CN110913393B - 切换方法和终端设备 - Google Patents

Abstract

本申请提供了一种切换方法和终端设备，该切换方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：终端设备接收第一信息，该第一信息包括指示终端设备从第一网络切换至第二网络的指示信息；当终端设备中保存有第三网络的安全上下文，且该第三网络的安全上下文为原生安全上下文时，终端设备删除第一网络的安全上下文，并将第三网络的安全上下文设置为当前使用的安全上下文；终端设备向第二网络中的移动性管理实体发送使用第三网络的安全上下文保护的跟踪区更新TAU请求信息。本申请实施例的切换方法，能够避免安全上下文遭到泄漏，保证网络通信安全，提高用户体验。

Description

切换方法和终端设备

技术领域

本申请涉及通信领域，并且更具体地，涉及切换方法和终端设备。

背景技术

新空口承载语音(voice over new radio，VoNR)是使用第五代(5th generation，5G)新空口承载语音的技术。在5G网络部署初期，VoNR的覆盖面临着与长期演进承载语音(voice over long term evolution，VoLTE)相同的问题。即如果使用VoNR进行通话的用户移动到了只有电路交换(circuit switched，CS)覆盖区域的话，同样需要确保通话不被间断。

标准上定义了一种5G单一无线语音呼叫连续性(single radio voice callcontinuity，SRVCC)，可以解决5G网络与第三代(3rd generation，3G)网络之间的切换，进而确保通话不被间断。由于3G网络无法胜任5G网络的高速数据传输，如果用户在结束3G网络的语音业务后仍然驻留在3G网络，则会使用户体验受到较大的影响。因此如果此时用户所处位置有第四代(4th generation，4G)或5G网络覆盖的话，则应将用户重新返回4G或5G网络。

当用户被指示需要返回4G网络时，用户会根据3G安全上下文推演4G安全上下文，由于3G网络安全性较4G差，这使得推演出的4G安全上下文存在泄漏的风险，如该4G安全上下文可以被3G网络知晓，进而被攻击者获得，同时后续如果用户返回5G网络，会根据上述4G安全上下文继续推演5G安全上下文，使得3G网络的不安全性蔓延到5G网络，严重影响网络通信安全。

发明内容

本申请提供一种切换方法和终端设备，以避免4G安全上下文遭到泄漏，进而影响5G网络的安全，提高网络通信安全。

第一方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：所述终端设备接收第一信息，所述第一信息包括指示所述终端设备从所述第一网络切换至所述第二网络的指示信息；当所述终端设备中存在原生的所述第三网络的安全上下文时，所述终端设备将所述第三网络的安全上下文设置为当前使用的安全上下文；所述终端设备向所述第二网络中的移动性管理实体发送使用所述第三网络的安全上下文保护的跟踪区更新(tracking area update，TAU)请求(TAUrequest)信息。

基于上述技术方案，终端设备从第一网络(如2G/3G网络)向第二网络(如4G网络)切换时，可以基于第三网络(如5G网络)的安全上下文来推演出第二网络的安全密钥。终端设备上的安全上下文按照状态至少可以分为当前使用的安全上下文和非当前使用的安全上下文。终端设备驻留在第一网络时，第一网络的安全上下文为当前使用的安全上下文。当终端设备收到切换到第二网络的指示信息后，如果基于第一网络的安全上下文来推演第二网络的安全上下文，可能会出现由于第一网络的安全性差，导致第二网络的安全上下文存在泄漏的情况。因此，本申请提出，可以改变当前使用的安全上下文，如，将第三网络的安全上下文设置为当前使用的安全上下文，并可以基于该第三网络的安全上下文来推演出第二网络的安全密钥，进而可以提高安全性和用户体验。此外，终端设备用当前使用的安全上下文(第三网络的安全上下文)保护接下来向移动性管理实体发送的TAU请求信息，而不是从3G安全上下文派生出的4G映射安全上下文来保护TAU请求消息，可以避免Kasme发生泄漏，并保证5G网络的安全，提高网络通信安全。

结合第一方面，在第一方面的某些实现方式中，所述终端设备接收第一信息之后，还包括：所述终端设备删除所述第一网络的安全上下文。

基于上述技术方案，终端设备先删除第一网络(如2G/3G网络)的安全上下文，再将第三网络(如5G网络)的安全上下文设置为当前使用的安全上下文，这样可以进一步保证终端设备推演第二网络(如4G网络)的安全上下文时，使用的是第三网络的安全上下文，进而可以保证第二网络的安全上下文的安全性。

结合第一方面，在第一方面的某些实现方式中，所述跟踪区更新请求信息包括第五代5G全局唯一临时终端设备标识映射的第四代4G全局唯一临时终端设备标识和密钥集标识符。

结合第一方面，在第一方面的某些实现方式中，所述第一信息为无线资源控制RRC释放信息。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：当所述终端设备中不存在原生的所述第三网络的安全上下文时，所述终端设备删除所述第一网络的安全上下文；所述终端设备向移动性管理实体发送无完整性保护的跟踪区更新请求信息，以使所述移动性管理实体执行重鉴权流程。

基于上述技术方案，如果没有保存5G(即第三网络)原生安全上下文，或者5G原生安全上下文不可用，则删除处于当前使用状态的3G(即第一网络)安全上下文，并向移动性管理实体发送无完整性保护的跟踪区更新请求信息，这样移动性管理实体执行重鉴权流程，以建立4G安全上下文。

结合第一方面，在第一方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

第二方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：移动性管理实体在终端设备从第三网络切换至第一网络过程中，获取并保存第二网络的安全上下文；在所述终端设备从所述第一网络切换至所述第二网络时，所述移动性管理实体根据所述第二网络的安全上下文保护与所述终端设备的通信。

基于上述技术方案，终端设备从第一网络(如2G/3G网络)向第二网络(如4G网络)切换时，可以充分利用终端设备从第三网络(如5G网络)切换到第一网络过程中得到的第二网络的安全上下文，从而可以避免由第一网络切换回第二网络时的重鉴权流程。终端设备从第一网络向第二网络切换之前，是从第三网络切换到第一网络的，且在从第三网络切换到第一网络的过程中，会根据第三网络的安全上下文推演出第二网络的安全上下文，继而再根据第二网络的安全上下文推演出第一网络的安全上下文，以便终端设备从第三网络切换到第一网络。本申请充分利用了终端设备在从第三网络切换到第一网络的过程中得到的第二网络的安全上下文，继而移动性管理实体利用该第二网络的安全上下文保护与终端设备的通信，避免了终端设备从第一网络切换到第二网络时建立重鉴权流程带来的时延，并提高了用户体验。

结合第二方面，在第二方面的某些实现方式中，所述第二网络的安全上下文包括所述第二网络的根密钥和所述第二网络的安全算法；所述移动性管理实体在终端设备从第三网络切换至第一网络过程中，获取并保存所述第二网络的安全上下文，包括：在所述终端设备从第三网络切换至第一网络过程中，所述移动性管理实体接收来自接入和移动管理网元的第一请求信息，所述第一请求信息包括单射频语音呼叫连续性SRVCC切换指示信息以及所述第二网络的根密钥；所述移动性管理实体根据预设的策略，为所述终端选择所述第二网络的安全算法；所述移动性管理实体根据所述SRVCC切换指示信息，确定保存所述第二网络的根密和所述第二网络的安全算法。

基于上述技术方案，终端设备从第一网络(如2G/3G网络)向第二网络(如4G网络)切换之前，是从第三网络(如5G网络)切换到第一网络的，且在从第三网络切换到第一网络的过程中，会根据第三网络的根密钥推演出第二网络的根密钥，继而再根据第二网络的根密钥推演出第一网络的安全密钥，以便终端设备从第三网络切换到第一网络。现有技术中，移动性管理实体推演出第一网络的安全密钥后，并不会保存第二网络的根密钥，也不会选择并保存第二网络的安全算法。本申请中，终端设备从第一网络向第二网络切换时，移动性管理实体根据接收到的SRVCC切换指示，保存了终端设备从第三网络切换到第一网络过程中得到的第二网络的根密钥。此外，移动性管理实体还选择并保存第二网络的安全算法，从而可以避免终端设备从第一网络切换到第二网络时建立重鉴权流程带来的时延，并提高了用户体验。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：在所述终端设备从第三网络切换至第一网络过程中，所述移动性管理实体向所述终端设备发送所述第二网络的安全算法。

基于上述技术方案，移动性管理实体在终端设备从第一网络切换至第二网络时，将保存的第二网络的安全算法发送至终端设备，以便于终端设备根据第二网络的安全算法和第二网络的根密钥推演出终端设备在第二网络中使用的安全密钥。通过该安全密钥可以保护移动性管理实体与终端设备之间的通信。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述移动性管理实体向所述第一网络中移动交换中心发送所述第二网络的安全算法，以便于所述终端设备从所述第一网络切换至所述第二网络时能够获取所述第二网络的安全算法。

基于上述技术方案，终端设备从第一网络(如2G/3G网络)向第二网络(如4G网络)切换之前，是从第三网络(如5G网络)切换到第一网络的，且在从第三网络切换到第一网络的过程中，移动性管理实体基于来自接入和移动管理网元的SRVCC切换指示信息，会选择并保存第二网络的安全算法。移动性管理实体将选择的第二网络的安全算法发送至移动交换中心，以便于终端设备需要从第一网络切换至第二网络时，可以从移动交换中心获取第二网络的安全算法，从而可以避免建立重鉴权流程，提高用户体验。

结合第二方面，在第二方面的某些实现方式中，所述预设的策略包括以下至少一项因素：所述终端设备的安全能力、所述移动性管理实体的安全能力、业务的安全需求、所述移动性管理实体的安全能力优先级列表。

基于上述技术方案，预设的策略可以包括终端设备的安全能力，即移动性管理实体基于终端设备的安全能力(如终端设备支持的安全算法)来选择第二网络的安全算法。预设的策略也可以包括移动性管理实体自身的安全能力，即移动性管理实体基于自身的安全能力(如移动性管理实体自身支持的安全算法)来选择第二网络的安全算法。或者，预设的策略也可以包括安全能力优先级列表，例如，移动性管理实体确定终端设备和自身都支持的安全算法，然后可以选择安全强调最高或者优先级最高的算法作为第二网络的安全算法。

结合第二方面，在第二方面的某些实现方式中，所述第一网络为第三代(3G)/第二代(2G)网络，所述第二网络为第四代(4G)网络，所述第三网络为第五代(5G)网络。

第三方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：终端设备接收第一信息，所述第一信息包括用于指示所述终端设备从第一网络切换到第二网络的指示信息；所述终端设备根据所述第二网络的根密钥和所述第二网络的安全算法推演出所述终端设备在所述第二网络使用的安全密钥，其中，所述第二网络的根密钥是在所述终端设备从所述第三网络切换至所述第一网络时保存的，或，所述第二网络的根密钥是根据所述第三网络的根密钥推演得到的。

基于上述技术方案，终端设备从第一网络(如2G/3G网络)向第二网络(如4G网络)切换时，可以充分利用终端设备从第三网络(如5G网络)切换到第一网络过程中保存的第二网络的根密钥，或者根据第三网络的根密钥推演出第二网络的根密钥。继而终端设备根据该第二网络的根密钥和安全算法，推演出第二网络的安全密钥，避免了从第一网络切换到第二网络时建立重鉴权流程带来的时延，并提高了用户体验。

结合第三方面，在第三方面的某些实现方式中，所述第二网络的安全算法是移动性管理实体在所述终端设备从所述第三网络切换至所述第一网络的过程中选择的；所述终端设备接收第一信息之前，包括：所述终端设备接收并保存来自所述移动性管理实体的所述第二网络的安全算法。

基于上述技术方案，终端设备在从第三网络(如5G网络)切换至第一网络(如2G/3G网络)的过程中，获取并保存来自移动性管理实体的第二网络(如4G网络)的安全算法，从而终端设备在从第一网络切换至第二网络的过程中，可以直接使用保存的第二网络的安全算法，进而可以进一步降低时延，提高用户体验。

结合第三方面，在第三方面的某些实现方式中，所述第一信息中包括所述第二网络的安全算法。

基于上述技术方案，当指示终端设备从第一网络(如2G/3G网络)切换到第二网络(如4G网络)时，将第二网络的安全算法也发送至终端设备，进而可以使得终端设备根据第二网络的根密钥和第二网络的安全算法推演出第二网络的安全密钥。

结合第三方面，在第三方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

第四方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：移动性管理实体接收来自接入和移动管理网元的第一信息和所述第二网络的根密钥，其中，所述第二网络的根密钥用于推演所述终端设备在第一网络使用的安全密钥，所述第一信息用于指示所述终端设备从第三网络切换至所述第一网络；所述移动性管理实体选择并保存所述第二网络的安全算法；所述移动性管理实体向所述终端设备发送所述第二网络的安全算法。

基于上述技术特征，终端设备从第三网络(如5G网络)向第一网络(如2G/3G网络)切换时，移动性管理实体可以基于预设的策略选择并保存第二网络(如4G网络)的安全算法，并将该第二网络的安全算法发送至终端设备。这样，终端设备需要从第一网络切换至第二网络时可以直接使用该第二网络的安全算法，降低了切换带来的时延，提高了用户体验。

结合第四方面，在第四方面的某些实现方式中，所述第一信息包括单射频语音呼叫连续性SRVCC切换指示信息，所述移动性管理实体根据所述SRVCC切换指示信息，确定保存所述第二网络的根密钥。

基于上述技术特征，终端设备需要从第一网络切换至第二网络时可以直接使用该第二网络的根密钥，可以进一步降低时延。

结合第四方面，在第四方面的某些实现方式中，所述预设的策略包括以下至少一项因素：所述终端设备的安全能力、所述移动性管理实体的安全能力、业务的安全需求、所述移动性管理实体的安全能力优先级列表。

结合第四方面，在第四方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

第五方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：终端设备从第三网络切换至第一网络的过程中，所述终端设备接收并保存来自移动性管理实体的第二网络的安全算法；所述终端设备接收第一信息，所述第一信息包括用于指示所述终端设备从所述第一网络切换至所述第二网络的指示信息，所述第一信息中还包括所述第二网络的网络标识；所述终端设备根据所述第二网络的安全算法和所述第二网络的根密钥推演出所述终端设备在所述第二网络使用的安全密钥。

基于上述技术特征，终端设备从第三网络(如5G网络)向第一网络(如2G/3G网络)切换时，移动性管理实体可以选择并保存第二网络(如4G网络)的安全算法，并将该第二网络的安全算法发送至终端设备。这样，终端设备需要从第一网络切换至第二网络时可以直接使用该第二网络的安全算法，降低了切换带来的时延，提高了用户体验。

结合第五方面，在第五方面的某些实现方式中，所述第二网络的根密钥是在所述终端设备从第三网络切换至第一网络的过程中保存的。

基于上述技术特征，终端设备需要从第一网络切换至第二网络时可以直接使用该第二网络的根密钥，可以进一步降低时延。

结合第五方面，在第五方面的某些实现方式中，所述终端设备根据所述第二网络的安全算法和所述第二网络的根密钥推演出所述终端设备在所述第二网络使用的安全密钥之前，包括：所述终端设备根据所述第三网络的根密钥，推演出所述第二网络的根密钥。

基于上述技术特征，终端设备需要从第一网络切换至第二网络时可以使用保存的第一网络的根密钥推演出第二网络的根密钥，然后再利用该第二网络的根密钥和第二网络的安全算法推演出第二网络的安全密钥，进而避免重鉴权，提高用户体验。

结合第五方面，在第五方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络

第六方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：终端设备接收第一信息，所述第一信息包括用于指示所述终端设备从第一网络切换至第二网络的指示信息，所述第一信息中还包括所述第二网络的网络标识和所述第二网络的安全算法；所述终端设备根据所述第二网络的安全算法和所述第二网络的根密钥推演出所述终端设备在所述第二网络使用的安全密钥。

基于上述技术特征，终端设备需要从第一网络(如4G网络)向第二网络(如4G网络)切换时，无线网络子系统向终端设备发送第一信息(如无线资源控制RRC释放信息)，指示终端设备从第一网络切换至第二网络。该第一信息中还携带第二网络的安全算法，这样终端设备可以直接使用该第二网络的安全算法，从而进一步推演出第二网络的安全密钥，降低了切换时延，提高了用户体验。

结合第六方面，在第六方面的某些实现方式中，所述第二网络的根密钥是在所述终端设备从第三网络切换至第一网络的过程中保存的。

基于上述技术特征，终端设备从第一网络向第二网络切换时，可以直接使用保存的第二网络的根密钥，从而可以进一步降低时延。

结合第六方面，在第六方面的某些实现方式中，所述终端设备根据所述第二网络的安全算法和所述第二网络的根密钥推演出所述终端设备在所述第二网络使用的安全密钥之前，包括：所述终端设备根据所述第三网络的根密钥，推演出所述第二网络的根密钥。

基于上述技术特征，终端设备需要从第一网络切换至第二网络时可以使用保存的第一网络的根密钥推演出第二网络的根密钥，然后再利用该第二网络的根密钥和第二网络的安全算法推演出第二网络的安全密钥，进而避免重鉴权，提高用户体验。

结合第六方面，在第六方面的某些实现方式中，所述第二网络的安全算法是移动性管理实体在所述终端设备从第三网络切换至第一网络的过程中选择的。

结合第六方面，在第六方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

第七方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：移动性管理实体接收来自接入和移动管理网元的第一信息和第二网络的根密钥，其中，所述第二网络的根密钥用于推演所述终端设备在第一网络使用的安全密钥，所述第一信息用于指示所述终端设备从第三网络切换至所述第一网络；所述移动性管理实体根据预设的策略选择并保存所述第二网络的安全算法；所述移动性管理实体向所述第一网络中移动交换中心发送所述第二网络的安全算法。

基于上述技术特征，终端设备从第三网络(如5G网络)向第一网络(如2G/3G网络)切换时，移动性管理实体可以选择并保存第二网络(如4G网络)的安全算法，并将该第二网络的安全算法发送至移动交换中心。这样，终端设备需要从第一网络切换至第二网络时，移动交换中心可以将该第二网络的安全算法发给终端设备，使得终端设备可以直接使用该第二网络的安全算法，降低了切换带来的时延，提高了用户体验。

结合第七方面，在第七方面的某些实现方式中，所述移动性管理实体选择并保存所述第二网络的安全算法之前，包括：所述移动性管理实体接收来自所述第一网络中移动交换中心的请求信息，所述请求信息用于请求所述第二网络的安全算法。

基于上述技术特征，终端设备需要从第一网络切换至第二网络时，移动交换中心向移动性管理实体请求第二网络的安全算法，可以进一步避免资源的浪费。

结合第七方面，在第七方面的某些实现方式中，所述预设的策略包括以下至少一项因素：所述终端设备的安全能力、所述移动性管理实体的安全能力、业务的安全需求、所述移动性管理实体的安全能力优先级列表。

结合第七方面，在第七方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

第八方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：第一网络中移动交换中心接收来自移动性管理实体发送的第二网络的安全算法；所述第一网络中移动交换中心向无线网络子系统发送所述第二网络的安全算法，以便所述终端设备从第一网络切换至所述第二网络时能够获取所述第二网络的安全算法。

基于上述技术特征，当终端设备需要从第一网络切换至第二网络时，可以直接从无线网络子系统获取第二网络的安全算法。该第二网络的安全算法可以是移动性管理实体提前发送给移动交换中心的。

结合第八方面，在第八方面的某些实现方式中，所述第一网络中移动交换中心接收来自移动性管理实体发送的第二网络的安全算法之前，包括：所述第一网络中移动交换中心接收来自所述无线网络子系统发送的通知信息，所述通知信息用于通知所述移动交换中心向所述移动性管理实体请求所述第二网络的安全算法。

基于上述技术特征，当终端设备需要从第一网络切换至第二网络时，无线网络子系统可以通知移动交换中心向移动性管理实体请求第二网络的安全算法。

结合第八方面，在第八方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络。

第九方面，提供了一种切换方法，该方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，该方法包括：无线网络子系统接收来自第一网络中移动交换中心的第二网络的安全算法；所述无线网络子系统向终端设备发送所述第二网络的安全算法，以便所述终端设备根据所述第二网络的安全算法和所述第二网络的根密钥推演出所述第二网络的安全密钥。

基于上述技术特征，当终端设备需要从第一网络切换至第二网络时，可以直接从无线网络子系统获取第二网络的安全算法。该第二网络的安全算法可以是移动性管理实体提前发送给移动交换中心的。

结合第九方面，在第九方面的某些实现方式中，所述第二网络的安全算法是所述第一网络中移动性管理实体在所述终端设备从第三网络切换至所述第一网络的过程中选择的。

基于上述技术特征，移动性管理实体可以在终端设备从第三网络切换至第一网络的过程中选择并保存第二网络的安全算法，这样当终端设备需要从第一网络切换至第二网络时，可以直接从无线网络子系统获取第二网络的安全算法。

结合第九方面，在第九方面的某些实现方式中，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

第十方面，提供了一种切换装置，包括用于执行上述第一至第九方面中任一种可能实现方式中的方法的各个模块或单元。

第十一方面，提供了一种切换设备，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一至第九方面中任一种可能实现方式中的方法。可选地，该切换设备还包括存储器。可选地，该切换设备还包括通信接口，处理器与通信接口耦合。

在一种实现方式中，该切换设备为通信设备，如本申请实施例中的终端设备、移动性接入实体、接入和移动管理网元、移动交换中心、无线网络子系统网元。当该切换设备为通信设备时，所述通信接口可以是收发器，或，输入/输出接口。

在另一种实现方式中，该切换设备为配置于通信设备中的芯片，如配置于如本申请实施例中的终端设备、移动性接入实体、接入和移动管理网元、移动交换中心、无线网络子系统网元中的芯片。当该切换设备为配置于通信设备中的芯片时，所述通信接口可以是输入/输出接口。

可选地，所述收发器可以为收发电路。可选地，所述输入/输出接口可以为输入/输出电路。

第十二方面，提供了一种处理器，包括：输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号，并通过所述输出电路发射信号，使得所述处理器执行上述第一至第九方面任一种可能实现方式中的方法。

在具体实现过程中，上述处理器可以为芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的，输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电路，该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。

第十三方面，提供了一种处理装置，包括处理器和存储器。该处理器用于读取存储器中存储的指令，并可通过接收器接收信号，通过发射器发射信号，以执行上述第一至第九方面任一种可能实现方式中的方法。

可选地，所述处理器为一个或多个，所述存储器为一个或多个。

可选地，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

应理解，相关的数据交互过程例如发送指示信息可以为从处理器输出指示信息的过程，接收能力信息可以为处理器接收输入能力信息的过程。具体地，处理输出的数据可以输出给发射器，处理器接收的输入数据可以来自接收器。其中，发射器和接收器可以统称为收发器。

上述第十三方面中的处理装置可以是一个芯片，该处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。

第十四方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，使得计算机执行上述第一至第九方面中任一种可能实现方式中的方法。

第十五方面，提供了一种计算机可读介质，所述计算机可读介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述第一至第九方面中任一种可能实现方式中的方法。

第十六方面，提供了一种通信系统，包括前述的终端设备、移动性接入实体、接入和移动管理网元、移动交换中心以及无线网络子系统网元。

附图说明

图1是适用于本申请实施例提供的切换方法的网络架构的一示意图；

图2是适用于本申请实施例的终端设备进行SRVCC切换的一示意性流程图；

图3是适用于本申请实施例的终端设备进行SRVCC切换的又一示意性流程图；

图4是根据本申请一实施例提供的切换方法的一示意性流程图；

图5是根据本申请一实施例提供的切换方法的又一示意性流程图；

图6是根据本申请又一实施例提供的切换方法的示意性流程图；

图7是本申请实施例提供的切换装置的示意性框图；

图8是本申请实施例提供的切换设备的示意性框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通信(globalsystem for mobile communications，GSM)系统、码分多址(code division multipleaccess，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long termevolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobiletelecommunication system，UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access，WiMAX)通信系统、未来的第五代(5th generation，5G)系统或新无线(new radio，NR)等。

应理解，本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定，只要能够通过运行记录有本申请实施例的提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可，例如，本申请实施例提供的方法的执行主体可以是终端或网络设备，或者，是终端或网络设备中能够调用程序并执行程序的功能模块。

为便于理解本申请实施例，首先结合图1详细说明适用于本申请实施例的应用场景。

图1是适用于本申请实施例提供的方法的网络架构的示意图。如图所示，网络架构例如可以是非漫游(non-roaming)架构。图1所示的网络架构具体可以包括下列网元：

1、用户设备(user equipment，UE)：可以称终端设备、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。UE还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等，还可以是端设备，逻辑实体，智能设备，如手机，智能终端等终端设备，或者物联网(Internet of things，IoT)设备。本申请实施例对此并不限定。

在本申请实施例中，UE会存储有安全密钥，UE会通过安全密钥来保护与网络设备之间的信令面和用户面数据传输，从而可以保证信令面和用户面数据传输的安全性。

2、接入网(access network，AN)：为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等使用不同质量的传输隧道。接入网络可以为采用不同接入技术的接入网络。目前的无线接入技术有两种类型：第三代合作伙伴计划(3rd GenerationPartnership Project，3GPP)接入技术和非第三代合作伙伴计划(non-3GPP)接入技术。其中，3GPP接入技术，例如第三代(3rd generation，3G)系统中采用的无线接入网技术、第四代(4th generation，4G)系统中采用的无线接入网技术、或图1中的下一代无线接入网(next generation radio access network，NG-RAN)技术(如5G系统中采用的无线接入技术)。3GPP接入技术是指符合3GPP标准规范的接入技术，采用3GPP接入技术的接入网络称为无线接入网络(radio access network，RAN)。其中，5G系统中的接入网设备称为下一代基站节点(next generation Node Base station，gNB)。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以wifi中的接入点(access point，AP)为代表的空口技术。

基于无线通信技术实现接入网络功能的接入网可以称为无线接入网(radioaccess network，RAN)。无线接入网能够管理无线资源，为终端提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。

无线接入网例如可以是基站(NodeB)、演进型基站(evolved NodeB，eNB或eNodeB)、5G移动通信系统中的基站(gNB)、未来移动通信系统中的基站或WiFi系统中的AP等，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该接入网设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等。本申请的实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

3、通用移动通信系统(universal mobile telecommunications system，UMTS)陆地无线接入网(UMTS terrestrial radio access network，UTRAN)：如3G接入网。

4、全球移动通信系统(global system for mobile communication，GSM)/改进数据率GSM服务(enhanced data rate for GSM evolution，EDGE)陆地无线接入网(GSM/EDGEterrestrial radio access network，GERAN)：如2G接入网。

5、演进的通用移动通信系统(evolved universal terrestrial radio accessnetwork，E-UTRAN)：如4G接入网。

6、服务网关(serving gateway，S-GW)实体：可以负责用户面处理，数据包的理由和转发等功能。

7、公共数据网(public data network，PDN)网关(gateway)实体：3GPP和非3GPP网络间的用户面数据链路锚点，可以负责管理3GPP和非3GPP间的数据路由。

8、移动交换中心服务器(mobile switching center server，MSC server)：具有呼叫控制和处理功能。本申请实施例中，MSC server指的是支持单一无线语音呼叫连续性(single radio voice call continuity，SRVCC)的增强MSC server(MSC serverenhanced for SRVCC)。

9、移动性管理实体(mobility management entity，MME)：主要负责移动性管理、承载管理、用户的鉴权认证、S-GW和分组数据网络网关(packet data network gateway，P-GW)的选择等功能。

10、接入和移动管理功能(access and mobility management function，AMF)：主要用于移动性管理和接入管理等，可以用于实现MME实体功能中除会话管理之外的其它功能，例如，合法监听、或接入授权(或鉴权)等功能。在本申请实施例中，可用于实现终端接入和移动管理的功能。

11、用户平面功能(user plane function，UPF)：相当于LTE系统中的P-GW实体，主要负责会话和承载管理、互联网协议(Internet Protocol，IP)地址分配等功能。在本申请实施例中，可用于实现用户面网关的功能。

12、IP多媒体子系统(IP multimedia subsystem，IMS)：基于IP网络提供多媒体业务的通用网络架构。

应理解，图1中所示的AMF网元、UPF网元、S-GW实体、P-GW实体，均可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对此不做限定。

下文中，为便于说明，将用于实现AMF网元记作接入和移动管理网元，将用于实现UPF网元记作用户面网关。应理解，上述命名仅为用于区分不同的功能，并不代表这些网元分别为独立的物理设备，本申请对于上述网元的具体形态不作限定，例如，可以集成在同一个物理设备中，也可以分别是不同的物理设备。此外，上述命名仅为便于区分不同的功能，而不应对本申请构成任何限定，本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。在此进行统一说明，以下不再赘述。

还应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

LTE承载语音(voice over LTE，VoLTE)是一种网络协议(Internet Protocol，IP)传输技术，其无需2G/3G网络，完全由4G网络承载语音和数据业务，其给用户带来最直观的感受就是接通等待时间更短，话音质量更高。然而，有LTE网络覆盖并不等同于有VoLTE覆盖，因为VoLTE还需要依靠IMS实现。但是IMS的部署需要一定周期并对现网设备做相应的改造或升级，所以在此过程中存在VoLTE覆盖不理想的情况。因此，如果用户在使用VoLTE打着电话时移动到了只有电路交换(circuit switched，CS)覆盖的区域，通话可能就会中断。

为此，3GPP提出的一种VoLTE语音业务连续性方案，即SRVCC。SRVCC主要是为了解决当单射频终端在LTE网络和2G/3G网络之间移动时，如何保证语音呼叫连续性的问题，即保证单射频终端在IMS控制的网络电话(voice over Internet Protocol，VoIP)语音和CS域语音之间的平滑切换。其中，VoIP指的是将处于模拟信号形式的语音信号数字化后用数据包的形式在IP网络上传输的技术，其优势在于可以广泛采用互联网和全球IP互联的特性提供比传统业务更好的服务。CS指的是在通话前为双方分配一条固定的通道，在整个通话过程中一直占用这条“专用”通道，待通话结束后释放以便分配给其他用户的电路交换技术。VoIP语音与CS域语音相比，由于共享传输通道大大提升了资源的利用率，不过也可能会带来处理开销和时延。

为了便于理解本申请实施例，下面结合图2和图3简单说明SRVCC的主要流程。

图2示出了终端进行SRVCC切换的一示意性流程图。如图2所示，包括步骤110-步骤180。

在步骤110中，基站向移动性管理实体发送切换请求(handover required)消息。基站根据终端上报的测量报告决定发起SRVCC切换时，基站向移动性管理实体发送切换请求消息。该切换请求消息中携带SRVCC切换(handover，HO)指示(SRVCC HO indication)。该SRVCC切换指示用于指示接下来执行的过程是SRVCC切换。

在步骤120中，移动性管理实体接收到基站发来的切换请求消息后，使用当前的终端安全上下文中的根密钥Kasme推演出CS域语音需要使用的加密密钥(cipher key，CK)和完整性密钥(integrity key，IK)，并将标识密钥Kasme的密钥集标识符(key setidentifier in E-UTRAN，eKSI)映射为标记CK||IK的密钥集标识符(key set identifier，KSI)。可选的，其中，eKSI和KSI两者值(value)部分相同，类型不同。

在步骤130中，移动性管理实体向移动交换中心服务器发送PS到CS的切换请求(PSto CS HO request)消息。其中包含在步骤120中推演出的CK||IK和KSI。

在步骤140中，移动交换中心服务器向移动性管理实体发送PS到CS的切换响应(PSto CS HO response)消息。其中包含了KSI。

在步骤150中，移动性管理实体向终端发送切换命令(HO command)消息。其中包含了KSI。

在步骤160中，基站向终端发送切换命令消息，其中包含了KSI。其中，向终端发送KSI，目的是通知终端本条消息是使用哪个密钥进行保护的。

在步骤170中，终端收到切换命令消息后，利用Kasme推演CK||IK，并将eKSI映射为KSI。

在步骤180中，终端切换到UTRAN，如终端切换到3G/2G网络。

终端切换到3G/2G网络后，步骤170中得到的KSI可用于终端和网络之间对密钥的识别和检索，步骤170中得到的CK||IK可用于保护终端与网络之间的信令面和用户面数据传输。

需要说明的是，移动性管理实体和终端将eKSI映射为KSI是分别执行的，具体映射操作为保持eKSI和KSI值部分相同，而类型部分可以区分是原生(native)安全上下文还是映射(mapped)安全上下文。

从图2可知，在SRVCC切换过程中，移动性管理实体可以先推演3G/2G网络的密钥信息，再将推演的3G/2G网络的密钥信息发送至移动交换中心服务器。

在下一代通信网络，也需要考虑通话不被间断的问题。以5G通信网络为例，新空口承载语音(voice over new radio，VoNR)是使用5G新空口承载语音的技术。在5G网络部署初期，VoNR的覆盖面临着与VoLTE相同的问题，即如果使用VoNR进行通话的用户移动到了只有CS覆盖区域的话，同样需要确保通话不被间断。因此标准上定义了一种新的5G SRVCC，用来解决5G与3G间的切换。

图3示出了终端设备进行5G SRVCC切换的一示意性流程图。由于接入和移动管理网元与移动交换中心服务器之间没有直接接口，因此5G SRVCC采用移动性管理实体中继的方式进行。其中，移动性管理实体与移动交换中心服务器的交互与图2中的过程相似，只是增加了接入和移动管理网元与移动性管理实体间的交互。如图3所示，包括步骤201-步骤211。

在步骤201中，基站向接入和移动管理网元发送切换请求消息。基站根据终端上报的测量报告决定发起5G SRVCC切换时，基站向接入和移动管理网元发送切换请求消息。该切换请求消息中携带SRVCC切换指示。该SRVCC切换指示用于指示接下来执行的过程是SRVCC切换。

在步骤202中，接入和移动管理网元接收到基站发来的切换请求消息后，使用密钥Kamf推演出Kasme，并将标识Kamf的密钥集标识符ngKSI映射为标记Kasme的eKSI。

在步骤203中，接入和移动管理网元向移动性管理实体发送前传重定位请求(forward relocation request)消息。其中包含步骤202中推演得到的Kasme和eKSI。

在步骤204中，移动性管理实体接收到接入和移动管理网元发来的前传重定位请求消息后，使用根密钥Kasme推演出CS域语音需要使用的加密和完整性密钥CK||IK，并将标识Kasme的eKSI映射为标记CK||IK的KSI。其中，eKSI和KSI两者值部分相同，类型不同。

在步骤205中，移动性管理实体向移动交换中心服务器发送PS到CS的切换请求(PSto CS HO request)消息。其中包含在步骤204中推演出的CK||IK和KSI。

在步骤206中，移动交换中心服务器向移动性管理实体发送PS到CS的切换响应(PSto CS HO response)消息。其中包含了KSI。

在步骤207中，移动性管理实体向接入和移动管理网元发送前传重定位响应(forward relocation response)消息。其中包含了KSI。

在步骤208中，接入和移动管理网元向基站发送切换命令消息。其中包含了KSI。

在步骤209中，基站向终端发送切换命令消息，其中包含了KSI。其中，向终端发送KSI，目的是通知终端本条消息是使用哪个密钥进行保护的。

在步骤210中，终端收到切换命令消息后推演出CK||IK，并由ngKSI映射出KSI。

终端收到切换命令后，首先使用Kamf推演出Kasme，然后使用Kasme和输入参数推演出CK||IK。其中，输入参数可以是由接入和移动管理网元获取并通知UE，也可以是UE发送的业务请求消息中携带的，如PDU会话标识等。

在步骤211中，终端切换到UTRAN，如终端切换到3G/2G网络。

终端切换到3G/2G网络后，步骤210中得到的KSI可用于终端和网络之间对密钥的识别和检索，步骤210中得到的CK||IK可用于保护终端与网络之间的信令面和用户面数据传输。

需要说明的是，与4G到3G的SRVCC类似，ngKSI与KSI在值的部分相同，类型部分可以区分是原生安全上下文还是映射安全上下文。

从图3可以看出，5G网络中的接入和移动管理网元可以先推演4G网络的根密钥，再将4G网络的根密钥发送至4G网络中的移动性管理实体。移动性管理实体再基于上述根密钥推演3G网络系统的密钥信息(如CK||IK)，将推演的3G网络的密钥信息发送至移动交换中心服务器。

由于3G网络无法胜任5G网络的高速数据传输，如果终端在结束3G网络的语音业务后仍然驻留在3G网络，则会使用户体验受到较大的影响。因此如果此时终端所处位置有4G或5G网络覆盖的话，则应将终端重新返回4G或5G网络。

一种可能的实现方式为，3G网络向终端发送无线资源控制(radio resourcecontrol，RRC)释放(release)消息，其中携带了4G或5G的公共陆地移动网络(public landmobile network)标识(identity，ID)，用于通知终端返回相应的目标网络。

如果此时终端所处位置有5G网络覆盖，终端将被指示返回5G网络。此时终端与接入和移动管理网元可以使用发生5G SRVCC流程前的5G安全上下文保护通信。

如果此时终端所处位置没有5G网络覆盖，而只有4G网络覆盖，终端将被指示返回4G网络。此时由于终端和移动性管理实体并没有相应的4G安全上下文，因此需要建立完整的重鉴权流程，这样会大大增加时延和空口资源的消耗，且会严重影响终端的用户体验。

有鉴于此，本申请提供一种方法，以避免终端在回到4G网络时执行重鉴权，以帮助终端快速返回4G网络，且达到减小时延和空口资源消耗的目的。应理解，本申请提供的方法并不仅限于上述图3所示的场景。例如，终端从5G网络切换到2G/3G网络时，网络设备会先根据5G网络的根密钥推演出4G网络的根密钥，再根据4G网络的根密钥推演出2G/3G网络的安全密钥。那么，当终端需要从2G/3G网络切换到4G网络时，根据本申请提供的方法，也能够避免重鉴权带来的时延。

为便于理解，在描述本申请实施例之前，首先对本申请涉及的几个术语做简单介绍。

1、第一密钥Kamf：在终端注册到5G网络的过程中，终端与接入和移动管理网元分别获取到的密钥。Kamf与5G网络中的密钥集标识符(KSI in 5G，ngKSI)相关。在注册过程中，接入和移动管理网元可以随机分配一个ngKSI，并将ngKSI发送至终端。ngKSI用于标识5G网络的根密钥Kamf。例如，接入和移动管理网元在向终端发送的鉴权请求消息和/或鉴权成功消息中携带了上述ngKSI用于标识5G网络的根密钥。因此对于终端以及接入和移动管理网元而言，每个ngKSI可用于唯一地指示一个Kamf。在本申请中，Kamf可用于后续生成根密钥Kasme。

2、第二密钥Kasme：在终端注册到4G网络的过程中，终端与移动性管理实体分别获取到的密钥。Kasme与4G中的密钥集标识符(KSI in E-UTRAN，eKSI)相关。在注册过程中，移动性管理实体可以随机分配一个eKSI，并将eKSI发送至终端。eKSI用于标识4G网络的根密钥Kasme。例如，移动性管理实体在向终端发送的鉴权请求消息中携带了上述eKSI用于标识4G网络的根密钥。因此对于终端以及移动性管理实体而言，每个eKSI可用于唯一地指示一个Kasme。Kasme可用于后续生成非接入层(non-access stratum，NAS)密钥和接入层(access stratum，AS)密钥。

3、eKSI、ngKSI、KSI：密钥集标识符。密钥集标识符可用于终端和网络之间对密钥的识别和检索。eKSI用于标识Kasme，ngKSI用于标识Kamf，KSI可用于标识加密密钥CK+完整性密钥IK。CK和IK可以作为3G网络的密钥信息。

应理解，上文列举的密钥、根密钥、密钥集标识符的名称仅为便于区分而命名，不应对本申请构成任何限定，本申请并不排除采用其他的名称来替代上述中间密钥或根密钥以实现相同或相似功能的可能。

4、推演密钥：或者称为密钥推演，指根据输入参数得到密钥。以根据5G网络的根密钥推演4G网络的根密钥为例。

根据5G网络的根密钥推演4G网络的根密钥的输入参数可以包含以下参数中的一个或者多个：函数代码(Function Code，FC)、上行/下行非接入层计数值、预设值、随机数，5G网络的根密钥可以是Kamf。4G网络的根密钥可以是Kasme。

其中，FC可以理解为在推演密钥信息时使用的推演函数的代码，用于表示使用什么样的函数来推演密钥信息，如，FC可以为5G网络的根密钥推演4G的根密钥使用的函数代码。NAS计数值(count)由序列号和溢出计数器组成，非接入层计数值可以为上行非接入层计数值或者下行非接入层计数值。其中，下行非接入层计数值可以是5G网络的根密钥推演4G网络的根密钥使用的下行非接入层计数值。Kasme可以是终端和网络完成认证后生成的密钥信息。

应理解，以上列举的参数仅为示例，不应对本申请构成任何限定。同时，本申请也并不排除采用其他的信息作为用于生成根密钥的参数的可能。

具体的密钥推演，如5G网络的根密钥推演4G网络的根密钥或者4G网络根密钥推演3G安全密钥，可以参考现有标准中的方法，本申请实施例不做限定。

5、加密：发送端根据加密算法以及加密密钥对明文进行加密以生成密文。若使用对称加密的方法，加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说，发送端和接收端可以基于同一个密钥去加密和解密。

6、完整性保护：发送端根据完整性保护算法以及完整性保护密钥对明文或密文进行完整性保护。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。

7、安全能力：包括但不限于：安全算法、安全参数、密钥等。在本申请实施例中，安全能力例如可以包括UE的安全能力和网络侧设备(如MME或者AMF或者UPF)的安全能力等。

8、安全算法：用于在对数据安全保护时使用的算法。例如可包括：加/解密算法、完整性保护算法等。

9、安全上下文：可以用于实现数据加解密和/或完整性保护的信息。安全上下文例如可以包括：加/解密密钥、完整性保护密钥、新鲜参数(比如非接入层(non-accessstratum，NAS)计数值(count))、ngKSI以及安全算法等。

下面结合附图详细说明本申请实施例提供切换方法。

需要说明的是，在下文中结合附图描述实施例的过程中，图中仅为便于理解而示意，不应对本申请构成任何限定。此外，图4至图6中示出的gNB可对应于基站节点，AMF可对应于接入和移动管理网元，MME可对应于移动性管理实体，MSC server可对应于移动交换中心服务器，RNS可对应于无线网络子系统(radio network subsystem，RNS)网元。各网元名称仅为区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除定义其他网元来实现相同或相似功能的可能。

下文的实施例仅为示例，以第一网络为3G网络、第二网络为4G网络、第三网络为5G网络为例详细说明本申请实施例。

图4是从设备交互的角度示出的本申请一实施例提供的切换方法400的示意性流程图。如图所示，图4中所示的方法400可以包括步骤401至步骤426。下面结合图4详细说明方法400中的各个步骤。

在步骤401中，基站向接入和移动管理网元发送切换请求消息。

基站可以根据UE上报的测量报告决定发起进行SRVCC切换的请求，或者，基站也可以根据当前负载等因素决定发起进行SRVCC切换的请求。基站向接入和移动管理网元发送切换请求消息。该切换请求消息中携带SRVCC切换指示。该SRVCC切换指示用于指示接下来执行的过程是SRVCC切换。

在步骤402中，接入和移动管理网元推演出Kasme，并将ngKSI映射为eKSI。

当UE在5G网络新空口不支持SRVCC到3G网络的CS域时，UE在5G网络进行语音业务，需要将5G网络的语音业务切换至3G网络。如可以通过移动管理实体进行语音业务切换时的信令中转，从而将语音业务由5G网络切换至3G网络，保证语音业务的连续性。

接入和移动管理网元可以根据密钥推演参数和当前的安全上下文中的Kamf推演出Kasme。其中，密钥推演参数可以包括如前所述的非接入层计数值，非接入层计数值可以为上行非接入层计数值或者下行非接入层计数值。

接入和移动管理网元可以使用Kamf和非接入层计数值推演出Kasme，并将标识Kamf的ngKSI映射为标记Kasme的eKSI。

在步骤403中，接入和移动管理网元向移动性管理实体发送前传重定位请求消息。

该前传重定位请求消息中包含SRVCC切换指示消息和Kasme。移动性管理实体可以基于Kasme推演得到3G网络的密钥。该前传重定位请求消息中还可以包含步骤402中的密钥集标识符eKSI，该eKSI用于标识4G网络的根密钥Kasme。

可选的，该前传前传重定位请求消息中还可以包括UE的安全能力。其中，UE的安全能力可以包括该UE支持的安全算法的名称，或者，还可以包括按照优先级由高到低的顺序排列的各安全算法的类型或标识。或者，接入和移动管理网元预先已知该UE的安全能力，不需要在该前传重定位请求消息中携带。

在步骤404中，获得CK||IK。

移动性管理实体收到来自接入和移动管理网元发来的重定位请求消息后，根据其中的SRVCC切换指示消息知道需要发起UE从5G网络切换至3G网络的SRVCC流程，于是使用收到的Kasme获得CK||IK。例如，移动性管理实体使用Kasme和输入参数推演出CK||IK。其中，输入参数可以是由接入和移动管理网元获取并通知UE，也可以是UE发送的业务请求消息中携带的，如PDU会话标识等。

可选的，移动性管理实体可以直接把Kasme的前半段作为CK，后半段作为IK，此时，移动性管理实体收到的eKSI也可以直接作为KSI标识CK||IK，因为eKSI和KSI的值是一样的，并且类型也都是映射安全上下文。

在步骤405中，移动性管理实体向移动交换中心服务器发送PS到CS切换请求消息。

该PS到CS切换请求消息中包含CK||IK和标识CK||IK的KSI，该PS到CS切换请求消息的作用是进行分组交换到电路交换的请求。

在步骤406中，移动交换中心服务器向无线网络子系统网元发送重定位请求消息/切换请求消息。

重定位请求消息/切换请求消息用于向无线网络子系统网元中的基站控制器进行切换请求。其中，无线网络子系统网元指包含基站控制器和基站的无线网络子系统。

在步骤407中，无线网络子系统网元向移动交换中心服务器发送重定位响应消息/切换响应消息。

该消息是对步骤406中重定位请求消息/切换请求消息的响应。

在步骤408中，移动交换中心服务器向移动性管理实体发送PS到CS切换响应消息。

该PS到CS切换响应消息用于响应步骤405中的PS到CS切换请求消息。

在步骤409中，移动性管理实体向接入和移动管理网元发送前传重定位响应消息。

在步骤410中，接入和移动管理网元向基站发送切换命令消息。

在步骤411中，基站向UE发送切换命令消息。

在步骤412中，UE推演出CK||IK。

UE收到切换命令消息后，利用Kamf推演Kasme，然后用Kasme推演出CK||IK。

在步骤413中，UE向无线网络子系统网元发送切换完成消息。

在步骤414中，无线网络子系统网元向移动交换中心服务器发送切换完成消息。

在步骤415中，移动交换中心服务器向移动性管理实体发送PS到CS的切换完成消息。

通过上述步骤401到步骤415，UE可以从5G网络切换到3G网络。

上述简单介绍了UE从5G网络切换至3G网络的SRVCC流程，该SRVCC流程与现有技术类似，本申请不作限制。

当UE语音业务结束后，如果UE所在区域有NR覆盖(即5G网络)，那么UE将从3G网络切换至5G网络。如果UE中保存的5G安全上下文可用，且该5G安全上下文为原生(native)安全上下文(即该上下文是通过完整的鉴权和密钥协商(authentication and keyagreement，AKA)流程生成的)，则使用上述5G安全上下文来保护UE与5G网络之间的通信，例如，使用该5G安全上下文对注册请求消息进行完整性保护。如果该5G安全上下文为映射(mapped)安全上下文(即该上下文是通过4G安全上下文推演而来的，如使用4G网络根密钥Kasme推演出5G网络根密钥Kamf，进而再生成NAS密钥、AS密钥等)，或者该5G安全上下文不可用(如UE中不存在5G安全上下文)，则UE将发送不带完整性保护的注册请求消息，该注册请求消息会触发接入和移动管理网元对UE执行重鉴权流程(即接入和移动性管理实体向统一数据管理(Unified Data Management，UDM)网元请求一个鉴权向量，并根据该鉴权向量向UE发送鉴权挑战，当UE通过上述鉴权挑战后便与网络共享了一个根密钥)，建立一个5G原生安全上下文。

需要说明的是，在本申请实施例中，5G原生安全上下文，或，原生的5G安全上下文，都是用来表示5G安全上下文为原生的，其具体名称不对本申请的保护范围造成限定。如前所述，原生安全上下文即表示该安全上下文是通过完整的AKA流程生成的安全上下文。

当UE语音业务结束后，如果UE所在区域没有NR覆盖，但是有E-UTRAN(即4G网络)覆盖，那么UE将从3G网络切换至4G网络。如果此时UE上保存有5G安全上下文，且该5G安全上下文为原生安全上下文，则UE收到无线网络子系统(如RNS)发送的RRC释放消息后，UE将删除UMTS安全上下文(即3G安全上下文)或者将UMTS安全上下文设置为非激活态(inactive)，并将5G安全上下文从非当前使用的安全上下文设置为当前使用的安全上下文(即激活5G安全上下文)，进而UE可以使用该5G安全上下文推演4G安全上下文。后续UE可以向移动性管理实体发送跟踪区更新(tracking area update，TAU)请求(TAU request)消息，该TAU请求消息是由5G安全上下文进行完整性保护的。如果上述5G安全上下文为映射安全上下文，或者该5G安全上下文不可用，则UE将向移动性管理实体发送没有完整性保护的跟踪去更新消息，进而触发移动性管理实体对UE执行重鉴权流程，以建立新的演进的分组系统(evolvedpacket system，EPS)安全上下文(即4G安全上下文)。

下面结合图4中的步骤416至步骤426详细说明UE从3G网络切换至4G网络的主要过程。

在步骤416中，移动交换中心服务器向无线网络子系统网元发送RRC释放，该消息中携带上次使用的PLMN ID，即4G网络的PLMN ID。

在步骤417中，无线网络子系统网元向UE发送RRC释放消息。

当UE所处位置有4G网络，且无5G网络时，无线网络子系统网元可以向UE发送RRC释放消息以指示UE切换到4G网络。该RRC释放消息中包含指示UE回到的目标网络的网络标识。例如，该网络标识例如可以包括但不限于：运营商标识(例如，PLMN ID、接入网络标识(access network ID)、服务网络标识(serving network ID)、小区标识(cell ID)、基站标识(gNB ID)、局域网网络ID、切片ID、承载(bearer)ID、服务质量(quality of service，QoS)ID、流(flow)ID、网络切片选择辅助信息(network slice selection assistanceinformation，NSSAI)。

在步骤418中，UE将5G网络的安全上下文设置为当前使用的安全上下文。其中，5G网络的安全上下文是原生安全上下文。

UE上的安全上下文按照状态分为当前使用的安全上下文(current securitycontext)和非当前使用的安全上下文(non-current security context)。当UE收到RRC释放消息并指示其从3G网络切换至5G网络后，UE会根据当前使用的安全上下文(即3G安全上下文)触发3G到4G的切换流程，即使用3G网络的根密钥CK||IK推演出4G网络的根密钥Kasme，以便4G网络中的移动性管理实体根据Kasme推演出NAS密钥、AS密钥，获得4G安全上下文。但是由于3G网络安全性较差，这使得通过上述方法获得的4G安全上下文存在泄漏的风险，即如果攻击者攻破3G网络获得根密钥CK||IK后，其完全有能力推演出4G安全上下文。此外，当UE切换至4G网络后，又需要从4G网络切换至5G网络时(如，UE所处位置有5G网络覆盖的时候)，UE将使用可能存在泄漏风险的4G安全上下文推演5G安全上下文。因此，本申请实施例提供一种方法，可以避免发生4G安全上下文泄漏的风险，并且提高用户体验。

UE收到RRC释放消息后，根据RRC释放消息中包含的目标网络标识，确定要返回4G网络时，UE检查当前是否保存了5G原生(native)安全上下文。

如果保存了5G原生安全上下文，且该5G原生安全上下文可用，则UE删除3G安全上下文或将3G安全上下文设置为非激活态，并将5G原生安全上下文设置为当前使用的安全上下文，并向移动性管理实体发送由5G原生安全上下文进行完整性保护的TAU请求消息。

如果UE没有保存5G原生安全上下文(包括该5G安全上下文是映射的)，或者5G原生安全上下文不可用，则删除处于当前使用状态的3G安全上下文或将3G安全上下文设置为非激活态，并向移动性管理实体发送无完整性保护的TAU请求消息，以便后续触发移动性管理实体对UE执行重鉴权流程，最终建立4G(原生)安全上下文。

在步骤419中，UE向移动性管理实体发送TAU请求消息。

UE检查当前保存5G原生安全上下文，且该5G原生安全上下文可用，UE向移动性管理实体发送TAU请求消息，该TAU请求消息由5G原生安全上下文进行完整性保护。通过使用5G原生安全上下文，而不是从3G安全上下文派生出的4G映射安全上下文来保护TAU请求消息，可以避免Kasme发生泄漏，进而在UE切换到5G网络时保证5G网络的安全，提高网络通信安全。

TAU请求消息中包含由5G全局唯一的临时UE标识(5G globally uniquetemporary UE identity，5G GUTI)映射出的演进的分组系统的GUTI(evolved packetsystem GUTI，EPS GUTI)，由ngKSI映射出的eKSI，以及用5G原生安全上下文保护TAU请求消息做完整性保护生成的NAS MAC。

在步骤420中，移动性管理实体收到TAU请求消息后根据映射的EPS GUTI获得接入和移动管理网元的地址。

在步骤421中，移动性管理实体向接入和移动管理网元发送上下文请求消息。

该上下文请求消息中包含映射的EPS GUTI和使用5G原生安全上下文保护的TAU请求消息。其中，TAU请求消息是步骤419中UE发送给移动性管理实体的。

在步骤422中，接入和移动管理网元利用5G网络的安全上下文映射出4G网络的安全上下文。

接入和移动管理网元根据TAU请求消息中的eKSI找到相应的5G原生安全上下文，验证TAU请求消息。如果通过验证，接入和移动管理网元便利用5G原生安全上下文映射出4G安全上下文，并通过上下文响应消息发给移动性管理实体。如果没有通过验证，或者没有找到相应的5G原生安全上下文，则接入和移动管理网元会把该TAU请求消息当成是没有安全保护的，因此也不会向移动性管理实体发送任何安全上下文。无论验证是否通过，接入和移动管理网元都会在上下文响应消息中携带UE的永久身份标识(如国际移动用户识别码(International Mobile Subscriber Identity，IMSI)或用户永久标识(SubscriptionPermanent Identifier，SUPI)。

在步骤423中，接入和移动管理网元向移动性管理实体发送上下文响应消息。

该上下文响应消息中包括步骤422中中UE永久身份标识，和生成的4G映射安全上下文(如果验证通过)。如果移动性管理实体没有收到4G映射安全上下文，则其会根据收到的UE永久身份标识向归属用户服务器(Home Subscriber Server，HSS)请求鉴权向量，以进行重鉴权流程，生成4G(原生)安全上下文。

在步骤424中，移动性管理实体根据收到的4G映射安全上下文确定4G算法。

4G算法包括UE回到4G网络时将使用的加密算法和完整性保护算法，移动性管理实体可以根据自身安全能力、本地优先级列表和UE安全能力选择合适的加密算法和完整性保护算法。虽然移动性管理实体收到的4G映射安全上下文中可能会包含接入和移动管理网元与UE之前使用的5G加密算法和5G完整性保护算法对应的4G加密算法和4G完整性保护算法，但如果上述算法与移动性管理实体的配置不一致，或者移动性管理实体不支持，移动性管理实体将会重新选择算法。

在步骤425中，如果移动性管理实体重新选择了算法将触发NAS安全模式命令(security mode command，SMC)流程激活NAS安全，使得UE和移动性管理实体共享Kasme和相关的NAS密钥。

在步骤426中，移动性管理实体向UE发送TAU接受(TAU accept)消息，在此之前，如UE在发送TAU请求消息之后，可以先行根据5G原生安全上下文推演出4G映射安全上下文，即使用Kamf推演出Kasme，并用5G原生安全上下文中的5G加密算法和5G完整性保护算法对应的4G加密算法和4G完整性保护算法推演出NAS密钥，如果UE后续收到了移动性管理实体发来的NAS SMC消息，则根据NAS SMC消息的指示推演出新的NAS密钥并删除之前生成的NAS密钥，否则UE将使用之前生成的NAS密钥验证TAU接受消息。

基于上述方案，UE从5G网络切换到3G网络，再从3G网络返回4G网络时，UE调整其保存的安全上下文的状态。即UE删掉处于当前使用状态的3G安全上下文，并将5G原生安全上下文设置为当前使用的安全上下文，并使用5G原生安全上下文，而不是从3G安全上下文派生出的4G映射安全上下文来保护TAU请求消息。从而可以避免产生有泄露的4G安全上下文，保证5G网络的安全性，提高用户体验。

图5是从设备交互的角度示出的本申请又一实施例提供的切换方法500的一示意性流程图。如图所示，图5中所示的方法500可以包括步骤501至步骤519。下面结合图5详细说明方法500中的各个步骤。

在步骤501中，基站向接入和移动管理网元发送切换请求消息。

基站可以根据UE上报的测量报告决定发起进行SRVCC切换的请求，或者，基站也可以根据当前负载等因素决定发起进行SRVCC切换的请求。基站向接入和移动管理网元发送切换请求消息。该切换请求消息中携带SRVCC切换指示。该SRVCC切换指示用于指示接下来执行的过程是SRVCC切换。

在步骤502中，接入和移动管理网元推演出Kasme，并将ngKSI映射为eKSI。

同图4所示实施例步骤402，相关内容请参考步骤402相关描述.

在步骤503中，接入和移动管理网元向移动性管理实体发送前传重定位请求消息。

同图4所示实施例步骤403，相关内容可以参考步骤403相关描述。

在步骤504中，移动性管理实体保存Kasme，选择4G算法，并推演出NAS密钥。

移动性管理实体收到接入和移动管理网元发来的重定位请求消息后，根据其中的SRVCC切换指示消息知道需要发起SRVCC流程，因此移动性管理实体保存该Kasme。在本申请实施例中，移动性管理实体保存的Kasme可以用于后续UE从3G网络需要返回4G网络时，根据该Kasme推演出NAS密钥，避免当UE需要从3G网络切换到4G网络时，需要重新建立鉴权流程，这样会增加时延和空口信令开销，严重影响用户体验。

可选的，移动性管理实体可以基于预设的策略选择后续如果UE回到4G网络时将使用的加密算法和完整性保护算法。预设的策略可以包括以下至少一项因素：自身安全能力、本地优先级列表、UE安全能力等等。具体的，预设的策略可以包括终端设备的安全能力，即移动性管理实体基于终端设备的安全能力(如终端设备支持的安全算法)来选择UE回到4G网络时将使用的加密算法和完整性保护算法。预设的策略也可以包括移动性管理实体自身的安全能力，即移动性管理实体基于自身的安全能力(如移动性管理实体自身支持的安全算法)来选择UE回到4G网络时将使用的加密算法和完整性保护算法。或者，预设的策略也可以包括安全能力优先级列表，例如，移动性管理实体确定终端设备和自身都支持的安全算法，然后可以选择安全强调最高或者优先级最高的算法作为UE回到4G网络时将使用的加密算法和完整性保护算法。

其中，预设的策略可以是预先定义的，如协议定义，也可以是由UE和用户面网关协商确定的，本申请对此不做限定。上述加密算法和完整性保护算法可以统称为安全算法。为简洁，在下文实施例中，将移动性管理实体选择的UE回到4G网络时将使用的加密算法和完整性保护算法称为4G算法。

可选的，移动性管理实体能够使用Kasme和4G算法推演出NAS密钥，该NAS密钥可以用于UE切换到4G网络时使用。4G算法包括4G加密算法和4G完整性保护算法，NAS密钥包括NAS加密密钥和NAS完整性保护密钥。移动性管理实体根据Kasme以及4G加密算法推演出NAS加密密钥；根据Kasme以及4G完整性保护算法推演出NAS完整性保护密钥。

需要说明的是，在本申请实施例中，移动性管理实体收到接入和移动管理网元发来的重定位请求消息后，根据其中的SRVCC切换指示消息知道需要发起SRVCC流程，基于该SRVCC切换指示消息，移动性管理实体会保存Kasme以及选择的4G算法。

还需要说明的是，关于移动性管理实体何时推演出NAS密钥，本申请实施例不作限定。具体地，在步骤504中，移动性管理实体可以不推演NAS密钥，而是在确定UE需要返回4G网络时，再推演出NAS密钥。

在步骤505中，获得CK||IK。

移动性管理实体收到来自接入和移动管理网元发来的重定位请求消息后，根据其中的SRVCC切换指示消息知道需要发起UE从5G网络切换至3G网络的SRVCC流程，于是使用收到的Kasme获得CK||IK。例如，移动性管理实体使用Kasme和输入参数推演出CK||IK。其中，输入参数可以是由接入和移动管理网元获取并通知UE，也可以是UE发送的业务请求消息中携带的，如PDU会话标识等。

可选的，移动性管理实体可以直接把Kasme的前半段作为CK，后半段作为IK，此时，移动性管理实体收到的eKSI也可以直接作为KSI标识CK||IK，因为eKSI和KSI的值是一样的，并且类型也都是映射安全上下文。

在步骤506中，移动性管理实体向移动交换中心服务器发送PS到CS切换请求消息。

该PS到CS切换请求消息中包含CK||IK和标识CK||IK的KSI，该PS到CS切换请求消息的作用是进行分组交换到电路交换的请求。

该PS到CS切换请求消息中还可以包含移动性管理实体为UE选择的4G算法，或者也可以是4G算法的标识符。

在步骤507中，移动交换中心服务器向无线网络子系统网元发送重定位请求消息/切换请求消息。

重定位请求消息/切换请求消息用于向无线网络子系统中的基站控制器进行切换请求，该消息中可以包括源基站到目的基站的透明容器(source to target transparentcontainer)。其中，无线网络子系统网元指包含基站控制器和基站的无线网络子系统。

在步骤508中，无线网络子系统网元向移动交换中心服务器发送重定位响应消息/切换响应消息。

该消息是对步骤507中重定位请求消息/切换请求消息的响应。

在步骤509中，移动交换中心服务器向移动性管理实体发送PS到CS切换响应消息。

该PS到CS切换响应消息用于响应步骤506中的PS到CS切换请求消息。

在步骤510中，移动性管理实体向接入和移动管理网元发送前传重定位响应消息。

可选的，该重定位响应消息中还可以包含指示移动性管理实体在步骤504中选择的4G算法或4G算法的标识符。通过将该4G算法发送至接入和移动管理网元，进而发送至UE，可以使得UE根据该Kasme和4G算法推演出NAS密钥，避免当UE需要从3G切换到4G时，需要重新建立鉴权流程，这样会增加时延和空口信令开销，严重影响用户体验。

可选的，该重定位响应消息中还可以携带一个指示信息，该指示信息用于标明4G算法，以便指示在3G网络中不需要进行处理该4G算法。

在步骤511中，接入和移动管理网元向基站发送切换命令消息。

可选的，该切换命令消息中包含4G算法或4G算法的标识符。可选的，该切换命令消息中还可以包括步骤510中的指示信息。

在步骤512中，基站向UE发送切换命令消息。

可选的，该切换命令消息中包含4G算法或4G算法的标识符。可选的，该切换命令消息中还可以包括步骤510中的指示信息。

在步骤513中，UE推演出CK||IK，保存4G算法。

UE收到切换命令消息后，利用Kamf推演出Kasme，然后利用Kasme推演出CK||IK，进而可以从5G网络切换到3G网络。

可选的，UE可以保存接收到的4G算法或4G算法的标识符，以便后续需要返回4G网络时推演NAS密钥。

可选的，UE也可以保存Kasme，以便后续需要返回4G网络时直接使用该Kasme，并根据Kasme和4G算法推演出NAS密钥。或者，UE也可以在后续确定需要返回4G网络时，使用Kamf推演出相同的Kasme，进而再根据Kasme和4G算法推演出NAS密钥。

在步骤514中，UE向无线网络子系统网元发送切换完成消息。

在步骤515中，无线网络子系统网元向移动交换中心服务器发送切换完成消息。

在步骤516中，移动交换中心服务器向移动性管理实体发送PS到CS的切换完成消息。

通过上述步骤501到步骤516，UE可以从5G网络切换到3G网络。此外，移动性管理实体也可以和UE共享在5G网络切换到3G网络的过程中生成的Kasme，从而使得UE可以在需要返回4G网络时，根据该Kasme和4G算法推演出NAS密钥，进而避免了重新建立鉴权流程，提高用户体验。

下面结合图5中的步骤517到步骤519说明，UE从3G网络返回4G网络的主要过程。

在步骤517中，移动交换中心服务器向无线网络子系统网元发送RRC释放消息。

在步骤518中，无线网络子系统网元向UE发送RRC释放消息。

当UE所处位置有4G网络，且无5G网络时，无线网络子系统网元可以向UE发送RRC释放消息以指示UE切换到4G网络。该RRC释放消息中包含指示UE回到的目标网络的网络标识。例如，该网络标识例如可以包括但不限于：运营商标识(例如，PLMN ID、接入网络标识(access network ID)、服务网络标识(serving network ID)、小区标识(cell ID)、基站标识(gNB ID)、局域网网络ID、切片ID、承载(bearer)ID、服务质量(quality of service，QoS)ID、流(flow)ID、网络切片选择辅助信息(network slice selection assistanceinformation，NSSAI)。

在步骤519中，UE使用4G算法推演出NAS密钥，确定返回4G网络。

UE收到RRC释放消息后确定返回4G网络，UE可以通过3G网络的RRC释放消息，使用5G网络的根密钥推演出4G网络的根密钥，进而推演出4G网络的NAS密钥。如果UE在之前存储了Kasme，则使用Kasme和之前收到的4G算法推演出NAS密钥。如果UE没有存储Kasme，则使用Kamf先推演出Kasme，再使用Kasme和之前收到的4G算法推演出NAS密钥。

基于上述方案，UE从5G网络切换到3G网络的过程中，接入和移动管理网元会先根据5G网络的根密钥Kamf推演出4G网络的根密钥Kasme。UE从3G网络返回4G网络时，可以使用UE从5G网络切换到3G网络的过程中得到的4G网络的根密钥Kasme。且移动性管理实体在UE从5G网络切换到3G网络的过程中，会为UE选择返回4G网络时的安全算法。通过移动性管理实体预先选择的安全算法，以及在UE从5G网络切换到3G网络的过程中得到的4G网络的根密钥Kasme，UE可以推演出返回4G网络的安全密钥，从而能够避免UE在回到4G网络时执行重鉴权的流程，进而减小时延，提高用户体验。

图6是从设备交互的角度示出的本申请又实施例提供的切换方法600的又一示意性流程图。如图所示，图6中所示的方法600可以包括步骤601至步骤620。下面结合图6详细说明方法600中的各个步骤。

在步骤601中，基站向接入和移动管理网元发送切换请求消息。

应理解，步骤601与上文方法400中的步骤401、上文方法500中的步骤501的具体过程相似。由于上文方法400中已经对步骤401做了详细说明，为了简洁，这里不再赘述。

在步骤602中，接入和移动管理网元推演出Kasme，并将ngKSI映射为eKSI。

应理解，步骤602与上文方法400中的步骤402、上文方法500中的步骤502的具体过程相似。由于上文方法400中已经对步骤402做了详细说明，为了简洁，这里不再赘述。

在步骤603中，接入和移动管理网元向移动性管理实体发送前传重定位请求消息。

应理解，步骤603与上文方法400中的步骤403、上文方法500中的步骤503的具体过程相似。由于上文方法400中已经对步骤403做了详细说明，为了简洁，这里不再赘述。

可选的，在步骤604中，移动性管理实体保存Kasme，选择4G算法，并推演出NAS密钥。

移动性管理实体收到接入和移动管理网元发来的前传重定位请求消息后，根据其中的SRVCC切换指示消息知道需要发起SRVCC流程，因此移动性管理实体可以保存该Kasme。在本申请实施例中，移动性管理实体保存的Kasme可以用于后续UE从3G网络需要返回4G网络时，根据该Kasme推演出NAS密钥，避免当UE需要从3G网络切换到4G网络时，需要重新建立鉴权流程，这样会增加时延和空口信令开销，严重影响用户体验。

可选的，移动性管理实体可以选择后续如果UE回到4G网络时将使用的加密算法和完整性保护算法。例如，移动性管理实体可以根据自身安全能力、本地优先级列表和UE安全能力选择合适的加密算法和完整性保护算法。为简洁，在下文实施例中，将移动性管理实体选择的UE回到4G网络时将使用的加密算法和完整性保护算法称为4G算法。

可选的，移动性管理实体能够使用Kasme和4G算法推演出NAS密钥，该NAS密钥可以用于UE切换到4G时使用。

需要说明的是，在本申请实施例中，关于移动性管理实体何时选择4G算法，以及何时推演出NAS密钥，本申请实施例不作限定。具体地，在5G到3G的切换过程中，移动性管理实体也可以不执行步骤604。

在步骤605中，获得CK||IK。

移动性管理实体根据SRVCC切换指示消息知道需要发起SRVCC流程，于是使用收到的Kasme获得CK||IK。

可选的，移动性管理实体可以直接把Kasme的前半段作为CK，后半段作为IK，此时，移动性管理实体收到的eKSI也可以直接作为KSI标识CK||IK，因为eKSI和KSI的值是一样的，并且类型也都映射安全上下文。

在步骤606中，移动性管理实体向移动交换中心服务器发送PS到CS切换请求消息。

该PS到CS切换请求消息中包含CK||IK和标识CK||IK的KSI，该PS到CS切换请求消息的作用是进行分组交换到电路交换的请求。

在步骤607中，移动交换中心服务器向无线网络子系统网元发送重定位请求消息/切换请求消息。

重定位请求消息/切换请求消息用于向无线网络子系统网元中的基站控制器进行切换请求，该消息中可以包括源基站到目的基站的透明容器。其中，无线网络子系统网元指包含基站控制器和基站的无线网络子系统。

在步骤608中，无线网络子系统网元向移动交换中心服务器发送重定位响应消息/切换响应消息。

该消息是对步骤607中重定位请求消息/切换请求消息的响应。

在步骤609中，移动交换中心服务器向移动性管理实体发送PS到CS切换响应消息。

该PS到CS切换响应消息用于响应步骤606中的PS到CS切换请求消息。

在步骤610中，移动性管理实体向接入和移动管理网元发送前传重定位响应消息。

在步骤611中，接入和移动管理网元向基站发送切换命令消息。

在步骤612中，基站向UE发送切换命令消息。

在步骤613中，UE推演出CK||IK。

UE收到切换命令消息后，利用Kamf推演出Kasme，然后利用Kasme推演出CK||IK，进而可以从5G网络切换到3G网络。

在步骤614中，UE向无线网络子系统网元发送切换完成消息。

在步骤615中，无线网络子系统网元向移动交换中心服务器发送切换完成消息。

在步骤616中，移动交换中心服务器向移动性管理实体发送PS到CS的切换完成消息。

通过上述步骤601到步骤616，UE可以从5G网络切换到3G网络。

下面结合图6中的步骤617到步骤620说明，UE从3G网络返回4G网络的主要过程。

在步骤617中，移动交换中心服务器向无线网络子系统网元发送RRC释放消息。

可选的，如果移动性管理实体已执行步骤604，则该RRC释放消息中包含移动性管理实体为UE选择的4G算法或4G算法的算法标识符。

在步骤618中，判断返回的目标网络。

可选的，无线网络子系统网元可以根据UE即将返回的目标网络是否为4G网络，来决定是否要在RRC释放消息中携带4G算法或4G算法的算法标识符。例如，无线网络子系统网元可以根据UE上报的测量报告获知当前的网络覆盖状况，因此当无线网络子系统网元可以获知当前有4G网络的覆盖，且没有5G网络的覆盖时，则确定UE从3G网络切换至4G网络。进而，在无线网络子系统网元向UE发送的RRC释放消息中携带4G算法。

无线网络子系统网元确定当前有5G网络的覆盖，则判断UE即将返回的目标网络是5G网络，则直接向UE发送RRC释放消息。

无线网络子系统网元确定当前没有5G网络的覆盖，有4G网络的覆盖，则判断UE即将返回的目标网络是4G网络，则无线网络子系统网元向UE发送的RRC释放消息中包括4G算法或4G算法的算法标识符。

一种可能的实现方式，如果移动性管理实体已执行步骤604，上述步骤617中，RRC释放消息中包含移动性管理实体为UE预先选择的4G算法或4G算法的算法标识符，则无线网络子系统网元向UE发送的RRC释放消息中携带移动性管理实体为UE预先选择的4G算法或4G算法的算法标识符。

一种可能的实现方式，如果移动性管理实体未执行步骤604，则无线网络子系统网元通知移动交换中心服务器去请求4G算法。移动交换中心服务器向移动性管理实体请求为UE选择4G算法。移动性管理实体接收到指示，为UE选择4G算法，并将选择的4G算法或4G算法的算法标识符发送至无线网络子系统网元，以便无线网络子系统网元向UE发送的RRC释放消息中携带该4G算法。

可选的，无线网络子系统网元也可以不判断返回的目标网络。

如果移动性管理实体已执行步骤604，上述步骤617中，RRC释放消息中包含移动性管理实体为UE预先选择的4G算法或4G算法的算法标识符，无线网络子系统网元也可以不判断返回的目标网络，直接将4G算法或4G算法的算法标识符通过RRC释放消息发送给UE。此时，如果RRC释放消息指示UE返回5G网络，则UE会因为已经有5G安全上下文而忽略上述4G算法，否则UE会使用上述4G算法推演NAS密钥。

在步骤619中，无线网络子系统网元向UE发送RRC释放消息。

无线网络子系统网元向UE发送RRC释放消息以指示UE切换到4G网络。该RRC释放消息中包含指示UE回到的目标网络的网络标识。该网络标识在上述方法500中的步骤510中已介绍，此处为简洁，不再赘述。UE根据该网络标识，确定将要返回的网络为4G网络。

在步骤620中，UE推演出NAS密钥。

当UE收到RRC释放消息后，可以利用RRC释放消息中携带的4G算法，推演出NAS密钥。在推演NAS密钥之前，如果UE没有Kasme，则UE需要先使用Kamf推演出Kasme。如果UE在推演CK||IK时保存了Kasme，则可以直接使用Kasme推演NAS密钥。需要UE事先保存Kasme的方法可以是在UE从5G网络切换到3G网络时，移动性管理实体向UE发送指示信息，指示UE保存Kasme。

基于上述方案，UE从5G网络切换到3G网络的过程中，接入和移动管理网元会先根据5G网络的根密钥Kamf推演出4G网络的根密钥Kasme。UE从3G网络返回4G网络时，可以使用UE从5G网络切换到3G网络的过程中得到的4G网络的根密钥Kasme。此外，当确定UE将要返回的目标网络为4G网络时，向移动性管理实体请求4G网络的安全算法，并把该4G网络的安全算法发送给UE，进而可以使得UE根据4G网络的安全算法和4G网络的根密钥Kasme，推演出4G网络的安全密钥，从而能够避免UE在回到4G网络时执行重鉴权的流程，进而减小时延并节省5G SRVCC阶段的空口资源，提高用户体验。

以上，结合图4至图6详细说明了本申请实施例提供的切换方法。以下，结合图7至图8详细说明本申请实施例提供的切换装置。

图7是本申请实施例提供的切换装置700的示意性框图。如图所示，该通信装置700可以包括：收发模块710和处理模块720。

在一种可能的设计中，该切换装置700可以是上文方法实施例中的UE，也可以是用于实现上文方法实施例中UE的功能的芯片。

一种可能的方式，收发模块710，用于接收第一信息，所述第一信息包括指示所述终端设备从第一网络切换至第二网络的指示信息，所述第一信息还包括所述第二网络的网络标识；处理模块720，用于当所述终端设备中存在原生的第三网络的安全上下文时，所述终端设备将所述第三网络的安全上下文设置为当前使用的安全上下文；所述处理模块720：还用于根据所述第三网络的安全上下文，推演出所述第二网络的安全上下文。

可选的，所述收发模块710接收第一信息之后，所述处理模块720还用于：删除所述第一网络的安全上下文。

可选的，所述所述收发模块710还用于：向移动性管理实体发送使用所述第三网络的安全上下文保护的跟踪区更新请求信息。

可选的，所述跟踪区更新请求信息包括第五代5G全局唯一临时终端设备标识映射的第四代4G全局唯一临时终端设备标识和密钥集标识符。

可选的，所述第一信息为无线资源控制RRC释放信息。

可选的，所述处理模块720还用于：当所述终端设备中不存在原生的第三网络的安全上下文时，删除所述第一网络的安全上下文；所述收发模块710还用于：向移动性管理实体发送无完整性保护的跟踪区更新请求信息，以使所述移动性管理实体执行重鉴权流程。

可选的，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

具体地，该切换装置700可对应于根据本申请实施例的方法400至600中的UE，该切换装置700可以包括用于执行图4中的方法400至图6中的方法600中的UE执行的方法的模块。并且，该切换装置700中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置700可以是上文方法实施例中的移动性管理实体，也可以是用于实现上文方法实施例中移动性管理实体的功能的芯片。

具体地，该切换装置700可对应于根据本申请实施例的方法400至600中的移动性管理实体，该切换装置700可以包括用于执行图4中的方法400至图6中的方法600中的移动性管理实体执行的方法的模块。并且，该切换装置700中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置700可以是上文方法实施例中的接入和移动管理网元，也可以是用于实现上文方法实施例中接入和移动管理网元的功能的芯片。

具体地，该切换装置700可对应于根据本申请实施例的方法400至600中的接入和移动管理网元，该切换装置700可以包括用于执行图4中的方法400至图6中的方法600中的接入和移动管理网元执行的方法的模块。并且，该切换装置700中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置700可以是上文方法实施例中的移动交换中心，也可以是用于实现上文方法实施例中移动交换中心的功能的芯片。

具体地，该切换装置700可对应于根据本申请实施例的方法400至600中的移动交换中心，该切换装置700可以包括用于执行图4中的方法400至图6中的方法600中的移动交换中心执行的方法的模块。并且，该切换装置700中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置700可以是上文方法实施例中的无线网络子系统网元，也可以是用于实现上文方法实施例中无线网络子系统网元的功能的芯片。

具体地，该切换装置700可对应于根据本申请实施例的方法400至600中的无线网络子系统网元，该切换装置700可以包括用于执行图4中的方法400至图6中的方法600中的无线网络子系统网元执行的方法的模块。并且，该切换装置700中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，该切换装置700中的收发模块可对应于图8中示出的切换设备700中的收发器810，该切换装置700中的处理模块720可对应于图8中示出的切换设备800中的收发器820。

图8是本申请实施例提供的切换设备800的示意性框图。如图所示，该切换设备800包括：处理器810和收发器820。该处理器810与存储器耦合，用于执行存储器中存储的指令，以控制收发器820发送信号和/或接收信号。可选地，该切换设备800还包括存储器830，用于存储指令。

应理解，上述处理器810和存储器830可以合成一个处理装置，处理器810用于执行存储器830中存储的程序代码来实现上述功能。具体实现时，该存储器830也可以集成在处理器810中，或者独立于处理器810。

还应理解，收发器820可以包括接收器(或者称，接收机)和发射器(或者称，发射机)。收发器还可以进一步包括天线，天线的数量可以为一个或多个。

在一种可能的设计中，该切换设备800可以是上文方法实施例中的UE，也可以是用于实现上文方法实施例中UE的功能的芯片。

具体地，该切换装置800可对应于根据本申请实施例的方法400至600中的UE，该切换装置800可以包括用于执行图4中的方法400至图6中的方法600中的UE执行的方法的模块。并且，该切换装置800中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置800可以是上文方法实施例中的移动性管理实体，也可以是用于实现上文方法实施例中移动性管理实体的功能的芯片。

具体地，该切换装置800可对应于根据本申请实施例的方法400至600中的移动性管理实体，该切换装置800可以包括用于执行图4中的方法400至图6中的方法600中的移动性管理实体执行的方法的模块。并且，该切换装置800中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置800可以是上文方法实施例中的接入和移动管理网元，也可以是用于实现上文方法实施例中接入和移动管理网元的功能的芯片。

具体地，该切换装置800可对应于根据本申请实施例的方法400至600中的接入和移动管理网元，该切换装置800可以包括用于执行图4中的方法400至图6中的方法600中的接入和移动管理网元执行的方法的模块。并且，该切换装置800中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置800可以是上文方法实施例中的移动交换中心，也可以是用于实现上文方法实施例中移动交换中心的功能的芯片。

具体地，该切换装置800可对应于根据本申请实施例的方法400至600中的移动交换中心，该切换装置800可以包括用于执行图4中的方法400至图6中的方法600中的移动交换中心执行的方法的模块。并且，该切换装置800中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在另一种可能的设计中，该切换装置800可以是上文方法实施例中的无线网络子系统网元，也可以是用于实现上文方法实施例中无线网络子系统网元的功能的芯片。

具体地，该切换装置800可对应于根据本申请实施例的方法400至600中的无线网络子系统网元，该切换装置800可以包括用于执行图4中的方法400至图6中的方法600中的无线网络子系统网元执行的方法的模块。并且，该切换装置800中的各模块和上述其他操作和/或功能分别为了实现图4中的方法400、图5中的方法500、图6中的方法600的相应流程。应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行图4至图6所示实施例中任意一个实施例的切换方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图4至图6所示实施例中任意一个实施例的切换方法。

根据本申请实施例提供的方法，本申请还提供一种系统，其包括前述的UE、移动性管理实体、接入和移动管理网元、移动交换中心以及无线网络子系统网元。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

上述各个装置实施例中各网元可以和方法实施例中的各网元完全对应，由相应的模块或单元执行相应的步骤，例如收发单元(收发器)执行方法实施例中接收或发送的步骤，除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中，处理器可以为一个或多个。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b或c中的至少一项(个)，可以表示：a，或b，或c，或a和b，或a和c，或b和c，或a、b和c，其中a、b或c分别可以是单个，也可以是多个。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

在本说明书中使用的术语“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (14)

1.一种切换方法，其特征在于，所述方法应用于终端设备从第三网络切换至第一网络之后返回第二网络的场景，所述方法包括：

所述终端设备接收第一信息，所述第一信息包括指示所述终端设备从所述第一网络切换至所述第二网络的指示信息；

当所述终端设备中存在原生的所述第三网络的安全上下文时，所述终端设备将所述第三网络的安全上下文设置为当前使用的安全上下文；

所述终端设备向所述第二网络中的移动性管理实体发送使用所述第三网络的安全上下文保护的跟踪区更新TAU请求信息。

2.根据权利要求1所述的方法，其特征在于，所述终端设备接收第一信息之后，还包括：

所述终端设备删除所述第一网络的安全上下文。

3.根据权利要求2所述的方法，其特征在于，所述跟踪区更新请求信息包括第五代5G全局唯一临时终端设备标识映射的第四代4G全局唯一临时终端设备标识和密钥集标识符。

4.根据权利要求1所述的方法，其特征在于，所述第一信息为无线资源控制RRC释放信息。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

当所述终端设备中不存在原生的所述第三网络的安全上下文时，所述终端设备删除所述第一网络的安全上下文；

所述终端设备向移动性管理实体发送无完整性保护的跟踪区更新请求信息，以使所述移动性管理实体执行重鉴权流程。

6.根据权利要求1至4中任一项所述的方法，其特征在于，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

7.一种终端设备，应用于从第三网络切换至第一网络之后返回第二网络的场景，其特征在于，包括：

收发模块，用于接收第一信息，所述第一信息包括指示所述终端设备从所述第一网络切换至所述第二网络的指示信息；

处理模块，用于当所述终端设备中存在原生的所述第三网络的安全上下文时，将所述第三网络的安全上下文设置为当前使用的安全上下文；

所述收发模块：还用于向所述第二网络中的移动性管理实体发送使用所述第三网络的安全上下文保护的跟踪区更新TAU请求信息。

8.根据权利要求7所述的终端设备，其特征在于，所述收发模块接收第一信息之后，所述处理模块还用于：删除所述第一网络的安全上下文。

9.根据权利要求7所述的终端设备，其特征在于，所述跟踪区更新请求信息包括第五代5G全局唯一临时终端设备标识映射的第四代4G全局唯一临时终端设备标识和密钥集标识符。

10.根据权利要求7所述的终端设备，其特征在于，所述第一信息为无线资源控制RRC释放信息。

11.根据权利要求7至10中任一项所述的终端设备，其特征在于，所述处理模块还用于：

当所述终端设备中不存在原生的所述第三网络的安全上下文时，删除所述第一网络的安全上下文；

所述收发模块还用于：向移动性管理实体发送无完整性保护的跟踪区更新请求信息，以使所述移动性管理实体执行重鉴权流程。

12.根据权利要求7至10中任一项所述的终端设备，其特征在于，所述第一网络为第三代3G/第二代2G网络，所述第二网络为第四代4G网络，所述第三网络为第五代5G网络。

13.一种终端设备，包括处理器和存储器，所述存储器用于存储指令，所述处理器用于读取所述存储器中存储的指令，使得所述终端设备实现上述权利要求1至6中任一项所述的方法。

14.一种计算机可读介质，其特征在于，包括计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至6中任一项所述的方法。

Images