WO2024066667A1

WO2024066667A1 - 密钥管理方法、装置及设备

Info

Publication number: WO2024066667A1
Application number: PCT/CN2023/106996
Authority: WO
Inventors: 周巍
Original assignee: 大唐移动通信设备有限公司
Priority date: 2022-09-30
Filing date: 2023-07-12
Publication date: 2024-04-04
Also published as: CN117812583A

Abstract

本公开提供一种密钥管理方法、装置及设备，该方法应用于终端，包括：向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在终端至终端U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

Description

密钥管理方法、装置及设备

相关申请的交叉引用

本申请要求于2022年09月30日提交的申请号为202211217084.5，发明名称为“密钥管理方法、装置及设备”的中国专利申请的优先权，其通过引用方式全部并入本文。

技术领域

本公开涉及通信技术领域，尤其涉及一种密钥管理方法、装置及设备。

背景技术

第五代移动通信系统(Fifth Generation Mobile Networks，5G)临近通信中，支持用户设备(User Equipment，UE)至UE中继(UE-to-UE Relay，U2U Relay)通信场景，也即源UE(Source UE)通过中继UE(RelayUE)与目标UE(Target UE)进行通信。

U2U中继通信首先涉及到源UE对中继UE和目标UE的发现，并据此建立通信通道。这些UE将在连线状态下从网络设备获得用于发现过程的相关信息，然后在离线状态下发现彼此，并建立中继通信通道，完成U2U中继通信。在U2U中继通信中，通常会采用密钥来对通信过程进行保护，以保证通信过程的安全。而采用密钥对通信过程进行保护的前提是UE需要提前申请对应的密钥数据。

目前，UE通常是根据其在U2U中继通信中对应的终端角色，向网络设备请求该终端角色对应的密钥数据的。而UE在U2U中继通信中可能会同时对应多个终端角色，目前的密钥管理方式需要分别针对UE的每个终端角色进行密钥数据的分发，其管理过程效率较低，信令消耗较大。

发明内容

本公开提供一种密钥管理方法、装置及设备，以提高密钥管理过程效率，减小信令消耗。

第一方面，本公开提供一种密钥管理方法，应用于终端，所述方法包括：

向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在终端至终端U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

在一种可能的实施方式中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

在一种可能的实施方式中，所述向第一网络设备发送安全材料请求，包括：

接收第二网络设备发送的U2U中继发现信息，所述U2U中继发现信息中包括所述用户信息、所述中继服务代码、所述角色列表和第一网络设备的地址中的至少一项；

根据所述U2U中继发现信息，向所述第一网络设备发送所述安全材料请求。

在一种可能的实施方式中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。

在一种可能的实施方式中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

第二方面，本公开提供一种密钥管理方法，应用于第一网络设备，所述方法包括：

接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

在一种可能的实施方式中，所述根据所述安全材料请求向所述终端发送安全材料响应，包括：

根据所述安全材料请求，确定所述终端的允许终端角色；

根据所述允许终端角色，向所述终端发送所述安全材料响应。

在一种可能的实施方式中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

根据所述授权信息确定所述允许终端角色。

向第三网络设备发送授权检查请求，所述授权检查请求中包括所述用户信息、所述中继服务代码和所述角色列表中的至少一项；

接收所述第三网络设备发送的授权检查响应，所述授权检查响应中包括所述允许终端角色。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

在一种可能的实施方式中，所述方法还包括：

根据中继服务标识码RSC标识的中继服务和所述角色列表，生成所述安全材料和所述安全策略。

第三方面，本公开提供一种密钥管理方法，应用于第三网络设备，所述方法包括：

接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和所述终端的角色列表中的至少一项；

根据所述授权检查请求确定所述终端的允许终端角色；

发送授权检查响应，所述授权检查响应中包括所述允许终端角色。

在一种可能的实施方式中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

根据所述授权信息确定所述允许终端角色。

在一种可能的实施方式中，所述接收授权检查请求，包括：

接收第一网络设备发送的所述授权检查请求。

在一种可能的实施方式中，所述发送授权检查响应，包括：

向所述第一网络设备发送所述授权检查响应。

在一种可能的实施方式中，所述接收授权检查请求，包括：

接收第四网络设备发送的第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收第五网络设备发送的第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

其中，所述授权检查请求包括所述第一授权检查请求和所述第二授权检查请求。

根据所述第一授权检查请求确定所述终端的第一允许终端角色；

根据所述第二授权检查请求确定所述终端的第二允许终端角色。

在一种可能的实施方式中，所述发送授权检查响应，包括：

向所述第四网络设备发送第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

向所述第五网络设备发送第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

其中，所述授权检查响应包括所述第一授权检查响应和所述第二授权检查响应。

第四方面，本公开提供一种密钥管理方法，应用于第四网络设备，所述方法包括：

向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

第五方面，本公开提供一种密钥管理方法，应用于第五网络设备，所述方法包括：

接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

向所述第四网络设备发送所述第二授权检查响应。

第六方面，本公开提供一种终端，包括存储器，收发机，处理器；

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

第七方面，本公开提供一种第一网络设备，包括存储器，收发机，处理器；

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

根据所述安全材料请求，确定所述终端的允许终端角色；

根据所述授权信息确定所述允许终端角色。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

在一种可能的实施方式中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：

根据RSC标识的中继服务和所述角色列表，生成所述安全材料和所述安全策略。

第八方面，本公开提供一种第三网络设备，包括存储器，收发机，处理器；

根据所述授权检查请求确定所述终端的允许终端角色；

根据所述授权信息确定所述允许终端角色。

在一种可能的实施方式中，所述接收授权检查请求，包括：

接收第一网络设备发送的所述授权检查请求。

在一种可能的实施方式中，所述发送授权检查响应，包括：

向所述第一网络设备发送所述授权检查响应。

在一种可能的实施方式中，所述接收授权检查请求，包括：

在一种可能的实施方式中，所述发送授权检查响应，包括：

第九方面，本公开提供一种第四网络设备，包括存储器，收发机，处理器；

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

第十方面，本公开提供一种第五网络设备，包括存储器，收发机，处理器；

向所述第四网络设备发送所述第二授权检查响应。

第十一方面，本公开提供一种密钥管理装置，应用于终端，包括：

第一发送模块，用于向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

第一接收模块，用于接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

在一种可能的实施方式中，所述第一发送模块具体用于：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

第十二方面，本公开提供一种密钥管理装置，应用于第一网络设备，包括：

第二接收模块，用于接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

第二发送模块，用于根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

在一种可能的实施方式中，所述第二发送模块具体用于：

根据所述安全材料请求，确定所述终端的允许终端角色；

在一种可能的实施方式中，所述第二发送模块具体用于：

根据所述授权信息确定所述允许终端角色。

在一种可能的实施方式中，所述第二发送模块具体用于：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

在一种可能的实施方式中，所述第二发送模块还用于：

第十三方面，本公开提供一种密钥管理装置，应用于第三网络设备，包括：

第三接收模块，用于接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和所述终端的角色列表中的至少一项；

处理模块，用于根据所述授权检查请求确定所述终端的允许终端角色；

第三发送模块，用于发送授权检查响应，所述授权检查响应中包括所述允许终端角色。

在一种可能的实施方式中，所述处理模块具体用于：

根据所述授权信息确定所述允许终端角色。

在一种可能的实施方式中，所述第三接收模块具体用于：

接收第一网络设备发送的所述授权检查请求。

在一种可能的实施方式中，所述第三发送模块具体用于：

向所述第一网络设备发送所述授权检查响应。

在一种可能的实施方式中，所述第三接收模块具体用于：

在一种可能的实施方式中，所述处理模块具体用于：

在一种可能的实施方式中，所述第三发送模块具体用于：

第十四方面，本公开提供一种密钥管理装置，应用于第四网络设备，包括：

第四发送模块，用于向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

第四接收模块，用于接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

第五发送模块，用于向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

第五接收模块，用于接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

第六发送模块，用于根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

第十五方面，本公开提供一种密钥管理装置，应用于第五网络设备，包括：

第六接收模块，用于接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

第七发送模块，用于根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

第七接收模块，用于接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

第八发送模块，用于向所述第四网络设备发送所述第二授权检查响应。

第十六方面，本公开提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行第一方面、或第二方面、或第三方面、或第四方面、或第五方面中的任一项所述的密钥管理方法。

本公开实施例提供的密钥管理方法、装置及设备，首先终端向第一网络设备发送安全材料请求，安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，角色列表中包括终端对应的至少一个终端角色；然后第一网络设备根据安全材料请求向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料，安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。本公开实施例的方案，针对终端在U2U中继通信场景中可能对应多个终端角色的情形，通过安全材料请求向第一网络设备发送角色列表，将终端请求的终端角色反馈给第一网络设备，使得第一网络设备可以根据角色列表获取终端对应的终端角色，进而通过安全材料响应向终端发送终端对应的安全材料。终端只需要通过一次安全材料请求即可获取角色列表中的终端角色对应的安全材料，而无需进行多次请求，提高了密钥管理过程的效率，减小了终端的信令消耗。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例提供的密钥管理方法的信令图；

图2为本公开实施例提供的密钥管理方法的信令图一；

图3为本公开实施例提供的密钥管理方法的信令图二；

图4为本公开实施例提供的密钥管理方法的信令图三；

图5为本公开实施例提供的一种终端的结构示意图；

图6为本公开实施例提供的一种第一网络设备的结构示意图；

图7为本公开实施例提供的一种第三网络设备的结构示意图；

图8为本公开实施例提供的一种第四网络设备的结构示意图；

图9为本公开实施例提供的一种第五网络设备的结构示意图；

图10为本公开实施例提供的密钥管理装置的结构示意图一；

图11为本公开实施例提供的密钥管理装置的结构示意图二；

图12为本公开实施例提供的密钥管理装置的结构示意图三；

图13为本公开实施例提供的密钥管理装置的结构示意图四；

图14为本公开实施例提供的密钥管理装置的结构示意图五。

具体实施方式

U2U中继通信场景，指的是源终端通过中继终端与目标终端进行通信的过程。U2U中继通信首先涉及到源终端对中继终端和目标终端的发现，并据此建立通信通道。这些终端将在连线状态下从网络设备获得用于发现过程的相关信息，然后在离线状态下发现彼此，并建立中继通信通道，完成U2U中继通信。

在U2U中继通信中，源终端和目标终端之间交互的消息、源终端和中继终端之间交互的消息、以及目标终端和中继终端之间交互的消息可能存在隐私泄露的危险，对U2U中继通信产生不利的影响。因此，需要终端需要通过密钥分配获取相应的安全材料，以实现U2U中继通信中的消息保护。

终端通常是根据其在U2U中继通信中对应的终端角色，向网络设备请求该终端角色对应的安全材料的。而终端在U2U中继通信中可能会同时对应多个终端角色，目前的密钥管理方式需要分别针对终端的每个终端角色进行密钥数据的分发，其管理过程效率较低，信令消耗较大。

基于此，本公开实施例提供一种密钥管理方法，使得终端通过一次请求即可获取该终端对应的终端角色的安全材料，减小信令消耗。下面结合附图对本公开的方案进行介绍。

图1为本公开实施例提供的密钥管理方法的信令图，如图1所示，包括：

S11，终端向第一网络设备发送安全材料请求，安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，角色列表中包括终端对应的至少一个终端角色。

在U2U中继通信场景中，为了对U2U中继发现过程中对发现消息进行安全保护，终端需要获取相应的安全材料。安全材料用于U2U中继通信过程中的消息保护。安全材料指的是在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数，其中，对发现消息进行的安全保护例如可以包括消息机密性保护、完整性保护和抗重放攻击保护，或者其他可能的安全保护，而安全材料即为对应的密钥和相关参数，例如可以包括加密密钥、完整性保护密钥、算法信息、密钥有效期等信息。

终端可以向第一网络设备发送安全材料请求，以请求安全材料。其中，安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项。

终端在U2U中继通信场景中充当相应的终端角色，而终端对发现消息的保护，以及所需的安全材料，均与终端对应的终端角色相关。在U2U中继通信场景中，涉及到源终端、目标终端和中继终端。其中，源终端是U2U中继通信场景中的通信发起方。针对不同的临近通信模式，源终端可以是临近通信模式A中的监控终端，或临近通信模式B中的发现者终端。目标终端是U2U中继通信场景中的非通信发起方，针对不同的临近通信模式，源终端可以是临近通信模式A中的通告终端，或临近通信模式B中的被发现者终端。中继终端用于接收源终端或目标终端的发现请求或响应消息，以及转发相应的消息等等。

基于此，终端在U2U中继通信场景中，涉及到的终端角色包括中继终端角色(即作为中继终端的终端角色)和端终端角色(即作为端终端的终端角色)。其中，端终端角色又可以包括监控终端角色(即在临近通信模式A中作为监控终端的终端角色)、通告终端角色(即在临近通信模式A中作为通告终端的终端角色)、发现者终端角色(即在临近通信模式B中作为发现者终端的终端角色)和被发现者终端角色(即在临近通信模式B中作为被发现者终端的终端角色)。

由于终端在U2U中继通信场景中可能有不止一个终端角色，因此，终端向第一网络设备发送安全材料请求中，包括角色列表，角色列表中包括终端对应的至少一个终端角色。通过角色列表，能够将终端在U2U中继通信场景中的一个或多个终端角色上报给第一网络设备，以便于第一网络设备为终端返回终端角色对应的安全材料。

S12，第一网络设备根据安全材料请求向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料，安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

安全材料用于在U2U中继发现过程中的发现消息进行安全保护。其中，本公开实施例中涉及到的消息包括端到端发现消息和中继发现消息，端到端发现消息为源终端和目标终端用于发现彼此而发送的消息；中继发现消息包括源终端和中继终端之间交互的消息，以及目标终端和中继终端之间交互的消息。消息的安全保护包括机密性保护，完整性保护，防重放攻击保护，加扰保护等不同的安全保护。

中继发现过程中使用的安全材料的种类有：

端到端发现发送安全材料：用于对通过中继终端向对端发送的端到端发现消息进行保护的安全材料。

端到端发现接收安全材料：用于对通过中继终端接收的对端发送的端到端发现消息进行解除安全保护的安全材料。

中继发现发送安全材料：用于对发送的中继发现消息进行保护的安全材料。中继发现发送安全材料与中继服务标识码(Relay Service Code，RSC)关联。

中继发现接收安全材料：用于对接收的中继发现消息进行解除安全保护的安全材料。中继发现接收安全材料与RSC关联。

针对不同的终端角色，第一网络设备为其配置的安全材料的类型也不同。在中继发现过程中，源终端(包括临近通信模式A中的监控终端，和模式B中的发现者终端)接收到的安全材料可以包括端到端发现发送安全材料、端到端发现接收安全材料、中继发现发送安全材料和中继发现接收安全材料中的至少一项；目标终端(包括临近通信模式A中的通告终端，和模式B中的被发现者通告终端)接收到的安全材料可以包括端到端发现发送安全材料、端到端发现接收安全材料、中继发现发送安全材料和中继发现接收安全材料中的至少一项；中继终端接收到的安全材料可以包括中继发现发送安全材料和中继发现接收安全材料中的至少一项。

需要说明的是，本公开实施例中，安全材料中的密钥可以采用对称密钥，也可以采用非对称密钥，本实施例对此不作限定。

第一网络设备在接收到终端发送的安全材料请求后，可以根据安全材料请求获取终端的角色列表，从而可以根据角色列表中的终端角色，确定为其配置的安全材料。然后，第一网络设备向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料。

其中，安全材料响应中可以包括终端的角色列表中的部分终端角色对应的安全材料，也可以包括角色列表中的所有终端角色对应的安全材料。即，第一网络设备可以通过一次安全材料响应将终端所需的安全材料发送给终端，也可以通过多次安全材料响应将终端所需的安全材料发送给终端，本实施例对此不作限定。

可选的，安全材料响应包含有一个数组；数组中的每一项描述一个终端角色和其所需要的发送和/或接收安全材料。数组中项目的格式可以为：(角色标识，[密钥类型：密钥值]，[密钥类型：密钥值]，…)。例如：(发现者终端角色，[端到端发送安全材料：端到端发送安全材料的信息]，[端到端接收安全材料：端到端接收安全材料的信息]，[中继发现发送安全材料：中继发现发送安全材料的信息]，[中继发现接收安全材料：中继发现接收安全材料的信息])。当需要提供新的安全能力时，可以通过增加新的密钥材料类型来提供新增加的密钥材料。需要说明的是，安全材料响应中的安全材料可以以数组的形式体现，也可以以其他的形式体现，本实施例对此不做限定。

本公开实施例提供的密钥管理方法，首先终端向第一网络设备发送安全材料请求，安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，角色列表中包括终端对应的至少一个终端角色；然后第一网络设备根据安全材料请求向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料，安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。本公开实施例的方案，针对终端在U2U中继通信场景中可能对应多个终端角色的情形，通过安全材料请求向第一网络设备发送角色列表，将终端请求的终端角色反馈给第一网络设备，使得第一网络设备可以根据角色列表获取终端对应的终端角色，进而通过安全材料响应向终端发送终端对应的安全材料。终端只需要通过一次安全材料请求即可获取角色列表中的终端角色对应的安全材料，而无需进行多次请求，提高了密钥管理过程的效率，减小了终端的信令消耗。

在上述任意实施例的基础上，下面结合附图对本公开实施例的方案进行进一步介绍。

图2为本公开实施例提供的密钥管理方法的信令图一，如图2所示，包括：

S21，第二网络设备向终端发送U2U中继发现信息。

第二网络设备向终端提供用于U2U中继发现的U2U中继发现信息。U2U中继发现信息中可以包括用户信息，中继服务代码，角色列表和第一网络设备的地址。提供U2U中继发现信息的网元可为策略控制功能(Policy Control Function，PCF)或5G直接发现名称管理功能(5G Direct Discovery Name Management Function，5G DDNMF)，即第二网络设备可以为PCF或5G DDNMF。U2U中继发现信息也可以是通过其他方法事先配置至终端中。角色列表描述了终端可在中继服务中扮演的角色。

一个终端可以在中继服务中扮演多个角色，例如，对于发现模式B，一个终端可以同时拥有发现者终端角色、被发现者终端角色和中继终端角色等多个角色。角色列表中包括终端对应的至少一个终端角色。

S22，终端根据U2U中继发现信息向第一网络设备发送安全材料请求。

终端可以根据U2U中继发现信息中第一网络设备的地址，向第一网络设备发送安全材料请求，安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，角色列表中包括终端对应的至少一个终端角色。

接收安全材料请求的网元，可以是核心网中的U2U中继密钥管理功能，即第一网络设备为U2U中继密钥管理功能。

S23，第一网络设备根据安全材料请求，确定终端的允许终端角色。

具体的，第一网络设备根据用户信息和中继服务代码，确定对应的授权信息，授权信息用于指示终端是否拥有角色列表中的终端角色。然后，第一网络设备根据授权信息确定允许终端角色。

S24，第一网络设备根据允许终端角色，向终端发送安全材料响应。

第一网络设备在确定允许终端角色后，可以向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料，安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

可选的，安全材料响应中还包括安全策略，安全策略用于指示U2U中继发现过程中是否开启端到端发现消息的安全，以及指示对于安全材料的处理。相应的，安全策略可以包括以下至少一项：

开启全部端到端消息安全：源终端或目标终端在发送发现消息时需要将其通过中继终端发送给对端终端的消息进行安全保护。消息的安全保护可以包括机密性保护、完整性保护、加扰保护等。开启全部端到端消息安全指示的是终端需要开启机密性保护、完整性保护、加扰保护等全部的安全保护。

不开启端到端消息安全：源终端或目标终端在发送发现消息时不需要将其通过中继终端发送给对端终端的消息进行某种安全保护。

开启部分端到端消息安全：源终端或目标终端在发送发现消息时可根据需要决定对通过中继终端发送给对端终端的消息进行部分安全保护。例如，可以仅开启机密性保护，可以仅开启完整性保护，可以仅开启加扰保护，等等。

图3为本公开实施例提供的密钥管理方法的信令图二，如图3所示，包括：

S31，第二网络设备向终端发送U2U中继发现信息。

S32，终端根据U2U中继发现信息向第一网络设备发送安全材料请求。

S31-S32的介绍具体可参见S21-S22中的相关介绍，此处不再赘述。

S33，第一网络设备向第三网络设备发送授权检查请求，授权检查请求中包括用户信息、中继服务代码和角色列表中的至少一项。

与图2实施例不同之处在于，图2实施例中，由第一网络设备自行进行授权检查，确定允许终端角色，而图3实施例中，由第三网络设备进行授权检查，确定允许终端角色。其中，进行授权检查的网元可以是U2U中继服务授权功能，即第三网络设备为U2U中继服务授权功能。

S34，第三网络设备根据授权检查请求确定终端的允许终端角色。

具体的，第三网络设备在接收到授权检查请求后，根据用户信息和中继服务代码，确定对应的授权信息，授权信息用于指示终端是否拥有角色列表中的终端角色。然后，第三网络设备根据授权信息确定允许终端角色。

S35，第三网络设备向第一网络设备发送授权检查响应，授权检查响应中包括允许终端角色。

第三网络设备在确定允许终端角色后，可以向第一网络设备发送授权检查响应，授权检查响应中包括允许终端角色。第一网络设备接收到授权检查响应后，即可获取允许终端角色。

S36，第一网络设备根据允许终端角色，向终端发送安全材料响应。

第一网络设备可以根据允许终端角色向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料，安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

可选的，安全材料响应中还包括安全策略，安全策略用于指示U2U中继发现过程中是否开启端到端发现消息的安全，以及指示对于安全材料的处理。

图4为本公开实施例提供的密钥管理方法的信令图三，如图4所示，包括：

S401，第二网络设备向终端发送U2U中继发现信息。

S402，终端根据U2U中继发现信息向第四网络设备发送安全材料请求。

S401-S402的介绍具体可参见S21-S22中的相关介绍，此处不再赘述。

S403，第四网络设备向第三网络设备发送第一授权检查请求，第一授权检查请求中包括角色列表、用户信息和中继服务代码中的至少一项。

与图3实施例不同之处在于，图3实施例中为集中式的密钥管理，由第一网络设备完成密钥管理和分配，而图4实施例中为分布式的密钥管理，由第四网络设备和第五网络设备完成密钥管理和分配。其中，第四网络设备可以是本地公共陆地移动网络(Home Public Land Mobile Network，HPLMN)中的U2U中继密钥管理功能，第五网络设备可以是虚拟公共陆地移动网络(Virtual Public Land Mobile Network，VPLMN)中的U2U中继密钥管理功能。

S404，第三网络设备根据第一授权检查请求确定终端的第一允许终端角色。

具体的，第三网络设备在接收到第一授权检查请求后，根据用户信息和中继服务代码，确定对应的授权信息，授权信息用于指示终端是否拥有角色列表中的终端角色。然后，第三网络设备根据授权信息确定第一允许终端角色。

S405，第三网络设备向第四网络设备发送第一授权检查响应，第一授权检查响应中包括第一允许终端角色。

第三网络设备在确定第一允许终端角色后，可以向第四网络设备发送第一授权检查响应，第一授权检查响应中包括第一允许终端角色。第四网络设备接收到授权检查响应后，即可获取第一允许终端角色。

S406，第四网络设备向第五网络设备发送网络设备间安全材料请求，网络设备间安全材料请求中包括第一允许终端角色、用户信息、中继服务代码和终端安全能力中的至少一项。

S407，第五网络设备向第三网络设备发送第二授权检查请求，第二授权检查请求中包括角色列表、用户信息和中继服务代码中的至少一项。

S408，第三网络设备根据第二授权检查请求确定终端的第二允许终端角色。

具体的，第三网络设备在接收到第二授权检查请求后，根据用户信息和中继服务代码，确定对应的授权信息，授权信息用于指示终端是否拥有角色列表中的终端角色。然后，第三网络设备根据授权信息确定第二允许终端角色。

S409，第三网络设备向第五网络设备发送第二授权检查响应，第二授权检查响应中包括第二允许终端角色。

第三网络设备在确定第二允许终端角色后，可以向第五网络设备发送第二授权检查响应，第二授权检查响应中包括第二允许终端角色。第四网络设备接收到授权检查响应后，即可获取第二允许终端角色。

S410，第五网络设备向第四网络设备发送第二授权检查响应。

S411，第四网络设备向终端发送安全材料响应。

第四网络设备在接收第二授权检查响应后，可以根据第二授权检查响应获取第二允许终端角色，然后根据第一允许终端角色和第二允许终端角色，确定终端的允许终端角色。其中，可以对第一允许终端角色和第二允许终端角色取交集，作为允许终端角色；也可以对第一允许终端角色和第二允许终端角色取并集，作为允许终端角色；也可以对第一允许终端角色和第二允许终端角色进行其他可能的处理，得到允许终端角色，本实施例对此不作限定。

第四网络设备可以根据允许终端角色向终端发送安全材料响应，安全材料响应中包括终端对应的安全材料，安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

综上所述，本公开实施例提供的密钥管理方法，终端只需要通过一次安全材料请求即可获取角色列表中的终端角色对应的安全材料，而无需进行多次请求，提高了密钥管理过程的效率，减小了终端的信令消耗。

图5为本公开实施例提供的一种终端的结构示意图，如图5所示，所述终端包括存储器520，收发机500，处理器510，其中：

存储器520，用于存储计算机程序；收发机500，用于在所述处理器510的控制下收发数据；处理器510，用于读取所述存储器520中的计算机程序并执行以下操作：

接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数

其中，在图5中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器510代表的一个或多个处理器和存储器520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机500可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。针对不同的用户设备，用户接口530还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。

处理器510负责管理总线架构和通常的处理，存储器520可以存储处理器510在执行操作时所使用的数据。

在一些实施例中，处理器510可以是中央处理器(Central Processing Unit,CPU)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field－Programmable Gate Array,FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD)，处理器也可以采用多核架构。

处理器通过调用存储器存储的计算机程序，用于按照获得的可执行指令执行本公开实施例提供的任一所述方法。处理器与存储器也可以物理上分开布置。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

在此需要说明的是，本公开实施例提供的上述终端，能够实现上述执行主体为终端的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图6为本公开实施例提供的一种第一网络设备的结构示意图，如图6所示，所述第一网络设备包括存储器620，收发机600，处理器610，其中：

存储器620，用于存储计算机程序；收发机600，用于在所述处理器610的控制下收发数据；处理器610，用于读取所述存储器620中的计算机程序并执行以下操作：

根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数

具体地，收发机600，用于在处理器610的控制下接收和发送数据。

其中，在图6中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器610代表的一个或多个处理器和存储器620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机600可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器610负责管理总线架构和通常的处理，存储器620可以存储处理器610在执行操作时所使用的数据。

可选的，处理器610可以是CPU、ASIC、FPGA或CPLD，处理器也可以采用多核架构。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

根据所述安全材料请求，确定所述终端的允许终端角色；

根据所述授权信息确定所述允许终端角色。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

在一种可能的实施方式中，所述处理器610还用于读取所述存储器中的计算机程序并执行以下操作：

在此需要说明的是，本发明实施例提供的上述第一网络设备，能够实现上述执行主体为第一网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图7为本公开实施例提供的一种第三网络设备的结构示意图，如图7所示，所述第三网络设备包括存储器720，收发机700，处理器710，其中：

存储器720，用于存储计算机程序；收发机700，用于在所述处理器710的控制下收发数据；处理器710，用于读取所述存储器720中的计算机程序并执行以下操作：

根据所述授权检查请求确定所述终端的允许终端角色；

具体地，收发机700，用于在处理器710的控制下接收和发送数据。

其中，在图7中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器710代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机700可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器710负责管理总线架构和通常的处理，存储器720可以存储处理器710在执行操作时所使用的数据。

可选的，处理器710可以是CPU、ASIC、FPGA或CPLD，处理器也可以采用多核架构。

根据所述授权信息确定所述允许终端角色。

在一种可能的实施方式中，所述接收授权检查请求，包括：

接收第一网络设备发送的所述授权检查请求。

在一种可能的实施方式中，所述发送授权检查响应，包括：

向所述第一网络设备发送所述授权检查响应。

在一种可能的实施方式中，所述接收授权检查请求，包括：

在一种可能的实施方式中，所述发送授权检查响应，包括：

在此需要说明的是，本发明实施例提供的上述第三网络设备，能够实现上述执行主体为第三网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图8为本公开实施例提供的一种第四网络设备的结构示意图，如图8所示，所述第四网络设备包括存储器820，收发机800，处理器810，其中：

存储器820，用于存储计算机程序；收发机800，用于在所述处理器810的控制下收发数据；处理器810，用于读取所述存储器820中的计算机程序并执行以下操作：

具体地，收发机800，用于在处理器810的控制下接收和发送数据。

其中，在图8中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器810代表的一个或多个处理器和存储器820代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机800可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器810负责管理总线架构和通常的处理，存储器820可以存储处理器810在执行操作时所使用的数据。

可选的，处理器810可以是CPU、ASIC、FPGA或CPLD，处理器也可以采用多核架构。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

在此需要说明的是，本发明实施例提供的上述第四网络设备，能够实现上述执行主体为第四网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图9为本公开实施例提供的一种第五网络设备的结构示意图，如图9所示，所述第五网络设备包括存储器920，收发机900，处理器910，其中：

存储器920，用于存储计算机程序；收发机900，用于在所述处理器910的控制下收发数据；处理器910，用于读取所述存储器920中的计算机程序并执行以下操作：

向所述第四网络设备发送所述第二授权检查响应。

具体地，收发机900，用于在处理器910的控制下接收和发送数据。

其中，在图9中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器910代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机900可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器910负责管理总线架构和通常的处理，存储器920可以存储处理器910在执行操作时所使用的数据。

可选的，处理器910可以是CPU、ASIC、FPGA或CPLD，处理器也可以采用多核架构。

在此需要说明的是，本发明实施例提供的上述第五网络设备，能够实现上述执行主体为第五网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图10为本公开实施例提供的密钥管理装置的结构示意图一，应用于终端，如图10所示，该密钥管理装置100包括：

第一发送模块101，用于向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

第一接收模块102，用于接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

在一种可能的实施方式中，所述第一发送模块101具体用于：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

具体地，本公开实施例提供的上述密钥管理装置，能够实现上述执行主体为终端的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图11为本公开实施例提供的密钥管理装置的结构示意图二，应用于第一网络设备，如图11所示，该密钥管理装置110包括：

第二接收模块111，用于接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

第二发送模块112，用于根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

在一种可能的实施方式中，所述第二发送模块112具体用于：

根据所述安全材料请求，确定所述终端的允许终端角色；

在一种可能的实施方式中，所述第二发送模块112具体用于：

根据所述授权信息确定所述允许终端角色。

在一种可能的实施方式中，所述第二发送模块112具体用于：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

在一种可能的实施方式中，所述第二发送模块112还用于：

具体地，本公开实施例提供的上述密钥管理装置，能够实现上述执行主体为第一网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图12为本公开实施例提供的密钥管理装置的结构示意图三，应用于第三网络设备，如图12所示，该密钥管理装置120包括：

第三接收模块121，用于接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和所述终端的角色列表中的至少一项；

处理模块122，用于根据所述授权检查请求确定所述终端的允许终端角色；

第三发送模块123，用于发送授权检查响应，所述授权检查响应中包括所述允许终端角色。

在一种可能的实施方式中，所述处理模块122具体用于：

根据所述授权信息确定所述允许终端角色。

在一种可能的实施方式中，所述接收授权检查请求，包括：

接收第一网络设备发送的所述授权检查请求。

在一种可能的实施方式中，所述第三接收模块121具体用于：

向所述第一网络设备发送所述授权检查响应。

在一种可能的实施方式中，所述第三接收模块121具体用于：

在一种可能的实施方式中，所述处理模块122具体用于：

在一种可能的实施方式中，所述第三发送模块123具体用于：

具体地，本公开实施例提供的上述密钥管理装置，能够实现上述执行主体为第三网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图13为本公开实施例提供的密钥管理装置的结构示意图四，应用于第四网络设备，如图13所示，该密钥管理装置130包括：

第四发送模块131，用于向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

第四接收模块132，用于接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

第五发送模块133，用于向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

第五接收模块134，用于接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

第六发送模块135，用于根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。

具体地，本公开实施例提供的上述密钥管理装置，能够实现上述执行主体为第四网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

图14为本公开实施例提供的密钥管理装置的结构示意图五，应用于第五网络设备，如图14所示，该密钥管理装置140包括：

第六接收模块141，用于接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

第七发送模块142，用于根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

第七接收模块143，用于接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

第八发送模块144，用于向所述第四网络设备发送所述第二授权检查响应。

具体地，本公开实施例提供的上述密钥管理装置，能够实现上述执行主体为第五网络设备的方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

需要说明的是，本公开上述各实施例中对单元/模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在一些实施例中，还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行上述各方法实施例提供的密钥管理方法。

具体地，本公开实施例提供的上述计算机可读存储介质，能够实现上述各方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

需要说明的是：所述计算机可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

另外需要说明的是：本公开实施例中术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，以便本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”所区别的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。

本公开实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

本公开实施例中术语“多个”是指两个或两个以上，其它量词与之类似。

本公开实施例提供的技术方案可以适用于多种系统，尤其是5G系统。例如适用的系统可以是全球移动通讯(global system of mobile communication，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)通用分组无线业务(general packet radio service，GPRS)系统、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统、高级长期演进(long term evolution advanced，LTE-A)系统、通用移动系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)系统、5G新空口(New Radio,NR)系统等。这多种系统中均包括终端设备和网络设备。系统中还可以包括核心网部分，例如演进的分组系统(Evloved Packet System,EPS)、5G系统(5GS)等。

本公开实施例涉及的终端设备，可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的系统中，终端设备的名称可能也不相同，例如在5G系统中，终端设备可以称为用户设备(User Equipment，UE)。无线终端设备可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网(Core Network,CN)进行通信，无线终端设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务

(Personal Communication Service，PCS)电话、无绳电话、会话发起协议(Session Initiated Protocol，SIP)话机、无线本地环路(Wireless Local Loop，WLL)站、个人数字助理(Personal Digital Assistant，PDA)等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户装置(user device)，本公开实施例中并不限定。

本公开实施例涉及的网络设备，可以是基站，该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同，基站又可以称为接入点，或者可以是接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备，或者其它名称。网络设备可用于将收到的空中帧与网际协议(Internet Protocol，IP)分组进行相互更换，作为无线终端设备与接入网的其余部分之间的路由器，其中接入网的其余部分可包括网际协议(IP)通信网络。网络设备还可协调对空中接口的属性管理。例如，本公开实施例涉及的网络设备可以是全球移动通信系统(Global System for Mobile communications，GSM)或码分多址接入(Code Division Multiple Access，CDMA)中的网络设备(Base Transceiver Station，BTS)，也可以是带宽码分多址接入(Wide-band Code Division Multiple Access，WCDMA)中的网络设备(NodeB)，还可以是长期演进(long term evolution，LTE)系统中的演进型网络设备(evolutional Node B，eNB或e-NodeB)、5G网络架构(next generation system)中的5G基站(gNB)，也可以是家庭演进基站(Home evolved Node B，HeNB)、中继节点(relay node)、家庭基站(femto)、微微基站(pico)等，本公开实施例中并不限定。在一些网络结构中，网络设备可以包括集中单元(centralized unit，CU)节点和分布单元(distributed unit，DU)节点，集中单元和分布单元也可以地理上分开布置。

网络设备与终端设备之间可以各自使用一或多根天线进行多输入多输出(Multi Input Multi Output,MIMO)传输，MIMO传输可以是单用户MIMO(Single User MIMO,SU-MIMO)或多用户MIMO(Multiple User MIMO,MU-MIMO)。根据根天线组合的形态和数量，MIMO传输可以是2D-MIMO、3D-MIMO、FD-MIMO或massive-MIMO，也可以是分集传输或预编码传输或波束赋形传输等。

本领域内的技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中，使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的精神和范围。这样，倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内，则本公开也意图包含这些改动和变型在内。

Claims

一种密钥管理方法，应用于终端，所述方法包括：

向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在终端至终端U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求1所述的密钥管理方法，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求1所述的密钥管理方法，其中，所述向第一网络设备发送安全材料请求，包括：

接收第二网络设备发送的U2U中继发现信息，所述U2U中继发现信息中包括所述用户信息、所述中继服务代码、所述角色列表和第一网络设备的地址中的至少一项；

根据所述U2U中继发现信息，向所述第一网络设备发送所述安全材料请求。
根据权利要求1至3中的任一项所述的密钥管理方法，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求4所述的密钥管理方法，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
一种密钥管理方法，应用于第一网络设备，所述方法包括：

接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求6所述的密钥管理方法，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求6所述的密钥管理方法，其中，所述根据所述安全材料请求向所述终端发送安全材料响应，包括：

根据所述安全材料请求，确定所述终端的允许终端角色；

根据所述允许终端角色，向所述终端发送所述安全材料响应。
根据权利要求8所述的密钥管理方法，其中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

根据所述授权信息确定所述允许终端角色。
根据权利要求8所述的密钥管理方法，其中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

向第三网络设备发送授权检查请求，所述授权检查请求中包括所述用户信息、所述中继服务代码和所述角色列表中的至少一项；

接收所述第三网络设备发送的授权检查响应，所述授权检查响应中包括所述允许终端角色。
根据权利要求6至10中的任一项所述的密钥管理方法，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求11所述的密钥管理方法，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
根据权利要求11所述的密钥管理方法，其中，所述方法还包括：

根据中继服务标识码RSC标识的中继服务和所述角色列表，生成所述安全材料和所述安全策略。
一种密钥管理方法，应用于第三网络设备，所述方法包括：

接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和终端的角色列表中的至少一项；

根据所述授权检查请求确定所述终端的允许终端角色；

发送授权检查响应，所述授权检查响应中包括所述允许终端角色。
根据权利要求14所述的密钥管理方法，其中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

根据所述授权信息确定所述允许终端角色。
根据权利要求14所述的密钥管理方法，其中，所述接收授权检查请求，包括：

接收第一网络设备发送的所述授权检查请求。
根据权利要求16所述的密钥管理方法，其中，所述发送授权检查响应，包括：

向所述第一网络设备发送所述授权检查响应。
根据权利要求15所述的密钥管理方法，其中，所述接收授权检查请求，包括：

接收第四网络设备发送的第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收第五网络设备发送的第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

其中，所述授权检查请求包括所述第一授权检查请求和所述第二授权检查请求。
根据权利要求18所述的密钥管理方法，其中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

根据所述第一授权检查请求确定所述终端的第一允许终端角色；

根据所述第二授权检查请求确定所述终端的第二允许终端角色。
根据权利要求19所述的密钥管理方法，其中，所述发送授权检查响应，包括：

向所述第四网络设备发送第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

向所述第五网络设备发送第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

其中，所述授权检查响应包括所述第一授权检查响应和所述第二授权检查响应。
一种密钥管理方法，应用于第四网络设备，所述方法包括：

向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括角色列表、用户信息和中继服务代码中的至少一项；

接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求21所述的密钥管理方法，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求21或22所述的密钥管理方法，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求23所述的密钥管理方法，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
一种密钥管理方法，应用于第五网络设备，所述方法包括：

接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括第一允许终端角色、用户信息、中继服务代码和终端安全能力中的至少一项；

根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

向所述第四网络设备发送所述第二授权检查响应。
一种终端，包括存储器，收发机，处理器；

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求26所述的终端，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求26所述的终端，其中，所述向第一网络设备发送安全材料请求，包括：

接收第二网络设备发送的U2U中继发现信息，所述U2U中继发现信息中包括所述用户信息、所述中继服务代码、所述角色列表和第一网络设备的地址中的至少一项；

根据所述U2U中继发现信息，向所述第一网络设备发送所述安全材料请求。
根据权利要求26至28中的任一项所述的终端，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求29所述的终端，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
一种第一网络设备，包括存储器，收发机，处理器；

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求31所述的第一网络设备，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求31所述的第一网络设备，其中，所述根据所述安全材料请求向所述终端发送安全材料响应，包括：

根据所述安全材料请求，确定所述终端的允许终端角色；

根据所述允许终端角色，向所述终端发送所述安全材料响应。
根据权利要求33所述的第一网络设备，其中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

根据所述授权信息确定所述允许终端角色。
根据权利要求33所述的第一网络设备，其中，所述根据所述安全材料请求，确定所述终端的允许终端角色，包括：

向第三网络设备发送授权检查请求，所述授权检查请求中包括所述用户信息、所述中继服务代码和所述角色列表中的至少一项；

接收所述第三网络设备发送的授权检查响应，所述授权检查响应中包括所述允许终端角色。
根据权利要求31至35中的任一项所述的第一网络设备，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求36所述的第一网络设备，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
根据权利要求37所述的第一网络设备，其中，所述处理器还用于读取所述存储器中的计算机程序并执行以下操作：

根据RSC标识的中继服务和所述角色列表，生成所述安全材料和所述安全策略。
一种第三网络设备，包括存储器，收发机，处理器；

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和终端的角色列表中的至少一项；

根据所述授权检查请求确定所述终端的允许终端角色；

发送授权检查响应，所述授权检查响应中包括所述允许终端角色。
根据权利要求39所述的第三网络设备，其中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

根据所述授权信息确定所述允许终端角色。
根据权利要求39所述的第三网络设备，其中，所述接收授权检查请求，包括：

接收第一网络设备发送的所述授权检查请求。
根据权利要求41所述的第三网络设备，其中，所述发送授权检查响应，包括：

向所述第一网络设备发送所述授权检查响应。
根据权利要求39所述的第三网络设备，其中，所述接收授权检查请求，包括：

接收第四网络设备发送的第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收第五网络设备发送的第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

其中，所述授权检查请求包括所述第一授权检查请求和所述第二授权检查请求。
根据权利要求43所述的第三网络设备，其中，所述根据所述授权检查请求确定所述终端的允许终端角色，包括：

根据所述第一授权检查请求确定所述终端的第一允许终端角色；

根据所述第二授权检查请求确定所述终端的第二允许终端角色。
根据权利要求44所述的第三网络设备，其中，所述发送授权检查响应，包括：

向所述第四网络设备发送第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

向所述第五网络设备发送第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

其中，所述授权检查响应包括所述第一授权检查响应和所述第二授权检查响应。
一种第四网络设备，包括存储器，收发机，处理器；

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括角色列表、用户信息和中继服务代码中的至少一项；

接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求46所述的第四网络设备，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求46或47所述的第四网络设备，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求48所述的第四网络设备，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
一种第五网络设备，包括存储器，收发机，处理器；

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括第一允许终端角色、用户信息、中继服务代码和终端安全能力中的至少一项；

根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

向所述第四网络设备发送所述第二授权检查响应。
一种密钥管理装置，应用于终端，包括：

第一发送模块，用于向第一网络设备发送安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

第一接收模块，用于接收所述第一网络设备发送的安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求51所述的密钥管理装置，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求51所述的密钥管理装置，其中，所述第一发送模块具体用于：

接收第二网络设备发送的U2U中继发现信息，所述U2U中继发现信息中包括所述用户信息、所述中继服务代码、所述角色列表和第一网络设备的地址中的至少一项；

根据所述U2U中继发现信息，向所述第一网络设备发送所述安全材料请求。
根据权利要求51至53中的任一项所述的密钥管理装置，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求54所述的密钥管理装置，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
一种密钥管理装置，应用于第一网络设备，包括：

第二接收模块，用于接收终端发送的安全材料请求，所述安全材料请求中包括用户信息、中继服务代码、终端安全能力和角色列表中的至少一项，所述角色列表中包括所述终端对应的至少一个终端角色；

第二发送模块，用于根据所述安全材料请求向所述终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求56所述的密钥管理装置，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求56所述的密钥管理装置，其中，所述第二发送模块具体用于：

根据所述安全材料请求，确定所述终端的允许终端角色；

根据所述允许终端角色，向所述终端发送所述安全材料响应。
根据权利要求58所述的密钥管理装置，其中，所述第二发送模块具体用于：

根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

根据所述授权信息确定所述允许终端角色。
根据权利要求58所述的密钥管理装置，其中，所述第二发送模块具体用于：

向第三网络设备发送授权检查请求，所述授权检查请求中包括所述用户信息、所述中继服务代码和所述角色列表中的至少一项；

接收所述第三网络设备发送的授权检查响应，所述授权检查响应中包括所述允许终端角色。
根据权利要求56至60中的任一项所述的密钥管理装置，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求61所述的密钥管理装置，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
根据权利要求61所述的密钥管理装置，其中，所述第二发送模块还用于：

根据RSC标识的中继服务和所述角色列表，生成所述安全材料和所述安全策略。
一种密钥管理装置，应用于第三网络设备，包括：

第三接收模块，用于接收授权检查请求，所述授权检查请求中包括用户信息、中继服务代码和终端的角色列表中的至少一项；

处理模块，用于根据所述授权检查请求确定所述终端的允许终端角色；

第三发送模块，用于发送授权检查响应，所述授权检查响应中包括所述允许终端角色。
根据权利要求64所述的密钥管理装置，其中，所述处理模块具体用于：

根据所述用户信息和所述中继服务代码，确定对应的授权信息，所述授权信息用于指示所述终端是否拥有所述角色列表中的终端角色；

根据所述授权信息确定所述允许终端角色。
根据权利要求64所述的密钥管理装置，其中，所述第三接收模块具体用于：

接收第一网络设备发送的所述授权检查请求。
根据权利要求66所述的密钥管理装置，其中，所述第三发送模块具体用于：

向所述第一网络设备发送所述授权检查响应。
根据权利要求65所述的密钥管理装置，其中，所述第三接收模块具体用于：

接收第四网络设备发送的第一授权检查请求，所述第一授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

接收第五网络设备发送的第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

其中，所述授权检查请求包括所述第一授权检查请求和所述第二授权检查请求。
根据权利要求68所述的密钥管理装置，其中，所述处理模块具体用于：

根据所述第一授权检查请求确定所述终端的第一允许终端角色；

根据所述第二授权检查请求确定所述终端的第二允许终端角色。
根据权利要求69所述的密钥管理装置，其中，所述第三发送模块具体用于：

向所述第四网络设备发送第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

向所述第五网络设备发送第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

其中，所述授权检查响应包括所述第一授权检查响应和所述第二授权检查响应。
一种密钥管理装置，应用于第四网络设备，包括：

第四发送模块，用于向第三网络设备发送第一授权检查请求，所述第一授权检查请求中包括角色列表、用户信息和中继服务代码中的至少一项；

第四接收模块，用于接收所述第三网络设备发送的第一授权检查响应，所述第一授权检查响应中包括第一允许终端角色；

第五发送模块，用于向第五网络设备发送网络设备间安全材料请求，所述网络设备间安全材料请求中包括所述第一允许终端角色、所述用户信息、所述中继服务代码和终端安全能力中的至少一项；

第五接收模块，用于接收所述第五网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

第六发送模块，用于根据所述第一允许终端角色和所述第二允许终端角色，向终端发送安全材料响应，所述安全材料响应中包括所述终端对应的安全材料，所述安全材料为在U2U中继发现过程中对发现消息进行安全保护的密钥及其相关参数。
根据权利要求71所述的密钥管理装置，其中，所述安全材料包括以下至少一项：

端到端发现发送安全材料；

端到端发现接收安全材料；

中继发现发送安全材料；

中继发现接收安全材料。
根据权利要求71或72所述的密钥管理装置，其中，所述安全材料响应中还包括安全策略，所述安全策略用于指示U2U中继发现过程中对所述安全材料的处理。
根据权利要求73所述的密钥管理装置，其中，所述安全策略包括以下至少一项：

开启全部端到端消息安全；

开启部分端到端消息安全；

不开启端到端消息安全。
一种密钥管理装置，应用于第五网络设备，包括：

第六接收模块，用于接收第四网络设备发送的网络设备间安全材料请求，所述网络设备间安全材料请求中包括第一允许终端角色、用户信息、中继服务代码和终端安全能力中的至少一项；

第七发送模块，用于根据所述网络设备间安全材料请求，向第三网络设备发送第二授权检查请求，所述第二授权检查请求中包括所述角色列表、所述用户信息和所述中继服务代码中的至少一项；

第七接收模块，用于接收所述第三网络设备发送的第二授权检查响应，所述第二授权检查响应中包括第二允许终端角色；

第八发送模块，用于向所述第四网络设备发送所述第二授权检查响应。
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行权利要求1至5中的任一项所述的密钥管理方法，或者，所述计算机程序用于使计算机执行权利要求6至13中的任一项所述的密钥管理方法，或者，所述计算机程序用于使计算机执行权利要求14至20中的任一项所述的密钥管理方法，或者，所述计算机程序用于使计算机执行权利要求21至24中的任一项所述的密钥管理方法，或者所述计算机程序用于使计算机执行权利要求25所述的密钥管理方法。