CN111328112A - 一种安全上下文隔离的方法、装置及系统 - Google Patents

Abstract

本申请提供了一种安全上下文隔离的方法、装置及系统，用于隔离3G安全上下文的不安全性，保证终端切换至的目标网络的安全性。该方法包括：在终端从4G网络切换至目标网络的过程中，目标移动管理网元获知所述终端的4G安全上下文由3G安全上下文推演而来，并确定对所述终端执行重鉴权流程；所述目标移动管理网元对所述终端执行所述重鉴权流程，获得所述终端的所述目标网络的原生安全上下文。

Description

一种安全上下文隔离的方法、装置及系统

技术领域

本申请涉及通信技术领域，尤其涉及一种安全上下文隔离的方法、装置及系统

背景技术

为实现终端设备在不同网络制式之间的切换，第三代合作伙伴计划(3rdgeneration partnership project，3GPP)已经在其发布的国际编号33.501的标准中定义了4G网络与5G网络间切换的安全流程。而当5G网络中的接入和移动性管理功能(accessand mobility management function，AMF)网元接收到4G网络中移动性管理实体(mobility management entity，MME)发来的4G安全上下文后，AMF网元不能判断该4G安全上下文的来源。如果该4G安全上下文是由3G安全上下文推演而来(如终端一开始接入了3G网络，之后切换至4G网络)，因为3G网络的加密密钥(cipher key，CK)和完整性保护密钥(integrity key，IK)在跨系统切换场景下传输给MME时，始终保持不变，即便在切换失败的下一次传输中依然是相同的CK和IK，相比于终端从4G网络切换至3G网络推演出新的CK和IK而言，这种方式下很容易泄露该CK和IK。因此，如果AMF使用的4G安全上下文由3G安全上下文推演而来，那么当3G网络中的密钥泄漏后，攻击者很容易推演出终端所使用的5G安全上下文，使得3G安全上下文的不安全性蔓延至5G网络。

发明内容

为隔离3G安全上下文的不安全性，保证终端切换至的目标网络的安全性，本申请提供了一种安全上下文隔离的方法、装置及系统。

第一方面，本申请提供了一种安全上下文隔离的方法，该方法包括：在终端从4G网络切换至目标网络的过程中，目标移动管理网元获知所述终端的4G安全上下文由3G安全上下文推演而来，并确定对所述终端执行重鉴权流程；所述目标移动管理网元对所述终端执行所述重鉴权流程，获得所述终端的所述目标网络的原生安全上下文。

通过上述方法，目标移动管理网元获知终端的4G安全上下文由3G安全上下文推演而来，从而确定执行重鉴权流程，并通过重鉴权流程获得目标网络的原生安全上下文，将3G安全上下文与目标网络隔离开来，避免了3G网络的不安全性蔓延至目标网络的情况，保证了目标网络的安全性。

在一种可能的设计中，所述目标移动管理网元获取指示信息，所述指示信息用于指示所述终端的4G安全上下文由3G安全上下文推演而来。

在上述可能的设计中，所述指示信息包括以下任意一项：新增的指示符、扩展的密钥标识符，所述扩展的密钥标识符包括新增的一个或多个比特，所述一个或多个比特用于标识所述终端的4G安全上下文由3G安全上下文推演而来。。

在上述可能的设计中，所述目标移动管理网元获取来自所述终端的所述指示信息，或者获取来自源移动管理网元的所述指示信息。

目标移动管理网元获取来自所述终端的所述指示信息具体为所述目标移动管理网元全上下文由3G安全上下文推演而来。

通过上述方法，向目标移动管理网元发送指示信息，用于指示所述终端的4G安全上下文由3G安全上下文推演而来，从而使得目标移动管理网元根据指示信息，确定执行重鉴权流程，将3G安全上下文与目标网络隔离开来，避免了3G网络的不安全性蔓延至目标网络的情况，保证了目标网络的安全性。

在一种可能的设计中，所述指示信息包括以下任意一项：新增的指示符、扩展的密钥标识符；其中，所述扩展的密钥标识符包括新增的一个或多个比特，所述一个或多个比特用于标识所述终端的4G安全上下文由3G安全上下文推演而来。

在上述可能的设计中，所述方法由终端或者源移动管理网元执行。

在一种可能的设计中，所述方法还包括向所述目标移动管理网元提供所述终端的永久身份。

在一种可能的设计中，所述终端接收来自所述目标移动管理网元的第五消息，所述第五消息用于指示连接的目标基站，其中，所述第五消息包括所述终端的认证向量以及目标基站的信息，所述认证向量用于进行重鉴权；所述终端根据所述认证向量进行鉴权，并向所述目标移动管理网元返回鉴权响应。

第四方面，本申请提供了一种安全上下文隔离的方法，该方法包括：源移动管理网元获知终端的4G安全上下文由3G安全上下文推演而来；所述源移动管理网元接收来自目标移动管理网元的第二消息，所述第二消息用于请求所述终端的4G安全上下文，所述源移动管理网元向所述目标移动管理网元返回第三消息，其中，所述第三消息不包括所述终端的4G安全上下文；或者所述源移动管理网元向所述目标移动管理网元发送第四消息，所述第四消息用于初始化切换所需资源的分配，其中，所述第四消息不包括所述终端的4G安全上下文。

通过上述方法，源移动管理网元通过向目标移动管理网元发送所述第三消息或所述第四消息，从而使得目标移动管理网元获知所述终端的4G安全上下文由3G安全上下文推演而来，并确定执行重鉴权流程，将3G安全上下文与目标网络隔离开来，避免了3G网络的不安全性蔓延至目标网络的情况，保证了目标网络的安全性。

第五方面，本申请提供了一种移动管理网元，所述移动管理网元位于终端从4G网络切换至的目标网络。所述移动管理网元具有实现上述第一方面、第二方面所述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件和软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，所述移动管理网元的结构中包括处理单元和通信单元，所述处理单元被配置为支持所述移动管理网元执行上述第一方面、第二方面中所述的方法，所述通信单元用于支持所述移动管理网元与其他设备之间的通信。所述移动管理网元还可以包括存储单元，所述存储单元用于与处理单元耦合，其保存所述移动管理网元必要的程序指令和数据。作为示例，处理单元可以为处理器，通信单元可以为收发器，存储单元可以为存储器。

在上述可能的设计中，通信单元包括接收单元、发送单元，这些单元可以执行上述第一方面、第二方面中所述的方法，具体参见方法示例中的详细描述，不作赘述。

第六方面，本申请提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，可以执行上述第一方面、第二方面中所述的方法。

在一种可能的设计中，该装置还包括存储器，用于保存必要的程序指令和数据。

第七方面，本申请提供了一种计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面、第二方面中所述的方法。

第八方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面、第二方面中所述的方法。

第九方面，本申请提供了一种终端设备，所述终端设备具有实现上述第三方面所述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件和软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，所述终端设备的结构中包括处理单元和通信单元，所述处理单元被配置为支持所述终端设备执行上述第三方面中所述的方法，所述通信单元用于支持所述终端与其他设备之间的通信。所述终端设备还可以包括存储单元，所述存储单元用于与处理单元耦合，其保存所述终端设备必要的程序指令和数据。作为示例，处理单元可以为处理器，通信单元可以为收发器，存储单元可以为存储器。

在上述可能的设计中，通信单元包括接收单元、发送单元，这些单元可以执行上述第三方面中所述的方法，具体参见方法示例中的详细描述，不作赘述。

第十方面，本申请提供了一种移动管理网元，所述移动管理网元位于终端切换至目标网络前的4G网络。所述移动管理网元具有实现上述第三方面所述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件和软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，所述移动管理网元的结构中包括处理单元和通信单元，所述处理单元被配置为支持所述移动管理网元执行上述第三方面中所述的方法，所述通信单元用于支持所述移动管理网元与其他设备之间的通信。所述移动管理网元还可以包括存储单元，所述存储单元用于与处理单元耦合，其保存所述移动管理网元必要的程序指令和数据。作为示例，处理单元可以为处理器，通信单元可以为收发器，存储单元可以为存储器。

在上述可能的设计中，通信单元包括接收单元、发送单元，这些单元可以执行上述第三方面中所述的方法，具体参见方法示例中的详细描述，不作赘述。

第十一方面，本申请提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，可以执行上述第三方面中所述的方法。

在一种可能的设计中，该装置还包括存储器，用于保存必要的程序指令和数据。

第十二方面，本申请提供了一种计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第三方面中所述的方法。

第十三方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第三方面中所述的方法。

第十四方面，本申请提供了一种移动管理网元，所述移动管理网元位于终端切换至目标网络前的4G网络。所述移动管理网元具有实现上述第四方面所述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件和软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，所述移动管理网元的结构中包括处理单元和通信单元，所述处理单元被配置为支持所述移动管理网元执行上述第四方面中所述的方法，所述通信单元用于支持所述移动管理网元与其他设备之间的通信。所述移动管理网元还可以包括存储单元，所述存储单元用于与处理单元耦合，其保存所述移动管理网元必要的程序指令和数据。作为示例，处理单元可以为处理器，通信单元可以为收发器，存储单元可以为存储器。

在上述可能的设计中，通信单元包括接收单元、发送单元，这些单元可以执行上述第四方面中所述的方法，具体参见方法示例中的详细描述，不作赘述。

第十五方面，本申请提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，可以执行上述第四方面中所述的方法。

在一种可能的设计中，该装置还包括存储器，用于保存必要的程序指令和数据。

第十六方面，本申请提供了一种计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第四方面中所述的方法。

第十七方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第四方面中所述的方法。

第十八方面，本申请提供了一种通信系统，该系统包括上述第一方面、第二方面所涉及的移动管理网元，第三方面所涉及的终端设备，第三方面所涉及的移动管理网元以及第四方面所涉及的移动管理网元中的一个或多个。

在一个可能的设计中，该通信系统还可以包括本申请实施例提供的方案中与所涉及的移动管理网元进行交互的其他设备，例如基站等等。

附图说明

图1为本申请实施例提供的一种网络架构示意图；

图2a为终端从4G网络切换到5G网络的安全流程的示意图一；

图2b为终端从4G网络切换到5G网络的安全流程的示意图二；

图3为本申请实施例提供的一种安全上下文隔离方法的流程示意图一；

图4a为本申请实施例提供的一种安全上下文隔离方法的通信示意图一；

图4b为本申请实施例提供的一种安全上下文隔离方法的通信示意图二；

图4c为本申请实施例提供的一种安全上下文隔离方法的通信示意图三；

图5a为本申请实施例提供的一种安全上下文隔离方法的通信示意图四；

图5b为本申请实施例提供的一种安全上下文隔离方法的通信示意图五；

图6a为本申请实施例提供的一种安全上下文隔离方法的通信示意图六；

图6b为本申请实施例提供的一种安全上下文隔离方法的通信示意图七；

图7为本申请实施例提供的一种通信设备的结构示意图；

图7a为本申请实施例提供的一种移动管理网元的结构示意图；

图7b为本申请实施例提供的一种终端设备的结构示意图；

图8为本申请实施例提供的另一种通信设备的结构示意图；

图9为本申请实施例提供的另一种终端设备的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例的技术方案进行描述。在本申请的描述中，除非另有说明，“本申表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A，B可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)下或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通信(globalsystem for mobile communications，GSM)系统、码分多址(code division multipleaccess，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long termevolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobiletelecommunication system，UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access，WiMAX)通信系统、未来的第五代(5th generation，5G)系统或新无线(new radio，NR)等。

本申请实施例中的终端设备可以指用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等，本申请实施例对此并不限定。

本申请实施例中的网络设备可以是用于与终端设备通信的设备，该网络设备可以是全球移动通信(global system for mobile communications，GSM)系统或码分多址(code division multiple access，CDMA)中的基站(base transceiver station，BTS)，也可以是宽带码分多址(wideband code division multiple access，WCDMA)系统中的基站(NodeB，NB)，还可以是LTE系统中的演进型基站(evolved NodeB，eNB或eNodeB)，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等，本申请实施例并不限定。

图1是应用于本申请实施例的网络架构。如图1所示，对该网络架构中涉及的各个网元分别进行说明。

1、(无线)接入网络(Radio Access Network，(R)AN)网元：用于为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等使用不同质量的传输隧道。(R)AN网元能够管理无线资源，为终端设备提供接入服务，进而完成控制信号和用户数据在终端设备和核心网之间的转发，(R)AN网元也可以理解为传统网络中的基站；

2、用户面网元：用于分组路由和转发以及用户面数据的服务质量(Quality ofService，QoS)处理等。

在5G通信系统中，该用户面网元可以是用户面功能(User Plane Function，UPF)网元。在未来通信系统中，用户面网元仍可以是UPF网元，或者，还可以有其它的名称，本申请不做限定。

3、数据网络网元：用于提供传输数据的网络，在5G通信系统中，该数据网络网元可以是数据网络(Data Network，DN)网元。在未来通信系统中，数据网络网元仍可以是DN网元，或者，还可以有其它的名称，本申请不做限定。

4、移动管理网元：主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如，合法监听以及接入授权/鉴权等功能。

在第4G通信系统中，该移动管理网元可以是移动性管理实体(mobilitymanagement entity，MME)，在5G通信系统中，该移动管理网元可以是接入管理功能(Accessand mobility Management Function，AMF)网元。在未来通信系统中，移动管理网元仍可以是AMF网元，或者，还可以有其它的名称，本申请不做限定。

5、会话管理网元：主要用于会话管理、终端设备的网络互连协议(InternetProtocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。

在5G通信系统中，该会话管理网元可以是会话管理功能(Session ManagementFunction，SMF)网元。在未来通信系统中，会话管理网元仍可以是SMF网元，或者，还可以有其它的名称，本申请不做限定。

6、网络开放网元：用于安全地向外部开放由3GPP网络功能网元提供的业务和能力等。

在5G通信系统中，该网络开放网元可以是网络开放功能(Network ExposureFunction，NEF)网元。在未来通信系统中，网络开放网元仍可以是NEF网元，或者，还可以有其它的名称，本申请不做限定。

7、策略控制网元：用于指导网络行为的统一策略框架，为控制面功能网元(例如AMF，SMF网元等)提供策略规则信息等。

在5G通信系统中，该策略控制网元可以是策略控制功能(Policy ControlFunction，PCF)网元。在未来通信系统中，策略控制网元仍可以是PCF网元，或者，还可以有其它的名称，本申请不做限定。

8、数据管理网元：用于处理用户标识，接入鉴权，注册以及移动性管理等。

在4G通信系统中，数据管理网元可以是归属用户服务器(home subscriberserver，HSS)在5G通信系统中，该数据管理网元可以是统一数据管理(Unified DataManagement，UDM)网元。在未来通信系统中，数据管理仍可以是UDM网元，或者，还可以有其它的名称，本申请不做限定。

9、应用网元：用于进行应用影响的数据路由，接入网络开放功能网元，与策略框架交互进行策略控制等。

在5G通信系统中，该应用网元可以是应用功能(Application Function，AF)网元。在未来通信系统中，应用网元仍可以是AF网元，或者，还可以有其它的名称，本申请不做限定。

10、终端设备：可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的终端，移动台(mobile station，MS)，终端(terminal)，用户设备(user equipment，UE)，软终端等等，例如水表、电表、传感器等。

可以理解的是，上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

在该网络架构中，Namf为AMF网元150展现的基于服务的接口，Nsmf为SMF160网元展现的基于服务的接口，Nnef为NEF网元170展现的基于服务的接口，Npcf为PCF网元180展现的基于服务的接口，Nudm为UDM网元190展现的基于服务的接口，Naf为AF网元1110展现的基于服务的接口。N1为UE110和AMF网元150之间的参考点，N2为(R)AN网元120和AMF网元150的参考点，用于非接入层(Non-access stratum，NAS)消息的发送等；N3为(R)AN网元120和UPF网元130之间的参考点，用于传输用户面的数据等；N4为SMF网元160和UPF网元130之间的参考点，用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息；N6接口为UPF网元130和DN网元140之间的参考点，用于传输用户面的数据等。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

例如，在某些网络架构中，AMF网元150、SMF网元160、PCF网元180以及UDM网元190等网络功能网元实体都称为网络功能网元(Network Function，NF)网元；或者，在另一些网络架构中，AMF网元160，SMF网元170，PCF网元180，UDM网元190等网元的集合都可以称为控制面功能网元。

其中，NF网元可按照功能的类别定义为不同的NF，例如：认证和安全功能、分组数据会话管理功能、移动管理功能及接入控制功能、策略控制功能等，这些功能由对应的NF组件实现，每个NF组件通过定义的服务接口对其他NF组件或功能提供服务。同一个运营商的多个网络切片(sliceA、sliceB和sliceC)使用同一个公共陆地移动网络(public landmobile network，PLMN)，并可以通过云技术和虚拟化技术等部署在运营商的基础设施中，运营商的技术设施包括运营商的云计算和传输基础设施。

需要说明的是，后续实施例中所描述的MME网元、AMF网元、UDM网元、eNB、gNB只是举例说明，并不构成对本申请实施例的限定。即本申请后续所描述的MME网元、AMF网元均可替换为移动管理网元，UDM网元可替换为数据管理网元，eNB、gNB均可替换为接入网络设备。且MME网元简称为MME，AMF网元简称为AMF，UDM网元简称为UDM。

以及后续实施例中所描述的密钥标识符(key setting index，KSI)，用于指示安全上下文中所包含的密钥，在4G网络中可以称之为eKSI，在5G网络中可以可以称之为ngKSI，可以理解的是，无论名称上发生如何变化，只要可以用于指示安全上下文中所包含的密钥，后续都称之为KSI。

下面结合图2a以及图2b对现有技术中终端从4G网络切换到5G网络的安全流程进行说明。其中，图2a为终端处于空闲态下的切换流程，图2b为终端处于连接态下的切换流程。当终端处于空闲态时，基站不保存终端的安全上下文，移动管理网元能够确认终端所在的移动管理网元，无法确认终端所在的基站；当终端处于连接态时，基站保存终端的安全上下文，移动管理网元能够确认终端所在的移动管理网元以及基站。

如图2a所示，具体包括以下步骤：

S201a：终端生成追踪区更新请求(tracking area update request，TAUrequest)消息，并使用之前在4G网络中所使用的非接入层(non-access stratum，NAS)安全上下文(后续称为4G NAS安全上下文)对该TAU request做完整性保护，生成消息认证码(message authentication code，MAC)。

需要说明的是，4G安全上下文包括上述的4G NAS安全上下文，和在4G网络中所使用的接入层(access stratum，AS)安全上下文(后续称为4G AS安全上下文)，同样的，5G安全上下文包括5G NAS安全上下文以及5G AS安全上下文。

其中，4G NAS安全上下文和4G AS安全上下文中，分别包括相应的密钥标识符(keysetting identifier，KSI)。

S202a：终端生成注册请求(registration request)消息1，并将该注册请求消息1发送给AMF，AMF接收来自终端的注册请求消息1。其中，注册请求消息1包括TAU request、MAC以及终端的从4G临时标识映射而来的5G临时标识信息，TAU request包含了KSI，该KSI用于指示对该TAU request做完整性保护的4G NAS安全上下文的密钥。

S203a：AMF根据注册请求消息1中终端的临时标识信息，识别终端之前所在的MME，并向该MME发送上下文请求(context request)消息，MME接收来自AMF的上下文请求消息。其中，该上下文请求消息包括S201中TAU request和MAC，用于请求4G NAS安全上下文。

S204a：MME对TAU request进行完整性校验。

具体的，校验方法为：MME使用本地保存的该终端的4G NAS安全上下文，使用与终端计算MAC值相同的方法，针对TAU request计算出一个MAC’，如果该MAC’与上下文请求消息中的MAC相同，则表明该TAU request确实来自该终端，而非恶意攻击者或者AMF伪造的。

S205a：S204中校验通过后，MME将终端之前所使用的4G NAS安全上下文在上下文响应(context response)消息中发回给AMF，AMF接收来自MME的上下文响应消息。

其中，由于MME将AMF视为4G网络中的移动管理网元，传递的内容与4G网络中终端切换时，MME发送给4G网络中的移动管理网元的内容相同。

具体的，上下文响应消息中包括终端的4G NAS安全上下文以及该终端的永久身份(若终端使用的是5G卡，则该永久身份为subscription permanent identifier，SUPI；若终端使用的是4G卡，则该永久身份为international mobile subscriber identificationnumber，IMSI)，4G NAS安全上下文包括KSI。

S206a：AMF使用收到的终端的4G NAS安全上下文推演出5G网络中将要使用的5GNAS安全上下文，同时为终端选择接下来要使用的NAS层加密和完整性保护算法。

S207a：AMF向终端发送安全模式命令(NAS security mode command，NAS SMC)消息，以通知终端推演出和AMF上一样的5G NAS安全上下文，终端接收来自AMF的NAS SMC。

S208a：终端向AMF发送非接入层安全模式完成(NAS security mode complete，NAS SMP)消息，以通知AMF NAS层安全已经激活，AMF接收来自终端的NAS SMP。

如图2b所示，具体包括以下步骤：

S201b：eNB向MME发送切换请求(handover required)消息1，MME接收来自eNB的切换请求消息1。

S202b：MME向AMF发送转发重定位请求(forward relocation request)消息，AMF接收来自MME的转发重定位请求消息。其中，该转发重定位请求消息包含终端的4G NAS安全上下文以及终端的永久身份，4G NAS安全上下文中包括KSI。

S203b：AMF根据收到的终端的4G NAS安全上下文推演出5G NAS安全上下文。

S204b：AMF向gNB发送切换请求(handover request)消息2，gNB接收来自AMF的切换请求消息2。

其中，切换请求消息2包括AS层根密钥、终端的安全能力以及安全参数，其中，该AS层根密钥由AMF基于终端4G安全上下文生成，该安全参数包括AMF发送给终端的推演NAS层根密钥的参数以及选择NAS层的算法，用于终端推演出和AMF上一样的5G NAS安全上下文。

S205b：gNB向AMF发送切换请求确认(handover request ACK)消息，AMF接收来自gNB的切换请求确认消息。其中，切换请求确认消息包括gNB选择的AS层算法以及S204b中的安全参数，用于终端推演出5G AS安全上下文。

S206b：AMF向MME发送转发重定位响应(forward relocation response)消息，MME接收来自AMF的转发重定位响应消息。其中，转发重定位响应消息包括S205b中的AS层算法和安全参数。

S207b：MME向eNB发送切换命令(handover command)消息1，eNB接收来自MME的切换命令消息1。其中，切换命令消息1包括S205b中的AS层算法和安全参数。

S208b：eNB向终端发送切换命令(handover command)消息2，终端接收来自eNB的切换命令消息2，该终端根据切换命令消息2，生成5G安全上下文。其中，切换命令消息2包括S205b中的AS层算法和安全参数。

S209b：终端向gNB发送切换完成(handover complete)消息，gNB接收来自终端的切换完成消息。

S210b：gNB向AMF发送切换通知(handover notify)消息，AMF接收来自gNB的切换通知消息。

S211b：终端生成注册请求消息2，并将注册请求消息2发送给AMF，AMF接收来自终端的注册请求消息2。

从图2a以及图2b中可知，在现有技术中，AMF获得MME发送的4G安全上下文后，AMF会直接利用该4G安全上下文推演出5G安全上下文，然而AMF不能判断该4G安全上下文的来源。如果该4G安全上下文由3G网络中的3G安全上下文推演而来(如终端一开始接入3G网络，之后切换至4G网络，则4G安全上下文由3G安全上下文推演而来)，而3G网络中的不安全性有可能蔓延至5G。

具体的，3G网络中的不安全性可来源于：3G网络的加密密钥CK和完整性保护密钥IK在跨系统切换场景下传输给4G的移动管理网元时始终保持不变，即便在切换失败后的下一次传输中，仍然是相同的CK和IK，这相比于终端从4G网络切换至3G网络时推演出新的密钥而言，比较容易泄露。此外，3G网络中的基站控制器RNC有可能部署在不安全的位置，因此容易遭到攻击者的攻击，泄露CK和IK。一般在第三代合作伙伴协议(3rd generationpartnership project，3GPP)中，认为4G网络的安全性要高于3G网络的安全性，而5G网络的安全性是最高的，而如果攻击者获取该CK和IK之后，结合容易获得的空口侧的输入参数，推演出终端的根密钥K_asme，那攻击者同样能够推演出终端所使用的5G安全上下文，因此，3G网络的不安全性有可能蔓延至5G。

为解决上述现有技术中存在的问题，本申请实施例提出了一种安全上下文隔离的方法，结合图3的流程示意图对该方法进行说明，具体包括以下步骤：

需要说明的是，下述的目标移动管理网元为切换至目标网络中所对应的移动管理网元，源移动管理网元为4G网络中所对应的移动管理网元，其中，目标网络不限于5G网络，可以是未来的6G网络，本申请对此不作限定。

S301：目标移动管理网元获知终端的4G安全上下文由3G安全上下文推演而来。

在一个示例中，目标移动管理网元获知终端的4G安全上下文由3G安全上下文推演而来，包括以下两种情况：

第一种情况：目标移动管理网元获取指示信息，该指示信息用于指示终端的4G安全上下文由3G安全上下文推演而来。

其中，指示信息可以为新增的指示符(indication)、扩展的KSI中的任意一个。该扩展的KSI与S202a中注册请求消息中所包括的KSI相比，新增一个或多个比特位，该一个或多个比特位标识终端的4G安全上下文由3G安全上下文推演而来。

具体的，目标移动管理网元可以从终端或者源移动管理网元获取指示信息，可以通过下述四种方式：

方式一：终端空闲态时，目标移动管理网元接收来自终端的第一消息1(例如S202a中的注册请求消息1)，用于请求注册，其中，第一消息1包括指示信息。其中，该指示信息可以为新增的指示符(indication)、扩展的KSI中的任意一个。

方式二：终端连接态时，目标移动管理网元接收来自终端的第一消息2(例如S211b中的注册请求消息2)，用于请求注册，其中，第一消息2包括指示信息。其中，指示信息可以为新增的指示符(indication)。

方式三：终端空闲态时，目标移动管理网元向源移动管理网元发送第二消息(例如S204a中的上下文请求消息)，用于请求终端的4G安全上下文。目标移动管理网元接收来自源移动管理网元的第三消息1(例如S205a中的上下文响应消息)，用于响应第二消息，其中，第三消息1包括指示信息。

方式四：终端连接态时，目标移动管理网元接收来自源移动管理网元的第四消息1(例如S206b中的转发重定位请求消息)，用于初始化切换所需资源的分配，其中，第四消息1包括指示信息。

第二种情况：目标移动管理网元根据来自源移动管理网元的第三消息2，或者第四消息2，获知终端的4G安全上下文来源于3G安全上下文。

具体的，第二种情况中，目标移动管理网元获知终端的4G安全上下文来源于3G安全上下文，可以通过下述两种方式：

方式一：目标移动管理网元向源移动管理网元发送第二消息，用于请求终端的4G安全上下文。目标移动管理网元接收来自源移动管理网元的第三消息2，用于响应第二消息，其中，第三消息2不包括终端的4G安全上下文。目标移动管理网元根据第三消息2获知终端的4G安全上下文来源于3G安全上下文。

方式二：终端连接态时，目标移动管理网元接收来自源移动管理网元的第四消息2，用于初始化切换所需资源的分配，其中，第四消息2不包括终端的4G安全上下文。目标移动管理网元根据第四消息2获知终端的4G安全上下文来源于3G安全上下文。

S302：目标移动管理网元获知该终端的4G安全上下文由3G安全上下文推演而来后，确定执行重鉴权流程。

S303：目标移动管理网元获取终端的永久身份。

在一个示例中，目标移动管理网元获取终端的永久身份，包括以下四种方式：

方式一：终端空闲态时，目标移动管理网元执行身份请求流程。

具体的，目标移动管理网元向终端发送消息1，终端接收来自目标移动管理网元的消息1，其中，消息1用于请求身份。终端向目标移动管理网元返回加密的永久身份，目标移动管理网元接收来自终端的加密的永久身份。

方式二：终端连接态时，目标移动管理网元接收来自终端的第一消息2(例如S202a中的注册请求消息1)，用于请求注册，其中，第一消息2包括该终端的加密的永久身份。

方式三：终端空闲态时，目标移动管理网元接收来自源移动管理网元的第三消息3，用于响应源移动管理网元对上下文的请求，其中，第三消息3包括终端的永久身份。

方式四：终端连接态时，目标移动管理网元接收来自源移动管理网元的第四消息3，用于初始化切换所需资源的分配，其中，第四消息3包括终端的永久身份。

S304：目标移动管理网元获取来自数据管理网元的终端的认证向量(authorization vector，AV)。

具体的，目标移动管理网元获取终端的永久身份后，使用该永久身份向数据管理网元请求终端的AV，目标移动管理网元接收数据管理网元返回的该终端的AV。

S305：目标移动管理网元获取终端的AV后，对终端进行鉴权流程，以生成终端目标网络原生安全上下文。

需要说明的是，目标网络原生安全上下文为通过鉴权流程后，生成的安全上下文，区别于推演而来的安全上下文。

通过上述方法，目标移动管理网元获知终端的4G安全上下文由3G安全上下文推演而来，从而确定执行重鉴权流程，并通过重鉴权流程生成目标网络的原生安全上下文，将3G安全上下文与目标网络隔离开来，避免了3G网络的不安全性蔓延至目标网络的情况，保证了目标网络的安全性。

下面结合具体实施例图4a-图6b，对上述图3所提供的安全上下文隔离的方法进行详细的说明，并以终端从4G网络切换至5G网络，源目标移动管理网元为MME、目标移动管理网元为AMF、源基站为eNB、目标基站为gNB为例，但本技术领域的人员可知，下述的网元名称、消息名称只是本申请实施例的示例，并不构成对本申请的限定。

下面的图4a为本申请实施例所提供的一种安全上下文隔离方法中，终端处于空闲态时，AMF接收来自终端的注册请求消息1，获取指示信息，并执行身份请求流程，获取终端的永久身份的示意图；图4b为本申请实施例所提供的一种安全上下文隔离方法中，终端处于空闲态时，AMF接收来自终端的注册请求消息1，获取指示信息，并接收来自MME的上下文响应消息，获取终端的永久身份的示意图；图4c为本申请实施例所提供的一种安全上下文隔离方法中，终端处于连接态时，AMF在终端切换到5G网络后接收来自终端的注册请求消息2，获取指示信息的示意图。具体可见图4a、图4b以及图4c中的描述。

如图4a所示，具体包括以下步骤：

S401a：当终端从3G网络切换到4G网络，并且使用了3G安全上下文推演出4G安全上下文后，终端将该生成的4G安全上下文进行标记，标记的方法是使用指示信息，指示该4G安全上下文是由3G安全上下文推演而来的。

在一个示例中，指示信息为指示符的情况下，终端将生成的4G安全上下文进行标记，标记的方法是新生成指示符，该指示符指示该4G安全上下文是由3G安全上下文推演而来的。

进一步地，终端保存该指示符和生成的4G安全上下文。

在一个示例中，指示信息为扩展的KSI的情况下，终端将生成的4G安全上下文进行标记，标记的方法是在KSI中新增一个或多个比特，生成扩展的KSI，其中，新增的一个或多个比特标识终端的4G安全上下文由3G安全上下文推演而来的。

进一步地，终端保存该扩展的SKI。

后续步骤中，指示信息为指示符的情况与指示信息为扩展的KSI的情况相同，故不作区分。

S402a：终端向AMF发送注册请求消息1，AMF接收来自终端的注册请求消息1，其中，注册请求消息1包括指示信息。AMF根据指示信息，获知终端的4G安全上下文由3G安全上下文推演而来。

S403a：AMF获知终端的4G安全上下文由3G安全上下文推演而来后，确定执行重鉴权流程。

S404a：AMF向终端发送身份请求消息，终端接收来自AMF的身份请求消息。

S405a：终端向AMF返回身份请求响应消息，AMF接收来自终端的身份请求响应消息，其中，该身份请求响应消息包括终端的加密的永久身份。

S406a：AMF向UDM发送认证向量请求消息，UDM接收来自AMF的认证向量请求消息，其中，认证向量请求消息包括终端的永久身份。

S407a：UDM向AMF返回认证向量请求响应消息，AMF接收来自UDM的认证向量请求响应消息，其中，认证向量请求响应消息包括终端的AV。

具体的，UDM根据终端的永久身份，确定该终端的AV，并向AMF返回该终端的AV。

S408a：AMF获取来自UDM的终端的AV后，对终端进行鉴权流程，生成终端5G原生安全上下文。

S409a：AMF向MME发送消息2，MME接收来自AMF的消息2。

在一个示例中，消息2用于指示终端已切换至5G网络，和/或用于指示删除该终端的4G安全上下文。

在一个示例中，消息2包括S202a中所收到的TAU request以及MAC，用于MME对该TAU request进行校验，确定该TAU request由该终端发送，而非恶意攻击者或AMF伪造。

S410a：MME对TAU request校验通过后，删除终端的4G安全上下文。

S411a：MME向AMF返回确认消息。

需要说明的是，S409a-S411a为可选步骤，且在下述S409b、S416c、S509a、S517b、S610a、S614b后也可以执行，故之后不作赘述。

S409a-S411a与S403a-S408a无先后执行顺序，可以先执行S403a-S408a部分，后执行S409a-S411a部分，或者先执行S409a-S411a部分，后执行S403a-S408a部分，还可以同时执行S403a-S408a部分和S409a-S411a部分，本申请对此不作限定。

如图4b所示，具体包括以下步骤：

S401b-S403b：参考S401a-S403a,不作赘述。

S404b：AMF向MME发送上下文请求消息，MME接收来自AMF的上下文请求消息，其中，上下文请求消息包括TAU request和MAC。

S405b：MME对TAU request进行校验。

具体描述可参考S204中的说明。

S406b：S405b中校验通过后，MME向AMF发送上下文响应消息，AMF接收来自MME的上下文响应消息，其中，上下文响应消息包括终端的4G NAS安全上下文以及该终端的永久身份。

S407b-S409b：参考S406a-S408a,不作赘述。

如图4c所示，具体包括以下步骤：

S401c：当终端从3G网络切换到4G网络，并且使用了3G安全上下文推演出4G安全上下文后，终端将该生成的4G安全上下文进行标记，标记的方法是在KSI中新增一个或多个比特，生成扩展的KSI，其中，新增的一个或多个比特标识终端的4G安全上下文是由3G安全上下文推演而来的。

S402c-S411c：参考S201b-S210b，不作赘述。

S412c：终端向AMF发送注册请求消息2，AMF接收来自终端的注册请求消息2，其中，注册请求消息2中包括扩展的KSI以及加密的永久身份。AMF根据扩展的KSI，获知终端的4G安全上下文由3G安全上下文推演而来。

S413c：AMF根据获知终端的4G安全上下文由3G安全上下文推演而来后，确定执行重鉴权流程。

S414c-S416c：参考S406a-S408a,不作赘述。

需要说明的是，图4a、图4b、图4c为AMF获取来自终端的指示信息的示意图，除此之外，AMF可以通过获取来自终端的注册请求消息1或者注册请求消息2，获知需要执行重鉴权流程，其中，该注册请求消息1不包括做完整性保护的TAU request，该注册请求消息2不包括MAC，从而保证了5G网络的安全性。

相应的，终端可以删除由3G推演而来的4G原生上下文，从而节约了终端保存数据的资源。

通过图4a、4b、4c所示的方法，目标移动管理网元从终端处获知终端的4G安全上下文由3G安全上下文推演而来，从而确定执行重鉴权流程，并通过重鉴权流程生成5G原生安全上下文，将3G安全上下文与5G安全上下文隔离开来，避免了3G网络的不安全性蔓延至5G的情况，保证了5G网络的安全性。进一步地，目标移动管理网元指示源移动管理网元删除终端4G安全上下文，减轻源移动管理网元负担。

下面的图5a为本申请实施例所提供的一种安全上下文隔离方法中，终端处于空闲态时，AMF接收来自MME的上下文响应消息，获取指示消息和终端的永久身份的示意图；图5b为本申请实施例所提供的一种安全上下文隔离方法中，终端处于连接态，AMF接收来自MME的转发重定位请求消息，获取指示信息和终端的永久身份的示意图，具体可见图5a和图5b中步骤的描述。

如图5a所示，具体包括以下步骤：

S501a：当终端从3G网络切换到4G网络，并且使用了3G安全上下文推演出4G安全上下文后，MME将该生成的4G安全上下文进行标记，标记的方法是使用指示信息指示该4G安全上下文是由3G安全上下文推演而来的。

在一个示例中，指示信息为指示符的情况下，MME将生成的4G安全上下文进行标记，标记的方法是新生成指示符，该指示符指示该4G安全上下文是由3G安全上下文推演而来的。

在一个示例中，指示信息为扩展的KSI的情况下，终端将生成的4G安全上下文进行标记，标记的方法是在KSI中新增一个或多个比特，生成扩展的KSI，其中，新增的一个或多个比特标识终端的4G安全上下文由3G安全上下文推演而来的。

后续步骤中，指示信息为指示符的情况与指示信息为扩展的KSI的情况相同，故不作区分。

S502a-S504a：参考S202a-S204a，不作赘述。

S505a：S504a中校验通过后，MME向AMF返回上下文响应消息，AMF接收来自MME的上下文响应消息，其中，上下文响应消息包括指示信息、终端的4G安全上下文以及终端的永久身份。AMF根据指示信息，获知终端的4G安全上下文由3G安全上下文推演而来。

S506a：AMF获知终端的4G安全上下文由3G安全上下文推演而来后，确定执行重鉴权流程。

S507a-S509a：参考S406a-S408a，不作赘述。

如图5b所示，具体包括以下步骤：

S501b：参考S501a，不作赘述。

S502b：参考S201b，不作赘述。

S503b：MME向AMF发送转发重定位请求消息，AMF接收来自MME的转发重定位请求消息，其中，转发重定位请求消息包括指示信息、终端4G安全上下文以及终端的永久身份。AMF根据指示信息，获知终端的4G安全上下文由3G安全上下文推演而来。

S504b-S513b：参考S202b-S211b，不作赘述。

S514b：AMF获知终端的4G安全上下文由3G安全上下文推演而来后，确定执行重鉴权流程。

S515b-S517b：参考S406a-S408a，不作赘述。

通过图5所示的方法，目标移动管理网元从源移动管理网元处获知终端的4G安全上下文由3G安全上下文推演而来，从而确定执行重鉴权流程，并通过重鉴权流程生成5G原生安全上下文，将3G安全上下文与5G安全上下文隔离开来，避免了3G网络的不安全性蔓延至5G的情况，保证了5G网络的安全性。

下面的图6a为本申请实施例所提供的一种安全上下文隔离方法中，终端处于空闲态时，AMF接收来自MME的上下文响应消息的示意图；图6b为本申请实施例所提供的一种安全上下文隔离方法中，终端处于连接态时，AMF接收来自MME的转发重定位请求消息的示意图，具体可见图6a和图6b中步骤的描述。

如图6a所示，具体包括以下步骤：

S601a-S604a：参考S501a-S504a，不作赘述。

S605a：MME根据S601a中生成的指示信息，获知当前终端的4G安全上下文由3G安全上下文推演而来，确定不向AMF发送该终端的4G安全上下文。

S606a：MME向AMF发送上下文响应消息，AMF接收来自MME的上下文响应消息，其中，上下文响应消息包括终端的永久身份，不包括终端4G安全上下文。

S607a：AMF根据不包括终端4G安全上下文的上下文响应消息，获知终端4G安全上下文由3G安全上下文推演而来，确定执行重鉴权流程。

S608a-S610a：同S406a-S408a,不作赘述。

如图6b所示，具体包括以下步骤：

S601b：同S501a，不作赘述。

S602b：同S201b，不作赘述。

S603b：MME根据S601a中生成的指示信息，获知当前终端的4G安全上下文由3G安全上下文推演而来，确定不向AMF发送该终端的4G安全上下文。

S604b：MME向AMF发送转发重定位请求消息，AMF接收来自MME的转发重定位请求消息，其中，转发重定位请求消息包括终端的永久身份，不包括该终端4G安全上下文。

S605b：AMF根据不包括终端4G安全上下文的转发重定位请求消息，获知终端4G安全上下文由3G安全上下文推演而来，确定执行重鉴权流程。

S606b-S607b：同S406a-S407a，不作赘述。

S608b：AMF向gNB发送切换请求消息2，gNB接收来自AMF的切换请求消息2，其中，切换请求消息2包括S607b中所获取的终端的AV。

具体的，切换请求消息2还包括安全参数，具体描述可参见S204b。

在一个示例中，终端的AV包括在安全参数中，则切换请求消息2还包括要求gNB上报基站信息的指示。

在另一个示例中，终端的AV不包括在安全参数中，则终端的AV作为要求gNB上报基站信息的指示。

其中，要求gNB上报的基站信息可以为gNB的相关信息，例如可以是频点信息，和/或小区标识。

需要说明的是，因为S604b中AMF未获得终端4G安全上下文，AMF无法生成AS层根密钥，因此AMF无法向gNB提供AS层根密钥，那AMF需要额外发送指示，要求gNB上报基站信息，从而保证整个切换的流程能够继续执行。

S609b：gNB向AMF返回切换请求确认消息，AMF接收来自gNB的切换请求确认消息，其中，切换请求确认消息包括终端的AV及gNB的基站信息。

在一个示例中，切换请求确认消息包括安全参数(包括终端的AV)以及gNB的基站信息。

在另一个示例中，切换请求确认消息包括终端的AV、安全参数(不包括终端的AV)以及gNB的基站信息。

需要说明的是，gNB向AMF提供基站信息，目的是通知终端驻留在该gNB上，具体详见S609b-S612b。

S610b：AMF向MME发送转发重定位响应消息，MME接收来自AMF的转发重定位响应，其中，转发重定位响应消息包括S609b中切换请求确认消息中的信息。

S611b：MME向eNB发送消息3，eNB接收来自MME的消息3。其中，消息3于通知终端驻留的gNB，包括S609b中切换请求确认消息中的信息。

在一个示例中，消息3可以是S207b中的切换命令消息1，或者可以是无线资源控制释放(RRC release)消息1。

S612b：eNB向终端发送消息4，终端接收来自eNB的消息4。其中，消息4用于通知终端驻留的gNB，包括S609b中切换请求确认消息中的信息。

在一个示例中，消息3可以是S208b中的切换命令消息2，或者可以是无线资源控制释放(RRC release)消息2。

S613b：终端根据消息4，获知该终端的AV及基站信息，连接到基站信息对应的gNB，并向AMF发送注册请求消息2，AMF接收来自终端的注册请求消息2。

在一个示例中，注册请求消息2包括鉴权响应，用于响应AMF向终端发送的AV。

S614b：AMF通过鉴权流程，生成终端的5G原生安全上下文。

需要说明的是，S608b-S614b也可以在S416c或者S517b之后执行，本申请对此不作限定。

通过S608b-S614b，AMF通过转发重定位响应消息、消息3以及消息4(转发重定位响应消息2、消息3以及消息4可合起来称为第五消息，用于指示所述终端连接的目标基站gNB)，将终端的AV发送给该终端，执行重鉴权的流程，省去了终端连接到gNB后，再向AMF请求注册而触发重鉴权的过程，从而节省了空口资源。

通过图6所示的方法，目标移动管理网元根据源移动管理网元发送的上下文响应消息/转发重定位请求消息，获知终端的4G安全上下文由3G安全上下文推演而来，从而确定执行重鉴权流程，并通过重鉴权流程生成5G原生安全上下文，将3G安全上下文与5G安全上下文隔离开来，避免了3G网络的不安全性蔓延至5G的情况，保证了5G网络的安全性。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍，可以理解的是，上述目标移动管理网元、源移动管理网元、终端为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应超过本申请的范围。

本申请实施例可以根据上述方法示例对目标移动管理网元、源移动管理网元、终端进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中，上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

例如，上述网元或功能可以通过图7中的通信设备来实现，如图7所示，该通信设备700可以为目标移动管理网元、源移动管理网元、终端设备。该通信设备700包括：处理单元701、通信单元702，可选的，还可以包括存储单元703。其中，处理单元701和通信单元702相连，处理单元701和存储单元703相连。进一步地，通信单元702可以划分为接收单元和发送单元，分别执行接收信息和发送信息的功能。

处理单元701用于对上述网元的动作进行控制，例如支持上述网元执行本申请实施例所提供的方法及步骤。通信单元702用于支持上述网元与其他网络实体的通信，例如本申请实施例中示出的网元与网络实体之间的通信。存储单元703用于存储上述网元的数据或程序代码。

其中，处理单元701可以是处理器或控制器，例如可以是中央处理器(centralprocessing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或其任意组合。其可以实现或执行结合本申请所描述的各个示例性的逻辑方框、模块和电路。所述处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元702可以是收发器。存储单元703可以是存储器。

通信装置700可以是一种移动管理网元710。图7a示出了的一种移动管理网元710的结构示意图，该移动管理网元包括处理单元711和通信单元712，可选的，还可以包括存储单元713。

当终端从4G网络切换至目标网络时，该移动管理网元710位于目标网络中，其中

处理单元711，用于通过通信单元712获知终端的4G安全上下文由3G安全上下文推演而来，具体可参考图3中S301。

处理单元711，用于获知终端的4G安全上下文由3G安全上下文推演而来后，还用于确定执行重鉴权流程，具体可参考图3中的S302。

处理单元711，还用于通过通信单元712获取终端的永久身份，具体可参考图3中的S303。

处理单元711，还用于通过通信单元712获取终端的AV，具体可参考图3中的S304。

处理单元711，用于获取终端的AV后，还用于对终端进行鉴权流程，以生成终端目标原生安全上下文，具体可参考图3中的S305。

进一步地，移动管理网元710还可以执行图4a至6b中目标移动管理网元相应的步骤，具体可参考上述方法实施例中的描述。

例如，所述通信单元712可执行图4a中的S402a、S404a、S405a、S406a、S407a、S409a、S411a，所述处理单元711可执行图4a中的S403a、S408a、S410a。

当终端从4G网络切换至目标网络时，该移动管理网元710位于终端切换至目标网络前的4G网络中，其中

处理单元711，用于获知终端的4G安全上下文由3G安全上下文推演而来。

通信单元712，在终端从4G网络中切换至目标网络的过程中，用于通过第三消息1或第四消息1向目标网络的目标移动管理网元发送指示信息，具体可参考图3中的S301，或者用于向目标移动管理网元发送不包括终端4G安全上下文的第三消息2或第四消息2，具体可参考图3中的S301。

通信单元712，还用于向目标移动管理网元发送包括终端永久身份的第三消息3或第四消息3，具体可参考图3中的S303。

进一步地，移动管理网元710还可以执行图4a至6b中源移动管理网元相应的步骤，具体可参考上述方法实施例中的描述。

例如，所述通信单元712可执行图5a中的S505a、S503a，所述处理单元711可执行图5a中的S501a、S504a。

通信装置700可以是一种终端设备，图7b示出了的一种终端设备720的结构示意图，该终端设备包括处理单元721和通信单元722，可选的，还可以包括存储单元723。

处理单元721，用于获知4G安全上下文由3G安全上下文推演而来。

通信单元722，在终端从4G网络中切换至目标网络的过程中，用于通过第一消息1或第一消息2向目标移动管理网元发送指示信息，具体可参考图3中的S301。

通信单元722，还用于接收来自目标移动管理网元的消息1，并返回给目标移动管理网元永久身份，或者还用于通过第一消息2向目标移动管理网元发送终端的永久身份，具体可参考图3中的S303。

进一步地，终端设备720还可以执行图4a至6b中终端相应的步骤，具体可参考上述方法实施例中的描述。

例如，所述通信单元722可执行图4a中的S402a、S404a、S405a，所述处理单元721可执行图4a中的S401a。

当上述的处理单元701、711、721，通信单元702、712、722分别为处理器、收发器，存储单元703、713、723为存储器时，本申请实施例涉及的移动管理网元、终端设备可以为图8所示的结构。

参阅图8所示，该通信设备800包括：处理器801、收发器802，可选的，可以包括存储器803以及总线804。其中，处理器801、收发器802以及存储器803通过总线804连接；总线804可以是外设部件互联标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

若图8所示的通信设备为终端设备720，终端设备720可以为图9所示结构，如图9所示，终端设备720包括处理器901和收发器902。可选地，终端设备720还包括存储器903。其中，处理器901、收发器902和存储器903之间可以通过总线互相通信，传递控制和/或数据信号。存储器903用于存储计算机程序，处理器901用于从存储器903中调用并运行计算机程序，以控制收发器902收发信号。

可选地，终端设备720还可以包括天线904，用于将收发器902输出的信息或数据通过无线信号发送出去。

处理器901和存储器903可以合成一个处理装置，处理器901用于执行存储器903中存储的程序代码来实现上述功能。具体实现时，存储器903也可以集成在处理器901中，或者独立于处理器901。

可选地，终端设备720还可以包括电源905，用于给终端设备中的各种器件或电路提供电源。

除此之外，为了使得终端设备的功能更加完善，终端设备720还可以包括输入单元906、显示单元907、音频电路908、摄像头909和传感器910等中的一个或多个。音频电路还可以包括扬声器9081、麦克风9082等。

本申请实施例还提供的一种芯片系统，包括至少一个处理器1001、接口电路1002，处理器1001和接口电路1002相连。

处理器1001可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1001可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

接口电路1002可以完成数据、指令或者信息的发送或者接收，处理器1001可以利用接口电路1002接收的数据、指令或者其它信息，进行加工，可以将加工完成信息通过接口电路1002发送出去。

可选的，芯片系统还包括存储器1003，存储器1003可以包括只读存储器和随机存取存储器，并向处理器提供操作指令和数据。存储器1003的一部分还可以包括非易失性随机存取存储器(NVRAM)。

可选的，存储器1003存储了可执行软件模块或者数据结构，处理器1001可以通过调用存储器存储的操作指令(该操作指令可存储在操作系统中)，执行相应的操作。

可选的，芯片系统可以使用在移动管理网元710、终端设备720中。可选的，接口电路1002用于执行图2a至图6b所示的实施例中目标移动管理网元、源移动管理网元、终端的接收和发送的步骤。处理器1001用于执行图2a至图6b所示的实施例中的目标移动管理网元、源移动管理网元、终端处理的步骤。存储器1003用于存储图2a至图6b所示的实施例中的目标移动管理网元、源移动管理网元、终端的数据和指令。

例如，当芯片系统使用在目标移动管理网元时，可以通过接口电路1002接收指示信息，具体可参考图3中的S301。处理器1001用于获知终端的4G安全上下文由3G安全上下文推演而来，并确定执行重鉴权流程，具体可参考图3中的S301和S302。处理器1001还用于获取终端的永久身份和AV，具体可参考图3中的S303和S304，还用于对终端进行鉴权流程，生成终端目标网络原生安全上下文，具体可参考图3中的S305。

本申请实施例还提供了一种计算机可读存储介质。上述方法实施例中描述的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。如果在软件中实现，则功能可以作为一个或多个指令或代码存储在计算机可读介质上或者在计算机可读介质上传输。计算机可读介质可以包括计算机存储介质和通信介质，还可以包括任何可以将计算机程序从一个地方传送到另一个地方的介质。存储介质可以是可由计算机访问的任何可用介质。

作为一种可选的设计，计算机可读介质可以包括RAM，ROM，EEPROM，CD-ROM或其它光盘存储器，磁盘存储器或其它磁存储设备，或可用于承载的任何其它介质或以指令或数据结构的形式存储所需的程序代码，并且可由计算机访问。而且，任何连接被适当地称为计算机可读介质。例如，如果使用同轴电缆，光纤电缆，双绞线，数字用户线(DSL)或无线技术(如红外，无线电和微波)从网站，服务器或其它远程源传输软件，则同轴电缆，光纤电缆，双绞线，DSL或诸如红外，无线电和微波之类的无线技术包括在介质的定义中。如本文所使用的磁盘和光盘包括光盘(CD)，激光盘，光盘，数字通用光盘(DVD)，软盘和蓝光盘，其中磁盘通常以磁性方式再现数据，而光盘利用激光光学地再现数据。上述的组合也应包括在计算机可读介质的范围内。

本申请实施例还提供了一种计算机程序产品。上述方法实施例中描述的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。如果在软件中实现，可以全部或者部分得通过计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时，全部或部分地产生按照上述方法实施例中描述的流程或功能。上述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims (30)

1.一种安全上下文隔离的方法，其特征在于，包括：

在终端从4G网络切换至目标网络的过程中，目标移动管理网元获知所述终端的4G安全上下文由3G安全上下文推演而来，确定对所述终端执行重鉴权流程；

所述目标移动管理网元对所述终端执行所述重鉴权流程，获得所述终端的所述目标网络的原生安全上下文。

2.如权利要求1所述的方法，其特征在于，所述目标移动管理网元获知所述终端的4G安全上下文由3G安全上下文推演而来包括：

所述目标移动管理网元获取指示信息，所述指示信息用于指示所述终端的4G安全上下文由3G安全上下文推演而来。

3.如权利要求2所述的方法，其特征在于，所述指示信息包括以下任意一项：新增的指示符、扩展的密钥标识符；

其中，所述扩展的密钥标识符包括新增的一个或多个比特，所述一个或多个比特用于标识所述终端的4G安全上下文由3G安全上下文推演而来。

4.如权利要求2或3所述的方法，其特征在于，所述目标移动管理网元获取指示信息包括：

所述目标移动管理网元获取来自所述终端的所述指示信息，或者获取来自源移动管理网元的所述指示信息。

5.如权利要求4所述的方法，其特征在于，所述目标移动管理网元获取来自所述终端的所述指示信息包括：

所述目标移动管理网元接收来自所述终端的第一消息，所述第一消息用于请求注册，其中，所述第一消息包括所述指示信息。

6.如权利要求4所述的方法，其特征在于，所述目标移动管理网元获取来自源移动管理网元的所述指示信息包括：

所述目标移动管理网元向所述源移动管理网元发送第二消息，所述第二消息用于请求所述终端的4G安全上下文，所述目标移动管理网元接收来自所述源移动管理网元的第三消息，所述第三消息包括所述指示消息及所述终端的4G安全上下文；或者

所述目标移动管理网元接收来自所述源移动管理网元第四消息，用于初始化切换所需资源的分配，其中，所述第四消息包括所述指示信息。

7.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述目标移动管理网元向所述源移动管理网元发送第二消息，所述第二消息用于请求所述终端的4G安全上下文，所述目标移动管理网元接收来自所述源移动管理网元的第三消息，所述第三消息不包括所述终端的4G安全上下文；或者

所述目标移动管理网元接收来自所述源移动管理网元的第四消息，所述第四消息用于初始化切换所需资源的分配，其中，所述第四消息不包括所述终端的4G安全上下文；

则所述目标移动管理网元获知终端的4G安全上下文由3G安全上下文推演而来包括：所述目标移动管理网元根据所述第三消息或所述第四消息，获知所述终端的4G安全上下文由3G安全上下文推演而来。

8.如权利要求1-7所述的方法，其特征在于，所述目标移动管理网元确定对所述终端执行重鉴权流程后，还包括：

所述目标移动管理网元获取所述终端的永久身份，所述终端的永久身份用于获取所述终端的认证向量。

9.如权利要求8所述的方法，其特征在于，所述目标移动管理网元获取所述终端的永久身份包括：

所述目标移动管理网元获取来自所述终端的所述永久身份，或者获取来自所述源移动管理网元的所述终端的永久身份。

10.如权利要求8或9所述的方法，其特征在于，还包括：

所述目标移动管理网元向数据管理网元发送所述终端的永久身份，用于请求所述终端的认证向量；

所述目标移动管理网元接收来自所述数据管理网元的所述终端的认证向量；

所述目标移动管理网元向所述终端发送第五消息，用于指示连接的目标基站，其中，所述第五消息包括所述终端的认证向量以及所述目标基站的信息，所述认证向量用于对所述终端进行重鉴权。

11.一种安全上下文隔离的方法，其特征在于，包括：

获知终端的4G安全上下文由3G安全上下文推演而来；

在所述终端从4G网络切换至目标网络的过程中，向目标网络的目标移动管理网元发送指示信息，所述指示信息用于指示所述终端的4G安全上下文由3G安全上下文推演而来。

12.如权利要求11所述的方法，其特征在于，所述指示信息包括以下任意一项：新增的指示符、扩展的密钥标识符；

其中，所述扩展的密钥标识符包括新增的一个或多个比特，所述一个或多个比特用于标识所述终端的4G安全上下文由3G安全上下文推演而来。

13.如权利要求11或12所述的方法，其特征在于，所述方法由所述终端或者源移动管理网元执行。

14.如权利要求11-13任一项所述的方法，其特征在于，还包括，

所述终端接收来自所述目标移动管理网元的第五消息，所述第五消息用于指示连接的目标基站，其中，所述第五消息包括所述终端的认证向量以及目标基站的信息，所述认证向量用于进行重鉴权；

所述终端根据所述认证向量进行鉴权，并向所述目标移动管理网元返回鉴权响应。

15.一种安全上下文隔离的方法，其特征在于，包括：

源移动管理网元获知终端的4G安全上下文由3G安全上下文推演而来；

所述源移动管理网元接收来自目标移动管理网元的第二消息，所述第二消息用于请求所述终端的4G安全上下文，所述源移动管理网元向所述目标移动管理网元返回第三消息，其中，所述第三消息不包括所述终端的4G安全上下文；或者

所述源移动管理网元向所述目标移动管理网元发送第四消息，所述第四消息用于初始化切换所需资源的分配，其中，所述第四消息不包括所述终端的4G安全上下文。

16.一种移动管理网元，位于终端从4G网络切换至的目标网络，其特征在于，包括处理单元和通信单元，

所述处理单元用于通过所述通信单元获知所述终端的4G安全上下文由3G安全上下文推演而来，并确定对所述终端执行重鉴权流程；

以及对所述终端执行所述重鉴权流程，获得所述终端的所述目标网络的原生安全上下文。

17.如权利要求16所述的移动管理网元，其特征在于，所述处理单元用于通过所述通信单元获知所述终端的4G安全上下文由3G安全上下文推演而来包括：

所述处理单元用于通过所述通信单元获取指示信息，所述指示信息用于指示所述终端的4G安全上下文由3G安全上下文推演而来。

18.如权利要求17所述的移动管理网元，其特征在于，所述指示信息包括以下任意一项：新增的指示符、扩展的密钥标识符；

其中，所述扩展的密钥标识符包括新增的一个或多个比特，所述一个或多个比特用于标识所述终端的4G安全上下文由3G安全上下文推演而来。

19.如权利要求17或18所述的移动管理网元，其特征在于，所述处理单元用于通过所述通信单元获取指示信息包括：

所述处理单元用于通过所述通信单元获取来自所述终端的所述指示信息，或者获取来自源移动管理网元的所述指示信息。

20.如权利要求19所述的移动管理网元，其特征在于，所述处理单元用于通过所述通信单元获取来自所述终端的所述指示信息包括：

所述处理单元用于通过所述通信单元获取来自所述终端的第一消息，所述第一消息用于请求注册，其中，所述第一消息包括所述指示信息。

21.如权利要求19所述的移动管理网元，其特征在于，

所述通信单元用于向所述源移动管理网元发送第二消息，所述第二消息用于请求所述终端的4G安全上下文,所述通信单元还用于接收来自所述源移动管理网元的第三消息，所述第三消息包括所述指示消息及所述终端的4G安全上下文；或者

所述通信单元用于接收来自所述源移动管理网元第四消息，所述第四消息用于初始化切换所需资源的分配，其中，所述第四消息包括所述指示信息；

则所述处理单元用于通过所述通信单元获取来自源移动管理网元的所述指示信息包括：所述处理单元用于通过所述通信单元获取来自源移动管理网元的所述第三消息或所述第四消息，获取所述指示信息。

22.如权利要求16所述的移动管理网元，其特征在于，

所述通信单元用于向所述源移动管理网元发送第二消息，所述第二消息用于请求所述终端的4G安全上下文，所述通信单元还用于接收来自所述源移动管理网元的第三消息，所述第三消息不包括所述终端的4G安全上下文；或者

所述通信单元用于接收来自所述源移动管理网元的第四消息，所述第四消息用于初始化切换所需资源的分配，其中，所述第四消息不包括所述终端的4G安全上下文；

则所述处理单元用于通过所述通信单元获知终端的4G安全上下文由3G安全上下文推演而来包括：所述处理单元用于通过所述通信单元获取来自源移动管理网元的所述第三消息或所述第四消息，获知所述终端的4G安全上下文由3G安全上下文推演而来。

23.如权利要求16-22所述的移动管理网元，其特征在于，所述处理单元用于确定对所述终端执行重鉴权流程后，所述处理单元还用于通过所述通信单元获取所述终端的永久身份，所述终端的永久身份用于获取所述终端的认证向量。

24.如权利要求23所述的移动管理网元，其特征在于，所述处理单元用于通过所述通信单元获取所述终端的永久身份包括：

所述处理单元用于通过所述通信单元获取来自所述终端的所述永久身份，或者获取来自所述源移动管理网元的所述终端的永久身份。

25.如权利要求23或24所述的移动管理网元，其特征在于，

所述通信单元还用于向数据管理网元发送所述终端的永久身份，用于请求所述终端的认证向量；

以及接收来自所述数据管理网元的所述终端的认证向量；

以及向所述终端发送第五消息，用于指示连接的目标基站，其中，所述第五消息包括所述终端的认证向量以及所述目标基站的信息，所述认证向量用于对所述终端进行重鉴权。

26.一种终端，其特征在于，包括处理单元和通信单元，

所述处理单元用于获知4G安全上下文由3G安全上下文推演而来；

在从4G网络中切换至目标网络的过程中，所述通信单元用于向目标网络的目标移动管理网元发送指示信息，所述指示信息用于指示所述终端的4G安全上下文由3G安全上下文推演而来。

27.如权利要求26所述的终端，其特征在于，

所述通信单元还用于接收来自所述目标移动管理网元的第五消息，所述第五消息用于指示连接的目标基站，其中，所述第五消息包括所述终端的认证向量以及目标基站的信息，所述认证向量用于进行重鉴权；

所述处理单元还用于根据所述认证向量进行鉴权，并通过所述通信单元向所述目标移动管理网元返回鉴权响应。

28.一种移动管理网元，位于终端切换至目标网络前的4G网络，其特征在于，包括处理单元和通信单元，

所述处理单元用于获知所述终端的4G安全上下文由3G安全上下文推演而来；

在所述终端从4G网络切换至目标网络的过程中，所述通信单元用于向目标网络的目标移动管理网元发送指示信息，所述指示信息用于指示所述终端的4G安全上下文由3G安全上下文推演而来。

29.如权利要求26所述的终端、28所述的移动管理网元，其特征在于，所述指示信息包括以下任意一项：新增的指示符、扩展的密钥标识符；

其中，所述扩展的密钥标识符包括新增的一个或多个比特，所述一个或多个比特用于标识所述终端的4G安全上下文由3G安全上下文推演而来。

30.一种移动管理网元，位于终端切换至目标网络前的4G网络，其特征在于，包括处理单元和通信单元；

所述处理单元用于获知终端的4G安全上下文由3G安全上下文推演而来；

所述通信单元用于接收来自目标移动管理网元的第二消息，所述第二消息用于请求所述终端的4G安全上下文，所述通信单元还用于向所述目标移动管理网元返回第三消息，其中，所述第三消息不包括所述终端的4G安全上下文；或者

所述通信单元用于向所述目标移动管理网元发送第四消息，用于初始化切换所需资源的分配，其中，所述第四消息不包括所述终端的4G安全上下文。

Images