安全实现方法、相关装置以及系统制造方法及图纸

本申请公开了安全实现方法、相关装置和系统，该方法包括：第一网元接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求；第一网元获得安全密钥；所述安全密钥用于，在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后，对所述用户设备与所述目标接入网设备之间的通信进行保护；第一网元向所述目标接入网设备发送所述安全密钥。

Safety Implementation Method, Related Devices and Systems

The present application discloses a security implementation method, related devices and systems, which include: a first network element receives a request for communication to switch a user equipment from a source access network device to a target access network device; a first network element obtains a security key; and the security key is used for switching the user equipment from the source access network device to the target access network device. The communication between the user device and the target access network device is protected; the first network element transmits the security key to the target access network device.

【技术实现步骤摘要】
安全实现方法、相关装置以及系统
本申请涉及通信
，尤其涉及安全实现方法、相关装置以及系统。
技术介绍
现如今，用户设备(如手机)已经被广泛地应用，极大的方便了人们的生活。用户设备可以直接与基站建立通信连接，从而进行通信，利用网络提供的数据传输服务为用户呈现丰富的通信体验。在一些应用场景中，如果用户设备从一个基站小区移动到当前基站小区，需要将用户设备的网络连接从原基站切换到当前基站，才能继续保持通信。未来移动通信架构(例如第5代通信系统5G)同样要求网络满足用户设备的切换需求。目前，在现有的移动通信3GPP标准中，SA2架构组已经提出了5G网络的大致架构，在该架构中，核心网的接入与管理网元AMF通常会部署在离基站较近的位置，所以当用户设备跨基站切换通信时，也可能会造成跨AMF切换。然而，目前的通信安全实现方法(可扩展的身份验证协议EAP方法)并不适用5G网络中跨AMF切换的安全保护，因此，如何建立基于未来的移动通信架构的安全机制，成为目前亟待解决的问题。
技术实现思路
本专利技术实施例提供了安全实现方法、相关装置以及系统，可实现跨AMF切换场景中的安全保护，提高未来的移动通信架构的安全性，满足用户需求。第一方面，本专利技术实施例公开了一种安全实现方法，该方法包括：第一网元接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求；所述第一网元获得安全密钥；所述安全密钥用于，在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后，对所述用户设备与所述目标网络之间的通信进行保护，所述目标网络包括所述目标接入网设备和目标核心网设备，所述目标核心网设备包括所述第一网元；所述第一网元向所述目标接入网设备发送所述安全密钥。其中，第二网元连接所述源接入网设备，第二网元和源接入网设备属于源侧的网络设备；第一网元连接目标接入网设备，第一网元和目标接入网设备属于目标侧的网络设备。在具体实现中，所述第二网元可以是源AMF、源SEAF、源SMF等网络设备，第一网元为对应的目标AMF、目标SEAF、目标SMF等网络设备。其中，所述请求可能携带有源侧的安全上下文，所述源侧安全上下文例如可以包括密钥的生存周期、密钥的索引、UE的安全能力、完整性算法、完整性算法标识、加密算法、加密算法标识、与计算密钥相关的计数值中的一项或多项，所述请求例如可以为切换请求、路径切换请求等等。在本专利技术实施例中，所述第一网元获得安全密钥，包括：所述第一网元获取第一中间密钥；所述第一中间密钥为认证后生成的上层的密钥，用于推衍下层的接入层AS和非接入层NAS密钥；所述第一网元确定安全保护算法，基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥。所述安全密钥可包括接入层AS密钥和非接入层NAS密钥，AS密钥用于对用户设备与接入网设备之间的通信进行保护，NAS密钥用于对用户设备与核心网设备(如AMF/SEAF/SMF等等)之间的通信进行保护。其中，第一网元获取第一中间密钥的方式可以是多种多样的：具体实施例中，第一网元获取第二网元基于第二中间密钥、网络参数推衍出的所述第一中间密钥；其中，第二中间密钥为认证后生成的上层的密钥，用于推衍下层的接入层和非接入层密钥，例如，第二中间密钥为原先已存在于第二网元的密钥Kamf，该密钥Kamf在通过认证时由第二网元所获取。具体实施例中，第一网元接收第二网元发送的第二中间密钥；所述第一网元基于所述第二中间密钥、网络参数推衍出的所述第一中间密钥。具体实施例中，在所述用户设备从所述源接入网设备切换到所述目标接入网设备、并且所述用户设备重新通过双向认证后，所述第一网元获得锚密钥Kseaf；所述第一网元基于所述锚密钥、网络参数推衍出的所述第一中间密钥。其中，网络参数可包括目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF设置标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、计数值Nonce或Counter或随机码或序列码中的一项或多项。在本专利技术具体实施例中，第一网元还可以获取第二网元发送的下一跳密钥第一NH、下一跳密钥关联计数第一NCC；所述第一网元基于{第一NH,第一NCC}对得到{第二NH,第二NCC}对。后续步骤中第一网元可向目标接入网设备发送{第二NH,第二NCC}对，以及第二密钥、第三密钥，目标接入网设备基于{第二NH,第二NCC}对生成第一密钥。在可能的实施例中，所述安全密钥包括第一密钥，第二密钥和第三密钥；所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥；所述第二密钥为NAS信令加密性保护密钥；所述第三密钥为NAS信令完整性保护密钥；所述第一网元确定安全保护算法，基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥，包括：所述安全保护算法包括NAS机密性算法标识和NAS完整性算法标识，所述第一网元基于第一参数推衍出所述第一密钥，例如密钥KgNB；其中，所述第一参数包括所述第一中间密钥、目标小区标识、频点、NAS计数值、NAS连接标识、计数值或随机码或序列码中的一项或多项；所述第一网元基于第二参数推衍出所述第二密钥，例如密钥Knasenc；其中，所述第二参数包括所述第一中间密钥、所述NAS机密性算法标识、计数值或随机码或序列码中的一项或多项；所述第一网元基于第三参数推衍出所述第三密钥，例如Knasint；其中，所述第三参数包括所述第一中间密钥、所述NAS完整性算法标识、计数值或随机码或序列码中的一项或多项；所述第一网元向所述目标接入网设备发送所述安全密钥，包括：所述第一网元向所述目标接入网设备发送所述第一密钥。在可能的实施例中，所述源接入网设备为第一通信系统的接入网设备；所述目标接入网设备为第二通信系统的接入网设备；所述第一网元为所述第二通信系统的网元；所述请求包括所述第一通信系统的安全上下文、第三中间密钥；所述第三中间密钥为在所述第一通信系统中认证后生成的上层的密钥，用于推衍下层的接入层和非接入层的密钥；所述第一网元获取第一中间密钥，包括：所述第一网元基于所述第一通信系统的安全上下文、所述第二通信系统的安全上下文以及所述第三中间密钥推衍出的所述第一中间密钥。在可能的实施例中，所述第一网元包括目标接入和移动管理网元AMF，所述第二网元包括源AMF，所述目标AMF连接所述目标接入网设备，所述源AMF连接所述源接入网设备；或者，所述第一网元包括目标安全锚点SEAF，所述第二网元包括源安全锚点SEAF，所述目标SEAF连接所述目标接入网设备，所述源SEAF连接所述源接入网设备。在可能的实施例中，所述网络参数包括目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF设置标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、计数值或随机码或序列码中的一项或多项。在可能的实施例中，所述第一网元包括第一通信系统的移动性管理实体网元MME；所述目标接入网设备为所述第一通信系统的接入网设备；所述源接入网设备为第二通信系统的接入网设备；具体的，所述MME接收将用户设备从所述源接入网设备切换到所述目标接入网设备的通信的请求；所述请求包括所述第二通信系统的安全上本文档来自技高网...

【技术保护点】
1.一种密钥推演的方法，其特征在于，所述方法包括：第五代通信系统中的接入与管理网元AMF接收第四代通信系统中的接入与管理网元MME发送的第一中间密钥Kasme；所述AMF根据第一中间密钥Kasme生成第二中间密钥Kamf；所述AMF根据所述第二中间密钥Kamf生成安全密钥；以及所述AMF向基站发送所述安全密钥。

【技术特征摘要】
1.一种密钥推演的方法，其特征在于，所述方法包括：第五代通信系统中的接入与管理网元AMF接收第四代通信系统中的接入与管理网元MME发送的第一中间密钥Kasme；所述AMF根据第一中间密钥Kasme生成第二中间密钥Kamf；所述AMF根据所述第二中间密钥Kamf生成安全密钥；以及所述AMF向基站发送所述安全密钥。2.根据权利要求1所述的方法，其特征在于，所述AMF根据第一中间密钥生成第二中间密钥，包括：所述AMF根据第一中间密钥和网络参数推演第二中间密钥。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述AMF接收所述MME发送的第四代通信系统的安全上下文；所述AMF根据第一中间密钥生成第二中间密钥，包括：所述AMF根据第一中间密钥、所述第四代通信系统的安全上下文以及网络参数生成第二中间密钥。4.根据权利要求1所述的方法，其特征在于，所述安全密钥包括接入层密钥；所述AMF根据所述第二中间密钥生成安全密钥，包括：所述AMF根据所述第二中间密钥和上行非接入层计数值生成接入层密钥密钥。5.根据权利要求4所述的方法，其特征在于，所述第一中间密钥为所述第四代通信系统中认证后生成的上层的密钥，用于推衍第四代通信系统的下层的接入层和非接入层的密钥。6.一种密钥推演的方法，其特征在于，所述方法包括：用户设备接收第四代通信系统中的无线接入网络发送的切换请求，所述切换请求中包括安全上下文；所述用户设备根据第一中间密钥Kasme和所述安全上下文生成安全密钥，其中，所述第一中间密钥kasme为所述第四代通信系统中认证后生成的上层的密钥，用于推衍第四代通信系统的下层的接入层和非接入层的密钥；所述用户设备从所述第四代通信系统中的无线接入网络切换至第五代通信系统中的无线接入网络。7.根据权利要求6所述的方法，其特征在于，所述用户设备根据第一中间密钥和所述安全上下文生成安全密钥，包括：所述用户设备根据第一中间密钥Kasme生成第二中间密钥Kamf；所述用户设备根据所述第二中间密钥Kamf和所述安全上下文生成安全密钥。8.根据权利要求7所述的方法，其特征在于，所述用户设备根据第一中间密Kamse钥生成第二中间密钥Kamf，包括：所述用户设备根据第一中间密钥和网络参数推演第二中间密钥。9.根据权利要求8所述的方法，其特征在于，所述安全密钥包括接入层密钥和非接入层密钥；所述用户设备根据所述第二中间密钥和所述安全上下文生成安全密钥，包括：所述用户设备根据所述第二中间密钥和上行非接入层计数值获取接入层中间密钥KgNB，并基于所述接入层中间密钥KgNB获取接入层密钥；以及所述用户设备根据所述第二中间密钥和非接入层的算法标识获取非接入层密钥。10.根据权利要求6所述的方法，其特征在于，所述用户设备根据第一中间密钥和所述安全上下文生成安全密钥，包括：所述AMF根据所述第一中间密钥、所述安全上下文以及网络参数生成第二中间密钥；所述用户设备根据所述第二中间密钥Kamf和所述安全上下文生成安全密钥。11.一种接入...

【专利技术属性】
技术研发人员：吴荣，甘露，张博，谭帅帅，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44