[发明专利]一种安全标识管理方法及装置

权利要求书

1.一种安全标识管理方法，其特征在于，所述方法包括：

网络功能实体为终端分配非接入层NAS安全标识，所述NAS安全标识用于标识NAS安全上下文，所述NAS安全上下文用于保护所建立的NAS连接的安全；其中，所述NAS安全标识包括3GPP NAS安全标识和非3GPP NAS安全标识，所述3GPP NAS安全标识用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文，所述非3GPP NAS安全标识用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文；所述3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥，以及NAS计数器值以及NAS连接标识，所述非3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥，NAS计数器值以及NAS连接标识；

所述网络功能实体将所述NAS安全标识发送给所述终端；其中，所述网络功能实体将所述NAS安全标识发送给所述终端，包括：

在所述终端进行网络切换时，所述网络功能实体向所述终端切换的目标基站发送切换请求消息，所述切换请求消息携带所述NAS安全标识；所述目标基站将所述NAS安全标识发送给所述终端。

2.如权利要求1所述的方法，其特征在于，所述3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到，所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第二共享密钥推演得到，所述第二共享密钥基于所述第一共享密钥推演得到；

所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值不同。

3.如权利要求1所述的方法，其特征在于，所述的3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到，所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于所述第一共享密钥推演得到；

所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值相同。

4.如权利要求1所述的方法，其特征在于，所述网络功能实体将所述NAS安全标识发送给所述终端，包括：

所述网络功能实体向终端发送NAS消息，所述NAS消息携带所述NAS安全标识。

5.如权利要求4所述的方法，其特征在于，所述NAS安全标识，包括：3GPP NAS安全标识，用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文；以及，非3GPPNAS安全标识，用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文；

所述网络功能实体向终端发送NAS消息，所述NAS消息携带所述NAS安全标识，包括：

所述网络功能实体对所述终端发起的3GPP接入进行身份认证后，向所述终端发送第一NAS安全模式命令，所述第一NAS安全模式命令携带所述3GPP NAS安全标识；

所述网络功能实体在所述终端发起非3GPP接入后，向所述终端发送第二NAS安全模式命令，所述第二NAS安全模式命令携带所述非3GPP NAS安全标识。

6.如权利要求4所述的方法，其特征在于，所述NAS安全标识，包括：3GPP NAS安全标识，用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文；非3GPP NAS安全标识，用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文；

所述网络功能实体向终端发送NAS消息，所述NAS消息携带所述NAS安全标识，包括：

所述网络功能实体对所述终端发起的非3GPP接入进行身份认证后，向所述终端发送第一NAS安全模式命令，所述第一NAS安全模式命令携带所述非3GPP NAS安全标识；

所述网络功能实体在所述终端发起3GPP接入后，向所述终端发送第二NAS安全模式命令，所述第二NAS安全模式命令携带所述3GPP NAS安全标识。