[发明专利]密钥配置及安全策略确定方法、装置

说明书

本申请提供了一种密钥配置方法，会话管理网元接收端到端的通信的请求并获取安全策略，所述安全策略依据归属用户服务器中预置的所述用户设备的用户安全需求、来自所述用户设备的业务安全需求、所述用户设备支持的安全能力需求、来自运营商网络的安全能力需求和所述端到端的通信的另一端设备的安全需求的至少一种确定。会话管理网元获取用于对所述端到端的通信进行保护的保护密钥，所述保护密钥依据所述安全策略以及所述用户设备与所述运营商网络之间的共享密钥确定。会话管理网元向端到端的通信的两端的设备发送安全策略和/或保护密钥。可以看出，会话管理网元能够为端到端通信的两端设备配置会话保护密钥，从而提高端到端通信的安全性。

本申请要求于2016年07月01日提交中国专利局、申请号为201610511486.4、发明名称为“密钥配置及安全策略确定方法、装置”以及于2016年07月25日提交中国专利局、申请号为201610592312.5、发明名称为“密钥配置及安全策略确定方法、装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及密钥配置及安全策略确定方法、装置。

背景技术

在未来(例如第5代)移动通信架构中，会话管理网元依据用户设备的业务需求，建立用户设备与网关(或者DN服务器，或者另一个用户设备)之间的会话。

目前的会话安全算法均不适用于未来的移动通信架构，因此，如何建立基于未来的移动通信架构的安全机制，成为目前亟待解决的问题。

发明内容

本申请提供了一种密钥配置及安全策略确定方法、装置，目的在于解决如何建立基于未来的移动通信架构的安全机制的问题。

本申请的第一方面提供了一种密钥配置方法，包括以下步骤：会话管理网元接收端到端的通信的请求，所述端到端的通信的请求中包括作为所述端到端的通信的一端的用户设备的标识。会话管理网元获取安全策略，所述安全策略依据归属用户服务器中预置的所述用户设备的用户安全需求、来自所述用户设备的业务安全需求、所述用户设备支持的安全能力需求、来自运营商网络的安全能力需求和所述端到端的通信的另一端设备的安全需求的至少一种确定。所述会话管理网元获取保护密钥，所述保护密钥用于对所述端到端的通信进行保护，所述保护密钥依据所述安全策略以及所述用户设备与所述运营商网络之间的共享密钥确定。所述会话管理网元向所述用户设备发送所述安全策略和/或所述保护密钥。所述会话管理网元向所述端到端的通信的另一端设备发送所述安全策略和/或所述保护密钥。从上述过程可以看出，会话管理网元能够为端到端通信的两端设备配置会话保护密钥，从而提高端到端通信的安全性。并且，与现有的分段加密的方式相比，具有更高的安全性。

本申请的第二方面公开了一种会话管理网元，包括通信组件和处理器。具体地，通信组件用于接收端到端的通信的请求，所述端到端的通信的请求中包括作为所述端到端的通信的一端的用户设备的标识。处理器用于获取安全策略，所述安全策略依据归属用户服务器中预置的所述用户设备的用户安全需求、来自所述用户设备的业务安全需求、所述用户设备支持的安全能力需求、来自运营商网络的安全能力需求和所述端到端的通信的另一端设备的安全需求的至少一种确定，以及，获取保护密钥，所述保护密钥用于对所述端到端的通信进行保护，所述保护密钥依据所述安全策略以及所述用户设备与所述运营商网络之间的共享密钥确定。所述通信组件还用于向所述用户设备发送所述安全策略和/或所述保护密钥，以及向所述端到端的通信的另一端设备发送所述安全策略和/或所述保护密钥。

在一个实现方式中，所述端到端的通信的请求中还包括：网络标识和业务参数的至少一项。网络标识和业务参数的至少一项可以用于后续密钥的生成。

在一个实现方式中，所述获取保护密钥包括：依据所述安全策略、所述共享密钥以及参数推演得到所述保护密钥，所述参数包括所述用户设备的标识、所述网络标识和所述业务参数的至少一项。