密钥管理方法、装置及设备与流程

本技术涉及通信，尤其涉及一种密钥管理方法、装置及设备。

背景技术：

1、第五代移动通信系统(fifth generation mobile networks，5g)临近通信中，支持用户设备(user equipment，ue)至ue中继(ue-to-ue relay，u2u relay)通信场景，也即源ue(source ue)通过中继ue(relay ue)与目标ue(target ue)进行通信。

2、u2u中继通信首先涉及到源ue对中继ue和目标ue的发现，并据此建立通信通道。这些ue将在连线状态下从网络设备获得用于发现过程的相关信息，然后在离线状态下发现彼此，并建立中继通信通道，完成u2u中继通信。在u2u中继通信中，通常会采用密钥来对通信过程进行保护，以保证通信过程的安全。而采用密钥对通信过程进行保护的前提是ue需要提前申请对应的密钥数据。

3、目前，ue通常是根据其在u2u中继通信中对应的终端角色，向网络设备请求该终端角色对应的密钥数据的。而ue在u2u中继通信中可能会同时对应多个终端角色，目前的密钥管理方式需要分别针对ue的每个终端角色进行密钥数据的分发，其管理过程效率较低，信令消耗较大。

技术实现思路

1、本技术提供一种密钥管理方法、装置及设备，以提高密钥管理过程效率，减小信令消耗。

2、第一方面，本技术提供一种密钥管理方法，应用于终端，所述方法包括：

3、向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

4、接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在终端至终端u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

5、在一种可能的实施方式中，所述安全材料包括以下至少一项：

6、端到端发现发送安全材料；

7、端到端发现接收安全材料；

8、中继发现发送安全材料；

9、中继发现接收安全材料。

10、在一种可能的实施方式中，所述向第一网络设备发送安全材料请求，包括：

11、接收第二网络设备发送的u2u中继发现信息，所述u2u中继发现信息中包括所述用户信息、所述中继服务代码、所述角色列表和第一网络设备的地址中的至少一项；

12、根据所述u2u中继发现信息，向所述第一网络设备发送所述安全材料请求。

13、在一种可能的实施方式中，所述安全材料响应中还包括安全策略，所述安全策略用于指示u2u中继发现过程中对所述安全材料的处理。

14、在一种可能的实施方式中，所述安全策略包括以下至少一项：

15、开启全部端到端消息安全；

16、开启部分端到端消息安全；

17、不开启端到端消息安全。

18、第二方面，本技术提供一种密钥管理方法，应用于第一网络设备，所述方法包括：

19、接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

20、根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

21、在一种可能的实施方式中，所述安全材料包括以下至少一项：

22、端到端发现发送安全材料；

23、端到端发现接收安全材料；

24、中继发现发送安全材料；

25、中继发现接收安全材料。

26、在一种可能的实施方式中，所述根据所述安全材料请求向所述终端发送安全材料响应，包括：

27、根据所述安全材料请求，确定所述终端的允许终端角色；

28、根据所述允许终端角色，向所述终端发送所述安全材料响应。

29、在一种可能的实施方式中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

30、根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

31、根据所述授权信息确定所述允许终端角色。

32、在一种可能的实施方式中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

33、向第三网络设备发送授权检查请求，所述授权检查请求中包括所述用户信息、所述中继服务代码和所述角色列表中的至少一项；

34、接收所述第三网络设备发送的授权检查响应，所述授权检查响应中包括所述允许终端角色。

35、在一种可能的实施方式中，所述安全材料响应中还包括安全策略，所述安全策略用于指示u2u中继发现过程中对所述安全材料的处理。

36、在一种可能的实施方式中，所述安全策略包括以下至少一项：

37、开启全部端到端消息安全；

38、开启部分端到端消息安全；

39、不开启端到端消息安全。

40、在一种可能的实施方式中，所述方法还包括：

41、根据中继服务标识码rsc标识的中继服务和所述角色列表，生成所述安全材料和所述安全策略。

42、第三方面，本技术提供一种密钥管理方法，应用于第三网络设备，所述方法包括：

43、接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和所述终端的角色列表中的至少一项；

44、根据所述授权检查请求确定所述终端的允许终端角色；

45、发送授权检查响应，所述授权检查响应中包括所述允许终端角色。

46、在一种可能的实施方式中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

47、根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

48、根据所述授权信息确定所述允许终端角色。

49、在一种可能的实施方式中，所述接收授权检查请求，包括：

50、接收第一网络设备发送的所述授权检查请求。

51、在一种可能的实施方式中，所述发送授权检查响应，包括：

52、向所述第一网络设备发送所述授权检查响应。

53、在一种可能的实施方式中，所述接收授权检查请求，包括：

54、接收第四网络设备发送的第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

55、接收第五网络设备发送的第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

56、其中，所述授权检查请求包括所述第一授权检查请求和所述第二授权检查请求。

57、在一种可能的实施方式中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

58、根据所述第一授权检查请求确定所述终端的第一允许终端角色；

59、根据所述第二授权检查请求确定所述终端的第二允许终端角色。

60、在一种可能的实施方式中，所述发送授权检查响应，包括：

61、向所述第四网络设备发送第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

62、向所述第五网络设备发送第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

63、其中，所述授权检查响应包括所述第一授权检查响应和所述第二授权检查响应。

64、第四方面，本技术提供一种密钥管理方法，应用于第四网络设备，所述方法包括：

65、向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

66、接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

67、向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

68、接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

69、根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

70、在一种可能的实施方式中，所述安全材料包括以下至少一项：

71、端到端发现发送安全材料；

72、端到端发现接收安全材料；

73、中继发现发送安全材料；

74、中继发现接收安全材料。

75、在一种可能的实施方式中，所述安全材料响应中还包括安全策略，所述安全策略用于指示u2u中继发现过程中对所述安全材料的处理。

76、在一种可能的实施方式中，所述安全策略包括以下至少一项：

77、开启全部端到端消息安全；

78、开启部分端到端消息安全；

79、不开启端到端消息安全。

80、第五方面，本技术提供一种密钥管理方法，应用于第五网络设备，所述方法包括：

81、接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

82、根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

83、接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

84、向所述第四网络设备发送所述第二授权检查响应。

85、第六方面，本技术提供一种终端，包括存储器，收发机，处理器；

86、存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

87、向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

88、接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

89、在一种可能的实施方式中，所述安全材料包括以下至少一项：

90、端到端发现发送安全材料；

91、端到端发现接收安全材料；

92、中继发现发送安全材料；

93、中继发现接收安全材料。

94、在一种可能的实施方式中，所述向第一网络设备发送安全材料请求，包括：

95、接收第二网络设备发送的u2u中继发现信息，所述u2u中继发现信息中包括所述用户信息、所述中继服务代码、所述角色列表和第一网络设备的地址中的至少一项；

96、根据所述u2u中继发现信息，向所述第一网络设备发送所述安全材料请求。

97、在一种可能的实施方式中，所述安全材料响应中还包括安全策略，所述安全策略用于指示u2u中继发现过程中对所述安全材料的处理。

98、在一种可能的实施方式中，所述安全策略包括以下至少一项：

99、开启全部端到端消息安全；

100、开启部分端到端消息安全；

101、不开启端到端消息安全。

102、第七方面，本技术提供一种第一网络设备，包括存储器，收发机，处理器；

103、存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

104、接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

105、根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

106、在一种可能的实施方式中，所述安全材料包括以下至少一项：

107、端到端发现发送安全材料；

108、端到端发现接收安全材料；

109、中继发现发送安全材料；

110、中继发现接收安全材料。

111、在一种可能的实施方式中，所述根据所述安全材料请求向所述终端发送安全材料响应，包括：

112、根据所述安全材料请求，确定所述终端的允许终端角色；

113、根据所述允许终端角色，向所述终端发送所述安全材料响应。

114、在一种可能的实施方式中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

115、根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

116、根据所述授权信息确定所述允许终端角色。

117、在一种可能的实施方式中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

118、向第三网络设备发送授权检查请求，所述授权检查请求中包括所述用户信息、所述中继服务代码和所述角色列表中的至少一项；

119、接收所述第三网络设备发送的授权检查响应，所述授权检查响应中包括所述允许终端角色。

120、在一种可能的实施方式中，所述安全材料响应中还包括安全策略，所述安全策略用于指示u2u中继发现过程中对所述安全材料的处理。

121、在一种可能的实施方式中，所述安全策略包括以下至少一项：

122、开启全部端到端消息安全；

123、开启部分端到端消息安全；

124、不开启端到端消息安全。

125、在一种可能的实施方式中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：

126、根据rsc标识的中继服务和所述角色列表，生成所述安全材料和所述安全策略。

127、第八方面，本技术提供一种第三网络设备，包括存储器，收发机，处理器；

128、存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

129、接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和所述终端的角色列表中的至少一项；

130、根据所述授权检查请求确定所述终端的允许终端角色；

131、发送授权检查响应，所述授权检查响应中包括所述允许终端角色。

132、在一种可能的实施方式中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

133、根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

134、根据所述授权信息确定所述允许终端角色。

135、在一种可能的实施方式中，所述接收授权检查请求，包括：

136、接收第一网络设备发送的所述授权检查请求。

137、在一种可能的实施方式中，所述发送授权检查响应，包括：

138、向所述第一网络设备发送所述授权检查响应。

139、在一种可能的实施方式中，所述接收授权检查请求，包括：

140、接收第四网络设备发送的第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

141、接收第五网络设备发送的第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

142、其中，所述授权检查请求包括所述第一授权检查请求和所述第二授权检查请求。

143、在一种可能的实施方式中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

144、根据所述第一授权检查请求确定所述终端的第一允许终端角色；

145、根据所述第二授权检查请求确定所述终端的第二允许终端角色。

146、在一种可能的实施方式中，所述发送授权检查响应，包括：

147、向所述第四网络设备发送第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

148、向所述第五网络设备发送第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

149、其中，所述授权检查响应包括所述第一授权检查响应和所述第二授权检查响应。

150、第九方面，本技术提供一种第四网络设备，包括存储器，收发机，处理器；

151、存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

152、向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

153、接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

154、向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

155、接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

156、根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

157、在一种可能的实施方式中，所述安全材料包括以下至少一项：

158、端到端发现发送安全材料；

159、端到端发现接收安全材料；

160、中继发现发送安全材料；

161、中继发现接收安全材料。

162、在一种可能的实施方式中，所述安全材料响应中还包括安全策略，所述安全策略用于指示u2u中继发现过程中对所述安全材料的处理。

163、在一种可能的实施方式中，所述安全策略包括以下至少一项：

164、开启全部端到端消息安全；

165、开启部分端到端消息安全；

166、不开启端到端消息安全。

167、第十方面，本技术提供一种第五网络设备，包括存储器，收发机，处理器；

168、存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

169、接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

170、根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

171、接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

172、向所述第四网络设备发送所述第二授权检查响应。

173、第十一方面，本技术提供一种密钥管理装置，应用于终端，包括：

174、第一发送模块，用于向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

175、第一接收模块，用于接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

176、第十二方面，本技术提供一种密钥管理装置，应用于第一网络设备，包括：

177、第二接收模块，用于接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

178、第二发送模块，用于根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

179、第十三方面，本技术提供一种密钥管理装置，应用于第三网络设备，包括：

180、第三接收模块，用于接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和所述终端的角色列表中的至少一项；

181、处理模块，用于根据所述授权检查请求确定所述终端的允许终端角色；

182、第三发送模块，用于发送授权检查响应，所述授权检查响应中包括所述允许终端角色。

183、第十四方面，本技术提供一种密钥管理装置，应用于第四网络设备，包括：

184、第四发送模块，用于向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

185、第四接收模块，用于接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

186、第五发送模块，用于向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

187、第五接收模块，用于接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

188、第六发送模块，用于根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

189、第十五方面，本技术提供一种密钥管理装置，应用于第五网络设备，包括：

190、第六接收模块，用于接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

191、第七发送模块，用于根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

192、第七接收模块，用于接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

193、第八发送模块，用于向所述第四网络设备发送所述第二授权检查响应。

194、第十六方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行第一方面、或第二方面、或第三方面、或第四方面、或第五方面中的任一项所述的密钥管理方法。

195、本技术实施例提供的密钥管理方法、装置及设备，首先终端向第一网络设备发送安全材料请求，安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，角色列表中包括终端对应的至少一个终端角色；然后第一网络设备根据安全材料请求向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料，安全材料为在u2u中继发现过程中对发现消息进行安全保护的密钥及其相关参数。本技术实施例的方案，针对终端在u2u中继通信场景中可能对应多个终端角色的情形，通过安全材料请求向第一网络设备发送角色列表，将终端请求的终端角色反馈给第一网络设备，使得第一网络设备可以根据角色列表获取终端对应的终端角色，进而通过安全材料响应向终端发送终端对应的安全材料。终端只需要通过一次安全材料请求即可获取角色列表中的终端角色对应的安全材料，而无需进行多次请求，提高了密钥管理过程的效率，减小了终端的信令消耗。