该生成单元可以基于该用户设备的处理器来实现步骤s3302。

步骤s3303：ue向业务认证设备发送该token。该用户设备包括发送单元，该用户设备具体通过该发送单元来执行步骤s3303，该发送单元可以基于该用户设备的收发器来实现步骤s3303。

步骤s3304：业务认证设备接收该ue发送的该token并将该token转发该该网络认证设备，该业务认证设备还可能向该网络认证设备发送该ue的相关信息(包括但不限于ueid)，该相关信息可能由该ue发送至该业务认证设备的，该相关信息可以在一定范围内区分该ue与其他设备。该业务认证设备包括接收单元，该业务认证设备具体通过该接收单元来执行步骤s3304，该接收单元可以基于该该业务认证设备的收发器来实现步骤s3304。

步骤s3305：该网络认证设备接收该token和该ue的相关信息；根据该ue的相关信息并找到与该ue网络认证生成的网络共享秘钥k1，并使用k1解密token得到该共享秘钥k2、该基础信息和消息认证码mac；然后根据k1验证mac的正确性，若验证mac正确则表明验证token成功。该网络认证设备包括接收单元，该网络认证设备具体通过该接收单元来执行步骤s3305，该接收单元可以基于该网络认证设备的收发器来实现步骤s3305。

步骤s3306：若验证token成功，则该网络认证设备向该业务认证设备发送消息通知token验证成功，该通知消息中还包括从token中获得的共享秘钥k2；该网络认证设备包括发送单元，该网络认证设备具体通过该发送单元来执行步骤s3306，该发送单元可以基于该网络认证设备的收发器来实现步骤s3306。

步骤s3307：该业务认证设备向该ue发送消息通知token验证成功。业务认证设备和ue双方都获知了token验证成功，即表明该业务认证设备与该ue之间认证成功。该业务认证设备包括发送单元，该业务认证设备具体通过该发送单元来执行步骤s3307，该发送单元可以基于该业务认证设备的收发器来实现步骤s3307。

步骤s3308：该ue和该业务认证设备将该k2作为该ue与该业务认证设备之间用于保护数据安全传输的共享秘钥。该用户设备和该业务认证设备均包括共享单元，该用户设备和该业务认证设备具体通过该共享单元来执行步骤s3308，该共享单元可以基于该用户设备的处理器和该业务认证设备的处理器来实现步骤s3308。

图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备，在一种可选的方案中，各个设备相互协作来执行如下步骤。

步骤s3401：用户设备ue与网络认证设备进行网络认证，网络认证生成的共享秘钥为网络共享密钥k1。该网络认证设备和该用户设备均包括认证单元，该网络认证设备和该用户设备具体通过该认证单元来执行步骤s3401，该认证单元可以基于该网络认证设备的处理器和该用户设备的处理器来实现步骤s3401。

步骤s3402：ue基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token，可选的，该token为消息认证码mac，mac＝mac_k1_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该消息认证码mac由该网络共享秘钥k1生成。该用户设备包括生成单元，该用户设备具体通过该生成单元来执行步骤s3402，该生成单元可以基于该用户设备的处理器来实现步骤s3402。

步骤s3403：ue向业务认证设备发送该token。该用户设备包括发送单元，该用户设备具体通过该发送单元来执行步骤s3403，该发送单元可以基于该用户设备的收发器来实现步骤s3403。

步骤s3404：业务认证设备接收该ue发送的该token并将该token转发该该网络认证设备，该业务认证设备还可能向该网络认证设备发送该ue的相关信息，该相关信息可能由该ue发送该业务认证设备的，该相关信息可以在一定范围内区分该ue与其他设备，例如，该用户设备的相关信息可以为该用户设备的身份标识(ueid)。该业务认证设备包括收发单元，该业务认证设备具体通过该收发单元来执行步骤s3404，该收发单元可以基于该业务认证设备的收发器来实现步骤s3404。

步骤s3405：该网络认证设备接收该token和该ue的相关信息；根据该ue的相关信息并找到与该ue网络认证生成的网络共享秘钥k1，并根据k1验证mac的正确性，若验证mac正确则表明验证token成功。该网络认证设备包括接收单元，该网络认证设备具体通过该接收单元来执行步骤s3405，该接收单元可以基于该网络认证设备的收发器来实现步骤s3405。

步骤s3406：若验证token成功，则该网络认证设备向该业务认证设备发送消息通知token验证成功；该网络认证设备包括发送单元，该网络认证设备具体通过该发送单元来执行步骤s3406，该发送单元可以基于该网络认证设备的收发器来实现步骤s3405。

步骤s3407：该业务认证设备向该ue发送消息通知token验证成功。业务认证设备和ue双方都获知了token验证成功，即表明该业务认证设备与该ue之间认证成功。该业务认证设备包括收发单元，该业务认证设备具体通过该收发单元来执行步骤s3407，该收发单元可以基于该业务认证设备的收发器来实现步骤s3407。

为了便于理解，以下以token由业务认证设备生成为例来进行描述，token由ue生成的情况可以类比。

图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备，在一种可选的方案中，各个设备相互协作来执行如下步骤。

步骤s3501：用户设备ue与业务认证设备进行业务认证，生成的共享秘钥为业务共享密钥k1；该ue可以在业务认证之前或者之后或者业务认证的过程中向该业务认证设备发送网络认证设备的相关信息，以表明该ue需要与该网络认证设备认证。该用户设备和该业务认证设备均包括认证单元，该用户设备和该业务认证设备具体通过该认证单元来执行步骤s3501，该认证单元可以基于该用户设备的处理器和该业务认证设备的处理器来实现步骤s3501。

步骤s3502：业务认证设备根据该网络认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享秘钥k0；基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的，token＝enc_k0_(k2，基础信息，mac)，也即是说，该访问令牌token为采用初始共享秘钥k0对k2、基础信息和mac进行的加密；其中，k2为该业务认证设备确定的，可能用作用户设备与网络认证设备之间保护数据传输的共享秘钥，基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项，mac＝mac_k0_(新鲜参数和/或基础信息)，即mac为该基础信息的消息认证码，或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同)，或者该基础信息和该新鲜参数的消息认证码；该消息认证码mac的生成采用初始共享秘钥k0。该业务认证设备包括确定单元，该业务认证设备具体通过该确定单元来执行步骤s3502，该确定单元可以基于该业务认证设备的处理器来实现步骤s3502。

进一步地，网络认证设备的相关信息为能够在一定范围内区分该网络认证设备与其他设备的信息，例如，可以为该网络认证设备的ip地址。

步骤s3503：该业务认证设备向ue发送k2和token，还可能发送业务认证设备的相关信息，所述业务认证设备的相关信息可以包括业务参数。该业务认证设备包括发送单元，该业务认证设备具体通过该发送单元来执行步骤s3503，该发送单元可以基于该业务认证设备的收发器来实现步骤s3503。

步骤s3504：ue接收k2和token并向网络认证设备发送该token和该业务认证设备的相关信息。ue可以自己生成该业务认证设备的相关信息，也可以在与该业务认证设备进行业务认证之时，或者之前，或者之后接收该业务认证设备发送的该业务认证设备的相关信息，优选的，在e在步骤s3503中接收该业务认证设备发送的业务认证设备的相关信息。该用户设备包括收发单元，该用户设备具体通过该收发单元来执行步骤s3504，该收发器单元可以基于该用户设备的收发器来实现步骤s3504。

步骤s3505：网络认证设备接收该token和该业务认证设备的相关信息，根据该业务认证设备的相关信息来确定预先与该业务认证设备共享的初始共享秘钥k0，并使用k0解密token得到该共享秘钥k2、该基础信息和消息认证码mac；然后根据k0验证mac的正确性，验证mac成功后则表明该网络认证设备验证token成功。因此，该网络认证设备将该k2作为与该ue之间用于保护数据传输的共享秘钥。该网络认证设备包括接收单元，该网络认证设备具体通过该接收单元来执行步骤s3505，该接收单元可以基于该网络认证设备的收发器来实现步骤s3505。

步骤s3506：该网络认证设备向该ue发送消息以通知验证token成功，相应地，该ue接收消息。该网络认证设备包括发送单元，该网络认证设备具体通过该发送单元来执行步骤s3506，该发送单元可以基于该网络认证设备的收发器来实现步骤s3506。

步骤s3507：该网络认证设备和该ue将该共享秘钥k2作为该ue与该网络认证设备之间用户保护数据安全传输的共享秘钥。该网络认证设备和该用户设备均包括共享单元，该网络认证设备和该用户设备具体通过该共享单元来执行步骤s3507，该共享单元可以基于该网络认证设备的处理器和该用户设备的的处理器来实现步骤s3507。

需要说明的是，还可以对以上网络认证系统进行相应拓展得到新的网络认证系统，拓展的思路如下：

综上所述，通过实施本发明实施例，用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥，然后该业务认证设备将该第二共享密钥发送给该网络认证设备，使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说，生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息，提升了该目标共享密钥的安全级别。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上实施例仅揭露了本发明中较佳实施例，不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：吴荣;张博;甘露
技术所有人：华为技术有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。