一种密钥配置方法及密钥管理中心、网元技术

本申请提供了一种密钥配置方法及装置，密钥管理中心获取业务密钥，并和对所述业务密钥进行加密和/或完整性保护获得令牌，密钥管理中心发送向第一网元发送令牌，第一网元后向第二网元转发令牌，第二网元依据所述令牌获得所述业务密钥。业务密钥用于对所述第一网元和第二网元之间传输的数据进行加密和/或完整性保护，所以，通过密钥管理中心和网元的交互，能够实现对安全密钥的配置，从而为第一网元和第二网元之间的端到端的安全通信奠定基础。

【技术实现步骤摘要】
一种密钥配置方法及密钥管理中心、网元
本申请涉及通信领域，尤其涉及一种密钥配置方法及密钥管理中心、网元。
技术介绍
在已有的移动通信安全架构中，数据从终端到网络的安全保护均采用分段加密的方式进行，例如，一个用户设备向另一个用户设备发送数据的过程中，发送端用户设备将加密的数据发给第一基站，第一基站将数据先解密再加密，并将再次加密的数据发给其它中间设备，最终数据被发送到接收端用户设备。因为分段加密的方式使得通信数据在中间设备中被解密，所以，增加了被窃取的风险。因此，端到端的安全通信成为安全通信的发展趋势。所谓端到端的安全通信即发送端设备与接收端设备建立安全隧道，安全隧道的中间节点仅处理密文数据的转发，而不对加密数据进行解密。而对参与端到端通信的两个网元进行安全密钥的配置为端到端的安全通信的前提。
技术实现思路
本申请提供了一种密钥配置方法及装置、网元，目的在于解决如何为网元进行安全密钥的配置的问题。为了实现上述目的，本申请提供了以下技术方案：本申请的第一方面提供了一种密钥配置方法，包括：密钥管理中心获取业务密钥，所述业务密钥用于对第一网元和第二网元之间传输的数据进行加密和/或完整性保护。所述密钥管理中心获取令牌，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果。所述密钥管理中心发送所述令牌，所述令牌用于由所述第一网元获取后向所述第二网元转发，以使得所述第二网元依据所述令牌获得所述业务密钥。本申请所述的密钥配置方法，密钥管理中心获取业务密钥和令牌，第一网元在接收到业务密钥和令牌后，向第二网元发送令牌，因为令牌为对业务密钥进行加密和/或完整性保护的结果，所述第二网元可以依据令牌获取业务密钥，又因为业务密钥用于对所述第一网元和第二网元之间传输的数据进行加密和/或完整性保护，所以，通过密钥管理中心和网元的交互，能够实现对安全密钥的配置，从而为第一网元和第二网元之间的端到端的安全通信奠定基础。本申请的第二方面提供了另一种密钥配置方法，包括：第一网元获取业务密钥和令牌，所述业务密钥用于对所述第一网元和第二网元之间传输的数据进行加密和/或完整性保护，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果。所述第一网元向所述第二网元发送所述令牌，所述令牌用于所述第二网元获取所述业务密钥。因为所述第一网元将所述令牌发送给所述第二网元，所以，第二网元可以从所述令牌中获得所述业务密钥，从而所述第一网元与所述第二网元之间可以进行端到端的安全通信。本申请的第三方面提供了另一种密钥配置方法，网络控制中心接收密钥请求，所述密钥请求中携带第一网元的标识和第二网元的标识；如果所述第一网元的标识和/或所述第二网元的标识非永久标识，所述网络控制中心将所述第一网元的标识替换为所述第一网元的永久标识，和/或将所述第二网元的标识替换为所述第二网元的永久标识；所述网络控制中心向密钥管理中心发送第二密钥请求消息，所述第二密钥请求消息包含第一网元的永久标识和第二网元的永久标识；所述密钥管理中心用于依据所述密钥请求中所述第一网元的永久标识和所述第二网元的永久标识，生成业务密钥及令牌，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果，所述业务密钥用于对所述第一网元和所述第二网元之间传输的数据进行加密和/或完整性保护。本申请的第四方面提供了另一种密钥配置方法，包括：密钥管理中心接收密钥请求，所述密钥请求中携带第一网元的标识、第二网元的标识和业务参数的至少一个，所述密钥请求由所述第一网元、所述第二网元、网络控制中心、或者业务服务器向所述密钥管理中心发送；所述密钥管理中心依据所述第一网元的标识、所述第二网元的标识和所述业务参数的至少一个生成业务密钥，所述业务密钥用于对所述第一网元和所述第二网元之间传输的数据进行加密和/或完整性保护；所述密钥管理中心使用所述密钥管理中心与所述第二网元之间的共享密钥对所述业务密钥及所述第一类密钥参数组成的字符串进行加密，得到令牌；其中，所述第一类密钥参数为所述密钥管理中心使用所述共享密钥计算所述业务密钥的消息认证码，或者，所述密钥管理中心使用所述共享密钥计算所述业务密钥与所述业务密钥的信息组成的字符串的消息认证码，其中，所述业务密钥的信息包括以下任意一项：所述业务密钥的使用实体标识、所述业务密钥的有效期、所述业务密钥的生成时间、应用所述业务密钥的业务的信息及业务链路的信息；所述密钥管理中心发送所述令牌，所述令牌用于由所述第一网元获取后向所述第二网元转发，以使得所述第二网元依据所述令牌获得所述业务密钥。本申请的第五方面提供了另一种密钥配置方法，包括：密钥管理中心接收第一网元发送的密钥请求，生成业务密钥，并向所述第一网元和第二网元发送所述业务密钥，其中，所述业务密钥用于对第一网元和第二网元之间传输的数据进行加密和/或完整性保护。本申请的第六方面提供了一种密钥管理中心，包括：第一处理器和第一存储器；所述第一存储器用于存储操作系统以及应用程序、所述应用程序运行中产生的数据；所述第一处理器用于通过运行存储在所述第一存储器中的所述应用程序，实现以下功能：获取业务密钥，所述业务密钥用于对第一网元和第二网元之间传输的数据进行加密和/或完整性保护；获取令牌，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果；发送所述令牌，所述令牌用于由所述第一网元获取后向所述第二网元转发，以使得所述第二网元依据所述令牌获得所述业务密钥。本申请的第七方面提供了一种网元，包括：第二处理器和第二存储器。所述第二存储器用于存储操作系统以及应用程序、所述应用程序运行中产生的数据；所述第二处理器用于通过运行存储在所述第二存储器中的所述应用程序，实现以下功能：获取业务密钥和令牌，所述业务密钥用于对所述第一网元和其它网元之间传输的数据进行加密和/或完整性保护，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果；向所述其它网元发送所述令牌，所述令牌用于所述其它网元获取所述业务密钥。本申请的第八方面提供了一种网络控制中心，包括：第三处理器和第三存储器。所述第三存储器用于存储操作系统以及应用程序、所述应用程序运行中产生的数据；所述第三处理器用于通过运行存储在所述第三存储器中的所述应用程序，实现以下功能：接收密钥请求，所述密钥请求中携带第一网元的标识和第二网元的标识；如果所述第一网元的标识和/或所述第二网元的标识非永久标识，将所述第一网元的标识替换为所述第一网元的永久标识，和/或将所述第二网元的标识替换为所述第二网元的永久标识；向密钥管理中心发送第二密钥请求消息，所述第二密钥请求消息包含第一网元的永久标识和第二网元的永久标识；所述密钥管理中心用于依据所述密钥请求中所述第一网元的永久标识和所述第二网元的永久标识，生成业务密钥及令牌，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果，所述业务密钥用于对所述第一网元和所述第二网元之间传输的数据进行加密和/或完整性保护。本申请的第九方面提供了又一种密钥管理中心，包括：第四处理器和第四存储器。所述第四存储器用于存储操作系统以及应用程序、所述应用程序运行中产生的数据；所述第四处理器用于通过运行存储在所述第四存储器中的所述应用程序，实现以下功能：接收密钥请求，所述密钥请求中携带第一网元的标识、第二本文档来自技高网...

【技术保护点】
一种密钥配置方法，其特征在于，包括：密钥管理中心获取业务密钥，所述业务密钥用于对第一网元和第二网元之间传输的数据进行加密和/或完整性保护；所述密钥管理中心获取令牌，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果；所述密钥管理中心发送所述令牌，所述令牌用于由所述第一网元获取后向所述第二网元转发，以使得所述第二网元依据所述令牌获得所述业务密钥。

【技术特征摘要】
1.一种密钥配置方法，其特征在于，包括：密钥管理中心获取业务密钥，所述业务密钥用于对第一网元和第二网元之间传输的数据进行加密和/或完整性保护；所述密钥管理中心获取令牌，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果；所述密钥管理中心发送所述令牌，所述令牌用于由所述第一网元获取后向所述第二网元转发，以使得所述第二网元依据所述令牌获得所述业务密钥。2.根据权利要求1所述的方法，其特征在于，所述密钥管理中心获取令牌包括：所述密钥管理中心依据所述业务密钥得到第一类密钥参数，所述第一类密钥参数包括由所述业务密钥得到的消息认证码或者数字签名；所述密钥管理中心使用第一参数，对所述业务密钥及所述第一类密钥参数组成的字符串进行加密，得到所述令牌，所述第一参数包括所述密钥管理中心与所述第二网元之间的共享密钥、所述第二网元的公钥或者所述第二网元的标识。3.根据权利要求2所述的方法，其特征在于，所述密钥管理中心依据所述业务密钥得到第一类密钥参数包括：所述密钥管理中心使用所述共享密钥计算所述业务密钥的消息认证码；或者，所述密钥管理中心使用所述共享密钥计算所述业务密钥与所述业务密钥的信息组成的字符串的消息认证码；或者，所述密钥管理中心使用预设的私钥计算所述业务密钥的数字签名；或者，所述密钥管理中心使用预设的私钥计算所述业务密钥与所述业务密钥的信息组成的字符串的数字签名；其中，所述业务密钥的信息包括以下任意一项：所述业务密钥的使用实体标识、所述业务密钥的有效期、所述业务密钥的生成时间、应用所述业务密钥的业务的信息及业务链路的信息。4.根据权利要求1所述的方法，其特征在于，所述密钥管理中心获取令牌包括：所述密钥管理中心接收其它密钥管理中心发送的令牌。5.根据权利要求1所述的方法，其特征在于，所述密钥管理中心发送所述令牌包括：所述密钥管理中心向所述第一网元发送所述令牌；还包括：所述密钥管理中心向所述第一网元发送所述业务密钥。6.根据权利要求5所述的方法，其特征在于，所述密钥管理中心向所述第一网元发送所述业务密钥及所述令牌的具体过程包括：所述密钥管理中心使用第二参数对字符串进行加密形成密文，并向所述第一网元发送所述密文，所述字符串由所述业务密钥、所述令牌及第二类密钥参数组成；或者，所述密钥管理中心使用第二参数对字符串进行加密形成密文，并向所述第一网元发送所述密文以及所述令牌，所述字符串由所述业务密钥及所述第二类密钥参数组成；其中，所述第二类密钥参数包括由所述业务密钥及所述令牌组成的字符串得到的消息认证码或者数字签名，所述第二参数包括所述密钥管理中心与所述第一网元间的共享密钥、所述第一网元的公钥，或者所述第一网元的标识。7.根据权利要求6所述的方法，其特征在于，所述字符串中的所述第二类密钥参数为消息认证码，所述消息认证码为通过使用所述密钥管理中心与所述第一网元之间的共享密钥对所述业务密钥与所述令牌组成的字符串进行完整性保护得到；或者，所述字符串中的所述第二类密钥参数为数字签名，所述数字签名通过使用预设的私钥对所述业务密钥与所述令牌组成的字符串进行数字签名运算得到。8.根据权利要求5所述的方法，其特征在于，所述密钥管理中心向所述第一网元发送所述业务密钥及所述令牌的具体过程包括：所述密钥管理中心通过预先建立的与所述第一网元之间的安全通道，向所述第一网元发送所述业务密钥及所述令牌。9.根据权利要求1所述的方法，其特征在于，所述密钥管理中心发送所述令牌包括：所述密钥管理中心向其它密钥管理中心发送所述令牌。10.根据权利要求1至9任一项所述的方法，其特征在于，所述密钥管理中心获取业务密钥包括：所述密钥管理中心依据以下规则中的任意一种生成所述业务密钥K：K＝KDF(Key，(time，预设参数中的至少一项))，其中，所述Key为所述密钥管理中心所选的随机数、所述第一网元与所述密钥管理中心之间的共享密钥K1、所述第二网元与所述密钥管理中心之间的共享密钥K2、另一个密钥管理中心所选的随机数、或者所述另一个密钥管理中心与所述第二网元之间的共享密钥中的一个或多个的组合；time为业务密钥K的截止时间、有效期时长、或当前的系统时间；所述预设参数包括所述第一网元的标识、所述第二网元的标识、所述业务参数和SN；所述业务参数为业务中的序列号、该业务密钥的相关时间time、该业务中的相关ID，新鲜参数(Freshparameter)、随机数(nonce/randomnumber)中的至少一项，SN为计算业务密钥的序列号。。11.根据权利要求1至9任一项所述的方法，其特征在于，所述密钥管理中心获取业务密钥包括：所述密钥管理中心向另一个密钥管理中心发送第一协商参数，所述第一协商参数为随机数1、系统时间1、序列号1、新鲜参数Freshparameter1中的至少一项；所述密钥管理中心接收所述另一个密钥管理中心发送的第二协商参数；所述第二协商参数为随机数2、系统时间2、序列号2、新鲜参数Freshparameter2中的至少一项；所述密钥管理中心依据规则KDF(第一协商参数，第二协商参数)生成业务密钥，或者，所述密钥管理中心依据规则K＝KDF(Key，(time，预设参数中的至少一项))生成业务密钥；其中，Key为参考业务密钥或者DH密钥协商后得到的密钥，所述参考业务密钥依据KDF(第一协商参数，第二协商参数)生成；time为业务密钥K的截止时间、有效期时长、或当前的系统时间；所述预设参数包括所述第一网元的标识、所述第二网元的标识、所述业务参数和SN；所述业务参数为业务中的序列号、该业务密钥的相关时间time、该业务中的相关ID，新鲜参数(Freshparameter)、随机数(nonce/randomnumber)中的至少一项，SN为计算业务密钥的序列号。12.根据权利要求1至9任一项所述的方法，其特征在于，所述密钥管理中心获取业务密钥包括：所述密钥管理中心向另一个密钥管理中心发送DH密钥协商中的第一参数gx；所述密钥管理中心接收所述另一个密钥管理中心发送的所述DH密钥协商中的第二参数gy；所述密钥管理中心计算出gxy，将gxy，KDF(gxy)，或者K＝KDF(gxy，(time，预设参数中的至少一项))作为所述业务密钥其中，Key为参考业务密钥或者DH密钥协商后得到的密钥，所述参考业务密钥依据KDF(第一协商参数，第二协商参数)生成；time为业务密钥K的截止时间、有效期时长、或当前的系统时间；所述预设参数包括所述第一网元的标识、所述第二网元的标识、所述业务参数和SN；所述业务参数为业务中的序列号、该业务密钥的相关时间time、该业务中的相关ID，新鲜参数(Freshparameter)、随机数(nonce/randomnumber)中的至少一项，SN为计算业务密钥的序列号。13.根据权利要求1至9任一项所述的方法，其特征在于，所述密钥管理中心获取业务密钥包括：所述密钥管理中心接收其它密钥管理中心发送的业务密钥。14.根据权利要求1所述的方法，其特征在于，还包括：所述密钥管理中心接收密钥请求，所述密钥请求中携带所述第一网元的标识、所述第二网元的标识和业务参数的至少一个，所述密钥请求由所述第一网元、所述第二网元、网络控制中心、或者业务服务器发送。15.根据权利要求1所述的方法，其特征在于，还包括：所述密钥管理中心接收网络控制中心发送的第一密钥请求，所述第一密钥请求中携带所述第一网元的永久标识和所述第二网元的永久标识，所述第一网元的永久标识由所述网络控制中心依据所述第一网元的临时标识转换得到，所述第二网元的永久标识由所述网络控制中心依据所述第二网元的临时标识转换得到，所述第一网元的临时标识和所述第二网元的临时标识携带在由所述第一网元、所述第二网元或者业务服务器发送给所述网络控制中心的第二密钥请求中。16.一种密钥配置方法，其特征在于，包括：第一网元获取业务密钥和令牌，所述业务密钥用于对所述第一网元和第二网元之间传输的数据进行加密和/或完整性保护，所述令牌为对所述业务密钥进行加密和/或完整性保护的结果；所述第一网元向所述第二网元发送所述令牌，所述令牌用于所述第二网元获取所述业务密钥。17.根据权利要求16所述的方法，其特征在于，第一网元获取业务密钥和令牌，包括：所述第一网元通过使用密钥管理中心与所述第一网元之间的共享密钥解密从所述密钥管理中心接收到的密文，获得业务密钥，或者获得业务密钥和令牌。18.一种密钥配置方法，其特征在于，包括：网络控制中心接收密钥请求，所述密钥请求...

【专利技术属性】
技术研发人员：张博，甘露，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44