服务器向手机客户端分发密钥时对密钥怎么加密的？

首先需要明确的一点是，由于手机内存、运算速度等条件的限制，传送的明文消息不可能很长。
加密应该是用的公钥加密算法，因为在客户端和服务器没进行交互的情况下，对称密钥是没有的，但客户端的公钥服务器是知道的，所以应该是：服务器用客户端的公钥对AES密钥进行加密传送给手机客户端，客户端收到之后用自己的私钥进行消息的解密。
这样一方面可以保证消息的机密性（因为私钥只有客户端自己知道），另一方面，即使公钥加密算法很复杂需要的运算时间相对较长，但是由于加密的消息——AES密钥不长，所以总体上不会花费很长时间，这样手机客户端就能在不长的时间里获得AES密钥。