CN114051242B - 用户与多终端间的安全性管理方法、装置及设备 - Google Patents
用户与多终端间的安全性管理方法、装置及设备 Download PDFInfo
- Publication number
- CN114051242B CN114051242B CN202010709512.0A CN202010709512A CN114051242B CN 114051242 B CN114051242 B CN 114051242B CN 202010709512 A CN202010709512 A CN 202010709512A CN 114051242 B CN114051242 B CN 114051242B
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- user
- security
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 49
- 238000000034 method Methods 0.000 claims abstract description 110
- 230000005540 biological transmission Effects 0.000 claims abstract description 42
- 238000001212 derivatisation Methods 0.000 claims abstract description 8
- 238000009795 derivation Methods 0.000 claims description 88
- 230000008569 process Effects 0.000 claims description 41
- 230000001960 triggered effect Effects 0.000 claims description 29
- 238000012546 transfer Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 8
- 238000004422 calculation algorithm Methods 0.000 description 21
- 230000007774 longterm Effects 0.000 description 21
- 230000011664 signaling Effects 0.000 description 16
- 238000004364 calculation method Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 9
- 230000006854 communication Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000004913 activation Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000009977 dual effect Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000000354 decomposition reaction Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种用户与多终端间的安全性管理方法、装置及设备。方法包括:用户与多个终端建立从属关系,多个终端存储安全性根密钥;在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输。本发明的方案在用户终端的从属关系生效接入网络时,用户终端与网络侧安全密钥的输入参数通过网络节点进行传递,以保障用户终端与网络连接的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种用户与多终端间的安全性管理方法、装置及设备。
背景技术
在无线通信蜂窝网中,为了保证网络安全,需要对信令和用户数据的传输进行加密和完整性保护。在单个用户终端与网络间节点派生相关密钥,共同进行通信过程的安全保障。
(1)密钥体系
用户终端与网络节点间的密钥如图1所示,包括由用户和网络侧签约的长期密钥推衍出终端与核心网节点的根密钥KAMF,以及由终端和核心网节点从KAMF推衍出的NAS信令密钥KNASint,KNASenc,用于NAS信令的加密与完整性保护;还包括接入网节点的相关密钥,如由KAMF推衍的终端与接入节点间的密钥KgNB,以及由终端和接入节点从KgNB推衍出的AS信令和数据密钥KRRCint,KRRCenc,KUPint,KUPenc,用于终端和接入节点间的信令和数据传输的加密和完整性保护。
(2)双连接的安全机制
无线通信蜂窝网的双连接中,终端可连接至一个MN(Master Node,主节点)以及一个SN(Secondary Node,辅节点)。MN为MN和UE之间共享的给定AS安全上下文首次在SN与UE之间建立安全上下文时,MN为SN生成KSN并通过Xn-C接口将其发送给SN。为了生成KSN,MN将称为SN计数器的计数器与当前的AS安全上下文相关联。当需要生成新的KSN时,MN通过RRC信令路径将SN计数器的值发送给UE。KSN用于获取在UE和SN之间使用的进一步的RRC和UP密钥。
如图2所示,为由MN发起的SN添加/修改流程的安全过程,MN通过Xn-C向SN发送SN添加/修改请求过程中,将MN根据SN计数器参数计算的KSN以及UE安全能力发送给SN。SN进行相关配置,并根据KSN计算所需的RRC和UP密钥。MN在通过向UE发送RRC链接重配置请求,为其配置新的DRB和/或SRB,且包括SN计数器参数。UE将计算SN的KSN及相关DRB和/或SRB所需的RRC和UP密钥,UE将重配置完成发送给MN,并激活SN选择的加密和完整性保护密钥。在SN接收到MN发送的重配置完成后,激活UE所选择的加密和完整性保护。以上为UE与多个接入节点间的安全过程,仅针对单个终端的由MN到SN所需密钥的交互。
但在未来移动通信系统中,一个用户可在不同地点拥有多个终端设备,如公司、私家车、家里等地方可使用的多种类型终端设备,这些相互分离的终端设备在与用户建立从属关系后共同为一个用户提供服务。当用户移动时,可激活一个或多个终端设备以供使用。在这种单用户多终端的场景下,针对单个终端的安全性管理方法将不再适用于单用户多终端模式。
蜂窝网中的信息数据传输的安全性是以单个终端为目标的,未来通信系统中,一个用户可以有多个相互分离的从属终端,且多个终端相互关联,为一个用户提供服务,目前现有技术还不能支持单用户多终端场景下的数据传输安全性管理。
发明内容
本发明实施例提供了一种用户与多终端间的安全性管理方法、装置及设备。在用户终端的从属关系生效接入网络时,用户终端与网络侧安全密钥的输入参数通过网络节点进行传递,以保障用户终端与网络连接的安全性。
为解决上述技术问题,本发明的实施例提供如下技术方案:
一种用户与多终端间的安全性管理方法,应用于终端,所述方法包括:
用户与多个终端建立从属关系,多个终端存储安全性根密钥;
在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;
所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输。
可选的,存储安全性根密钥,包括:
获取用户的预设参数,所述预设参数包括:用户与网络侧签约的标识和/或用户与网络侧签约的第一密钥;
根据所述预设参数,存储所述安全性根密钥。
可选的,根据所述预设参数,存储安全性根密钥,包括:
所述多个终端与用户建立从属关系的过程中,根据用户与网络侧签约的第一密钥生成安全性根密钥并存储;
或者,
所述多个终端直接从所述用户接收所述第一密钥,并将所述第一密钥作为安全性根密钥进行存储。
可选的,在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
可选的,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,核心网确定所述第二终端从属于第一终端的用户后,所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述接入网节点发送的所述接入网节点的安全密钥输入参数。
可选的,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一个终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,所述第二终端接收所述接入网节点发送的接入AS层安全密钥输入参数以及接收所述核心网发送的安全输入参数。
可选的,根据所述预设参数,存储安全性根密钥,包括:
在用户与多个终端建立从属关系的过程中,根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值,生成安全性根密钥并存储;
或者,
在用户与多个终端建立从属关系的过程中,用户根据终端计数值,更新用户与网络侧签约的第一密钥,各终端获取与其对应的更新后的第一密钥,作为该终端的安全性根密钥并存储。
可选的,在所述多个终端中的至少一个目标终端接入网络时,获取所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
可选的,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网和接入网节点的根密钥推衍参数以及非接入NAS层的密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网通知第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及接入网节点AS层的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
可选的,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,第二终端向网络侧上报第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,所述核心网通过所述第一终端与所述第二终端的关系,根据第二终端计数值及进行NAS或者AS根密钥参数的推算更新,第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
可选的,所述目标终端根据所述安全密钥输入参数与网络进行数据传输,包括:
所述第二终端根据所述安全密钥输入参数,激活非接入NAS层以及接入AS层的安全性,与网络进行数据传输。
可选的,当用户与多个终端的从属关系结束时,多个终端删除所存储的第二密钥。
本发明的实施例还提供一种用户与多终端间的安全性管理方法,应用于网络侧,所述方法包括:
从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;
根据所述安全密钥输入参数与终端进行数据传输。
可选的,网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络时,根据用户与终端的从属关系,触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
核心网确定所述第二终端从属于第一终端的用户后,向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的推衍参数,再由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,所述核心网触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,接入网节点向所述第二终端发送接入AS层安全密钥输入参数。
可选的,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数输入参数。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网的非接入NAS层的密钥输入参数和接入网节点的根密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,网络侧接收第二终端上报的第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;
所述接入网节点向所述第二终端发送安全密钥输入参数。
本发明的实施例还提供一种终端,包括:收发机,处理器,存储器,所述存储器上存有所述处理器可执行的程序;所述处理器执行所述程序时实现:用户与多个终端建立从属关系,多个终端存储安全性根密钥;在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输。
可选的,存储安全性根密钥,包括:
获取用户的预设参数,所述预设参数包括:用户与网络侧签约的标识和/或用户与网络侧签约的第一密钥;
根据所述预设参数,存储所述安全性根密钥。
可选的,根据所述预设参数,存储安全性根密钥,包括:
所述多个终端与用户建立从属关系的过程中,根据用户与网络侧签约的第一密钥生成安全性根密钥并存储;
或者,
所述多个终端直接从所述用户接收所述第一密钥,并将所述第一密钥作为安全性根密钥进行存储。
可选的,在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
可选的,根据所述预设参数,存储安全性根密钥,包括:
在用户与多个终端建立从属关系的过程中,根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值,生成安全性根密钥并存储;
或者,
在用户与多个终端建立从属关系的过程中,用户根据终端计数值,更新用户与网络侧签约的第一密钥,各终端获取与其对应的更新后的第一密钥,作为该终端的安全性根密钥并存储。
可选的,在所述多个终端中的至少一个目标终端接入网络时,获取所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
本发明的实施例还提供一种用户与多终端间的安全性管理装置,应用于终端,所述装置包括:
存储模块,用于用户与多个终端建立从属关系,多个终端存储安全性根密钥;
获取模块,用于在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;
处理模块,用于根据所述安全密钥输入参数进行安全密钥的推衍与网络进行数据传输。
本发明的实施例还提供一种网络侧设备,包括:收发机,处理器,存储器,所述存储器上存有所述处理器可执行的程序;所述处理器执行所述程序时实现:从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;根据所述安全密钥输入参数与终端进行数据传输。
本发明的实施例还提供一种用户与多终端间的安全性管理装置,应用于网络侧设备,所述装置包括:
处理模块,用于从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;
收发模块,用于根据所述安全密钥输入参数与终端进行数据传输。
本发明的实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有处理器可执行指令,所述处理器可执行指令用于使所述处理器执行如上所述的方法。
本发明实施例的有益效果是:
本发明的上述实施例,通过用户与多个终端建立从属关系,多个终端存储安全性根密钥;在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输。在用户终端的从属关系生效接入网络时,用户终端与网络侧安全密钥的输入参数通过网络节点进行传递,以保障用户终端与网络连接的安全性。
附图说明
图1是密钥体系的示意图;
图2是双连接的安全机制示意图;
图3是本发明的用户与多终端间的安全性管理方法流程示意图;
图4是本发明的实施例中核心网节点触发的多终端安全性管理流程示意图;
图5是本发明的实施例中接入网节点触发的多终端安全性管理流程示意图;
图6是本发明的实施例中核心网节点触发的多终端安全性管理流程示意图;
图7是本发明的实施例中接入网节点触发的多终端安全性管理流程示意图;
图8是本发明的实施例终端的架构示意图;
图9是本发明的实施例用户与多终端分离架构下的安全性管理装置的模块示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
如图3所示,本发明的实施例提供一种用户与多终端间的安全性管理方法,应用于终端,所述方法包括:
步骤31,用户与多个终端建立从属关系,多个终端存储安全性根密钥;
步骤32,在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;
步骤33,所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输。
本发明的该实施例,用户可与多个终端建立从属关系,并于终端侧存储用户安全性根密钥。在用户终端的从属关系生效接入网络时,用户终端与网络侧安全密钥的输入参数通过网络节点进行传递,以保障用户终端与网络连接的安全性。
本发明的一可选的实施例中,存储安全性根密钥,包括:
步骤311,获取用户的预设参数,所述预设参数包括:用户与网络侧签约的标识和/或用户与核心网侧签约的第一密钥;
步骤312,根据所述预设参数,存储所述安全性根密钥。
可选的,步骤312可以包括:
方式一:所述多个终端与用户建立从属关系的过程中,根据用户与网络侧签约的第一密钥生成安全性根密钥并存储;或者,所述多个终端直接从所述用户接收所述第一密钥,并将所述第一密钥作为安全性根密钥进行存储。
方式二:在用户与多个终端建立从属关系的过程中,根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值,生成安全性根密钥并存储;或者,在用户与多个终端建立从属关系的过程中,用户根据终端计数值,更新用户与网络侧签约的第一密钥,各终端获取与其对应的更新后的第一密钥,作为该终端的安全性根密钥并存储。
这里,用户可与多个终端建立从属关系,即用户在与终端建立从属关系时将特有参数信息传递给终端,如用户签约标识以及用户与核心网侧签约的长期安全性根密钥,并于终端侧进行存储,以确定该终端从属于用户,为其提供服务。
用户与多个终端建立从属关系后,终端侧存储的安全性根密钥形式,采用以下方式之一:
用户具有与核心网侧签约的长期安全性根密钥,在与终端建立从属关系后,将由长期密钥自生成安全性密钥,如加密与完整性根密钥,所有从属于用户的终端具有相同根密钥,并存储于终端内部。或,用户直接将相同的用户长期根密钥传递并存储于从属终端内部。
用户具有的长期安全性根密钥根据UE COUNT值进行从属终端安全性密钥的自生成,如加密与完整性根密钥,根据终端建立从属关系的先后顺序于终端侧存储不同的安全性根密钥。或,用户根据UE COUNT值更新用户与网络侧签约的长期安全性根密钥,不同的终端存储与UE COUNT值相对应的安全性长期根密钥。
在首个终端与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,根据根密钥等参数进行接入网与核心网的安全密钥参数推衍,保证用户面与控制面的安全性传输。
本发明的一可选的实施例中,基于上述方式一,步骤32可以包括:
步骤321,在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
步骤322,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
可选的,由核心网节点触发参数传递:步骤322可以包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,核心网确定所述第二终端从属于第一终端的用户后,所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,以及由核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
基于核心网节点触发参数传递的方式,可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述接入网节点发送的所述接入网节点的安全密钥输入参数。
也就是说,由核心网节点触发方式中,核心网节点:当第二终端2(与用户建立从属关系的非首个终端)接入网络后,核心网确定其从属于第一终端(与用户建立从属关系的首个终端)的用户后,将第一终端的核心网及接入网根密钥计算参数、NAS层的密钥推衍集合(如算法类型、算法标识符)发送给该用户的第二终端,以进行NAS层安全参数的推衍。并通知接入网节点将AS层的密钥推衍集合发送给第二终端,以进行AS层参数的推衍。
接入网节点:若第一终端(与用户建立从属关系的首个终端)和第二终端(与用户建立从属关系的非首个终端)接入同一接入网节点,则直接由该接入节点进行AS密钥参数推衍集合的传递;若第一终端和第二终端接入不同接入网节点,则由第一终端的第一接入节点将推衍的接入节点密钥参数(如推衍密钥、计数器参数等)通过接口发送给第二终端的第二接入节点,并将计数器参数发送给核心网侧,再由核心网侧转发给第二终端,进行其接入网节点密钥推算,确保第二终端与其接入节点的数据传输安全。
用户从属第二终端:在接收到NAS和AS层密钥参数推衍集合后,进行相关密钥参数的推算,并激活NAS层和AS层的安全过程,以保障信令及用户数据传输的安全性。
本发明的一可选的实施例中,基于上述方式一,接入网节点触发参数传递的情况:步骤322可以包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,所述第二终端接收所述接入网节点发送的接入AS层安全密钥输入参数以及接收所述核心网发送的安全输入参数。
也就是说,由接入网节点触发的情况下:
接入网节点:第二终端(与用户建立从属关系的非首个终端)接入网络后,若第一终端(与用户建立从属关系的首个终端)与第二终端接入同一接入网节点,则该接入网节点确定两终端从属于同一用户,向第二终端发送AS层的密钥推衍集合,并上报核心网两终端关系,触发密钥参数的传递。
核心网节点:由核心网向第二终端(与用户建立从属关系的非首个终端)发送第一终端(与用户建立从属关系的首个终端)的核心网及接入网根密钥计算参数及NAS层的密钥推衍集合。
用户从属第二终端:第二终端进行相关密钥参数的推衍以及安全过程的激活,以确保第二终端与网络的数据传输安全性。
若两终端接入不同的接入节点,则由接入网节点将终端信息发送给核心网节点,由核心网侧触发不同接入节点下的安全密钥参数传递过程。
本发明的一可选的实施例中,基于上述方式二,步骤32可以包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
基于上述方式二,由核心网节点触发参数传递的方式,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网通知第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及接入网节点AS层的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
也就是说,由核心网触发的情况下,在第二当终端(与用户建立从属关系的非首个终端)接入网络后,向核心网侧上报其对应的UE COUNT值,核心网在确定其从属于第一终端(与用户建立从属关系的首个终端)的用户后,根据所存储的第一终端的核心网密钥根据UECOUNT值进行第二终端的密钥更新,并将第一终端的核心网及接入网根密钥计算参数、NAS层的密钥推衍集合发送给第二终端,以进行NAS层安全参数的推衍。并通知接入网节点根据UE COUNT值将AS层的密钥进行更新,将推衍集合发送给第二终端,以进行AS层参数的推衍。针对相同或不同的终端节点,采用同方式一相同方法。
本发明的一可选的实施例中,基于上述方式二,由接入网节点触发:所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,第二终端向网络侧上报第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,所述核心网通过所述第一终端与所述第二终端的关系,根据第二终端计数值进行NAS或者AS根密钥参数的推算更新,第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
也就是说,由接入网节点触发的情况下:第二终端接入网络后,与方式一不同的是,首先第二终端向网络侧上报第二终端所对应的UE COUNT参数,网络侧节点根据UECOUNT值进行对应密钥参数的更新,再进行第二终端密钥推衍集合的传递。
本发明的一可选的实施例中,步骤33可以包括:
所述第二终端根据所述安全密钥输入参数,激活非接入NAS层以及接入层的安全性,与网络进行数据传输。
可选的,当用户与多个终端的从属关系结束时,多个终端删除所存储的第二密钥。当用户与终端的从属关系结束时,终端侧删除所存储的用户相关参数信息。
下面结合具体的实例,说明上述方法的具体实现过程:
实施例一:基于上述方式一的情况下,核心网节点触发的多终端安全性管理,与用户建立从属关系的两个终端分别接入不同的接入节点:
如图4所示,该流程包括:
步骤0:终端1(与用户建立从属关系的首个终端)与终端2(与用户建立从属关系的非首个终端)建立与用户的从属关系,获取相同的用户特有参数信息,如用户签约标识等用户特有标识及与网络侧相对应的安全性密钥等。
所获取的安全性密钥参数如下:
用户直接将其长期安全性根密钥存储于从属终端内部;
或,由用户长期安全性根密钥自生成加密与完整性保护根密钥,存储于终端内部,且各终端的安全性密钥相同。
步骤1:首个与用户建立从属关系的终端1接入网络(接入节点1和核心网),完成用户的注册及认证流程,并建立与网络侧的密钥体系。
步骤2:当用户激活从属终端2(例如,与用户第二个建立从属关系的终端)后,通过接入节点2接入网络,核心网侧根据终端2所携带的用户特有标识确定其所从属的用户,并识别用户的所有从属终端。
步骤3:核心网将终端1所对应的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识符等)发送给终端2,使终端进行NAS层密钥参数的推衍。
步骤4:激活终端2与核心网侧的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤5:由核心网侧触发接入节点1进行接入网密钥集合的传递,触发消息中包括终端2的接入节点信息及相关参数信息。
步骤6:接入节点1根据终端1的接入节点根密钥进行接入节点2的密钥推衍,将推衍密钥发送给接入节点2,并于向核心网反馈的消息中,将终端2的接入节点的密钥推衍集合发送给核心网侧。
步骤7:核心网将终端2的接入节点密钥推衍集合(如算法类型、算法标识等)转发给终端2。
步骤8:终端2利用密钥推衍集合参数信息推衍接入节点的相关密钥参数信息,并激活与接入节点2的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤9:在完成用户从属终端2的接入网与核心网的安全激活流程后,终端可与网络侧安全地进行数据信息传递。
实施例2:核心网节点触发的多终端安全性管理(方式1),与用户建立从属关系的两个终端分别接入相同的接入节点的实现方式中,与上述实施例1的区别在于,将接入节点1和接入节点2合并为一个接入接点,步骤6中:接入节点根据终端1的接入节点根密钥进行接入节点的密钥推衍,将推衍密钥向核心网反馈。
实施例3:基于上述方式一的情况下,接入网节点触发的多终端安全性管理(两终端同一接入节点):
如图5所示,该流程包括:
步骤0:终端1与终端2建立与用户的从属关系,获取相同的用户特有参数信息,如用户签约标识等用户特有标识及与网络侧相对应的安全性密钥等。所获取的安全性密钥参数如下:
用户直接将其长期安全性根密钥存储于从属终端内部;
或,由用户长期密钥自生成的加密与完整性保护根密钥,存储于终端内部,且各终端的安全性密钥相同。
步骤1:用户的首个从属终端1接入网络(接入节点和核心网),完成用户的注册及认证流程,并建立与网络侧的密钥体系。
步骤2:当用户激活从属终端2后,通过接入节点接入网络,接入网节点根据终端2所携带的用户标识确定其所从属的用户,并识别用户的所有从属终端。
步骤3:接入节点向核心网侧上报用户从属终端1与终端2的关系,并指示进行终端2的NAS/AS密钥参数的传递。
步骤4:核心网将终端1的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识等)转发给终端2。
步骤5:终端2利用核心网及接入网根密钥计算参数推衍其核心网和接入网的根密钥参数,再利用密钥推衍集合参数信息推衍与核心网节点的相关密钥参数,并激活核心网侧的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤6:终端1与终端2从属于同一接入节点,则直接由接入节点将终端1相关联的AS密钥推衍集合(如算法类型、算法标识等)发送给终端2。
步骤7:终端2利用密钥推衍集合参数信息推衍与接入网节点的相关密钥参数信息,并激活终端2与接入网侧的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤8:在完成用户从属终端2的接入网与核心网的安全激活流程后,终端可与网络侧安全地进行数据信息传递。
实施例4:接入网节点触发的多终端安全性管理(方式1,若两终端接入不同的接入节点),由接入网节点将终端信息发送给核心网节点,由核心网侧触发不同接入节点下的安全密钥参数传递过程,可参考实施例1中相对应过程。
实施例5:基于上述方式二的情况下,核心网节点触发的多终端安全性管理(两终端接入不同的接入节点):
如图6所示,该流程包括:
步骤0:终端1与终端2建立与用户的从属关系,获取用户特有参数信息,如用户签约标识等用户特定标识及与网络侧相对应的安全性密钥等。所获取的安全性密钥参数如下:
用户根据其长期密钥利用UE COUNT值进行从属终端安全性根密钥的更新,并存储于终端内部。其中用户第一个从属终端所对应的UE COUNT=0,具有与用户相同的长期密钥,之后与用户建立从属关系的终端的UE COUNT值递增;
或,由用户长期密钥利用UE COUNT值自生成加密与完整性根密钥,存储于终端内部,且各终端的安全性密钥参数不同。
步骤1:用户的首个从属终端1接入网络(接入节点1和核心网),完成用户的注册及认证流程,并建立与网络侧的密钥体系。
步骤2:当用户激活从属终端2后,通过接入节点接入网络,核心网节点根据终端2所携带的用户标识确定其所从属的用户,并识别用户的所有从属终端。
步骤3:核心网侧通过用户从属终端1与终端2的关系,根据UE COUNT值及网络侧的用户长期密钥进行终端2的NAS根密钥参数的更新。
步骤4:核心网将终端2所对应的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识符等)发送给终端2,使终端进行NAS层密钥参数的推衍。
步骤5:激活终端2与核心网侧的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤6:由核心网侧触发接入节点1进行接入网密钥集合的传递,触发消息中包括终端2的接入节点信息及相关参数信息。
步骤7:接入节点1根据终端1的接入节点根密钥及UE COUNT值进行接入节点2的密钥推衍,将推衍密钥发送给接入节点2,并于向核心网反馈的消息中将终端2接入节点的密钥推衍集合发送给核心网侧。
步骤8:核心网将终端2的接入节点密钥推衍集合(如算法类型、算法标识等)转发给终端2。
步骤9:终端2利用密钥推衍集合参数信息推衍接入节点的相关密钥参数信息,并激活与接入节点2的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤10:在完成用户从属终端2的接入网与核心网的安全激活流程后,终端可与网络侧安全地进行数据信息传递。
实施例6:核心网节点触发的多终端安全性管理(方式2,两终端接入相同的接入节点),与上述实施例5的区别在于,将接入节点1和接入节点2合并为一个接入接点,步骤7中:接入节点根据终端1的接入节点根密钥进行接入节点的密钥推衍,将推衍密钥向核心网反馈。步骤8中,核心网将接入节点密钥推衍集合(如算法类型、算法标识等)转发给终端2。
实施例7:基于上述方式二的情况下,接入网节点触发的多终端安全性管理(两终端同一接入节点)
如图7所示,该流程包括:
步骤0:终端1与终端2建立与用户的从属关系,获取用户特有参数信息,如用户签约标识等用户特定标识及与网络侧相对应的安全性密钥等。所获取的安全性密钥参数如下:
用户根据其长期密钥利用UE COUNT值进行从属终端安全性根密钥的更新,并存储于终端内部。其中用户第一个从属终端所对应的UE COUNT=0,具有与用户相同的长期密钥,之后与用户建立从属关系的终端的UE COUNT值递增;
或,由用户长期密钥利用UE COUNT值自生成加密与完整性保护的根密钥,存储于终端内部,且各终端的安全性密钥参数不同。
步骤1:用户的首个从属终端1接入网络(接入节点和核心网),完成用户的注册及认证流程,并建立与网络侧的密钥体系。
步骤2:当用户激活从属终端2后,通过接入节点接入网络,接入网节点根据终端2所携带的用户标识确定其所从属的用户,并识别用户的所有从属终端。
步骤3:接入节点根据终端2的UE COUNT值进行接入节点密钥参数的更新。
步骤4:接入节点向核心网侧上报用户从属终端1与终端2的关系,并指示进行终端2的NAS密钥参数的更新与传递。
步骤5:核心网侧通过用户从属终端1与终端2的关系,根据UE COUNT值及终端1的长期密钥进行终端2的NAS/AS根密钥参数的推算更新。
步骤6:核心网将终端1的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识等)发送给终端2。
步骤7:终端2利用核心网及接入网根密钥计算参数更新接入网与核心网的根密钥,再根据密钥推衍集合参数信息推衍与核心网节点的相关密钥参数信息,并激活核心网侧的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤8:终端1与终端2从属于同一接入节点,则直接由接入节点将根据UE COUNT值更新后AS密钥推衍集合(如算法类型、算法标识等)发送给终端2。
步骤9:终端2利用密钥推衍集合参数信息推衍与接入网节点的相关密钥参数信息,并激活接入网侧的安全性,包括信令及用户数据的加密与完整性保护的安全过程。
步骤10:在完成用户从属终端2的接入网与核心网的安全激活流程后,终端可与网络侧安全地进行数据信息传递。
实施例8:若两终端接入不同的接入节点,则由接入网节点将终端信息发送给核心网节点,由核心网侧触发不同接入节点下的安全密钥参数更新与传递过程,可参考实施例5中相对应过程。
通过本发明的上述实施例,可以实现用户多终端场景下,用户在移动过程中激活并使用不同终端时,仍可以保证用户信令及业务数据传输的安全性。
如图8所示,本发明的实施例还提供一种终端80,包括:收发机81,处理器82,存储器83,所述存储器83上存有所述处理器82可执行的程序;所述处理器82执行所述程序时实现:用户与多个终端建立从属关系,多个终端存储安全性根密钥;在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输。
可选的,存储安全性根密钥,包括:
获取用户的预设参数,所述预设参数包括:用户与网络侧签约的标识和/或用户与核心网侧相对应网络侧签约的第一安全性根密钥;
根据所述预设参数,存储所述安全性根密钥。
可选的,根据所述预设参数,存储安全性根密钥,包括:
所述多个终端与用户建立从属关系的过程中,根据用户与网络侧签约的第一密钥生成安全性根密钥并存储;
或者,
所述多个终端直接从所述用户接收所述第一密钥,并将所述第一密钥作为安全性根密钥进行存储。
可选的,在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
可选的,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,核心网确定所述第二终端从属于第一终端的用户后,所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述接入网节点发送的所述接入网节点的安全密钥输入参数。
可选的,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一个终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,所述第二终端接收所述接入网节点发送的接入AS层安全密钥输入参数以及接收所述核心网发送的安全输入参数。
可选的,根据所述预设参数,存储安全性根密钥,包括:
在用户与多个终端建立从属关系的过程中,根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值,生成安全性根密钥并存储;
或者,
在用户与多个终端建立从属关系的过程中,用户根据终端计数值,更新用户与网络侧签约的第一密钥,各终端获取与其对应的更新后的第一密钥,作为该终端的安全性根密钥并存储。
可选的,在所述多个终端中的至少一个目标终端接入网络时,获取所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
可选的,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网通知第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及接入网节点AS层的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
可选的,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,第二终端向网络侧上报第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,所述核心网通过所述第一终端与所述第二终端的关系,根据第二终端计数值及进行NAS或者AS根密钥参数的推算更新,第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
可选的,所述目标终端根据所述安全密钥输入参数与网络进行数据传输,包括:
所述第二终端根据所述安全密钥输入参数,激活非接入NAS层以及接入AS层的安全性,与网络进行数据传输。
可选的,当用户与多个终端的从属关系结束时,多个终端删除所存储的第二密钥。
需要说明的是,该实施例中的终端是与上述图3所示的方法对应的终端,上述各实施例中的实现方式均适用于该实施例中,也能达到相同的技术效果。该终端中,收发机81与存储器83,以及收发机81与处理器82均可以通过总线接口通讯连接,处理器82的功能也可以由收发机81实现,收发机81的功能也可以由处理器82实现。在此需要说明的是,本发明实施例提供的上述通信设备,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图9所示,本发明的实施例还提供一种用户与多终端间的安全性管理装置90,应用于终端,所述装置90包括:
存储模块91,用于用户与多个终端建立从属关系,多个终端存储安全性根密钥;
获取模块92,用于在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;
处理模块93,用于根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输。
获取用户的预设参数,所述预设参数包括:用户与网络侧签约的标识和/或用户与核心网侧相对应网络侧签约的第一安全性根密钥;
根据所述预设参数,存储所述安全性根密钥。
可选的,根据所述预设参数,存储安全性根密钥,包括:
所述多个终端与用户建立从属关系的过程中,根据用户与网络侧签约的第一密钥生成安全性根密钥并存储;
或者,
所述多个终端直接从所述用户接收所述第一密钥,并将所述第一密钥作为安全性根密钥进行存储。
可选的,在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
可选的,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,核心网确定所述第二终端从属于第一终端的用户后,所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述接入网节点发送的所述接入网节点的安全密钥输入参数。
可选的,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一个终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,所述第二终端接收所述接入网节点发送的接入AS层安全密钥输入参数以及接收所述核心网发送的安全输入参数。
可选的,根据所述预设参数,存储安全性根密钥,包括:
在用户与多个终端建立从属关系的过程中,根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值,生成安全性根密钥并存储;
或者,
在用户与多个终端建立从属关系的过程中,用户根据终端计数值,更新用户与网络侧签约的第一密钥,各终端获取与其对应的更新后的第一密钥,作为该终端的安全性根密钥并存储。
可选的,在所述多个终端中的至少一个目标终端接入网络时,获取所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
可选的,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网通知第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及接入网节点AS层的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
可选的,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,第二终端向网络侧上报第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,所述核心网通过所述第一终端与所述第二终端的关系,根据第二终端计数值及进行NAS或者AS根密钥参数的推算更新,第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
可选的,所述目标终端根据所述安全密钥输入参数与网络进行数据传输,包括:
所述第二终端根据所述安全密钥输入参数,激活非接入NAS层以及接入AS层的安全性,与网络进行数据传输。
可选的,当用户与多个终端的从属关系结束时,多个终端删除所存储的第二密钥。
需要说明的是,该实施例中的装置是与终端侧的方法对应的装置,上述各实施例中的实现方式均适用于该装置的实施例中,也能达到相同的技术效果。在此需要说明的是,本发明实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本发明的实施例还提供一种用户与多终端间的安全性管理方法,应用于网络侧,所述方法包括:
从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;
根据所述安全密钥输入参数与终端进行数据传输。
可选的,网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络时,根据所述第一终端的第一密钥推衍集合用户与终端的从属关系,触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
核心网确定所述第二终端从属于第一终端的用户后,向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,再由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合的第一终端的第一密钥推衍集合;以及
所述核心网触发接入网节点,进行接入AS层的安全密钥输入参数。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,接入网节点向所述第二终端发送接入AS层安全密钥输入参数;以及
所述核心网向所述第二终端发送所述第一终端的第一密钥推衍集合。
可选的,网络侧触发网络侧节点传递所述目标终端对应的接入节点网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合以及终端计数值,通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网的非接入NAS层的密钥输入参数和接入网节点的根密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,网络侧接收第二终端上报的第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;
所述接入网节点向所述第二终端发送安全密钥输入参数。
需要说明的是,该网络侧的方法是与上述终端侧的方法对应的流程,上述终端侧的方法的各实施例中的所有实现方式均适用于该网络侧的方法的实现流程中。
本发明的实施例还提供一种网络侧设备,包括:收发机,处理器,存储器,所述存储器上存有所述处理器可执行的程序;所述处理器执行所述程序时实现:从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;根据所述安全密钥输入参数与终端进行数据传输。
可选的,网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络时,根据所述第一终端的第一密钥推衍集合用户与终端的从属关系,触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
核心网确定所述第二终端从属于第一终端的用户后,向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合的第一终端的第一密钥推衍集合;以及
所述核心网触发接入网节点,进行接入AS层的安全密钥输入参数。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,接入网节点向所述第二终端发送接入AS层安全密钥输入参数;以及
所述核心网向所述第二终端发送所述第一终端的第一密钥推衍集合。
可选的,网络侧触发网络侧节点传递所述目标终端对应的接入节点网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合以及终端计数值,通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网的非接入NAS层的密钥输入参数和接入网节点的根密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,网络侧接收第二终端上报的第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;
所述接入网节点向所述第二终端发送安全密钥输入参数。
需要说明的是,该实施例中的网络设备是与上述网络侧的方法对应的网络设备,上述各实施例中的实现方式均适用于该实施例中,也能达到相同的技术效果。该网络设备中,收发机与存储器,以及收发机与处理器均可以通过总线接口通讯连接,处理器82的功能也可以由收发机实现,收发机的功能也可以由处理器实现。在此需要说明的是,本发明实施例提供的上述网络设备,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本发明的实施例还提供一种用户与多终端间的安全性管理装置,应用于网络侧设备,所述装置包括:
处理模块,用于从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数;
收发模块,用于根据所述安全密钥输入参数与终端进行数据传输。
可选的,网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络时,根据所述第一终端的第一密钥推衍集合用户与终端的从属关系,触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
核心网确定所述第二终端从属于第一终端的用户后,向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,再由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合的第一终端的第一密钥推衍集合;以及
所述核心网触发接入网节点,进行接入AS层的安全密钥输入参数。
可选的,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,接入网节点向所述第二终端发送接入AS层安全密钥输入参数;以及
所述核心网向所述第二终端发送所述第一终端的第一密钥推衍集合。
可选的,网络侧触发网络侧节点传递所述目标终端对应的接入节点网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合以及终端计数值,通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网的非接入NAS层的密钥输入参数和接入网节点的根密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
可选的,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,网络侧接收第二终端上报的第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;
所述接入网节点向所述第二终端发送安全密钥输入参数。
需要说明的是,该实施例中的装置是与网络侧的方法对应的装置,上述各实施例中的实现方式均适用于该装置的实施例中,也能达到相同的技术效果。在此需要说明的是,本发明实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本发明的实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有处理器可执行指令,所述处理器可执行指令用于使所述处理器执行如上所述的终端侧的方法或者网络侧的方法。上述方法实施例中的所有实现方式均适用于该实施例中,也能达到相同的技术效果。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本发明的保护范围内。
Claims (28)
1.一种用户与多终端间的安全性管理方法,其特征在于,应用于终端,所述方法包括:
用户与多个终端建立从属关系,多个终端存储安全性根密钥;
在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;
所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输;
所述在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
2.根据权利要求1所述的用户与多终端间的安全性管理方法,其特征在于,存储安全性根密钥,包括:
获取用户的预设参数,所述预设参数包括:用户与网络侧签约的标识和/或用户与网络侧签约的第一密钥;
根据所述预设参数,存储所述安全性根密钥。
3.根据权利要求2所述的用户与多终端间的安全性管理方法,其特征在于,根据所述预设参数,存储安全性根密钥,包括:
所述多个终端与用户建立从属关系的过程中,根据用户与网络侧签约的第一密钥生成安全性根密钥并存储;
或者,
所述多个终端直接从所述用户接收所述第一密钥,并将所述第一密钥作为安全性根密钥进行存储。
4.根据权利要求1所述的用户与多终端间的安全性管理方法,其特征在于,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,核心网确定所述第二终端从属于第一终端的用户后,所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数,以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
5.根据权利要求4所述的用户与多终端间的安全性管理方法,其特征在于,
若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述接入网节点发送的所述接入网节点的安全密钥输入参数。
6.根据权利要求1所述的用户与多终端间的安全性管理方法,其特征在于,在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,若所述第一终端与所述第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,所述第二终端接收所述接入网节点发送的接入AS层安全密钥输入参数以及接收所述核心网发送的安全输入参数。
7.根据权利要求2所述的用户与多终端间的安全性管理方法,其特征在于,根据所述预设参数,存储安全性根密钥,包括:
在用户与多个终端建立从属关系的过程中,根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值,生成安全性根密钥并存储;
或者,
在用户与多个终端建立从属关系的过程中,用户根据终端计数值,更新用户与网络侧签约的第一密钥,各终端获取与其对应的更新后的第一密钥,作为该终端的安全性根密钥并存储。
8.根据权利要求7所述的用户与多终端间的安全性管理方法,其特征在于,在所述多个终端中的至少一个目标终端接入网络时,获取所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
9.根据权利要求8所述的用户与多终端间的安全性管理方法,其特征在于,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网和接入网节点的根密钥推衍参数以及非接入NAS层的密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
10.根据权利要求9所述的用户与多终端间的安全性管理方法,其特征在于,
若所述第一终端接入第一接入网节点,所述第二终端接入第二接入网节点,所述第一接入网节点和所述第二接入网节点是不同的网络节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网通知第一接入网节点向所述第二接入网节点发送安全密钥输入参数,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及接入网节点AS层的安全密钥输入参数;
若所述第一终端和所述第二终端接入相同的接入网节点,所述核心网根据所述第二终端的计数值更新根密钥,并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数,核心网触发所述接入网节点进行安全密钥输入参数的传递,所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
11.根据权利要求8所述的用户与多终端间的安全性管理方法,其特征在于,所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,第二终端向网络侧上报第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,所述核心网通过所述第一终端与所述第二终端的关系,根据第二终端计数值进行NAS或者AS根密钥参数的推算更新,第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
12.根据权利要求5至11任一项所述的用户与多终端间的安全性管理方法,其特征在于,所述目标终端根据所述安全密钥输入参数与网络进行数据传输,包括:
所述第二终端根据所述安全密钥输入参数,激活非接入NAS层以及接入AS层的安全性,与网络进行数据传输。
13.根据权利要求5至11任一项所述的用户与多终端间的安全性管理方法,其特征在于,
当用户与多个终端的从属关系结束时,多个终端删除所存储的第二密钥。
14.一种用户与多终端间的安全性管理方法,其特征在于,应用于网络侧,所述方法包括:
从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;
根据所述安全密钥输入参数与终端进行数据传输;
所述网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络时,根据用户与终端的从属关系,触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
15.根据权利要求14所述的用户与多终端间的安全性管理方法,其特征在于,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
核心网确定第二终端从属于第一终端的用户后,向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的推衍参数,再由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
16.根据权利要求14所述的用户与多终端间的安全性管理方法,其特征在于,根据所述第一终端的第一密钥推衍集合,触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数,包括:
若所述第一终端与第二终端接入同一接入网节点,则该接入网节点确定所述第一终端和所述第二终端从属于同一用户,并上报核心网,所述核心网触发非接入NAS层密钥及接入网节点根密钥输入参数的传递,接入网节点向所述第二终端发送接入AS层安全密钥输入参数。
17.根据权利要求14所述的用户与多终端间的安全性管理方法,其特征在于,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数输入参数。
18.根据权利要求17所述的用户与多终端间的安全性管理方法,其特征在于,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
核心网在确定第二终端从属于第一终端的用户后,根据第二终端的终端计数值更新根密钥,并向第二终端发送核心网的非接入NAS层的密钥输入参数和接入网节点的根密钥输入参数,核心网触发接入网节点进行AS层密钥输入参数的传递。
19.根据权利要求17所述的用户与多终端间的安全性管理方法,其特征在于,网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数,包括:
在非首个与所述用户建立从属关系的第二终端接入网络后,网络侧接收第二终端上报的第二终端所对应的终端计数值,接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新;
所述接入网节点向所述第二终端发送安全密钥输入参数。
20.一种终端,其特征在于,包括:收发机,处理器,存储器,所述存储器上存有所述处理器可执行的程序;所述处理器执行所述程序时实现:用户与多个终端建立从属关系,多个终端存储安全性根密钥;在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍,与网络进行数据传输;
所述在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
21.根据权利要求20所述的终端,其特征在于,存储安全性根密钥,包括:
获取用户的预设参数,所述预设参数包括:用户与网络侧签约的标识和/或用户与网络侧签约的第一密钥;
根据所述预设参数,存储所述安全性根密钥。
22.根据权利要求21所述的终端,其特征在于,根据所述预设参数,存储安全性根密钥,包括:
所述多个终端与用户建立从属关系的过程中,根据用户与网络侧签约的第一密钥生成安全性根密钥并存储;
或者,
所述多个终端直接从所述用户接收所述第一密钥,并将所述第一密钥作为安全性根密钥进行存储。
23.根据权利要求21所述的终端,其特征在于,根据所述预设参数,存储安全性根密钥,包括:
在用户与多个终端建立从属关系的过程中,根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值,生成安全性根密钥并存储;
或者,
在用户与多个终端建立从属关系的过程中,用户根据终端计数值,更新用户与网络侧签约的第一密钥,各终端获取与其对应的更新后的第一密钥,作为该终端的安全性根密钥并存储。
24.根据权利要求23所述的终端,其特征在于,在所述多个终端中的至少一个目标终端接入网络时,获取所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,以及在非首个与所述用户建立从属关系的目标终端接入网络后,将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网,第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
25.一种用户与多终端间的安全性管理装置,其特征在于,应用于终端,所述装置包括:
存储模块,用于用户与多个终端建立从属关系,多个终端存储安全性根密钥;
获取模块,用于在所述多个终端中,至少一个目标终端接入网络时,获取所述目标终端对应的网络侧节点的安全密钥输入参数;
处理模块,用于根据所述安全密钥输入参数进行安全密钥的推衍与网络进行数据传输;
所述获取模块具体用于:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络后,根据所述第一终端的第一密钥推衍集合,通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
26.一种网络侧设备,其特征在于,包括:收发机,处理器,存储器,所述存储器上存有所述处理器可执行的程序;所述处理器执行所述程序时实现:从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;根据所述安全密钥输入参数与终端进行数据传输;
所述网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数,包括:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络时,根据用户与终端的从属关系,触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
27.一种用户与多终端间的安全性管理装置,其特征在于,应用于网络侧设备,所述装置包括:
处理模块,用于从属于同一用户的多个终端中的至少一个目标终端接入网络时,网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数;
收发模块,用于根据所述安全密钥输入参数与终端进行数据传输;
所述处理模块具体用于:
在所述多个终端中,首个与用户建立从属关系的第一终端,与用户的从属关系激活并接入网络后,进行初始认证及密钥协商流程,确定第一终端的第一密钥推衍集合;
在非首个与所述用户建立从属关系的目标终端接入网络时,根据用户与终端的从属关系,触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
28.一种处理器可读存储介质,其特征在于,所述处理器可读存储介质存储有处理器可执行指令,所述处理器可执行指令用于使所述处理器执行权利要求1至13任一项所述的方法或者执行权利要求14至19任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010709512.0A CN114051242B (zh) | 2020-07-22 | 2020-07-22 | 用户与多终端间的安全性管理方法、装置及设备 |
PCT/CN2021/104236 WO2022017158A1 (zh) | 2020-07-22 | 2021-07-02 | 用户与多终端间的安全性管理方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010709512.0A CN114051242B (zh) | 2020-07-22 | 2020-07-22 | 用户与多终端间的安全性管理方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114051242A CN114051242A (zh) | 2022-02-15 |
CN114051242B true CN114051242B (zh) | 2023-06-23 |
Family
ID=79729874
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010709512.0A Active CN114051242B (zh) | 2020-07-22 | 2020-07-22 | 用户与多终端间的安全性管理方法、装置及设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN114051242B (zh) |
WO (1) | WO2022017158A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114584328B (zh) * | 2022-05-09 | 2022-08-02 | 武汉四通信息服务有限公司 | Api接口的访问方法、计算机设备及计算机存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719825A (zh) * | 2009-04-30 | 2010-06-02 | 中兴通讯股份有限公司 | Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003049357A2 (en) * | 2001-12-07 | 2003-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful interception of end-to-end encrypted data traffic |
WO2018056957A1 (en) * | 2016-09-20 | 2018-03-29 | Nokia Solutions And Networks Oy | Next generation key set identifier |
CN109644340B (zh) * | 2017-01-30 | 2022-09-13 | 瑞典爱立信有限公司 | 空闲模式期间5g中的安全性上下文处理的方法和装置 |
CN116866905A (zh) * | 2017-09-27 | 2023-10-10 | 日本电气株式会社 | 通信终端和通信终端的方法 |
-
2020
- 2020-07-22 CN CN202010709512.0A patent/CN114051242B/zh active Active
-
2021
- 2021-07-02 WO PCT/CN2021/104236 patent/WO2022017158A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719825A (zh) * | 2009-04-30 | 2010-06-02 | 中兴通讯股份有限公司 | Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114051242A (zh) | 2022-02-15 |
WO2022017158A1 (zh) | 2022-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2676398B1 (en) | Wireless device, registration server and method for provisioning of wireless devices | |
CN105282732B (zh) | 用于更新配置文件管理服务器的方法和设备 | |
US9060270B2 (en) | Method and device for establishing a security mechanism for an air interface link | |
CN109716810A (zh) | 授权验证方法和装置 | |
US10952036B2 (en) | Method for regrouping multiple groups and device | |
WO2015029945A1 (ja) | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 | |
CN110809892B (zh) | 一种认证方法及终端、网络设备 | |
CN111465012B (zh) | 通信方法和相关产品 | |
CN102457844A (zh) | 一种m2m组认证中组密钥管理方法及系统 | |
CN105246022B (zh) | D2d业务的授权方法及装置、归属近距离通信服务器 | |
CN104244229A (zh) | 一种基于智能终端的虚拟号码网络鉴权处理系统与方法 | |
CN114051242B (zh) | 用户与多终端间的安全性管理方法、装置及设备 | |
CN108243631B (zh) | 一种接入网络的方法及设备 | |
KR20220144670A (ko) | 이동 통신 시스템에서 단말 간 연결을 통한 네트워크 접속 요청의 인증을 위한 방법 및 장치 | |
CN109673004B (zh) | 终端获取集群业务服务器地址的方法及设备 | |
CN109804706B (zh) | 用于建立移动终端到移动无线电通信网络的连接的方法和无线电接入网络组件 | |
CN115706663A (zh) | 更新方法、网络侧设备、终端和计算机可读存储介质 | |
KR102282532B1 (ko) | 링크 재설정 방법, 장치, 및 시스템 | |
CN106899954A (zh) | 无线通信系统接入方法、装置及终端 | |
CN101160784B (zh) | 一种密钥更新协商方法及装置 | |
US20170070867A1 (en) | Method and system for triggering terminal group | |
CN111866870B (zh) | 密钥的管理方法和装置 | |
CN105409288A (zh) | 一种共享网络的用户管理方法、相应的设备和系统 | |
KR20180040290A (ko) | 이동통신 네트워크 기능들을 연결하는 방법 및 장치 | |
CN112153580B (zh) | 设置mcptt群组的方法、设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |