WO2022017158A1

WO2022017158A1 - 用户与多终端间的安全性管理方法、装置及设备

Info

Publication number: WO2022017158A1
Application number: PCT/CN2021/104236
Authority: WO
Inventors: 王妍; 谌丽
Original assignee: 大唐移动通信设备有限公司
Priority date: 2020-07-22
Filing date: 2021-07-02
Publication date: 2022-01-27
Also published as: CN114051242A; CN114051242B

Abstract

本公开公开了一种用户与多终端间的安全性管理方法、装置及设备。方法包括：用户与多个终端建立从属关系，多个终端存储安全性根密钥；在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。

Description

用户与多终端间的安全性管理方法、装置及设备

相关申请的交叉引用

本申请主张在2020年7月22日在中国提交的中国专利申请号No.202010709512.0的优先权，其全部内容通过引用包含于此。

技术领域

本公开涉及通信技术领域，尤其涉及一种用户与多终端间的安全性管理方法、装置及设备。

背景技术

在无线通信蜂窝网中，为了保证网络安全，需要对信令和用户数据的传输进行加密和完整性保护。在单个用户终端与网络间节点派生相关密钥，共同进行通信过程的安全保障。

(1)密钥体系

用户终端与网络节点间的密钥如图1所示，包括由用户和网络侧签约的长期密钥推衍出终端与核心网节点的根密钥K _AMF，以及由终端和核心网节点从K _AMF推衍出的NAS信令密钥K _NASint，K _NASenc，用于NAS信令的加密与完整性保护；还包括接入网节点的相关密钥，如由K _AMF推衍的终端与接入节点间的密钥K _gNB，以及由终端和接入节点从K _gNB推衍出的AS信令和数据密钥K _RRCint，K _RRCenc，K _UPint，K _UPenc，用于终端和接入节点间的信令和数据传输的加密和完整性保护。

(2)双连接的安全机制

无线通信蜂窝网的双连接中，终端可连接至一个MN(Master Node，主节点)以及一个SN(Secondary Node，辅节点)。MN为MN和UE之间共享的给定AS安全上下文首次在SN与UE之间建立安全上下文时，MN为SN生成K _SN并通过Xn-C接口将其发送给SN。为了生成K _SN，MN将称为SN计数器的计数器与当前的AS安全上下文相关联。当需要生成新的K _SN时，MN通过RRC信令路径将SN计数器的值发送给UE。K _SN用于获取在UE和SN 之间使用的进一步的RRC和UP密钥。

如图2所示，为由MN发起的SN添加/修改流程的安全过程，MN通过Xn-C向SN发送SN添加/修改请求过程中，将MN根据SN计数器参数计算的KSN以及UE安全能力发送给SN。SN进行相关配置，并根据K _SN计算所需的RRC和UP密钥。MN在通过向UE发送RRC链接重配置请求，为其配置新的DRB和/或SRB，且包括SN计数器参数。UE将计算SN的KSN及相关DRB和/或SRB所需的RRC和UP密钥，UE将重配置完成发送给MN，并激活SN选择的加密和完整性保护密钥。在SN接收到MN发送的重配置完成后，激活UE所选择的加密和完整性保护。以上为UE与多个接入节点间的安全过程，仅针对单个终端的由MN到SN所需密钥的交互。

但在未来移动通信系统中，一个用户可在不同地点拥有多个终端设备，如公司、私家车、家里等地方可使用的多种类型终端设备，这些相互分离的终端设备在与用户建立从属关系后共同为一个用户提供服务。当用户移动时，可激活一个或多个终端设备以供使用。在这种单用户多终端的场景下，针对单个终端的安全性管理方法将不再适用于单用户多终端模式。

蜂窝网中的信息数据传输的安全性是以单个终端为目标的，未来通信系统中，一个用户可以有多个相互分离的从属终端，且多个终端相互关联，为一个用户提供服务，目前相关技术还不能支持单用户多终端场景下的数据传输安全性管理。

发明内容

本公开实施例提供了一种用户与多终端间的安全性管理方法、装置及设备。在用户终端的从属关系生效接入网络时，用户终端与网络侧安全密钥的输入参数通过网络节点进行传递，以保障用户终端与网络连接的安全性。

为解决上述技术问题，本公开的实施例提供如下技术方案：

一种用户与多终端间的安全性管理方法，应用于终端，所述方法包括：

用户与多个终端建立从属关系，多个终端存储安全性根密钥；

在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；

所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。

可选的，存储安全性根密钥，包括：

获取用户的预设参数，所述预设参数包括：用户与网络侧签约的标识和/或用户与网络侧签约的第一密钥；

根据所述预设参数，存储所述安全性根密钥。

可选的，根据所述预设参数，存储安全性根密钥，包括：

所述多个终端与用户建立从属关系的过程中，根据用户与网络侧签约的第一密钥生成安全性根密钥并存储；

或者，

所述多个终端直接从所述用户接收所述第一密钥，并将所述第一密钥作为安全性根密钥进行存储。

可选的，在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，进行初始认证及密钥协商流程，确定第一终端的第一密钥推衍集合；

在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。

可选的，在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，核心网确定所述第二终端从属于第一终端的用户后，所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数，以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。

可选的，若所述第一终端接入第一接入网节点，所述第二终端接入第二接入网节点，所述第一接入网节点和所述第二接入网节点是不同的网络节点，所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数，所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数；

若所述第一终端和所述第二终端接入相同的接入网节点，所述核心网触发所述接入网节点进行安全密钥输入参数的传递，所述第二终端接收所述接入网节点发送的所述接入网节点的安全密钥输入参数。

可选的，在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一个终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，若所述第一终端与所述第二终端接入同一接入网节点，则该接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，触发非接入NAS层密钥及接入网节点根密钥输入参数的传递，所述第二终端接收所述接入网节点发送的接入AS层安全密钥输入参数以及接收所述核心网发送的安全输入参数。

可选的，根据所述预设参数，存储安全性根密钥，包括：

在用户与多个终端建立从属关系的过程中，根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值，生成安全性根密钥并存储；

或者，

在用户与多个终端建立从属关系的过程中，用户根据终端计数值，更新用户与网络侧签约的第一密钥，各终端获取与其对应的更新后的第一密钥，作为该终端的安全性根密钥并存储。

可选的，在所述多个终端中的至少一个目标终端接入网络时，获取所述目标终端对应的接入节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，以及在非首个与所述用户建立从属关系的目标终端接入网络后，将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网，所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。

可选的，所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

核心网在确定第二终端从属于第一终端的用户后，根据第二终端的终端计数值更新根密钥，并向第二终端发送核心网和接入网节点的根密钥推衍参数以及非接入NAS层的密钥输入参数，核心网触发接入网节点进行AS层密钥输入参数的传递。

可选的，若所述第一终端接入第一接入网节点，所述第二终端接入第二接入网节点，所述第一接入网节点和所述第二接入网节点是不同的网络节点，所述核心网根据所述第二终端的计数值更新根密钥，并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数，核心网通知第一接入网节点向所述第二接入网节点发送安全密钥输入参数，所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及接入网节点AS层的安全密钥输入参数；

若所述第一终端和所述第二终端接入相同的接入网节点，所述核心网根据所述第二终端的计数值更新根密钥，并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数，核心网触发所述接入网节点进行安全密钥输入参数的传递，所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。

在非首个与所述用户建立从属关系的第二终端接入网络后，第二终端向网络侧上报第二终端所对应的终端计数值，接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新；接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，所述核心网通过所述第一终端与所述第二终端的关系，根据第二终端计数值及进行NAS或者AS根密钥参数的推算更新，第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。

可选的，所述目标终端根据所述安全密钥输入参数与网络进行数据传输，包括：

所述第二终端根据所述安全密钥输入参数，激活非接入NAS层以及接入AS层的安全性，与网络进行数据传输。

可选的，当用户与多个终端的从属关系结束时，多个终端删除所存储的第二密钥。

本公开的实施例还提供一种用户与多终端间的安全性管理方法，应用于网络侧，所述方法包括：

从属于同一用户的多个终端中的至少一个目标终端接入网络时，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数；

根据所述安全密钥输入参数与终端进行数据传输。

可选的，网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的目标终端接入网络时，根据用户与终端的从属关系，触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。

可选的，根据所述第一终端的第一密钥推衍集合，触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数，包括：

核心网确定所述第二终端从属于第一终端的用户后，向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的推衍参数，再由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。

若所述第一终端与所述第二终端接入同一接入网节点，则该接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，所述核心网触发非接入NAS层密钥及接入网节点根密钥输入参数的传递，接入网节点向所述第二终端发送接入AS层安全密钥输入参数。

可选的，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，以及在非首个与所述用户建立从属关系的目标终端接入网络后，将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网，网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。

可选的，网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

核心网在确定第二终端从属于第一终端的用户后，根据第二终端的终端计数值更新根密钥，并向第二终端发送核心网的非接入NAS层的密钥输入参数和接入网节点的根密钥输入参数，核心网触发接入网节点进行AS层密钥输入参数的传递。

在非首个与所述用户建立从属关系的第二终端接入网络后，网络侧接收第二终端上报的第二终端所对应的终端计数值，接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新；

所述接入网节点向所述第二终端发送安全密钥输入参数。

本公开的实施例还提供一种终端，包括：收发机，处理器，存储器，所述存储器上存有所述处理器可执行的程序；所述处理器执行所述程序时实现：用户与多个终端建立从属关系，多个终端存储安全性根密钥；在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。

可选的，存储安全性根密钥，包括：

根据所述预设参数，存储所述安全性根密钥。

可选的，根据所述预设参数，存储安全性根密钥，包括：

或者，

可选的，根据所述预设参数，存储安全性根密钥，包括：

或者，

本公开的实施例还提供一种用户与多终端间的安全性管理装置，应用于终端，所述装置包括：

存储模块，用于用户与多个终端建立从属关系，多个终端存储安全性根密钥；

获取模块，用于在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；

处理模块，用于根据所述安全密钥输入参数进行安全密钥的推衍与网络进行数据传输。

本公开的实施例还提供一种网络侧设备，包括：收发机，处理器，存储器，所述存储器上存有所述处理器可执行的程序；所述处理器执行所述程序时实现：从属于同一用户的多个终端中的至少一个目标终端接入网络时，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数；根据所述安全密钥输入参数与终端进行数据传输。

本公开的实施例还提供一种用户与多终端间的安全性管理装置，应用于网络侧设备，所述装置包括：

处理模块，用于从属于同一用户的多个终端中的至少一个目标终端接入网络时，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数；

收发模块，用于根据所述安全密钥输入参数与终端进行数据传输。

本公开的实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有处理器可执行指令，所述处理器可执行指令用于使所述处理器执行如上所述的方法。

本公开实施例的有益效果是：

本公开的上述实施例，通过用户与多个终端建立从属关系，多个终端存储安全性根密钥；在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。在用户终端的从属关系生效接入网络时，用户终端与网络侧安全密钥的输入参数通过网络节点进行传递，以保障用户终端与网络连接的安全性。

附图说明

图1是密钥体系的示意图；

图2是双连接的安全机制示意图；

图3是本公开的用户与多终端间的安全性管理方法流程示意图；

图4是本公开的实施例中核心网节点触发的多终端安全性管理流程示意图；

图5是本公开的实施例中接入网节点触发的多终端安全性管理流程示意图；

图6是本公开的实施例中核心网节点触发的多终端安全性管理流程示意图；

图7是本公开的实施例中接入网节点触发的多终端安全性管理流程示意图；

图8是本公开的实施例终端的架构示意图；

图9是本公开的实施例用户与多终端分离架构下的安全性管理装置的模块示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

如图3所示，本公开的实施例提供一种用户与多终端间的安全性管理方法，应用于终端，所述方法包括：

步骤31，用户与多个终端建立从属关系，多个终端存储安全性根密钥；

步骤32，在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；

步骤33，所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。

本公开的该实施例，用户可与多个终端建立从属关系，并于终端侧存储用户安全性根密钥。在用户终端的从属关系生效接入网络时，用户终端与网络侧安全密钥的输入参数通过网络节点进行传递，以保障用户终端与网络连接的安全性。

本公开的一可选的实施例中，存储安全性根密钥，包括：

步骤311，获取用户的预设参数，所述预设参数包括：用户与网络侧签约的标识和/或用户与核心网侧签约的第一密钥；

步骤312，根据所述预设参数，存储所述安全性根密钥。

可选的，步骤312可以包括：

方式一：所述多个终端与用户建立从属关系的过程中，根据用户与网络侧签约的第一密钥生成安全性根密钥并存储；或者，所述多个终端直接从所述用户接收所述第一密钥，并将所述第一密钥作为安全性根密钥进行存储。

方式二：在用户与多个终端建立从属关系的过程中，根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值，生成安全性根密钥并存储；或者，在用户与多个终端建立从属关系的过程中，用户根据终端计数值，更新用户与网络侧签约的第一密钥，各终端获取与其对应的更新后的第一密钥，作为该终端的安全性根密钥并存储。

这里，用户可与多个终端建立从属关系，即用户在与终端建立从属关系时将特有参数信息传递给终端，如用户签约标识以及用户与核心网侧签约的长期安全性根密钥，并于终端侧进行存储，以确定该终端从属于用户，为其提供服务。

用户与多个终端建立从属关系后，终端侧存储的安全性根密钥形式，采用以下方式之一：

用户具有与核心网侧签约的长期安全性根密钥，在与终端建立从属关系后，将由长期密钥自生成安全性密钥，如加密与完整性根密钥，所有从属于用户的终端具有相同根密钥，并存储于终端内部。或，用户直接将相同的用户长期根密钥传递并存储于从属终端内部。

用户具有的长期安全性根密钥根据UE COUNT值进行从属终端安全性密钥的自生成，如加密与完整性根密钥，根据终端建立从属关系的先后顺序于终端侧存储不同的安全性根密钥。或，用户根据UE COUNT值更新用户与网络侧签约的长期安全性根密钥，不同的终端存储与UE COUNT值相对应的安全性长期根密钥。

在首个终端与用户的从属关系激活并接入网络后，进行初始认证及密钥协商流程，根据根密钥等参数进行接入网与核心网的安全密钥参数推衍，保证用户面与控制面的安全性传输。

本公开的一可选的实施例中，基于上述方式一，步骤32可以包括：

步骤321，在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，进行初始认证及密钥协商流程，确定第一终端的第一密钥推衍集合；

步骤322，在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。

可选的，由核心网节点触发参数传递：步骤322可以包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，核心网确定所述第二终端从属于第一终端的用户后，所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数，以及由核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。

基于核心网节点触发参数传递的方式，可选的，若所述第一终端接入第一接入网节点，所述第二终端接入第二接入网节点，所述第一接入网节点和所述第二接入网节点是不同的网络节点，所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数，所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数；

也就是说，由核心网节点触发方式中，核心网节点：当第二终端2(与用户建立从属关系的非首个终端)接入网络后，核心网确定其从属于第一终端(与用户建立从属关系的首个终端)的用户后，将第一终端的核心网及接入网根密钥计算参数、NAS层的密钥推衍集合(如算法类型、算法标识符)发送给该用户的第二终端，以进行NAS层安全参数的推衍。并通知接入网节点将AS层的密钥推衍集合发送给第二终端，以进行AS层参数的推衍。

接入网节点：若第一终端(与用户建立从属关系的首个终端)和第二终端(与用户建立从属关系的非首个终端)接入同一接入网节点，则直接由该接入节点进行AS密钥参数推衍集合的传递；若第一终端和第二终端接入不同接入网节点，则由第一终端的第一接入节点将推衍的接入节点密钥参数(如推衍密钥、计数器参数等)通过接口发送给第二终端的第二接入节点，并将计数器参数发送给核心网侧，再由核心网侧转发给第二终端，进行其接入网节点密钥推算，确保第二终端与其接入节点的数据传输安全。

用户从属第二终端：在接收到NAS和AS层密钥参数推衍集合后，进行相关密钥参数的推算，并激活NAS层和AS层的安全过程，以保障信令及用户数据传输的安全性。

本公开的一可选的实施例中，基于上述方式一，接入网节点触发参数传递的情况：步骤322可以包括：

也就是说，由接入网节点触发的情况下：

接入网节点：第二终端(与用户建立从属关系的非首个终端)接入网络后，若第一终端(与用户建立从属关系的首个终端)与第二终端接入同一接入网节点，则该接入网节点确定两终端从属于同一用户，向第二终端发送AS层的密钥推衍集合，并上报核心网两终端关系，触发密钥参数的传递。

核心网节点：由核心网向第二终端(与用户建立从属关系的非首个终端)发送第一终端(与用户建立从属关系的首个终端)的核心网及接入网根密钥计算参数及NAS层的密钥推衍集合。

用户从属第二终端：第二终端进行相关密钥参数的推衍以及安全过程的激活，以确保第二终端与网络的数据传输安全性。

若两终端接入不同的接入节点，则由接入网节点将终端信息发送给核心网节点，由核心网侧触发不同接入节点下的安全密钥参数传递过程。

本公开的一可选的实施例中，基于上述方式二，步骤32可以包括：

基于上述方式二，由核心网节点触发参数传递的方式，所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

核心网在确定第二终端从属于第一终端的用户后，根据第二终端的终端计数值更新根密钥，并向第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数，核心网触发接入网节点进行AS层密钥输入参数的传递。

也就是说，由核心网触发的情况下，在第二当终端(与用户建立从属关系的非首个终端)接入网络后，向核心网侧上报其对应的UE COUNT值，核心网在确定其从属于第一终端(与用户建立从属关系的首个终端)的用户后，根据所存储的第一终端的核心网密钥根据UE COUNT值进行第二终端的密钥更新，并将第一终端的核心网及接入网根密钥计算参数、NAS层的密钥推衍集合发送给第二终端，以进行NAS层安全参数的推衍。并通知接入网节点根据UE COUNT值将AS层的密钥进行更新，将推衍集合发送给第二终端，以进行AS层参数的推衍。针对相同或不同的终端节点，采用同方式一相同方法。

本公开的一可选的实施例中，基于上述方式二，由接入网节点触发：所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，第二终端向网络侧上报第二终端所对应的终端计数值，接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新；接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，所述核心网通过所述第一终端与所述第二终端的关系，根据第二终端计数值进行NAS或者AS根密钥参数的推算更新，第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。

也就是说，由接入网节点触发的情况下：第二终端接入网络后，与方式一不同的是，首先第二终端向网络侧上报第二终端所对应的UE COUNT参数，网络侧节点根据UE COUNT值进行对应密钥参数的更新，再进行第二终端密钥推衍集合的传递。

本公开的一可选的实施例中，步骤33可以包括：

所述第二终端根据所述安全密钥输入参数，激活非接入NAS层以及接入层的安全性，与网络进行数据传输。

可选的，当用户与多个终端的从属关系结束时，多个终端删除所存储的第二密钥。当用户与终端的从属关系结束时，终端侧删除所存储的用户相关参数信息。

下面结合具体的实例，说明上述方法的具体实现过程：

实施例一：基于上述方式一的情况下，核心网节点触发的多终端安全性管理，与用户建立从属关系的两个终端分别接入不同的接入节点：

如图4所示，该流程包括：

步骤0：终端1(与用户建立从属关系的首个终端)与终端2(与用户建立从属关系的非首个终端)建立与用户的从属关系，获取相同的用户特有参数信息，如用户签约标识等用户特有标识及与网络侧相对应的安全性密钥等。

所获取的安全性密钥参数如下：

用户直接将其长期安全性根密钥存储于从属终端内部；

或，由用户长期安全性根密钥自生成加密与完整性保护根密钥，存储于终端内部，且各终端的安全性密钥相同。

步骤1：首个与用户建立从属关系的终端1接入网络(接入节点1和核心网)，完成用户的注册及认证流程，并建立与网络侧的密钥体系。

步骤2：当用户激活从属终端2(例如，与用户第二个建立从属关系的终端)后，通过接入节点2接入网络，核心网侧根据终端2所携带的用户特有标识确定其所从属的用户，并识别用户的所有从属终端。

步骤3：核心网将终端1所对应的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识符等)发送给终端2，使终端进行NAS层密钥参数的推衍。

步骤4：激活终端2与核心网侧的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

步骤5：由核心网侧触发接入节点1进行接入网密钥集合的传递，触发消息中包括终端2的接入节点信息及相关参数信息。

步骤6：接入节点1根据终端1的接入节点根密钥进行接入节点2的密钥推衍，将推衍密钥发送给接入节点2，并于向核心网反馈的消息中，将终端2的接入节点的密钥推衍集合发送给核心网侧。

步骤7：核心网将终端2的接入节点密钥推衍集合(如算法类型、算法标识等)转发给终端2。

步骤8：终端2利用密钥推衍集合参数信息推衍接入节点的相关密钥参数信息，并激活与接入节点2的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

步骤9：在完成用户从属终端2的接入网与核心网的安全激活流程后，终端可与网络侧安全地进行数据信息传递。

实施例2：核心网节点触发的多终端安全性管理(方式1)，与用户建立从属关系的两个终端分别接入相同的接入节点的实现方式中，与上述实施例1的区别在于，将接入节点1和接入节点2合并为一个接入接点，步骤6中：接入节点根据终端1的接入节点根密钥进行接入节点的密钥推衍，将推衍密钥向核心网反馈。

实施例3：基于上述方式一的情况下，接入网节点触发的多终端安全性管理(两终端同一接入节点)：

如图5所示，该流程包括：

步骤0：终端1与终端2建立与用户的从属关系，获取相同的用户特有参数信息，如用户签约标识等用户特有标识及与网络侧相对应的安全性密钥等。所获取的安全性密钥参数如下：

用户直接将其长期安全性根密钥存储于从属终端内部；

或，由用户长期密钥自生成的加密与完整性保护根密钥，存储于终端内部，且各终端的安全性密钥相同。

步骤1：用户的首个从属终端1接入网络(接入节点和核心网)，完成用户的注册及认证流程，并建立与网络侧的密钥体系。

步骤2：当用户激活从属终端2后，通过接入节点接入网络，接入网节点根据终端2所携带的用户标识确定其所从属的用户，并识别用户的所有从属终端。

步骤3：接入节点向核心网侧上报用户从属终端1与终端2的关系，并指示进行终端2的NAS/AS密钥参数的传递。

步骤4：核心网将终端1的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识等)转发给终端2。

步骤5：终端2利用核心网及接入网根密钥计算参数推衍其核心网和接入网的根密钥参数，再利用密钥推衍集合参数信息推衍与核心网节点的相关密钥参数，并激活核心网侧的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

步骤6：终端1与终端2从属于同一接入节点，则直接由接入节点将终端1相关联的AS密钥推衍集合(如算法类型、算法标识等)发送给终端2。

步骤7：终端2利用密钥推衍集合参数信息推衍与接入网节点的相关密钥参数信息，并激活终端2与接入网侧的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

步骤8：在完成用户从属终端2的接入网与核心网的安全激活流程后，终端可与网络侧安全地进行数据信息传递。

实施例4：接入网节点触发的多终端安全性管理(方式1，若两终端接入不同的接入节点)，由接入网节点将终端信息发送给核心网节点，由核心网侧触发不同接入节点下的安全密钥参数传递过程，可参考实施例1中相对应过程。

实施例5：基于上述方式二的情况下，核心网节点触发的多终端安全性管理(两终端接入不同的接入节点)：

如图6所示，该流程包括：

步骤0：终端1与终端2建立与用户的从属关系，获取用户特有参数信息，如用户签约标识等用户特定标识及与网络侧相对应的安全性密钥等。所获取的安全性密钥参数如下：

用户根据其长期密钥利用UE COUNT值进行从属终端安全性根密钥的更新，并存储于终端内部。其中用户第一个从属终端所对应的UE COUNT＝0，具有与用户相同的长期密钥，之后与用户建立从属关系的终端的UE COUNT值递增；

或，由用户长期密钥利用UE COUNT值自生成加密与完整性根密钥，存储于终端内部，且各终端的安全性密钥参数不同。

步骤1：用户的首个从属终端1接入网络(接入节点1和核心网)，完成用户的注册及认证流程，并建立与网络侧的密钥体系。

步骤2：当用户激活从属终端2后，通过接入节点接入网络，核心网节点根据终端2所携带的用户标识确定其所从属的用户，并识别用户的所有从属终端。

步骤3：核心网侧通过用户从属终端1与终端2的关系，根据UE COUNT值及网络侧的用户长期密钥进行终端2的NAS根密钥参数的更新。

步骤4：核心网将终端2所对应的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识符等)发送给终端2，使终端进行NAS层密钥参数的推衍。

步骤5：激活终端2与核心网侧的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

步骤6：由核心网侧触发接入节点1进行接入网密钥集合的传递，触发消息中包括终端2的接入节点信息及相关参数信息。

步骤7：接入节点1根据终端1的接入节点根密钥及UE COUNT值进行接入节点2的密钥推衍，将推衍密钥发送给接入节点2，并于向核心网反馈的消息中将终端2接入节点的密钥推衍集合发送给核心网侧。

步骤8：核心网将终端2的接入节点密钥推衍集合(如算法类型、算法标识等)转发给终端2。

步骤9：终端2利用密钥推衍集合参数信息推衍接入节点的相关密钥参数信息，并激活与接入节点2的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

步骤10：在完成用户从属终端2的接入网与核心网的安全激活流程后，终端可与网络侧安全地进行数据信息传递。

实施例6：核心网节点触发的多终端安全性管理(方式2，两终端接入相同的接入节点)，与上述实施例5的区别在于，将接入节点1和接入节点2合并为一个接入接点，步骤7中：接入节点根据终端1的接入节点根密钥进行接入节点的密钥推衍，将推衍密钥向核心网反馈。步骤8中，核心网将接入节点密钥推衍集合(如算法类型、算法标识等)转发给终端2。

实施例7：基于上述方式二的情况下，接入网节点触发的多终端安全性管理(两终端同一接入节点)

如图7所示，该流程包括：

或，由用户长期密钥利用UE COUNT值自生成加密与完整性保护的根密钥，存储于终端内部，且各终端的安全性密钥参数不同。

步骤3：接入节点根据终端2的UE COUNT值进行接入节点密钥参数的更新。

步骤4：接入节点向核心网侧上报用户从属终端1与终端2的关系，并指示进行终端2的NAS密钥参数的更新与传递。

步骤5：核心网侧通过用户从属终端1与终端2的关系，根据UE COUNT值及终端1的长期密钥进行终端2的NAS/AS根密钥参数的推算更新。

步骤6：核心网将终端1的核心网及接入网根密钥计算参数、NAS层密钥推衍集合(如算法类型、算法标识等)发送给终端2。

步骤7：终端2利用核心网及接入网根密钥计算参数更新接入网与核心网的根密钥，再根据密钥推衍集合参数信息推衍与核心网节点的相关密钥参数信息，并激活核心网侧的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

步骤8：终端1与终端2从属于同一接入节点，则直接由接入节点将根据UE COUNT值更新后AS密钥推衍集合(如算法类型、算法标识等)发送给终端2。

步骤9：终端2利用密钥推衍集合参数信息推衍与接入网节点的相关密钥参数信息，并激活接入网侧的安全性，包括信令及用户数据的加密与完整性保护的安全过程。

实施例8：若两终端接入不同的接入节点，则由接入网节点将终端信息发送给核心网节点，由核心网侧触发不同接入节点下的安全密钥参数更新与传递过程，可参考实施例5中相对应过程。

通过本公开的上述实施例，可以实现用户多终端场景下，用户在移动过程中激活并使用不同终端时，仍可以保证用户信令及业务数据传输的安全性。

如图8所示，本公开的实施例还提供一种终端80，包括：收发机81，处理器82，存储器83，所述存储器83上存有所述处理器82可执行的程序；所述处理器82执行所述程序时实现：用户与多个终端建立从属关系，多个终端存储安全性根密钥；在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。

可选的，存储安全性根密钥，包括：

获取用户的预设参数，所述预设参数包括：用户与网络侧签约的标识和/或用户与核心网侧相对应网络侧签约的第一安全性根密钥；

根据所述预设参数，存储所述安全性根密钥。

可选的，根据所述预设参数，存储安全性根密钥，包括：

或者，

可选的，根据所述预设参数，存储安全性根密钥，包括：

或者，

需要说明的是，该实施例中的终端是与上述图3所示的方法对应的终端，上述各实施例中的实现方式均适用于该实施例中，也能达到相同的技术效果。该终端中，收发机81与存储器83，以及收发机81与处理器82均可以通过总线接口通讯连接，处理器82的功能也可以由收发机81实现，收发机81的功能也可以由处理器82实现。在此需要说明的是，本公开实施例提供的上述通信设备，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

如图9所示，本公开的实施例还提供一种用户与多终端间的安全性管理装置90，应用于终端，所述装置90包括：

存储模块91，用于用户与多个终端建立从属关系，多个终端存储安全性根密钥；

获取模块92，用于在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；

处理模块93，用于根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。

根据所述预设参数，存储所述安全性根密钥。

可选的，根据所述预设参数，存储安全性根密钥，包括：

或者，

可选的，根据所述预设参数，存储安全性根密钥，包括：

或者，

需要说明的是，该实施例中的装置是与终端侧的方法对应的装置，上述各实施例中的实现方式均适用于该装置的实施例中，也能达到相同的技术效果。在此需要说明的是，本公开实施例提供的上述装置，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

根据所述安全密钥输入参数与终端进行数据传输。

在非首个与所述用户建立从属关系的目标终端接入网络时，根据所述第一终端的第一密钥推衍集合用户与终端的从属关系，触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。

核心网确定所述第二终端从属于第一终端的用户后，向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数，再由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合的第一终端的第一密钥推衍集合；以及

所述核心网触发接入网节点，进行接入AS层的安全密钥输入参数。

若所述第一终端与所述第二终端接入同一接入网节点，则该接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，触发非接入NAS层密钥及接入网节点根密钥输入参数的传递，接入网节点向所述第二终端发送接入AS层安全密钥输入参数；以及

所述核心网向所述第二终端发送所述第一终端的第一密钥推衍集合。

可选的，网络侧触发网络侧节点传递所述目标终端对应的接入节点网络侧节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，以及在非首个与所述用户建立从属关系的目标终端接入网络后，将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网，网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数进行初始认证及密钥协商流程，确定第一终端的第一密钥推衍集合；

在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一终端的第一密钥推衍集合以及终端计数值，通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数。

所述接入网节点向所述第二终端发送安全密钥输入参数。

需要说明的是，该网络侧的方法是与上述终端侧的方法对应的流程，上述终端侧的方法的各实施例中的所有实现方式均适用于该网络侧的方法的实现流程中。

核心网确定所述第二终端从属于第一终端的用户后，向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数，以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合的第一终端的第一密钥推衍集合；以及

所述接入网节点向所述第二终端发送安全密钥输入参数。

需要说明的是，该实施例中的网络设备是与上述网络侧的方法对应的网络设备，上述各实施例中的实现方式均适用于该实施例中，也能达到相同的技术效果。该网络设备中，收发机与存储器，以及收发机与处理器均可以通过总线接口通讯连接，处理器82的功能也可以由收发机实现，收发机的功能也可以由处理器实现。在此需要说明的是，本公开实施例提供的上述网络设备，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

处理模块，用于从属于同一用户的多个终端中的至少一个目标终端接入网络时，网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数；

所述接入网节点向所述第二终端发送安全密钥输入参数。

需要说明的是，该实施例中的装置是与网络侧的方法对应的装置，上述各实施例中的实现方式均适用于该装置的实施例中，也能达到相同的技术效果。在此需要说明的是，本公开实施例提供的上述装置，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

本公开的实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有处理器可执行指令，所述处理器可执行指令用于使所述处理器执行如上所述的终端侧的方法或者网络侧的方法。上述方法实施例中的所有实现方式均适用于该实施例中，也能达到相同的技术效果。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本公开所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

此外，需要指出的是，在本公开的装置和方法中，显然，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。并且，执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行，但是并不需要一定按照时间顺序执行，某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言，能够理解本公开的方法和装置的全部或者任何步骤或者部件，可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中，以硬件、固件、软件或者它们的组合加以实现，这是本领域普通技术人员在阅读了本公开的说明的情况下运用他们的基本编程技能就能实现的。

因此，本公开的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此，本公开的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说，这样的程序产品也构成本公开，并且存储有这样的程序产品的存储介质也构成本公开。显然，所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是，在本公开的装置和方法中，显然，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。并且，执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行，但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。

需要说明的是，应理解以上各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，确定模块可以为单独设立的处理元件，也可以集成在上述装置的某一个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上确定模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里所述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，各个模块、单元、子单元或子模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，ASIC)，或，一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(Central Processing Unit，CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现。

本公开的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开的实施例，例如除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外，说明书以及权利要求中使用“和/或”表示所连接对象的至少其中之一，例如A和/或B和/或C，表示包含单独A，单独B，单独C，以及A和B都存在，B和C都存在，A和C都存在，以及A、B和C都存在的7种情况。类似地，本说明书以及权利要求中使用“A和B中的至少一个”应理解为“单独A，单独B，或A和B都存在”。

以上所述的是本公开的可选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本公开所述的原理前提下还可以作出若干改进和润饰，这些改进和润饰也在本公开的保护范围内。

Claims

一种用户与多终端间的安全性管理方法，应用于终端，所述方法包括：

用户与多个终端建立从属关系，多个终端存储安全性根密钥；

在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；

所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。
根据权利要求1所述的用户与多终端间的安全性管理方法，其中，存储安全性根密钥，包括：

获取用户的预设参数，所述预设参数包括：用户与网络侧签约的标识和/或用户与网络侧签约的第一密钥；

根据所述预设参数，存储所述安全性根密钥。
根据权利要求2所述的用户与多终端间的安全性管理方法，其中，根据所述预设参数，存储安全性根密钥，包括：

所述多个终端与用户建立从属关系的过程中，根据用户与网络侧签约的第一密钥生成安全性根密钥并存储；

或者，

所述多个终端直接从所述用户接收所述第一密钥，并将所述第一密钥作为安全性根密钥进行存储。
根据权利要求3所述的用户与多终端间的安全性管理方法，其中，在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，进行初始认证及密钥协商流程，确定第一终端的第一密钥推衍集合；

在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
根据权利要求4所述的用户与多终端间的安全性管理方法，其中，在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，核心网确定所述第二终端从属于第一终端的用户后，所述第二终端接收核心网发送的非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的输入参数，以及由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
根据权利要求5所述的用户与多终端间的安全性管理方法，其中，

若所述第一终端接入第一接入网节点，所述第二终端接入第二接入网节点，所述第一接入网节点和所述第二接入网节点是不同的网络节点，所述核心网通知所述第一接入网节点向所述第二接入网节点发送安全密钥输入参数，所述第二终端接收所述第二接入网节点所发送的安全密钥输入参数；

若所述第一终端和所述第二终端接入相同的接入网节点，所述核心网触发所述接入网节点进行安全密钥输入参数的传递，所述第二终端接收所述接入网节点发送的所述接入网节点的安全密钥输入参数。
根据权利要求4所述的用户与多终端间的安全性管理方法，其中，在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一个终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，若所述第一终端与所述第二终端接入同一接入网节点，则该接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，触发非接入NAS层密钥及接入网节点根密钥输入参数的传递，所述第二终端接收所述接入网节点发送的接入AS层安全密钥输入参数以及接收所述核心网发送的安全输入参数。
根据权利要求2所述的用户与多终端间的安全性管理方法，其中，根据所述预设参数，存储安全性根密钥，包括：

在用户与多个终端建立从属关系的过程中，根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值，生成安全性根密钥并存储；

或者，

在用户与多个终端建立从属关系的过程中，用户根据终端计数值，更新用户与网络侧签约的第一密钥，各终端获取与其对应的更新后的第一密钥，作为该终端的安全性根密钥并存储。
根据权利要求8所述的用户与多终端间的安全性管理方法，其中，在所述多个终端中的至少一个目标终端接入网络时，获取所述目标终端对应的接入节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，以及在非首个与所述用户建立从属关系的目标终端接入网络后，将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网，所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
根据权利要求9所述的用户与多终端间的安全性管理方法，其中，所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

核心网在确定第二终端从属于第一终端的用户后，根据第二终端的终端计数值更新根密钥，并向第二终端发送核心网和接入网节点的根密钥推衍参数以及非接入NAS层的密钥输入参数，核心网触发接入网节点进行AS层密钥输入参数的传递。
根据权利要求10所述的用户与多终端间的安全性管理方法，其中，

若所述第一终端接入第一接入网节点，所述第二终端接入第二接入网节点，所述第一接入网节点和所述第二接入网节点是不同的网络节点，所述核心网根据所述第二终端的计数值更新根密钥，并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数，核心网通知第一接入网节点向所述第二接入网节点发送安全密钥输入参数，所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及接入网节点AS层的安全密钥输入参数；

若所述第一终端和所述第二终端接入相同的接入网节点，所述核心网根据所述第二终端的计数值更新根密钥，并向所述第二终端发送核心网和接入网节点的根密钥输入参数以及非接入NAS层的密钥输入参数，核心网触发所述接入网节点进行安全密钥输入参数的传递，所述第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
根据权利要求9所述的用户与多终端间的安全性管理方法，其中，所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，第二终端向网络侧上报第二终端所对应的终端计数值，接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新；接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，所述核心网通过所述第一终端与所述第二终端的关系，根据第二终端计数值进行NAS或者AS根密钥参数的推算更新，第二终端接收所述核心网发送的网络节点根密钥输入参数和非接入NAS层的安全密钥输入参数及所述接入网节点的安全密钥输入参数。
根据权利要求4至12任一项所述的用户与多终端间的安全性管理方法，其中，所述目标终端根据所述安全密钥输入参数与网络进行数据传输，包括：

所述第二终端根据所述安全密钥输入参数，激活非接入NAS层以及接入AS层的安全性，与网络进行数据传输。
根据权利要求4至12任一项所述的用户与多终端间的安全性管理方法，其中，

当用户与多个终端的从属关系结束时，多个终端删除所存储的第二密钥。
一种用户与多终端间的安全性管理方法，应用于网络侧，所述方法包括：

从属于同一用户的多个终端中的至少一个目标终端接入网络时，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数；

根据所述安全密钥输入参数与终端进行数据传输。
根据权利要求15所述的用户与多终端间的安全性管理方法，其中，网络侧触发网络侧节点传递所述目标终端对应的接入节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，进行初始认证及密钥协商流程，确定第一终端的第一密钥推衍集合；

在非首个与所述用户建立从属关系的目标终端接入网络时，根据用户与终端的从属关系，触发网络节点传递所述目标终端的对应的网络侧节点的安全密钥输入参数。
根据权利要求16所述的用户与多终端间的安全性管理方法，其中，根据所述第一终端的第一密钥推衍集合，触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数，包括：

核心网确定所述第二终端从属于第一终端的用户后，向第二终端发送非接入NAS层的安全密钥输入参数集合以及接入网节点根密钥的推衍参数，再由所述核心网通知接入网节点进行接入AS层的安全密钥输入参数集合。
根据权利要求16所述的用户与多终端间的安全性管理方法，其中，根据所述第一终端的第一密钥推衍集合，触发网络节点传递所述目标终端的对应的接入节点的安全密钥输入参数，包括：

若所述第一终端与所述第二终端接入同一接入网节点，则该接入网节点确定所述第一终端和所述第二终端从属于同一用户，并上报核心网，所述核心网触发非接入NAS层密钥及接入网节点根密钥输入参数的传递，接入网节点向所述第二终端发送接入AS层安全密钥输入参数。
根据权利要求15所述的用户与多终端间的安全性管理方法，其中，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，以及在非首个与所述用户建立从属关系的目标终端接入网络后，将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网，网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
根据权利要求19所述的用户与多终端间的安全性管理方法，其中，网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

核心网在确定第二终端从属于第一终端的用户后，根据第二终端的终端计数值更新根密钥，并向第二终端发送核心网的非接入NAS层的密钥输入参数和接入网节点的根密钥输入参数，核心网触发接入网节点进行AS层密钥输入参数的传递。
根据权利要求19所述的用户与多终端间的安全性管理方法，其中，网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数，包括：

在非首个与所述用户建立从属关系的第二终端接入网络后，网络侧接收第二终端上报的第二终端所对应的终端计数值，接入网节点根据第二终端的终端计数值进行对应密钥输入参数的更新；

所述接入网节点向所述第二终端发送安全密钥输入参数。
一种终端，包括：收发机，处理器，存储器，所述存储器上存有所述处理器可执行的程序；所述处理器执行所述程序时实现：用户与多个终端建立从属关系，多个终端存储安全性根密钥；在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；所述目标终端根据所述安全密钥输入参数进行安全密钥的推衍，与网络进行数据传输。
根据权利要求22所述的终端，其中，存储安全性根密钥，包括：

获取用户的预设参数，所述预设参数包括：用户与网络侧签约的标识和/或用户与网络侧签约的第一密钥；

根据所述预设参数，存储所述安全性根密钥。
根据权利要求23所述的终端，其中，根据所述预设参数，存储安全性根密钥，包括：

所述多个终端与用户建立从属关系的过程中，根据用户与网络侧签约的第一密钥生成安全性根密钥并存储；

或者，

所述多个终端直接从所述用户接收所述第一密钥，并将所述第一密钥作为安全性根密钥进行存储。
根据权利要求24所述的终端，其中，在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，进行初始认证及密钥协商流程，确定第一终端的第一密钥推衍集合；

在非首个与所述用户建立从属关系的目标终端接入网络后，根据所述第一终端的第一密钥推衍集合，通过网络节点触发网络节点传递所述目标终端的对应网络侧节点的安全密钥输入参数。
根据权利要求23所述的终端，其中，根据所述预设参数，存储安全性根密钥，包括：

在用户与多个终端建立从属关系的过程中，根据用户与网络侧签约的第一密钥以及终端与用户建立从属关系时的终端计数值，生成安全性根密钥并存储；

或者，

在用户与多个终端建立从属关系的过程中，用户根据终端计数值，更新用户与网络侧签约的第一密钥，各终端获取与其对应的更新后的第一密钥，作为该终端的安全性根密钥并存储。
根据权利要求26所述的终端，其中，在所述多个终端中的至少一个目标终端接入网络时，获取所述目标终端对应的接入节点的安全密钥输入参数，包括：

在所述多个终端中，首个与用户建立从属关系的第一终端，与用户的从属关系激活并接入网络后，以及在非首个与所述用户建立从属关系的目标终端接入网络后，将所述第一终端和所述目标终端的关系以及所述目标终端的计数值上报核心网，所述第二终端接收网络侧节点根据所述目标终端的计数值触发并传递的安全密钥输入参数。
一种用户与多终端间的安全性管理装置，应用于终端，所述装置包括：

存储模块，用于用户与多个终端建立从属关系，多个终端存储安全性根密钥；

获取模块，用于在所述多个终端中，至少一个目标终端接入网络时，获取所述目标终端对应的网络侧节点的安全密钥输入参数；

处理模块，用于根据所述安全密钥输入参数进行安全密钥的推衍与网络进行数据传输。
一种网络侧设备，包括：收发机，处理器，存储器，所述存储器上存有所述处理器可执行的程序；所述处理器执行所述程序时实现：从属于同一用户的多个终端中的至少一个目标终端接入网络时，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数；根据所述安全密钥输入参数与终端进行数据传输。
一种用户与多终端间的安全性管理装置，应用于网络侧设备，所述装置包括：

处理模块，用于从属于同一用户的多个终端中的至少一个目标终端接入网络时，网络侧触发网络侧节点传递所述目标终端对应的网络侧节点的安全密钥输入参数；

收发模块，用于根据所述安全密钥输入参数与终端进行数据传输。
一种处理器可读存储介质，所述处理器可读存储介质存储有处理器可执行指令，所述处理器可执行指令用于使所述处理器执行权利要求1至14任一项所述的方法或者执行权利要求15至21任一项所述的方法。