[发明专利]安全实现方法、相关装置以及系统

权利要求书

1.一种安全实现方法，其特征在于，包括：

第一网元接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求；

所述第一网元获得安全密钥；所述安全密钥用于，在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后，对所述用户设备与目标网络之间的通信进行保护，所述目标网络包括所述目标接入网设备和目标核心网设备，其中，所述目标核心网设备包括所述第一网元；

所述第一网元向所述目标接入网设备发送所述安全密钥；

其中，所述第一网元获得安全密钥，包括：

所述第一网元获取第一中间密钥；所述第一中间密钥为认证后生成的上层的密钥，用于推衍下层的接入层AS和非接入层NAS密钥；

所述第一网元确定安全保护算法，基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥。

2.根据权利要求1所述的方法，其特征在于，所述第一网元获取第一中间密钥，包括：

所述第一网元获取安全锚点SEAF基于锚密钥、网络参数推衍出的所述第一中间密钥。

3.根据权利要求1所述的方法，其特征在于，所述第一网元获取第一中间密钥，包括：

所述第一网元获取第二网元基于第二中间密钥、网络参数推衍出的所述第一中间密钥；其中，第二中间密钥为认证后生成的上层的密钥，用于推衍下层的接入层和非接入层密钥。

4.根据权利要求1所述的方法，其特征在于，所述第一网元获取第一中间密钥，包括：

所述第一网元接收第二网元发送的第二中间密钥；

所述第一网元基于所述第二中间密钥、网络参数推衍出的所述第一中间密钥；其中，第二中间密钥为认证后生成的上层的密钥，用于推衍下层的接入层和非接入层密钥。

5.根据权利要求1所述的方法，其特征在于，所述第一网元获取第一中间密钥，包括：

在所述用户设备从所述源接入网设备切换到所述目标接入网设备、并且所述用户设备重新通过双向认证后，所述第一网元获得锚密钥；

所述第一网元基于所述锚密钥、网络参数推衍出的所述第一中间密钥。

6.根据权利要求3所述的方法，其特征在于，所述方法还包括：

所述第一网元还获取第二网元发送的下一跳密钥第一NH、下一跳密钥关联计数第一NCC；

所述第一网元基于所述第一NH和第一NCC得到第二NH和第二NCC；

所述第一网元向所述目标接入网设备发送所述第二NH和所述第二NCC。

7.根据权利要求1至6任一项所述的方法，其特征在于，所述安全密钥包括第一密钥，第二密钥和第三密钥；所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥；所述第二密钥为NAS信令加密性保护密钥；所述第三密钥为NAS信令完整性保护密钥；

所述第一网元确定安全保护算法，基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥，包括：

所述安全保护算法包括NAS机密性算法标识和NAS完整性算法标识；

所述第一网元基于第一参数推衍出所述第一密钥；其中，所述第一参数包括所述第一中间密钥、目标小区标识、频点、NAS计数值、NAS连接标识、计数值或随机码或序列码中的一项或多项；

所述第一网元基于第二参数推衍出所述第二密钥；其中，所述第二参数包括所述第一中间密钥、所述NAS机密性算法标识、计数值或随机码或序列码中的一项或多项；

所述第一网元基于第三参数推衍出所述第三密钥；其中，所述第三参数包括所述第一中间密钥、所述NAS完整性算法标识、计数值或随机码或序列码中的一项或多项；

所述第一网元向所述目标接入网设备发送所述安全密钥，包括：

所述第一网元向所述目标接入网设备发送所述第一密钥。