WO2011085566A1 - 实现密钥映射的方法及认证服务器、终端、系统 - Google Patents

Abstract

本发明公开了一种实现密钥映射的方法，该方法可以应用于NGN中，主要包括：终端从原网络切换到目的网络时，认证服务器收到所述终端发送的密钥材料映射请求，再根据所述原网络中的原密钥材料映射得到所述目的网络的目的密钥材料，并建立终端与目的网络之间的通信安全。另外，本发明还公开了一种实现密钥映射的认证服务器、终端及系统，通过本发明的方案，能够使得终端在不同NGN之间切换时，提高其会话密钥产生的效率，减少终端在网络之间切换的时延，并有利于减少认证信令交互，减轻认证服务器的负担。

Description

实现密钥映射的方法及认证服务器、 终端、 系统 技术领域

本发明涉及通信技术领域， 尤其涉及一种在下一代网络实现密钥映射 的方法及认证服务器、 终端、 系统。 背景技术

下一代网络（NGN, Next Generation Network )作为演进的基于分组交 换的网络框架受到越来越多的关注。 国际标准组织 ITU-T和其他地区标准 组织如欧洲标准化组织 （ ETSI , European Telecommunications Standards Institute )、 世界无线通讯解决方案联盟 （ ATIS , The Alliance for Telecommunications Industry Solutions )等， 对 NGN框架模型、 业务以及相 关领域进行了广泛的研究和标准化工作。

NGN能够支持异构网络接入、 网间漫游和无缝切换。 在用户的终端进 行切换时， 需要保证业务的连续性， 同时要保证终端与 NGN接入点之间的 信令数据和用户数据的私密性、 完整性。

终端在不同网络之间切换时， 认证后需要重新生成各网络中的根密钥、 中间密钥和会话密钥， 这样会增加终端切换网络的时延， 并会大大增加认 证信令交互的负担、 以及认证服务器的负担。 发明内容

有鉴于此， 本发明的主要目的在于提供一种实现密钥映射的方法及认 证服务器、 终端、 系统， 能够使得终端在不同 NGN之间切换时， 加快会话 密钥产生的效率， 减少终端在不同网络之间中切换的时延， 并减少认证信 令交互， 减轻认证服务器的负担。 为达到上述目的， 本发明的技术方案是这样实现的：

本发明提供了一种实现密钥映射的方法， 所述方法包括： 在终端从原 网络切换到目的网络时， 目的网络中的接入设备接收到所述终端发送的密 钥材料映射请求并发送给认证服务器； 所述认证服务器在接收到所述密钥 材料映射请求后， 根据所述原网络中的原密钥材料， 映射得到所述目的网 络的目的密钥材料， 并建立终端与目的网络之间的通信安全。

在上述方案中， 所述认证服务器在得到所述目的密钥材料之后， 向所 述终端返回映射响应， 所述终端根据所述原网络中的原密钥材料， 映射得 到所述目的网络的目的密钥材料， 完成自身与目的网络之间通信安全的建 立。

在上述方案中， 所述终端根据所述原网络中的原密钥材料， 映射得到 所述目的网络的目的密钥材料的过程在所述认证服务器向所述终端返回映 射响应之前、 或之后、 或同时进行。

在上述方案中， 所述认证服务器中的原密钥材料由所述认证服务器在 原网络中对终端认证成功后生成； 或者， 由所述终端发送的密钥材料映射 请求携带。

在上述方案中， 由所述原密钥材料映射得到所述目的密钥材料的过程， 具体包括： 根据所述原密钥材料， 按照预设的映射规则， 得到所述目的网 络的目的密钥材料； 所述方法进一步包括： 根据所得到的目的密钥材料， 按照目的网络中的密钥推导方式， 得到所述目的网络中的目的会话密钥材 料。

本发明还提供了一种实现密钥映射的认证服务器， 所述认证服务器包 括： 接收单元、 第一映射单元， 其中： 接收单元， 用于接收终端从原网络 切换到目的网络时所发送的密钥材料映射请求， 并发送到所述第一映射单 元； 第一映射单元， 用于在接收到所述接收单元发送的密钥材料映射请求 后， 根据所述原网络中的原密钥材料映射得到所述目的网络的目的密钥材 料。

在上述方案中， 所述认证服务器还包括： 发送单元， 其中： 所述第一 映射单元， 还用于将所得到的目的密钥材料发送到发送单元； 发送单元， 用于在接收到所述第一映射单元发送的目的密钥材料后， 向所述终端返回 映射响应。

在上述方案中， 所述认证服务器， 还包括： 第一生成单元， 用于在所 述原网络中， 对所述终端的认证成功后， 生成所述原密钥材料。

在上述方案中， 所述第一映射单元， 用于： 根据所述第一生成单元所 生成的原密钥材料， 按照预设的映射规则， 得到所述目的网络的目的密钥 材料； 所述第一映射单元， 进一步用于： 根据所得到的目的密钥材料， 按 照目的网络中的密钥推导方式， 得到所述目的网络中的目的会话密钥材料。

本发明还提供了一种实现密钥映射的终端， 所述终端包括： 第二生成 单元、 切换单元和第二映射单元， 其中： 第二生成单元， 用于生成原密钥 材料； 切换单元， 用于从原网络切换到目的网络， 并启动所述第二映射单 元； 第二映射单元， 用于根据所述第二生成单元生成的原密钥材料， 映射 得到所述目的密钥材料。

本发明还提供了一种实现密钥映射的系统， 所述系统包括用于实现密 钥映射的终端、 以及用于实现密钥映射的认证服务器， 其中： 终端， 用于 在从原网络切换到目的网络时， 向所述认证服务器发送密钥材料映射请求； 认证服务器， 用于在接收到所述终端发送的密钥材料映射请求后， 根据所 述原网络中的原密钥材料映射得到所述目的网络的目的密钥材料， 并建立 终端与目的网络之间的通信安全。

通过本发明， 可以由已生成的原网络中原密钥材料的原根密钥， 按照 预设的映射规则， 得到目的网络的目的根密钥， 再由目的根密钥通过目的 网络的密钥推导方式最终得到目的会话密钥材料， 完成原密钥材料到目的 密钥材料的映射过程， 无需在终端已切换至目的网络时重新生成新的密钥 来得到目的密钥，从而可以提高会话密钥产生的效率，减少终端在不同 NGN 之间切换的时延； 还可以有效减少认证信令的交互， 减轻认证服务器的负 担。 附图说明

图 1为本发明实现密钥映射方法的实现流程示意图；

图 2为由所述原密钥材料映射得到所述目的密钥材料的实现流程示意 图；

图 3为终端侧原密钥材料到目的密钥材料映射过程的实现流程示意图； 图 4为本发明具体实施例一的实现密钥映射方法的流程示意图； 图 5为本发明具体实施例二的实现密钥映射方法的流程示意图； 图 6为本发明具体实施例三的实现密钥映射方法的流程示意图； 图 7为本发明具体实施例四的实现密钥映射方法的流程示意图； 图 8为本发明具体实施例五的实现密钥映射方法的流程示意图； 图 9为本发明具体实施例六的实现密钥映射方法的流程示意图； 图 10为本发明实现密钥映射的认证服务器组成结构示意图；

图 11为本发明实现密钥映射的终端组成结构示意图；

图 12为本发明实现密钥映射的系统组成结构示意图。 具体实施方式

下面将结合附图对本发明技术方案的具体实现方式做详细说明。

本发明的实现密钥映射的方法， 应用于 NGN中， 参照图 1所示， 主要 包括以下步骤：

步骤 101 : 在终端从原网络切换到目的网络时， 目的网络中的接入设备 接收到所述终端发送的密钥材料映射请求并发送给认证服务器； 这里， 密钥材料映射请求可以包含所述原网络的原密钥材料， 也可以 只包含用于启动下述映射过程的标识信息。

这里， 原网络与目的网络可以是密钥推导方式相同、 介质相同的两个 网络， 也可以是密钥推导方式不相同的两个网络。 一般， 网络介质不同， 认证方式不同， NGN中的密钥推导方式就会有所不同。

步骤 102: 所述认证服务器在接收到所述密钥材料映射请求后， 根据所 述原网络中的原密钥材料， 映射得到所述目的网络的目的密钥材料， 并建 立终端与目的网络之间的通信安全。

其中， 在步骤 102中， 所述认证服务器在得到所述目的密钥材料之后， 向所述终端返回映射响应， 所述终端根据所述原网络中的原密钥材料， 映 射得到所述目的网络的目的密钥材料， 完成自身与目的网络之间通信安全 的建立。

这里， 所述终端根据所述原网络中的原密钥材料， 映射得到所述目的 网络的目的密钥材料的过程在所述认证服务器向所述终端返回映射响应之 前或之后或同时进行。

其中， 所述认证服务器中的原密钥材料由所述认证服务器在原网络中 对终端认证成功后生成； 或者， 由所述终端发送的密钥材料映射请求携带。

这里， 在所述步骤 101 的所述终端从原网络切换到目的网络之前， 所 述方法还可以包括： 在所述原网络中， 认证服务器对所述终端的认证成功 后， 生成所述原密钥材料。

这里， 所生成的原密钥材料可以包括原网络中的原根密钥、 由根密钥 得到的各原中间密钥、 以及釆用原网络的密钥推导方式由原中间密钥得到 的原会话密钥等。

参照图 2所示， 步骤 102中认证服务器由所述原网络中的原密钥材料 映射得到所述目的网络的目的密钥材料的过程， 具体可以包括： 步骤 201 : 根据所述原密钥材料，认证服务器按照预设的映射规则得到 目的网络的目的密钥材料。

这里， 在步骤 201之后， 所述方法进一步包括：

步骤 202: 根据所得到的目的密钥材料， 认证服务器按照目的网络中的 密钥推导方式， 得到所述目的网络中的目的会话密钥材料。

其中， 映射得到的目的密钥材料中包含了目的网络中的目的根密钥。 此外， 还可以包括： 在由目的根密钥按照密钥推导方式得到的各个目的中 间密钥。

这里， 映射规则的预设可以根据实际应用的需要来设定。

例如， 可以根据原网络的根密钥在格式、 大小等属性、 以及目的网络 对其根密钥的属性要求， 来确定映射规则。

可以将映射规则设定为直接映射， 直接将原密钥材料作为目的密钥材 料来使用； 或者， 还可以将映射规则设定为截取部分原密钥材料作为目的 密钥。 例如， 原密钥材料为 5bit的字符串， 而目的网络中目的根密钥只能 包含 2bit的字符串， 则可以在原密钥材料中任意截取或按序截取 2bit的字 符作为目的密钥材料； 如果目的网络中的目的根密钥可以包含 5bit的字符 串， 则可以直接将原密钥材料作为目的密钥材料来使用。

或者， 还可以由原密钥材料按照预先设定的映射规则， 生成新的密钥 来作为目的密钥材料。

其中， 认证服务器向所述终端返回映射响应， 具体可以为：

在得到所述目的会话密钥材料之后， 认证服务器向所述终端返回映射 响应， 以通知所述终端在目的网络中的上述密钥处理过程已完成。

这里， 所述映射响应中可以为包含所得到的所述目的会话密钥材料的 响应信息， 也可以只是用于标识所述目的会话密钥材料已得到的响应信息。 此外， 参照图 3 所示， 在本发明实现密钥映射的方法中， 终端侧原密 钥材料到目的密钥材料的映射过程， 具体可以包括以下步骤：

步骤 301 :所述终端经过所述认证服务器认证后，生成所述原密钥材料； 步骤 302: 在从所述原网络切换到所述目的网络时， 所述终端根据所生 成的原密钥材料映射得到所述目的密钥材料。

这里， 步骤 302 中根据所生成的原密钥材料映射得到所述目的密钥材 料的具体实现方式与上述步骤 102的处理过程相同， 在此不再赘述。

在实际应用中， 在所述终端和认证服务器均得到所述的目的会话密钥 材料后， 所述终端便可以通过目的会话密钥材料， 实现在所述目的网络中 的安全通信。

下面将对本发明密钥映射方法的具体实现方式做详细说明。

具体实施例一

参照图 4所示， 实现密钥映射的系统包括： 终端、 原网络的原接入设 备、 目的网络的目的接入设备、 以及认证服务器， 通过该系统完成密钥映 射方法的流程如下：

步骤 401 : 在原 NGN, 终端与认证服务器之间完成认证过程， 认证成 功后， 终端与认证服务器均生成原密钥材料；

这里的原密钥材料可以包括： 原 NGN中的原根密钥、 由该原根密钥得 到的各原中间密钥、 以及根据原 NGN的密码推导方式最终得到的原会话密 钥， 终端可以通过原密钥材料来实现在原 NGN中的安全会话。

其中， 原接入设备也可以参与到认证过程中。

步骤 402: 终端从原 NGN切换到与目的 NGN时， 终端向目的接入设 备发送密钥材料映射请求；

其中， 密钥材料映射请求可以包含所生成的原密钥材料， 也可以不包 含所述原密钥而只是作为启动原密钥材料到目的密钥材料的映射过程的一 种标识信息。

步骤 403: 目的接入设备转发所述密钥材料映射请求到认证服务器； 步骤 404:认证服务器由自身生成的或者所述密钥材料映射请求中携带 的原密钥材料映射得到目的密钥材料， 完成后发送映射响应到目的接入设 备；

这里， 所得到的目的密钥材料中包含了目的网络的目的根密钥、 由目 的根密钥按照目的 NGN的密码推导方式得到的各个目的中间密钥等； 在得到目的密钥材料之后，再由该目的密钥材料按照目的 NGN的密码 推导方式最终得到的目的会话密钥材料。

映射响应可以包含所得到的目的会话密钥材料和 /或目的密钥材料， 也 可以只是用于标识已得到目的会话密钥材料的信息。

步骤 405: 目的接入设备转发映射响应到终端， 映射成功， 终端在目的 密钥的保护下， 与目的 NGN中的其他终端或服务器等进行安全通信。

这里， 在终端从原 NGN切换到目的 NGN时， 终端也将根据所生成的 原密钥材料映射得到所述目的密钥材料， 在终端与认证服务器中均得到所 述目的密钥材料和目的会话密钥材料后， 终端便可通过目的密钥在目的 NGN中进行安全会话。

具体实施例二

参照图 5 所示， 通过上述具体实施例一中实现密钥映射的系统， 完成 密钥映射方法还可以通过以下流程来实现：

步骤 501 : 与步骤 401完全相同；

步骤 502: 从原 NGN切换到与目的 NGN时， 终端发送密钥材料映射 请求到原接入设备；

步骤 503: 原接入设备转发所述密钥材料映射请求到目的接入设备； 具体地， 可以在所述密钥材料映射请求中携带目的接入设备的地址等 信息， 或者， 还可以在终端从原 NGN切换到目的 NGN时， 先将目的接入 设备的地址等信息发送给原接入设备并保存； 这样， 原接入设备便可以在 接收到密钥材料映射请求时， 根据所携带的或已保存的目的接入设备的地 址等信息将密钥材料映射请求转发到目的接入设备。

步骤 504-506: 与步骤 403-405完全相同。

通过以上流程可知， 本具体实施例的其他过程与上述具体实施例一完 全相同， 所不同的是通过原接入设备将终端发送的密钥材料映射请求转发 到目的接入设备。

具体实施例三

参照图 6所示， 本具体实施例中实现密钥映射的系统主要包括： 终端、 原网络的原接入设备和原认证服务器、 以及目的网络的目的接入设备和目 的认证服务器， 通过本具体实施例的密钥映射处理系统完成密钥映射方法 的流程如下：

步骤 601 : 在原 NGN, 终端与原认证服务器之间完成认证过程， 认证 成功后， 终端与原认证服务器均生成原密钥；

步骤 602: 与步骤 402完全相同；

步骤 603: 目的接入设备将所述密钥材料映射请求转发到目的认证服务 器；

步骤 604: 目的认证服务器转发所述密钥材料映射请求到原认证服务 器；

具体地， 可以在所述密钥材料映射请求中携带原认证服务器的地址等 信息， 或者， 还可以在终端从原 NGN切换到目的 NGN时， 先将原认证服 务器的地址等信息发送给目的认证服务器并保存； 这样， 目的认证服务器 在接收到密钥材料映射请求， 便可以根据所携带的或已保存的原认证服务 器的地址等信息将密钥材料映射请求转发到原认证服务器。 步骤 605:原认证服务器完成原密钥材料映射得到目的密钥材料的过程 后， 发送映射响应到目的认证服务器；

步骤 606: 目的认证服务器转发映射响应到目的接入设备；

步骤 607: 与步骤 405完全相同。

通过以上流程可知，本具体实施例可以应用于原 NGN中的认证服务器 与目的 NGN的认证服务器不相同的情况。

具体实施例四

参照图 7 所示， 通过上述具体实施例三中实现密钥映射的系统， 完成 密钥映射方法还可以通过以下流程来实现：

步骤 701 : 与步骤 601完全相同；

步骤 702: 与步骤 502完全相同；

步骤 703： 与步骤 503完全相同；

步骤 704-708: 与步骤 603-607完全相同。

在本具体实施例中， 通过原接入设备将终端发送的密钥材料映射请求 转发到目的接入设备。

具体实施例五

参照图 8所示， 在本具体实施例中， 在 ITU-T NGN中， 实现密钥映射 的系统的组成结构与具体实施例一及具体实施例二中的结构相同， 所不同 的是， 其中的原接入设备包括原接入转发模块和原接入管理模块， 目的接 入设备则包括目的接入转发模块和目的接入管理模块。

这里， 原接入转发模块和目的接入转发模块功能相同， 具有但不限于 以下功能： 用于转发终端与认证服务器之间的信令如认证消息等。

原接入管理模块与目的接入管理模块功能相同， 均具有但不限于以下 功能： 用于获取终端的网络信息， 如终端在网络中的链路信息、 终端在网 络中的位置信息等。 另外， 在认证过程中还可以具有认证者的功能， 或者 还可以用于转发终端的认证信息到认证服务器。

通过本具体实施例的实现密钥映射的系统完成密钥映射方法的流程如 下：

步骤 801 : 与步骤 401完全相同；

步骤 802: 从原 NGN切换到与目的 NGN时， 终端发送密钥材料映射 请求到目的接入设备的目的接入管理模块；

这里， 也可以通过目的接入转发模块转发到目的接入管理模块。

步骤 803: 目的接入管理模块转发密钥材料映射请求到认证服务器； 步骤 804: 认证服务器完成原密钥材料映射得到目的密钥材料的过程 后， 发送映射响应到目的接入设备的目的接入管理模块；

步骤 805: 目的接入管理模块转发映射响应信息到终端， 映射成功， 终 端在目的密钥材料的保护下，与目的 NGN中的其他终端或服务器等进行安 全通信。

这里， 目的接入管理模块也可以通过目的接入转发模块将映射响应转 发到终端。

具体实施例六

参照图 9 所示， 通过上述具体实施例五中实现密钥映射的系统， 完成 密钥映射方法还可以通过以下流程来实现：

步骤 901 : 与步骤 801完全相同；

步骤 902: 从原 NGN切换到与目的 NGN时， 终端发送密钥材料映射 请求到原接入设备的原接入管理模块；

步骤 903:原接入管理模块转发所述密钥材料映射请求到目的接入设备 的目的接入管理模块；

步骤 904-906: 与步骤 803-805完全相同。

本发明实现密钥映射的认证服务器， 参照图 10所示， 主要包括： 接收 单元 11、 第一映射单元 12, 其中：

接收单元 11 , 用于接收终端从原网络切换到与目的网络时所发送的密 钥材料映射请求， 并发送到所述第一映射单元 12;

第一映射单元 12,用于在接收到所述接收单元 11发送的密钥材料映射 请求后， 根据所述原网络中的原密钥材料映射得到所述目的网络的目的密 钥材料。

其中， 上述的实现密钥映射的认证服务器， 还包括发送单元 13 , 其中： 所述第一映射单元 12, 还用于将所得到的目的密钥材料发送到发送单 元 13;

发送单元 13 ,用于在接收到所述第一映射单元 12发送的目的密钥材料 后， 向所述终端返回映射响应。

其中， 所述认证服务器还可以包括：

第一生成单元 14, 用于在所述原网络中， 对所述终端的认证成功后， 生成所述的原密钥材料。

其中， 所述第一映射单元 12, 用于： 根据所述第一生成单元 14所生成 的原密钥材料， 按照预设的映射规则， 得到所述目的网络的目的密钥材料； 其中， 第一映射单元 12进一步用于： 根据所得到的目的密钥材料， 按 照目的网络中的密钥推导方式， 得到所述目的网络中的目的会话密钥材料。

本发明的实现密钥映射的终端， 参照图 11所示， 主要包括： 第二生成 单元 21、 切换单元 22和第二映射单元 23 , 其中：

第二生成单元 21 , 用于生成所述原密钥材料；

切换单元 22, 用于从原网络切换到目的网络， 并启动所述第二映射单 元 23;

第二映射单元 23 ,用于根据所述第二生成单元 21生成的原密钥材料映 射得到所述目的密钥材料。 本发明的一种密钥映射的系统， 参照图 12所示， 所述系统包括上述的 用于实现密钥映射的终端 31、 以及上述的用于实现密钥映射的认证服务器 32, 其中：

终端 31 , 用于在从原网络切换到目的网络时， 向所述认证服务器发送 密钥材料映射请求；

认证服务器 32 ,用于在接收到所述终端 31发送的密钥材料映射请求后 , 根据所述原网络中的原密钥材料映射得到所述目的网络的目的密钥材料， 并建立终端与目的网络之间的通信安全。

这里， 本发明所提供的实现密钥映射的认证服务器、 终端以及系统， 可以应用于 NGN中 , 通过上述认证服务器、 终端以及系统在 NGN中实现 密钥映射的具体过程， 在上文已详述， 在此不再赘述。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围， 凡在本发明的精神和原则之内所作的任何修改、 等同替换和改进 等， 均应包含在本发明的保护范围之内。

Claims

权利要求书

1、 一种实现密钥映射的方法， 其特征在于， 所述方法包括：

在终端从原网络切换到目的网络时， 目的网络中的接入设备接收到所 述终端发送的密钥材料映射请求并发送给认证服务器；

所述认证服务器在接收到所述密钥材料映射请求后， 根据所述原网络 中的原密钥材料， 映射得到所述目的网络的目的密钥材料， 并建立终端与 目的网络之间的通信安全。

2、 根据权利要求 1所述的实现密钥映射的方法， 其特征在于， 所述认 证服务器在得到所述目的密钥材料之后， 向所述终端返回映射响应； 所述 终端根据所述原网络中的原密钥材料， 映射得到所述目的网络的目的密钥 材料， 完成自身与目的网络之间通信安全的建立。

3、 根据权利要求 2所述的实现密钥映射的方法， 其特征在于， 所述终 端根据原密钥材料映射得到目的密钥材料的过程， 在所述认证服务器向所 述终端返回映射响应之前、 或之后、 或同时进行。

4、根据权利要求 1、 2、或 3所述的实现密钥映射的方法，其特征在于， 所述认证服务器中的所述原密钥材料由所述认证服务器在原网络中对终端 认证成功后生成； 或者， 由所述终端发送的密钥材料映射请求携带。

5、 根据权利要求 4所述的实现密钥映射的方法， 其特征在于， 由所述 原密钥材料映射得到所述目的密钥材料的过程， 具体包括： 根据所述原密 钥材料， 按照预设的映射规则， 得到所述目的网络的目的密钥材料；

所述方法进一步包括： 根据所得到的目的密钥材料， 按照目的网络中 的密钥推导方式， 得到所述目的网络中的目的会话密钥材料。

6、 一种实现密钥映射的认证服务器， 其特征在于， 所述认证服务器包 括： 接收单元、 第一映射单元， 其中：

接收单元， 用于接收终端从原网络切换到目的网络时所发送的密钥材 料映射请求， 并发送到所述第一映射单元；

第一映射单元， 用于在接收到所述接收单元发送的密钥材料映射请求 后， 根据所述原网络中的原密钥材料映射得到所述目的网络的目的密钥材 料。

7、 根据权利要求 6所述实现密钥映射的认证服务器， 其特征在于， 所 述认证服务器还包括： 发送单元， 其中：

所述第一映射单元， 还用于将所得到的目的密钥材料发送到发送单元； 发送单元， 用于在接收到所述第一映射单元发送的目的密钥材料后， 向所述终端返回映射响应。

8、根据权利要求 6或 7所述实现密钥映射的认证服务器，其特征在于， 所述认证服务器， 还包括：

第一生成单元， 用于在所述原网络中， 对所述终端的认证成功后， 生 成所述原密钥材料。

9、 根据权利要求 8所述实现密钥映射的认证服务器， 其特征在于， 所 述第一映射单元， 用于： 根据所述第一生成单元所生成的原密钥材料， 按 照预设的映射规则， 得到所述目的网络的目的密钥材料；

所述第一映射单元， 进一步用于： 根据所得到的目的密钥材料， 按照 目的网络中的密钥推导方式， 得到所述目的网络中的目的会话密钥材料。

10、 一种实现密钥映射的终端， 其特征在于， 所述终端包括： 第二生 成单元、 切换单元和第二映射单元， 其中：

第二生成单元， 用于生成原密钥材料；

切换单元， 用于从原网络切换到目的网络， 并启动所述第二映射单元； 第二映射单元， 用于根据所述第二生成单元生成的原密钥材料， 映射 得到所述目的密钥材料。

11、 一种实现密钥映射的系统， 其特征在于， 所述系统包括用于实现 密钥映射的终端、 以及用于实现密钥映射的认证服务器， 其中：

终端， 用于在从原网络切换到目的网络时， 向所述认证服务器发送密 钥材料映射请求；

认证服务器， 用于在接收到所述终端发送的密钥材料映射请求后， 根 据所述原网络中的原密钥材料映射得到所述目的网络的目的密钥材料， 并 建立终端与目的网络之间的通信安全。