[发明专利]一种密钥配置方法及密钥管理中心、网元

权利要求书

1.一种密钥配置方法，其特征在于，包括：

密钥管理中心接收密钥请求，所述密钥请求携带第一网元的标识、第二网元的标识以及业务参数中的至少一项；

所述密钥管理中心根据所述密钥请求获取业务密钥，所述业务密钥用于对所述第一网元和所述第二网元之间传输的数据进行加密和/或完整性保护；

所述密钥管理中心根据所述第二网元的相关信息对所述业务密钥进行加密和/或完整性保护，得到令牌，所述第二网元的相关信息包括所述密钥管理中心与所述第二网元之间的共享密钥、所述第二网元的公钥或所述第二网元的标识中的至少一项；

所述密钥管理中心向所述第一网元发送所述业务密钥和所述令牌，所述令牌用于由所述第一网元获取后向所述第二网元转发，以使得所述第二网元依据所述令牌获得所述业务密钥。

2.根据权利要求1所述的方法，其特征在于，所述密钥管理中心获取令牌包括：

所述密钥管理中心依据所述业务密钥得到第一类密钥参数，所述第一类密钥参数包括由所述业务密钥得到的消息认证码或者数字签名；

所述密钥管理中心使用第一参数，对所述业务密钥及所述第一类密钥参数组成的字符串进行加密，得到所述令牌，所述第一参数包括所述密钥管理中心与所述第二网元之间的共享密钥、所述第二网元的公钥或者所述第二网元的标识。

3.根据权利要求2所述的方法，其特征在于，所述密钥管理中心依据所述业务密钥得到第一类密钥参数包括：

所述密钥管理中心使用所述共享密钥计算所述业务密钥的消息认证码；

或者，所述密钥管理中心使用所述共享密钥计算所述业务密钥与所述业务密钥的信息组成的字符串的消息认证码；

或者，所述密钥管理中心使用预设的私钥计算所述业务密钥的数字签名；

或者，所述密钥管理中心使用预设的私钥计算所述业务密钥与所述业务密钥的信息组成的字符串的数字签名；

其中，所述业务密钥的信息包括以下任意一项：所述业务密钥的使用实体标识、所述业务密钥的有效期、所述业务密钥的生成时间、应用所述业务密钥的业务的信息及业务链路的信息。

4.根据权利要求1所述的方法，其特征在于，所述密钥管理中心获取令牌包括：

所述密钥管理中心接收其它密钥管理中心发送的令牌。

5.根据权利要求1所述的方法，其特征在于，所述密钥管理中心发送所述令牌包括：

所述密钥管理中心向所述第一网元发送所述令牌；

还包括：

所述密钥管理中心向所述第一网元发送所述业务密钥。

6.根据权利要求5所述的方法，其特征在于，所述密钥管理中心向所述第一网元发送所述业务密钥及所述令牌的具体过程包括：

所述密钥管理中心使用第二参数对字符串进行加密形成密文，并向所述第一网元发送所述密文，所述字符串由所述业务密钥、所述令牌及第二类密钥参数组成；

或者，所述密钥管理中心使用第二参数对字符串进行加密形成密文，并向所述第一网元发送所述密文以及所述令牌，所述字符串由所述业务密钥及所述第二类密钥参数组成；

其中，所述第二类密钥参数包括由所述业务密钥及所述令牌组成的字符串得到的消息认证码或者数字签名，所述第二参数包括所述密钥管理中心与所述第一网元间的共享密钥、所述第一网元的公钥，或者所述第一网元的标识。

7.根据权利要求6所述的方法，其特征在于，所述字符串中的所述第二类密钥参数为消息认证码，所述消息认证码为通过使用所述密钥管理中心与所述第一网元之间的共享密钥对所述业务密钥与所述令牌组成的字符串进行完整性保护得到；

或者，所述字符串中的所述第二类密钥参数为数字签名，所述数字签名通过使用预设的私钥对所述业务密钥与所述令牌组成的字符串进行数字签名运算得到。

8.根据权利要求5所述的方法，其特征在于，所述密钥管理中心向所述第一网元发送所述业务密钥及所述令牌的具体过程包括：

所述密钥管理中心通过预先建立的与所述第一网元之间的安全通道，向所述第一网元发送所述业务密钥及所述令牌。