WO2022257876A1

WO2022257876A1 - 密钥材料的处理方法、获取方法、信息传输方法及设备

Info

Publication number: WO2022257876A1
Application number: PCT/CN2022/097117
Authority: WO
Inventors: 张奕忠; 谢振华
Original assignee: 维沃移动通信有限公司
Priority date: 2021-06-09
Filing date: 2022-06-06
Publication date: 2022-12-15
Also published as: US20240106643A1; EP4319230A1; CN115460579A

Abstract

本申请公开了一种密钥材料的处理方法、获取方法、信息传输方法及设备，属于通信技术领域，本申请实施例的密钥材料的处理方法包括：第二终端接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；根据所述第一关联关系，所述第二终端发送所述第一终端的密钥材料；所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

Description

密钥材料的处理方法、获取方法、信息传输方法及设备

相关申请的交叉引用

本申请主张在2021年06月09日在中国提交的中国专利申请No.202110642764.0的优先权，其全部内容通过引用包含于此。

技术领域

本申请属于通信技术领域，具体涉及一种密钥材料的处理方法、获取方法、信息传输方法及设备。

背景技术

随着物联网和智能家居的普及，一个家庭中可能存在多个智能家居。智能家居通过将家中的各种设备(如音视频设备、照明系统、窗帘控制、空调控制、安防系统等)连接到一起、互相通信，以此形成一个通信拓扑网络，提供家电控制、照明控制、电话远程控制、室内外遥控、防盗报警、环境监测、暖通控制等多种功能和手段。

为了利用5G网络服务，在智能家庭网络组网时，所有智能家庭中的设备都需要访问5G网络。然而，许多智能物联网设备只具有有限的功能(也可称为功能受限)，而如何为这些功能受限的智能物联网设备提供相关安全材料是亟待解决的问题。

发明内容

本申请实施例提供一种密钥材料的处理方法、获取方法、信息传输方法及设备，能够解决如何为功能受限的智能物联网设备提供相关安全材料的问题。

第一方面，提供了一种密钥材料的处理方法，包括：

第二终端接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；

根据所述第一关联关系，所述第二终端发送所述第一终端的密钥材料；

所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

第二方面，提供了一种密钥材料的获取方法，包括：

第一终端接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

第三方面，提供了一种信息传输方法，包括：

第三方功能或第一网络功能向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；

其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

第四方面，提供了一种密钥材料的处理装置，包括：

第一接收模块，用于接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；

第二发送模块，用于根据所述第一关联关系，发送所述第一终端的密钥材料；

第五方面，提供了一种密钥材料的获取装置，包括：

第二接收模块，用于接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

第六方面，提供了一种终端，该终端包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤，或实现如第二方面所述的方法的步骤。

第七方面，提供了一种终端，包括处理器及通信接口，其中，所述通信接口用于接收第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，所述处理器用于根据第一关联关系并通过所述通信接口发送所述第一终端的密钥材料；其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息；或者，所述通信接口用于接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

第八方面，提供了一种信息传输装置，包括：

第二发送模块，用于向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；

第九方面，提供了一种网络侧设备，该网络侧设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第三方面所述的方法的步骤。

第十方面，提供了一种网络侧设备，包括处理器及通信接口，其中，所述通信接口用于向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

第十一方面，提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤，或者实现如第三方面所述的方法的步骤。

第十二方面，提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如第一方面所述的方法，或实现如第二方面所述的方法，或实现如第三方面所述的方法。

第十三方面，提供了一种计算机程序/程序产品，所述计算机程序/程序产品被存储在非易失的存储介质中，所述程序/程序产品被至少一个处理器执行以实现如第一方面所述的方法的步骤，或实现如第二方面所述的方法的步骤，或实现如第三方面所述的方法的步骤。

在本申请实施例中，第二终端接收用于确定第一终端与第二终端存在的第一关联关系的第一信息，并根据第一关联关系发送所述第一终端的密钥材料；从而实现第一终端获取到第二终端为其确定的密钥材料，因此即使第一终端功能受限，也能够保证第一终端访问网络过程中的安全性，解决了如何生成组网授权/鉴权时家庭智能设备使用的相关密钥材料的问题。

附图说明

图1表示本申请实施例可应用的一种无线通信系统的框图；

图2表示本申请实施例提供的密钥材料的处理方法的步骤流程图；

图3表示本申请实施例提供的密钥材料的获取方法的步骤示意图；

图4表示本申请实施例提供的信息传输方法的步骤示意图；

图5表示本申请实施例提供的示例一的交互示意图；

图6表示本申请实施例提供的示例二的交互示意图；

图7表示本申请实施例提供的示例三的交互示意图；

图8表示本申请实施例提供的密钥材料的处理装置的结构示意图；

图9表示本申请实施例提供的密钥材料的获取装置的结构示意图；

图10表示本申请实施例提供的信息传输装置的结构示意图；

图11表示本申请实施例提供的通信设备的结构示意图；

图12表示本申请实施例提供的终端的结构示意图；

图13表示本申请实施例提供的网络侧设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”所区别的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”一般表示前后关联对象是一种“或”的关系。

值得指出的是，本申请实施例所描述的技术不限于长期演进型(Long Term Evolution，LTE)/LTE的演进(LTE-Advanced，LTE-A)系统，还可用于其他无线通信系统，诸如码分多址(Code Division Multiple Access，CDMA)、时分多址(Time Division Multiple Access，TDMA)、频分多址(Frequency Division Multiple Access，FDMA)、正交频分多址(Orthogonal Frequency Division Multiple Access，OFDMA)、单载波频分多址(Single-carrier Frequency-Division Multiple Access，SC-FDMA)和其他系统。本申请实施例中的术语“系统”和“网络”常被可互换地使用，所描述的技术既可用于以上提及的系统和无线电技术，也可用于其他系统和无线电技术。以下描述出于示例目的描述了新空口(New Radio，NR)系统，并且在以下大部分描述中使用NR术语，但是这些技术也可应用于NR系统应用以外的应用，如第6代(6 ^th Generation，6G)通信系统。

图1示出本申请实施例可应用的一种无线通信系统的框图。无线通信系统包括终端11和网络侧设备12。其中，终端11也可以称作终端设备或者用户终端(User Equipment，UE)，终端11可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)或称为笔记本电脑、个人数字助理(Personal Digital Assistant，PDA)、掌上电脑、上网本、超级移动个人计算机(ultra-mobile personal computer，UMPC)、移动上网装置(Mobile Internet Device，MID)、可穿戴式设备(Wearable Device)或车载设备(VUE)、行人终端(PUE)等终端侧设备，可穿戴式设备包括：智能手表、手环、耳机、眼镜等。需要说明的是，在本申请实施例并不限定终端11的具体类型。网络侧设备12可以是基站或核心网，其中，基站可被称为节点B、演进节点B、接入点、基收发机站(Base Transceiver Station，BTS)、无线电基站、无线电收发机、基本服务集(Basic Service Set，BSS)、扩展服务集(Extended Service Set，ESS)、B节点、演进型B节点(eNB)、家用B节点、家用演进型B节点、WLAN接入点、WiFi节点、发送接收点(Transmitting Receiving Point，TRP)或所述领域中其他某个合适的术语，只要达到相同的技术效果，所述基站不限于特定技术词汇，需要说明的是，在本申请实施例中仅以NR系统中的基站为例，但是并不限定基站的具体类型。

下面结合附图，通过一些实施例及其应用场景对本申请实施例提供的密钥材料的处理方法、获取方法、信息传输方法及设备进行详细地说明。

如图2所示，本申请的至少一个实施例提供一种密钥材料的处理方法，由第二终端执行，包括：

步骤201，第二终端接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；

步骤202，根据所述第一关联关系，所述第二终端发送所述第一终端的密钥材料；

本申请实施例中，第二终端接收到第一信息，并根据第一信息确定第一终端和第二终端存在第一关联关系，则第二终端生成并发送第一终端的密钥材料。换言之，第一信息也可称为用于触发第二终端生成及发送第一终端的密钥材料的触发信息。

在本申请的至少一个可选实施例中，所述第一关联关系包含以下至少一项：

第一终端的设备标识与第二终端的设备标识之间的关联关系；

第一终端的设备标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的设备标识之间的关联关系。

在本申请的另一个可选实施例中，所述第一信息包括以下至少一项：

所述第一标识；所述第一标识为所述第一终端的设备标识和/或用户标识；

所述第二标识；所述第二标识为所述第二终端的设备标识和/或用户标识

关联信息，所述关联信息为确定所述第一关联关系的信息。

作为一个可选实施例，所述密钥材料包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息；例如，签约凭据信息包括以下至少一项：

签约凭据长期密钥；

用户标识；

终端路由选择策略(UE Route Selection Policy，URSP)；

5G密钥集标识(Key Set Identifier in 5G，ngKSI)。

在本申请的至少一个实施例中，所述方法还包括：

第二终端根据第二终端的密钥材料派生所述第一终端的密钥材料；

其中，所述第二终端的密钥材料包括：所述第二终端进行通信时所需的安全信息。换言之，第一终端的密钥材料根据第二终端的密钥材料进行派生。

在本申请的至少一个实施例中，步骤201包括下述任意一项：

第二终端接收所述第一终端发送的所述第一信息；

第二终端接收第一网络功能发送的所述第一信息；例如，第一网络功能为接入网功能或核心网功能，在此不做具体限定；

第二终端接收第三方功能发送的所述第一信息；例如，第三方功能为应用服务器或其他具有无线收发功能的通信装置，该第三方功能可以设置为单独的实体，也可以为设置于其他网络实体上的模块或单元，在此不做具体限定。

相应的，在本申请的至少一个可选实施例中，步骤202中第二终端发送所述第一终端的密钥材料，包括下述任意一项：

第二终端向所述第一终端发送所述第一终端的密钥材料；

第二终端向第三方功能发送所述第一终端的密钥材料，通过所述第三方功能将所述第一终端的密钥材料发送至所述第一终端；例如，第三方功能为应用服务器；

第二终端向第一网络功能发送所述第一终端的密钥材料，通过所述第一网络功能将所述第一终端的密钥材料发送至所述第一终端；例如，第一网络功能为接入网功能或核心网功能，在此不做具体限定。

需要说明的是，若第一终端和第二终端之间直接交互，则本申请实施例提供的方法还包括：

第二终端与第一终端建立直连通信。则第二终端通过直连通信向第一终端发送所述第一终端的密钥材料；和/或，第二终端通过直连通信接收第一终端发送的第一信息。可选的，第一信息的传输也可以包含在直连通信建立过程中。

作为一个可选实施例，在所述第二终端向所述第一终端发送所述第一终端的密钥材料的情况下，所述方法还包括：

第二终端向第一网络功能或第三方功能发送所述第一终端的密钥材料。

作为另一个可选实施例，所述方法还包括以下至少一项：

第二终端启动第一计时器，其中，所述第一计时器的计时时段为所述第一终端的安全信息的有效时间；在超过所述有效时间后，所述第一终端的安全信息无效。

需要说明的是，第一计时器可以复用现有计时器，则第一计时器的相关参数(例如启动时机，计时时段等)，第一终端和第二终端均可获取到。

可选的，密钥材料中还包括：有效时间，所述有效时间为安全信息的有效时间。在超过所述有效时间超时后，该安全信息无效。

综上，本申请实施例中第二终端接收用于确定第一终端与第二终端存在的第一关联关系的第一信息，并根据第一关联关系发送所述第一终端的密钥材料；从而实现第一终端获取到第二终端为其确定的密钥材料，因此即使第一终端功能受限，也能够保证第一终端访问网络过程中的安全性，解决了如何生成组网授权/鉴权时家庭智能设备使用的相关密钥材料的问题。

如图3所示，本申请实施例还提供一种密钥材料的获取方法，包括：

步骤301，第一终端接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

作为一个可选实施例，所述第一终端的密钥材料据所述第二终端的密钥材料进行派生得到；

其中，所述第二终端的密钥材料包括：所述第二终端进行通信时所需的安全信息。

作为另一个可选实施例，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息；例如，签约凭据信息包括以下至少一项：

签约凭据长期密钥；

用户标识；

终端路由选择策略(URSP)；

5G密钥集标识(Key Set Identifier in 5G，ngKSI)。

在本申请的至少一个可选实施例中，步骤301之前，所述方法还包括：

第一终端向所述第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系。

本申请实施例中，第一终端向第二终端发送第一信息，第二终端根据第一信息确定第一终端和第二终端存在第一关联关系，则第二终端生成并发送第一终端的密钥材料。换言之，第一信息隐式指示第二终端生成第一终端的密钥材料。

在申请的另一个可选实施例中，所述第一关联关系包含以下至少一项：

在本申请的又一个可选实施例中，所述第一信息包括以下至少一项：

第一标识；所述第一标识为所述第一终端的设备标识和/或用户标识；

第二标识；所述第二标识为所述第二终端的设备标识和/或用户标识；

关联信息，所述关联信息为确定所述第一关联关系的信息。

例如，第一终端根据二维码或应用程序获得所述关联信息。

在本申请的至少一个实施例中，步骤301包括下述任意一项：

第一终端接收所述第二终端发送的所述第一终端的密钥材料；

第一终端接收第三方功能发送的所述第一终端的密钥材料，所述第一终端的密钥材料由所述第二终端发送至所述第三方功能；例如，第三方功能为应用服务器，该第三方功能可以设置为单独的实体，也可以为设置于其他网络实体上的模块或单元，在此不做具体限定；

第一终端接收第一网络功能发送的所述第一终端的密钥材料，所述第一终端的密钥材料由所述第二终端发送至所述第一网络功能；例如，第一网络功能为接入网功能或核心网功能，在此不做具体限定。

第一终端与第二终端建立直连通信。则第一终端通过直连通信接收所述第一终端的密钥材料；和/或，第一终端通过直连通信向第二终端发送第一信息。可选的，第一信息的传输也可以包含在直连通信建立过程中。

作为一个可选实施例，步骤301之前，所述方法还包括：

第一终端向第三方功能发送初始验证消息，所述初始验证消息用于所述第三方功能校验和授信所述第一终端。

其中，所述初始验证消息包括以下至少一项：

所述第一终端的标识；该标识可以唯一确认所述第一终端；

所述第一终端的默认凭据；该默认凭据为第一终端在接入承载(onboarding)之前唯一可识别且验证安全性的凭据；

所述第一终端的本地网络的网络标识，所述本地网络的网络标识为不同于公共陆地移动网(Public Land Mobile Network，PLMN)的非公共网络标识。

作为一个可选实施例，所述密钥材料还包括：

有效时间，所述有效时间为所述安全信息的有效时间。在超过所述有效时间后，所述安全信息无效。

作为另一个可选实施例，所述方法还包括：

在超过所述有效时间后，第一终端向所述第二终端发送第一更新指示信息，所述第一更新指示信息用于指示所述第二终端更新所述第一终端的密钥材料。

如图4所示，本申请实施例还提供一种信息传输方法，包括：

步骤401，第三方功能或第一网络功能向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；

本申请实施例中，第三方功能或第一网络功能向第二终端发送第一信息，第二终端根据第一信息确定第一终端和第二终端存在第一关联关系，则第二终端生成并发送第一终端的密钥材料。换言之，第一信息隐式指示第二终端生成第一终端的密钥材料。

需要说明的是，第三方功能为应用服务器，该第三方功能可以设置为单独的实体，也可以为设置于其他网络实体上的模块或单元；第一网络功能为接入网功能或核心网功能，在此不做具体限定。

作为一个可选实施例，所述第一关联关系包含以下至少一项：

作为另一个可选实施例，所述第一信息包括以下至少一项：

关联信息，所述关联信息为确定所述第一关联关系的信息。

在本申请的至少一个可选实施例中，所述第一终端的密钥材料根据所述第二终端的密钥材料进行派生得到；

其中，所述第二终端的密钥材料为所述第二终端进行通信时所需的安全信息。

其中，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息；例如，签约凭据信息包括以下至少一项：

签约凭据长期密钥；

用户标识；

终端路由选择策略(URSP)；

5G密钥集标识(Key Set Identifier in 5G，ngKSI)。

在本申请的至少一个可选实施例中，第三方功能或第一网络功能向第二终端发送第一信息之后，所述方法还包括：

第三方功能或第一网络功能接收第二终端发送的由所述第二终端确定的第一终端的密钥材料；

第三方功能或第一网络功能将所述第一终端的密钥材料发送至所述第一终端。

作为一个可选实施例，在第一网络功能向第二终端发送第一信息之前，所述方法还包括：

第三方功能或第一网络功能接收所述第一终端发送的所述第一信息。换言之，第一网络功能先接收第一终端发送的第一信息，再将第一信息转发至第二终端，由第二终端确定第一终端的密钥材料。

作为另一个可选实施例，在第三方功能向第二终端发送第一信息之前，所述方法还包括：

第三方功能接收所述第一终端发送的初始验证消息，所述初始验证消息用于所述第三方功能校验和授信所述第一终端。

其中，所述初始验证消息包括以下至少一项：

所述第一终端的标识；该标识可以唯一确认所述第一终端；

所述第一终端的本地网络的网络标识，所述本地网络的网络标识为不同于PLMN的非公共网络标识。

综上，本申请实施例提供了一种第一网络功能或第三方功能辅助，由终端确定密钥材料的方式，解决了如何生成组网授权/鉴权时家庭智能设备使用的相关密钥材料的问题。

为了更清楚的描述本申请实施例提供的方法，下面结合几个示例进行说明。

示例一，由应用服务器触发第一信息，指示第一关联关系；如图5所示：

步骤51(可选的)，第一终端向应用服务器发送初始校验信息，由应用服务器实现第一终端的校验和授信；

步骤52，应用服务器向第二终端发送第一信息，第一信息包括第一标识、第二标识和/或关联关系；

步骤53，第二终端根据第一信息确定第一关联关系，并确定第一终端的密钥材料；

步骤54，第二终端向应用服务器发送第一终端的密钥材料；

步骤55，应用服务器向第一终端发送第一终端的密码材料。

示例二，由第一终端触发第一信息，指示第一关联关系；如图6所示：

步骤61，第一终端向第一网络功能发送第一信息，第一信息包括第一标识、第二标识和/或关联关系；

步骤62，第一网络功能将第一信息发送至第二终端；

步骤63，第二终端根据第一信息确定第一关联关系，并确定第一终端的密钥材料；

步骤64，第二终端向第一网络功能发送第一终端的密钥材料；

步骤65，第一网络功能向第一终端发送第一终端的密钥材料。

示例三，第一终端和第二终端建立直连通信，由第一终端触发第一信息，指示第一关联关系；如图7所示：

步骤71，第一终端和第二终端建立直连通信；

步骤72，第一终端通过直连通信向第二终端发送第一信息，第一信息至少包括关联信息；

步骤73，第二终端根据第一信息确定第一关联关系，并确定第一终端的密钥材料；

步骤74，第二终端通过直连通信向第二终端发送第一终端的密钥材料；

步骤75(可选的)，第二终端向第一网络功能发送第一终端的密钥材料。

需要说明的是，本申请实施例提供的方法，执行主体可以为装置，或者，该装置中的用于执行方法的控制模块。本申请实施例中以装置执行方法为例，说明本申请实施例提供的装置。

如图8所示，本申请实施例还提供一种密钥材料的处理装置800，包括：

第一接收模块801，用于接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；

第二发送模块802，用于根据所述第一关联关系，发送所述第一终端的密钥材料；

作为一个可选实施例，所述第一信息包括以下至少一项：

关联信息，所述关联信息为确定所述第一关联关系的信息。

作为一个可选实施例，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息。

作为一个可选实施例，所述装置还包括：

派生模块，用于根据第二终端的密钥材料派生所述第一终端的密钥材料；

作为一个可选实施例，所述第一接收模块还包括下述任意一项：

第一接收子模块，用于接收所述第一终端发送的所述第一信息；

第二接收子模块，用于接收第一网络功能发送的所述第一信息；

第三接收子模块，用于接收第三方功能发送的所述第一信息。

作为一个可选实施例，所述第一发送模块包括下述任意一项：

第一发送子模块，用于向所述第一终端发送所述第一终端的密钥材料；

第二发送子模块，用于向第三方功能发送所述第一终端的密钥材料，通过所述第三方功能将所述第一终端的密钥材料发送至所述第一终端；

第三发送子模块，用于向第一网络功能发送所述第一终端的密钥材料，通过所述第一网络功能将所述第一终端的密钥材料发送至所述第一终端。

作为一个可选实施例，所述装置还包括：

第三发送模块，用于向第一网络功能或第三方功能发送所述第一终端的密钥材料。

作为一个可选实施例，所述装置还包括以下至少一项：

第一计时模块，用于启动第一计时器，其中，所述第一计时器的计时时段为所述第一终端的安全信息的有效时间；在超过所述有效时间后，所述第一终端的安全信息无效。

作为一个可选实施例，所述密钥材料还包括：

有效时间，所述有效时间为安全信息的有效时间。

本申请实施例中第二终端接收用于确定第一终端与第二终端存在的第一关联关系的第一信息，并根据第一关联关系发送所述第一终端的密钥材料；从而实现第一终端获取到第二终端为其确定的密钥材料，因此即使第一终端功能受限，也能够保证第一终端访问网络过程中的安全性，解决了如何生成组网授权/鉴权时家庭智能设备使用的相关密钥材料的问题。

需要说明的是，本申请实施例提供的密钥材料的处理装置是能够执行上述密钥材料的处理方法的装置，则上述密钥材料的处理方法的所有实施例均适用于该装置，且均能达到相同或相似的有益效果。

如图9所示，本申请实施例还提供一种密钥材料的获取装置900，包括：

第二接收模块901，用于接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

其中，所述第二终端的密钥材料包括：所述第二终端进行通信时所需的安全信。

作为一个可选实施例，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息。

作为一个可选实施例，所述装置还包括：

第四发送模块，用于向所述第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系。

作为一个可选实施例，所述第一信息包括以下至少一项：

关联信息，所述关联信息为确定所述第一关联关系的信息。

作为一个可选实施例，所述第二接收模块包括下述任意一项：

第四接收子模块，用于接收所述第二终端发送的所述第一终端的密钥材料；

第五接收子模块，用于接收第三方功能发送的所述第一终端的密钥材料，所述第一终端的密钥材料由所述第二终端发送至所述第三方功能；

第六接收子模块，用于接收第一网络功能发送的所述第一终端的密钥材料，所述第一终端的密钥材料由所述第二终端发送至所述第一网络功能。

作为一个可选实施例，所述装置还包括：

验证模块，用于向第三方功能发送初始验证消息，所述初始验证消息用于所述第三方功能校验和授信所述第一终端。

作为一个可选实施例，所述初始验证消息包括以下至少一项：

所述第一终端的标识；

所述第一终端的默认凭据；

所述第一终端的本地网络的网络标识。

作为一个可选实施例，所述密钥材料还包括：

有效时间，所述有效时间为所述安全信息的有效时间。

作为一个可选实施例，所述装置还包括：

第一更新模块，用于在超过所述有效时间后，向所述第二终端发送第一更新指示信息，所述第一更新指示信息用于指示所述第二终端更新所述第一终端的密钥材料。。

需要说明的是，本申请实施例提供的密钥材料的获取装置是能够执行上述密钥材料的获取方法的装置，则上述密钥材料的获取方法的所有实施例均适用于该装置，且均能达到相同或相似的有益效果。

如图10所示，本申请实施例还提供一种信息传输装置1000，包括：

第二发送模块1001，用于向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；

作为一个可选实施例，所述第一信息包括以下至少一项：

关联信息，所述关联信息为确定所述第一关联关系的信息。

作为一个可选实施例，所述第一终端的密钥材料根据所述第二终端的密钥材料进行派生得到；

作为一个可选实施例，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息。

作为一个可选实施例，所述装置还包括：

第三接收模块，用于接收第二终端发送的由所述第二终端确定的第一终端的密钥材料；

第五发送模块，用于将所述第一终端的密钥材料发送至所述第一终端。

作为一个可选实施例，所述装置还包括：

第四接收模块，用于接收所述第一终端发送的所述第一信息。

作为一个可选实施例，所述装置还包括：

验证接收模块，用于接收所述第一终端发送的初始验证消息，所述初始验证消息用于所述第三方功能校验和授信所述第一终端。

所述第一终端的标识；

所述第一终端的默认凭据；

所述第一终端的本地网络的网络标识。

本申请实施例中的处理装置、获取装置、信息传输装置可以是装置，具有操作系统的装置或电子设备，也可以是终端中的部件、集成电路、或芯片。该装置或电子设备可以是移动终端，也可以为非移动终端。示例性的，移动终端可以包括但不限于上述所列举的终端11的类型，非移动终端可以为服务器、网络附属存储器(Network Attached Storage，NAS)、个人计算机(personal computer，PC)、电视机(television，TV)、柜员机或者自助机等，本申请实施例不作具体限定。

本申请实施例提供的处理装置、获取装置、信息传输装置能够实现图1至图7的方法实施例实现的各个过程，并达到相同的技术效果，为避免重复，这里不再赘述。

可选的，如图11所示，本申请实施例还提供一种通信设备1100，包括处理器1101，存储器1102，存储在存储器1102上并可在所述处理器1101上运行的程序或指令，例如，该通信设备1100为第二终端时，该程序或指令被处理器1101执行时实现上述密钥材料的处理方法实施例的各个过程，且能达到相同的技术效果。该通信设备为第一终端时，该程序或指令被处理器1101执行时实现上述密钥材料的获取方法实施例的各个过程，且能达到相同的技术效果。该通信设备1100为网络侧设备(如第一网络功能或第三方功能)时，该程序或指令被处理器1101执行时实现上述信息传输方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本申请实施例还提供一种终端，包括处理器和通信接口，所述通信接口用于接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，所述处理器用于根据所述第一关联关系通过所述通信接口发送所述第一终端的密钥材料；所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息；或者，所述通信接口用于接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。该终端实施例是与上述终端侧方法实施例对应的，上述方法实施例的各个实施过程和实现方式均可适用于该终端实施例中，且能达到相同的技术效果。具体地，图12为实现本申请实施例的一种终端的硬件结构示意图。

该终端1200包括但不限于：射频单元1201、网络模块1202、音频输出单元1203、输入单元1204、传感器1205、显示单元1206、用户输入单元1207、接口单元1208、存储器1209、以及处理器1210等中的至少部分部件。

本领域技术人员可以理解，终端1200还可以包括给各个部件供电的电源(比如电池)，电源可以通过电源管理系统与处理器1210逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图 12中示出的终端结构并不构成对终端的限定，终端可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，在此不再赘述。

应理解的是，本申请实施例中，输入单元1204可以包括图形处理器(Graphics Processing Unit，GPU)12041和麦克风12042，图形处理器12041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元1206可包括显示面板12061，可以采用液晶显示器、有机发光二极管等形式来配置显示面板12061。用户输入单元1207包括触控面板12071以及其他输入设备12072。触控面板12071，也称为触摸屏。触控面板12071可包括触摸检测装置和触摸控制器两个部分。其他输入设备12072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

本申请实施例中，射频单元1201将来自网络侧设备的下行数据接收后，给处理器1210处理；另外，将上行的数据发送给网络侧设备。通常，射频单元1201包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。

存储器1209可用于存储软件程序或指令以及各种数据。存储器1209可主要包括存储程序或指令区和存储数据区，其中，存储程序或指令区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器1209可以包括高速随机存取存储器，还可以包括非易失性存储器，其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。

处理器1210可包括一个或多个处理单元；可选的，处理器1210可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序或指令等，调制解调处理器主要处理无线通信，如基带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器1210中。

其中，第二终端的射频单元1201，用于接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；并根据所述第一关联关系，发送所述第一终端的密钥材料；其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

或者，第二终端的射频单元1201，用于接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。

需要说明的是，本申请实施例提供的终端是能够执行上述密钥材料的处理方法或获取方法的终端，则上述密钥材料的处理方法或获取方法的所有实施例均适用于该终端，且均能达到相同或相似的有益效果。

本申请实施例还提供一种网络侧设备，包括处理器和通信接口，所述通信接口用于向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。该网络侧设备实施例是与上述网络侧设备方法实施例对应的，上述方法实施例的各个实施过程和实现方式均可适用于该网络侧设备实施例中，且能达到相同的技术效果。

具体地，本申请实施例还提供了一种网络侧设备。如图13所示，该网络设备1300包括：天线131、射频装置132、基带装置133。天线131与射频装置132连接。在上行方向上，射频装置132通过天线131接收信息，将接收的信息发送给基带装置133进行处理。在下行方向上，基带装置133对要发送的信息进行处理，并发送给射频装置132，射频装置132对收到的信息进行处理后经过天线131发送出去。

上述频带处理装置可以位于基带装置133中，以上实施例中网络侧设备执行的方法可以在基带装置133中实现，该基带装置133包括处理器134和存储器135。

基带装置133例如可以包括至少一个基带板，该基带板上设置有多个芯片，如图13所示，其中一个芯片例如为处理器134，与存储器135连接，以调用存储器135中的程序，执行以上方法实施例中所示的网络设备操作。

该基带装置133还可以包括网络接口136，用于与射频装置132交互信息，该接口例如为通用公共无线接口(Common Public Radio Interface，简称CPRI)。

具体地，本发明实施例的网络侧设备还包括：存储在存储器135上并可在处理器134上运行的指令或程序，处理器134调用存储器135中的指令或程序执行图10所示各模块执行的方法，并达到相同的技术效果，为避免重复，故不在此赘述。

本申请实施例还提供一种可读存储介质，所述可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述密钥材料的处理方法实施例或密钥材料的获取方法实施例或信息传输方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，所述处理器为上述实施例中所述的终端中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等。

本申请实施例另提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现上述密钥材料的处理方法实施例或密钥材料的获取方法实施例或信息传输方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片，系统芯片，芯片系统或片上系统芯片等。

本申请实施例还提供了一种计算机程序产品，所述计算机程序产品被存储在非易失的存储介质中，所述程序产品被至少一个处理器执行以实现如上文所述的各个方法的步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims

一种密钥材料的处理方法，包括：

第二终端接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；

根据所述第一关联关系，所述第二终端发送所述第一终端的密钥材料；

其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。
根据权利要求1所述的方法，其中，所述第一关联关系包含以下至少一项：

第一终端的设备标识与第二终端的设备标识之间的关联关系；

第一终端的设备标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的设备标识之间的关联关系。
根据权利要求1所述的方法，其中，所述第一信息包括以下至少一项：

第一标识；所述第一标识为所述第一终端的设备标识和/或用户标识；

第二标识；所述第二标识为所述第二终端的设备标识和/或用户标识

关联信息，所述关联信息为确定所述第一关联关系的信息。
根据权利要求1所述的方法，其中，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息。
根据权利要求1所述的方法，其中，所述方法还包括：

第二终端根据第二终端的密钥材料派生所述第一终端的密钥材料；

其中，所述第二终端的密钥材料包括：所述第二终端进行通信时所需的安全信息。
根据权利要求1所述的方法，其中，所述第二终端接收第一信息，包括下述任意一项：

第二终端接收所述第一终端发送的所述第一信息；

第二终端接收第一网络功能发送的所述第一信息；

第二终端接收第三方功能发送的所述第一信息。
根据权利要求1所述的方法，其中，所述第二终端发送所述第一终端的密钥材料，包括下述任意一项：

第二终端向所述第一终端发送所述第一终端的密钥材料；

第二终端向第三方功能发送所述第一终端的密钥材料，通过所述第三方功能将所述第一终端的密钥材料发送至所述第一终端；

第二终端向第一网络功能发送所述第一终端的密钥材料，通过所述第一网络功能将所述第一终端的密钥材料发送至所述第一终端。
根据权利要求7所述的方法，其中，在所述第二终端向所述第一终端发送所述第一终端的密钥材料的情况下，所述方法还包括：

第二终端向第一网络功能或第三方功能发送所述第一终端的密钥材料。
根据权利要求1所述的方法，其中，所述方法还包括：

第二终端启动第一计时器，其中，所述第一计时器的计时时段为所述第一终端的安全信息的有效时间；在超过所述有效时间后，所述第一终端的安全信息无效。
根据权利要求4所述的方法，其中，所述密钥材料还包括：

有效时间，所述有效时间为安全信息的有效时间。
一种密钥材料的获取方法，包括：

第一终端接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。
根据权利要求11所述的方法，其中，所述第一终端的密钥材料据所述第二终端的密钥材料进行派生得到；

其中，所述第二终端的密钥材料包括：所述第二终端进行通信时所需的安全信息。
根据权利要求11或12所述的方法，其中，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息。
根据权利要求11所述的方法，其中，接收由第二终端确定的第一终端的密钥材料之前，所述方法还包括：

第一终端向所述第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系。
根据权利要求14所述的方法，其中，所述第一关联关系包含以下至少一项：

第一终端的设备标识与第二终端的设备标识之间的关联关系；

第一终端的设备标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的设备标识之间的关联关系。
根据权利要求14所述的方法，其中，所述第一信息包括以下至少一项：

第一标识；所述第一标识为所述第一终端的设备标识和/或用户标识；

第二标识；所述第二标识为所述第二终端的设备标识和/或用户标识；

关联信息，所述关联信息为确定所述第一关联关系的信息。
根据权利要求11所述的方法，其中，接收由第二终端确定的第一终端的密钥材料，包括下述任意一项：

第一终端接收所述第二终端发送的所述第一终端的密钥材料；

第一终端接收第三方功能发送的所述第一终端的密钥材料，所述第一终端的密钥材料由所述第二终端发送至所述第三方功能；

第一终端接收第一网络功能发送的所述第一终端的密钥材料，所述第一终端的密钥材料由所述第二终端发送至所述第一网络功能。
根据权利要求11所述的方法，其中，接收由第二终端确定的第一终端的密钥材料之前，所述方法还包括：

第一终端向第三方功能发送初始验证消息，所述初始验证消息用于所述第三方功能校验和授信所述第一终端。
根据权利要求18所述的方法，其中，所述初始验证消息包括以下至少一项：

所述第一终端的标识；

所述第一终端的默认凭据；

所述第一终端的本地网络的网络标识。
根据权利要求13所述的方法，其中，所述密钥材料还包括：

有效时间，所述有效时间为所述安全信息的有效时间。
根据权利要求20所述的方法，其中，所述方法还包括：

在超过所述有效时间后，第一终端向所述第二终端发送第一更新指示信息，所述第一更新指示信息用于指示所述第二终端更新所述第一终端的密钥材料。
一种信息传输方法，包括：

第三方功能或第一网络功能向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；

其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。
根据权利要求22所述的方法，其中，所述第一关联关系包含以下至少一项：

第一终端的设备标识与第二终端的设备标识之间的关联关系；

第一终端的设备标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的用户标识之间的关联关系；

第一终端的用户标识与第二终端的设备标识之间的关联关系。
根据权利要求22所述的方法，其中，所述第一信息包括以下至少一项：

第一标识；所述第一标识为所述第一终端的设备标识和/或用户标识；

第二标识；所述第二标识为所述第二终端的设备标识和/或用户标识；

关联信息，所述关联信息为确定所述第一关联关系的信息。
根据权利要求22所述的方法，其中，所述第一终端的密钥材料根据所述第二终端的密钥材料进行派生得到；

其中，所述第二终端的密钥材料包括：所述第二终端进行通信时所需的安全信息。
根据权利要求22或25所述的方法，其中，所述安全信息包括以下至少一项：

安全密钥；

安全参数；

签约凭据信息。
根据权利要求22所述的方法，其中，第三方功能或第一网络功能向第二终端发送第一信息之后，所述方法还包括：

第三方功能或第一网络功能接收第二终端发送的由所述第二终端确定的第一终端的密钥材料；

第三方功能或第一网络功能将所述第一终端的密钥材料发送至所述第一终端。
根据权利要求22所述的方法，其中，第三方功能或第一网络功能向第二终端发送第一信息之前，所述方法还包括：

第三方功能或第一网络功能接收所述第一终端发送的所述第一信息。
根据权利要求22所述的方法，其中，第三方功能向第二终端发送第一信息之前，所述方法还包括：

第三方功能接收所述第一终端发送的初始验证消息，所述初始验证消息用于所述第三方功能校验和授信所述第一终端。
根据权利要求29所述的方法，其中，所述初始验证消息包括以下至少一项：

所述第一终端的标识；

所述第一终端的默认凭据；

所述第一终端的本地网络的网络标识。
一种密钥材料的处理装置，包括：

第一接收模块，用于接收第一信息；其中，所述第一信息用于确定第一终端与第二终端存在的第一关联关系；

第二发送模块，用于根据所述第一关联关系，发送所述第一终端的密钥材料；

其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。
一种密钥材料的获取装置，包括：

第二接收模块，用于接收由第二终端确定的第一终端的密钥材料，其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。
一种终端，包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，其中，所述程序或指令被所述处理器执行时实现如权利要求1至10任一项所述的密钥材料的处理方法的步骤；或者，所述程序或指令被所述处理器执行时实现如权利要求11至21任一项所述的密钥材料的获取方法的步骤。
一种信息传输装置，包括：

第二发送模块，用于向第二终端发送第一信息，所述第一信息用于确定第一终端与第二终端存在的第一关联关系，以由所述第二终端在接收到所述第一信息的情况下发送所述第一终端的密钥材料；

其中，所述第一终端的密钥材料包括：所述第一终端进行通信时所需的安全信息。
一种网络侧设备，所述网络侧设备为第三方功能或第一网络功能，包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，其中，所述程序或指令被所述处理器执行时实现如权利要求22至30任一项所述的信息传输方法的步骤。
一种可读存储介质，所述可读存储介质上存储程序或指令，其中，所述程序或指令被处理器执行时实现如权利要求1至10任一项所述的密钥材料的处理方法，或者实现如权利要求11至21任一项所述的密钥材料的获取方法的步骤，或者实现如权利要求22至30任一项所述的信息传输方法的步骤。
一种芯片，包括处理器和通信接口，其中，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如权利要求1至10任一项所述的密钥材料的处理方法，或者实现如权利要求11至21任一项所述的密钥材料的获取方法的步骤，或者实现如权利要求22至30任一项所述的信息传输方法的步骤。
一种计算机程序产品，其中，所述计算机程序产品被存储在非易失的存储介质中，所述计算机程序产品被至少一个处理器执行以实现如权利要求1至10任一项所述的密钥材料的处理方法，或者实现如权利要求11至21任一项所述的密钥材料的获取方法的步骤，或者实现如权利要求22至30任一项所述的信息传输方法的步骤。