WO2016134536A1

WO2016134536A1 - 密钥生成方法、设备及系统

Info

Publication number: WO2016134536A1
Application number: PCT/CN2015/073400
Authority: WO
Inventors: 李星; 李祯祯; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2015-02-28
Filing date: 2015-02-28
Publication date: 2016-09-01
Also published as: CN106134231B; EP3255914A1; CN106134231A; EP3255914A4; US20170359719A1

Abstract

本发明实施例提供了一种密钥生成方法、设备及系统，涉及通信领域，该方法包括：位于第一制式网络的UE在接收到第一命令之后，获取需要为UE提供服务的第二制式网络的类型标识；其中，第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；UE根据第二制式网络的类型标识、第一制式网络的密钥和第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；UE根据接入密钥生成第二制式网络的接入层AS密钥。本发明能够解决混合网络的整体通信的时延较长，混合网络的通信负荷较大的问题，实现降低混合网络整体通信的时延，减少混合网络的通信负荷的效果。本发明用于混合网络的通信。

Description

密钥生成方法、设备及系统

技术领域

本发明涉及通信领域，特别涉及一种密钥生成方法、设备及系统。

背景技术

随着社会发展和科技进步，用户对移动终端接入技术提出更高的要求。移动通信网络不断的进行演进以满足用户的需求。目前，移动通信网络已经从第二代移动通信技术(英文：2rd-Generation；简称：2G)、第三代移动通信技术(英文：3rd-Generation；简称：3G)发展到了第四代移动通信技术(英文：4rd-Generation；简称：4G)移动通信网络，同时存在另一种部署广泛的移动通信网络：无线保真(英文：WIreless-Fidelity；简称：WiFi)网络。未来的网络将是多种移动通信网络并存的混合网络(heterogeneous network)。该混合网络可以包括WiFi网络、全球移动通信系统(英文：Global System for Mobile Communication；简称：GSM)网络、通用移动通信系统(英文：Universal Mobile Telecommunications System；简称：UMTS)网络、通用分组无线服务技术(英文：General Packet Radio Service；简称：GPRS)网络、长期演进(英文：Long Term Evolution；简称：LTE)网络等不同移动通信网络中的至少两种网络。

为了降低运营商的部署成本，提高用户获得的服务质量，需要设计用户设备(英文：User Equipment；简称：UE)在混合网络内不同的移动通信网络间移动时的互操作机制。现有的技术中，UE在接入或者切换至混合网络中的任一网络时，都需要与该网络执行完整的安全认证流程以生成该网络所需的密钥，例如，在WiFi网络和LTE网络组成的混合网络中，UE在接入LTE网络时，需要与LTE网络执行安全认证流程以生成LTE网络的密钥，当UE从LTE网络切换至WiFi网络，需要与WiFi网络执行安全认证流程以生成WiFi网络的密钥。

现有技术中，UE在每次进行网络接入或者网络切换时，都必需与需要为该UE提供服务的网络执行完整的安全认证流程以生成该网络的密钥，而完整的安全认证流程的步骤较多，这样导致混合网络的整体通信的时延较长，混合网络的通信负荷较大。

发明内容

为了解决混合网络的整体通信的时延较长，混合网络的通信负荷较大的问题，本发明提供了一种密钥生成方法、设备及系统。所述技术方案如下：

本发明提供的技术方案的有益效果是：

第一方面，提供一种密钥生成方法，所述方法包括：

位于第一制式网络的用户设备UE在接收到第一命令之后，获取需要为所述UE提供服务的第二制式网络的类型标识；其中，所述第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；

所述UE根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述UE根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

结合第一方面，在第一方面的第一种可实现方式中，所述UE与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。

结合第一方面或第一方面的第一种可实现方式，在第一方面的第二种可实现方式中，所述第一命令包括密码算法，

则所述UE根据所述接入密钥生成所述第二制式网络的接入层AS密钥包括：

所述UE根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

结合第一方面或第一方面的第一种可实现方式或第一方面的第二种可实现方式，在第一方面的第三种可实现方式中，所述第一命令为服务请求响应消息或者为空口安全激活过程中的任一消息，则在接收所述第一命令之前，所述方法还包括：

所述UE向所述第一制式网络的第二网络设备发送用于请求服务的服务请求消息，以便于所述第一制式网络的第二网络设备根据所述服务请求消息向所述第一制式网络的第一网络设备发送第二制式网络指示信息，所述第二制式网络指示信息包括所述需要为所述UE提供服务的所述第二制式网络的类型标识或者所述需要为所述UE提供服务的所述第二制式网络的身份标识；

或者，向所述第一制式网络的第二网络设备发送用于请求服务的第一服务请求消息，以便于所述第一制式网络的第二网络设备根据所述第一服务请求消息将第二服务请求消息发送给所述第一制式网络的第一网络设备；其中，所述第二服务请求消息包括所述需要为所述UE提供服务的所述第二制式网络的类型标识或者所述需要为所述UE提供服务的所述第二制式网络的身份标识。

结合第一方面、第一方面的第一至三种可实现方式种的任意一种，在第一方面的第四种可实现方式中，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。

第二方面，提供一种密钥生成方法，所述方法包括：

第一制式网络的第一网络设备在接收到所述第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识；其中，所述请求消息为服务请求消息或者切换请求消息；

所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述第一制式网络的第一网络设备将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

结合第二方面，在第二方面的第一种可实现方式中，所述第一制式网络的第一网络设备与所述UE共享所述NAS序列号和所述第一制式网络的密钥。

结合第二方面或第二方面的第一种可实现方式，在第二方面的第二种可实现方式中，在所述获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识之前，所述方法还包括：

所述第一制式网络的第一网络设备获取所述UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述第一制式网络的第一网络设备将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥包括：

所述第一制式网络的第一网络设备将所述UE的能力信息和所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法，并根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

结合第二方面或第二方面的第一种可实现方式或第二方面的第二种可实现方式，在第二方面的第三种可实现方式中，所述请求消息包括所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的类型标识或者所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的身份标识；则所述获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识包括：

所述第一制式网络的第一网络设备从所述请求消息中获取所述第二制式网络的类型标识；

或者，所述第一制式网络的第一网络设备根据所述第二制式网络的身份标识，确定所述第二制式网络的类型标识。

结合第二方面或第二方面的第一种可实现方式或第二方面的第二种可实现方式，在第二方面的第四种可实现方式中，所述获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识包括：

所述第一制式网络的第一网络设备接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的类型标识；或者，

所述第一制式网络的第一网络设备接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的身份标识；所述第一制式网络的第一网络设备根据所述第二制式网络的身份标识确定所述第二制式网络的类型标识。

结合第二方面、第二方面的第一至四种可实现方式中的任意一种，在第二方面的第五种可实现方式中，所述第一制式网络的第一网络设备将所述接入密钥发送至所述第二制式网络的网络设备，包括：

所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备将所述接入密钥发送至所述第二制式网络的网络设备。

结合第二方面、第二方面的第一至五种可实现方式中的任意一种，在第二方面的第六种可实现方式中，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。

第三方面，提供一种密钥生成方法，所述方法包括：

第二制式网络的网络设备接收第一制式网络的第一网络设备发送的接入密钥；其中，所述接入密钥为所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号所确定的；

所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥；其中，所述UE与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。

结合第三方面，在第三方面的第一种可实现方式中，所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥，包括：

所述第二制式网络的网络设备接收所述第一制式网络的第一网络设备发送的UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法；

所述第二制式网络的网络设备根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

结合第三方面或第三方面的第一种可实现方式中，在第三方面的第二种可实现方式中，所述第二制式网络的网络设备接收第一制式网络的第一网络设备发送的接入密钥，包括：

所述第二制式网络的网络设备接收所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备发送的接入密钥。

结合第三方面或第三方面的第一种可实现方式或第三方面的第二种可实现方式中，在第三方面的第三种可实现方式中，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。

第四方面，提供一种密钥生成设备，所述密钥生成设备位于第一制式网络，所述密钥生成设备包括：

获取单元，用于在接收到第一命令之后，获取需要为所述密钥生成设备提供服务的第二制式网络的类型标识；其中，所述第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；

确定单元，用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

生成单元，用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

结合第四方面，在第四方面的第一种可实现方式中，所述密钥生成设备与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。

结合第四方面或第四方面的第一种可实现方式，在第四方面的第二种可实现方式中，所述第一命令包括密码算法，则所述生成单元具体用于：

根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

结合第四方面或第四方面的第一种可实现方式或第四方面的第二种可实现方式，在第四方面的第三种可实现方式中，所述第一命令为服务请求响应消息或者为空口安全激活过程中的任一消息，则所述密钥生成设备还包括：

发送单元，用于：

向所述第一制式网络的第二网络设备发送用于请求服务的服务请求消息，以便于所述第一制式网络的第二网络设备根据所述服务请求消息向所述第一制式网络的第一网络设备发送第二制式网络指示信息，所述第二制式网络指示信息包括所述需要为所述UE提供服务的所述第二制式网络的类型标识或者所述需要为所述UE提供服务的所述第二制式网络的身份标识；

结合第四方面、第四方面的第一至三种可实现方式种的任意一种，在第四方面的第四种可实现方式中，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。

第五方面，一种密钥生成设备，所述密钥生成设备位于第一制式网络，所述密钥生成设备包括：

获取单元，用于在接收到所述第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识；其中，所述请求消息为服务请求消息或者切换请求消息；

发送单元，用于将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

结合第五方面，在第五方面的第一种可实现方式中，所述密钥生成设备与所述UE共享所述NAS序列号和所述第一制式网络的密钥。

结合第五方面或第五方面的第一种可实现方式，在第五方面的第二种可实现方式中，所述获取单元还用于：获取所述UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述发送单元具体用于：将所述UE的能力信息和所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法，并根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

结合第五方面或第五方面的第一种可实现方式或第五方面的第二种可实现方式，在第五方面的第三种可实现方式中，所述请求消息包括所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的类型标识或者所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的身份标识；则所述获取单元具体用于：

从所述请求消息中获取所述第二制式网络的类型标识；

或者，根据所述第二制式网络的身份标识，确定所述第二制式网络的类型标识。

结合第五方面或第五方面的第一种可实现方式或第五方面的第二种可实现方式，在第五方面的第四种可实现方式中，所述获取单元具体用于：

接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的类型标识；或者，

接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的身份标识；根据所述第二制式网络的身份标识确定所述第二制式网络的类型标识。

结合第五方面、第五方面的第一至四种可实现方式中的任意一种，在第五方面的第五种可实现方式中，所述发送单元具体用于：

通过所述第一制式网络的第二网络设备将所述接入密钥发送至所述第二制式网络的网络设备。

结合第五方面、第五方面的第一至五种可实现方式中的任意一种，在第五方面的第六种可实现方式中，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。

第六方面，提供一种密钥生成设备，所述密钥生成设备位于第二制式网络，所述密钥生成设备包括：

接收单元，用于接收第一制式网络的第一网络设备发送的接入密钥；其中，所述接入密钥为所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号所确定的；

生成单元，用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥；

其中，位于第一制式网络的UE与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。

结合第六方面，在第六方面的第一种可实现方式中，所述生成单元具体用于：

接收所述第一制式网络的第一网络设备发送的UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

根据所述UE的能力信息确定密码算法；

结合第六方面或第六方面的第一种可实现方式中，在第六方面的第二种可实现方式中，所述接收单元具体用于：

接收所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备发送的接入密钥。

结合第六方面或第六方面的第一种可实现方式或第六方面的第二种可实现方式中，在第六方面的第三种可实现方式中，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。

第七方面，提供一种密钥生成系统，所述系统包括：

第四方面任一所述的密钥生成设备；

第五方面任一所述的密钥生成设备。

结合第七方面，在第七方面的第一种可实现方式中，所述密钥生成系统还包括:第六方面任一所述的密钥生成设备。

第八方面，提供一种密钥生成网络密钥生成系统，所述系统包括：

第四方面任一所述的密钥生成设备；

第六方面任一所述的密钥生成设备。

第九方面，提供一种密钥生成网络密钥生成系统，所述系统包括：

第三方面任一所述的密钥生成设备；

第六方面任一所述的密钥生成设备。

本发明提供的密钥生成方法、设备及系统，由于UE在确定接入密钥后，能够根据接入密钥生成第二制式网络的AS密钥，因此能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种密钥生成方法所涉及的混合网络的网络环境；

图2是本发明实施例提供的一种密钥生成方法流程图；

图3是本发明实施例提供的又一种密钥生成方法流程图；

图4是本发明实施例提供的又一种密钥生成方法流程图；

图5是本发明实施例提供的又一种密钥生成方法流程图；

图6是本发明实施例提供的一种MME生成接入密钥的方法流程图；

图7是本发明实施例提供的一种UE生成第二制式网络的AS密钥的方法流程图；

图8是本发明实施例提供的一种密钥生成方法流程图；

图9是本发明实施例提供的一种MME生成接入密钥的方法流程图；

图10是本发明实施例提供的一种UE生成第二制式网络的AS密钥的方法流程图；

图11是本发明实施例提供的一种密钥生成设备结构示意图；

图12是本发明实施例提供的又一种密钥生成设备结构示意图；

图13是本发明实施例提供的又一种密钥生成设备结构示意图；

图14是本发明实施例提供的又一种密钥生成设备结构示意图；

图15是本发明实施例提供的一种密钥生成设备结构示意图；

图16是本发明实施例提供的又一种密钥生成设备结构示意图；

图17是本发明实施例提供的又一种密钥生成设备结构示意图；

图18是本发明实施例提供的又一种密钥生成设备结构示意图。

通过上述附图，已示出本发明明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围，而是通过参考特定实施例为本领域技术人员说明本发明的概念。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

图1提供了本发明实施例提供的一种密钥生成方法所涉及的混合网络的网络环境，混合网络0包括第一制式网络01和至少一个第二制式网络02。该第一制式网络01中可以指示包括：第一制式网络的第一网络设备011和第一制式网络的第二网络设备012，通常，位于第一制式网络01中的UE 03和第一制式网络的第一网络设备011能够通过第一制式网络的第二网络设备012实现信息交互；可选地，该第一制式网络的第一网络设备011可以与UE03共享非接入层信令(英文：Non-Access Stratum；简称：NAS)序列号，NAS序列号是NAS信令的一种序列号；该第二制式网络02中可以包括至少一个网络设备，例如包括第二制式网络的网络设备021，该第二制式网络的网络设备021可以与第一制式网络的第一网络设备011通信，例如该第二制式网络的网络设备021可以通过第一制式网络的第二网络设备012与第一制式网络的第一网络设备011通信；又例如该第二制式网络的网络设备021可以直接与第一制式网络的第一网络设备011通信；又例如该第二制式网络的网络设备021可以通过第一制式网络或者第二制式网络的其它网络设备(图中未示出)与第一制式网络的第一网络设备011通信。

在本发明各实施例中，该第一制式网络01可以为LTE网络，还可以为下一代(例如4.5G或者5G)网络或者未来其他网络制式的网络，该至少一个第二制式网络02可以为WiFi网络、GSM、UMTS和GPRS网络中的至少一种。可选地，该第一制式网络的新兴程度可以高于第二制式网络，即第一制式网络的出现日期晚于第二制式网络，第一制式网络通常能够对第二制式网络向下兼容。具体地，在本发明各实施例中，当第一制式网络01为LTE网络时，第一制式网络的第一网络设备011可以为移动管理实体(英文：Mobility Management Entity；简称：MME)，第一制式网络的第二网络设备012可以为演进型基站(英文：Evolved Node B；简称：eNodB)；当第二制式网络02为WiFi网络时，第二制式网络的网络设备021可以为无线访问接入点(英文：WirelessAccessPoint；简称：AP)或者AP控制器(英文：AP Controller；简称AC)；当第二制式网络02为GSM、UMTS或者GPRS网络时，第二制式网络的网络设备021可以为基站或者基站控制器等，本发明实施例在此不作限定。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

本发明实施例提供一种密钥生成方法，如图2所示，可以应用于图1所示的混合网络中的第一制式网络的UE。该方法包括：

步骤201、位于第一制式网络的UE在接收到第一命令之后，获取需要为UE提供服务的第二制式网络的类型标识。

其中，第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息。该服务请求响应消息可以是第一制式网络的第一网络设备发送的，用于告知UE收到了服务请求消息，切换命令(Handover command)可以是第一制式网络的第二网络设备发送的，用于指示UE从第一制式网络切换至第二制式网络，空口安全激活过程中的任一消息可以是第二制式网络的网络设备发送的，该空口安全激活过程用于实现AS安全上下文的协商和激活。

并且，第一制式网络可以为LTE网络，第二制式网络可以为GSM网络、通用移动通信系统UMTS网络、GPRS网络和WiFi网络中的至少一种。

步骤202、UE根据第二制式网络的类型标识、第一制式网络的密钥和第一制式网络的NAS序列号，采用预设密钥推演算法确定接入密钥。

其中，若第一命令为服务请求响应消息或者空口安全激活过程中的任一消息，NAS序列号可以为上行NAS(uplink NAS count)序列号，若第一命令为切换命令，NAS序列号可以为下行NAS(downlink NAS count)序列号，可选的，UE与第一制式网络的第一网络设备可以共享NAS序列号和第一制式网络的密钥。

步骤203、UE根据接入密钥生成第二制式网络的接入层(英文：Access Stratum；简称：AS)密钥。

该AS密钥可用于保护信令和/或用户数据，具体请参考LTE接入过程中的安全机制，如规范3GPP TS 33.401中的解释。需要注意的是，在本发明实施例中，所述接入密钥不同于AS密钥，是生成所述第二制式网络的AS密钥时所需要的密钥，具体是根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的NAS序列号，采用预设密钥推演算法确定的。

综上所述，本发明实施例提供的密钥生成方法，由于UE在通过NAS信息确定接入密钥后，能够根据接入密钥生成第二制式网络的AS密钥，因此能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

示例的，步骤201中的第一命令可以包括密码算法，则步骤203可以包括：UE根据密码算法和接入密钥生成第二制式网络的AS密钥。

进一步的，若第一命令为服务请求响应消息或者为空口安全激活过程中的任一消息，则在步骤201之前，该方法还可以包括：

UE向第一制式网络的第二网络设备发送用于请求服务的服务请求消息，以便于第一制式网络的第二网络设备根据服务请求消息向第一制式网络的第一网络设备发送第二制式网络指示信息，该第二制式网络指示信息包括需要为UE提供服务的第二制式网络的类型标识或者需要为UE提供服务的第二制式网络的身份标识；或者，向第一制式网络的第二网络设备发送用于请求服务的第一服务请求消息，以便于第一制式网络的第二网络设备根据第一服务请求消息将第二服务请求消息发送给第一制式网络的第一网络设备；其中，第二服务请求消息包括需要为UE提供服务的第二制式网络的类型标识或者需要为所述UE提供服务的第二制式网络的身份标识。

本发明提供一种密钥生成方法，如图3所示，应用于图1所示的混合网络中的第一制式网络的第一网络设备。该方法包括：

步骤301、第一制式网络的第一网络设备在接收到第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识。

其中，请求消息可以为服务请求(Service Request)消息或者切换请求消息。

步骤302、第一制式网络的第一网络设备根据第二制式网络的类型标识、第一制式网络的密钥和第一制式网络的NAS序列号，采用预设密钥推演算法确定接入密钥。

其中，若请求消息为服务请求消息，则NAS序列号为上行NAS序列号，若请求消息为切换请求消息，则NAS序列号为下行NAS序列号。

步骤303、第一制式网络的第一网络设备将接入密钥发送至第二制式网络的网络设备，以便于第二制式网络的网络设备根据接入密钥生成第二制式网络的AS密钥。

可选的，第一制式网络的第一网络设备与位于该第一制式网络的UE共享NAS序列号和第一制式网络的密钥。

综上所述，本发明实施例提供的密钥生成方法，由于第一制式网络的第一网络设备在通过NAS信息确定接入密钥后，将接入密钥发送至第二制式网络中的网络设备，使得该网络设备可以根据接入密钥生成第二制式网络的AS密钥，则第二制式网络中的网络设备能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

特别的，在步骤301中获取需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识的步骤之前，该方法还包括：第一制式网络的第一网络设备获取UE的能力信息，UE的能力信息包括UE在第二制式网络中的能力；相应的，步骤303包括：

第一制式网络的第一网络设备将UE的能力信息和接入密钥发送至第二制式网络的网络设备，以便于第二制式网络的网络设备根据UE的能力信息确定密码算法，并根据密码算法和接入密钥生成第二制式网络的AS密钥。

需要说明的是，步骤301中获取第二制式网络的类型标识的方法可以有多种，本发明示意性地提供如下几种：

一方面，请求消息包括需要为UE提供服务的第二制式网络的类型标识或者需要为UE提供服务的第二制式网络的身份标识；则获取需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识包括：

第一制式网络的第一网络设备从请求消息中获取需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识；或者，第一制式网络的第一网络设备根据需要为UE提供服务的第二制式网络的身份标识，确定需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识。

另一方面，获取需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识包括：第一制式网络的第一网络设备接收第一制式网络的第二网络设备发送的第二制式网络指示信息，第二制式网络指示信息包括需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识；或者，第一制式网络的第一网络设备接收第一制式网络的第二网络设备发送的第二制式网络指示信息，第二制式网络指示信息包括需要为位于第一制式网络的UE提供服务的第二制式网络的身份标识；第一制式网络的第一网络设备根据该需要为UE提供服务的第二制式网络的身份标识确定需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识。

进一步的，在步骤303中，第一制式网络的第一网络设备将接入密钥发送至第二制式网络的网络设备，包括：

第一制式网络的第一网络设备通过第一制式网络的第二网络设备将接入密钥发送至第二制式网络的网络设备。

本发明实施例中第一制式网络为长期演进LTE网络，第二制式网络为GSM网络、UMTS网络、GPRS网络和WiFi网络中的至少一种。

可选地，在步骤301之前，该方法还包括：第一制式网络的第一网络设备获取NAS安全上下文(Security Context)，NAS安全上下文至少包括：预设网络密钥和NAS序列号，第一制式网络的第一网络设备获取的NAS安全上下文与UE存储的NAS安全上下文相同。

本发明实施例提供一种密钥生成方法，如图4所示，可以应用于图1所示的混合网络中的第二制式网络的网络设备，该方法包括：

步骤401、第二制式网络的网络设备接收第一制式网络的第一网络设备发送的接入密钥。

其中，接入密钥为第一制式网络的第一网络设备根据第二制式网络的类型标识、第一制式网络的密钥和NAS序列号所确定的。

示例的，第二制式网络的网络设备可以接收第一制式网络的第一网络设备通过第一制式网络的第二网络设备发送的接入密钥。

步骤402、第二制式网络的网络设备根据接入密钥生成第二制式网络的AS密钥。

其中，所述UE与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。

综上所述，本发明实施例提供的密钥生成方法，由于第二制式网络的网络设备接收第一制式网络的第一网络设备发送的接入密钥后，根据接入密钥生成第二制式网络的接入层AS密钥，其中，接入密钥为第一制式网络的第一网络设备根据第二制式网络的类型标识、第一制式网络的密钥和NAS序列号所确定的，即第二制式网络中的网络设备能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

在步骤402中，第二制式网络的网络设备根据接入密钥生成第二制式网络的AS密钥，包括：

第二制式网络的网络设备接收第一制式网络的第一网络设备发送的UE的能力信息，UE的能力信息包括UE在第二制式网络中的能力；第二制式网络的网络设备根据UE的能力信息确定密码算法；第二制式网络的网络设备根据密码算法和接入密钥生成第二制式网络的AS密钥。

可选的，第一制式网络可以为LTE网络，第二制式网络可以为GSM网络、UMTS网络、GPRS网络和WiFi网络中的至少一种。

在混合网络中，当位于第一制式网络中的UE向第一制式网络中的第二网络设备请求服务或者第一制式网络中的第二网络设备确定该UE进行网络切换时，需要进行AS密钥的生成，一方面，本发明实施例以UE请求第二制式网络的服务(即UE接入第二制式网络)为例进行说明，此时，请求消息为服务请求消息，第一命令为服务请求响应消息或者空口安全激活过程中的任一消息，假设第一制式网络为LTE网络，则第一制式网络的接入设备为移动管理实体(英文：Mobility Management Entity；简称：MME)，本实施例中的第一制式网络中的第二网络设备为LTE网络中的演进型基站，如图5所示，本发明实施例假设第二制式网络中需要为UE提供服务的网络设备为网络设备A，本发明实施例提供一种密钥生成方法，包括：

步骤501、UE和演进型基站建立无线资源控制(英文：Radio Resource Control；简称：RRC)连接。

示例的，UE可以向演进型基站发送连接建立请求消息，演进型基站根据该连接建立请求消息生成相应的连接建立响应消息，并发送给UE，在UE收到该连接建立响应消息后，UE发送向演进型基站连接建立确认消息，则UE和演进型基站的RRC连接建立。

步骤502、UE向MME发送UE的能力信息。

UE的能力信息包括该UE在第二制式网络中的能力。示例的，UE可以通过附着(attach)流程的NAS消息将UE的能力信息发送至MME。

UE的能力信息包括该UE在第二制式网络中的能力，其指的是UE在第二制式网络中所支持的算法，该算法至少有一种，示例的，UE的能力可以如表1所示，当第二制式网络为WiFi网络时，UE支持的算法为L3，则UE在WiFi网络的能力为L3；当第二制式网络为GSM时，UE支持的算法为L1和L5，则UE在GSM的能力为L1和L5；当第二制式网络为UMTS时，UE支持的算法为L2和L4，则UE在UMTS的能力为L2和L4；当第二制式网络为GPRS网络时，UE支持的算法为L4，则UE在GPRS网络的能力为L4。

表1

需要说明的是，NAS安全上下文还可以包括：Knas.int(完整性保护密钥)或者Knas.enc(解密密钥)，Knas.int用来保护UE与MME之间的NAS信令消息的完整性，Knas.enc用来保护UE与MME之间的NAS信令消息的机密性。

步骤503、UE和MME进行演进的分组网络(英文：Evolved Packet System；简称：EPS)AKA认证流程和NAS安全模式命令(英文：Security Mode Command；简称SMC)流程。

EPS AKA的流程参见3GPP TS 33.401协议。该协议使用挑战应答机制，完成用户和网络间的身份认证和密钥协商，同时基于身份认证对通信加密密钥进行协商。本发明实施例中的AKA认证流程是基于该协议的。示例的，MME从HSS(Home Subscription Server)获得认证向量{RAND、AUTN、XRES、Kasme}，其中，RAND为随机数，AUTN为认证令牌，XRES为期望响应，Kasme为预设网络密钥；MME将RAND和AUTN发送给UE；UE检查AUTN是否正确，以完成对网络的认证；若AUTN正确，则UE根据RAND计算响应(英文：response；简称：RES)，并将该RES发送给MME；MME检查从UE收到的RES和认证向量中的期望响应(英文：expect response；简称：XRES)是否相同，若相同，则对UE的认证成功。在EPS AKA认证流程完成后，UE和MME之间共享上述预设网络密钥Kasme。

EPS AKA认证成功后，UE和MME之间执行NAS SMC安全模式命令流程，协商并激活NAS安全上下文。NAS SMC流程完成后，UE和MME共享了NAS安全上下文，其中，安全上下文指的是一组安全相关参数的集合。

在本发明实施例中，NAS安全上下文至少包括：预设网络密钥和NAS序列号。MME获取的NAS安全上下文与UE存储的NAS安全上下文相同。根据3GPP TS33.401协议可知，预设网络密钥为Kasme；NAS序列号可以为上行NAS序列号或者下行NAS序列号。

步骤504、UE向演进型基站发送服务请求消息。

该服务请求消息用于向演进型基站请求服务，使用NAS安全上下文进行安全保护，即利用Knas.int进行完整性保护。在UE需要相应的网络提供服务时，可以向演进型基站发送服务请求信息来请求服务。

步骤505、演进型基站向UE发送服务请求响应消息。

可选地，演进型基站在收到服务请求消息之后，可以为UE指定为UE提供服务的第二制式网络，及该网络中的服务设备，生成相应的服务响应消息，并向UE发送该服务响应消息，该服务响应消息用于告知UE收到了服务请求消息，并告知UE为该UE提供服务的网络类型。实际应用中，演进型基站也可以不向UE发送服务请求响应消息。

步骤506、演进型基站向MME发送UE的服务请求消息。

需要说明的是，演进型基站可以对UE发送的服务请求消息不进行处理，直接发送给MME，也可以对该服务请求消息进行处理，如添加需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识或者需要为位于第一制式网络的UE提供服务的第二制式网络的身份标识等等，若演进型基站对该服务请求消息进行处理，则本发明实施例中，将UE发送的服务请求消息视为第一服务请求消息，将演进型基站处理后的第一服务请求消息视为第二服务请求消息。

步骤507、MME生成第二制式网络的接入密钥。

具体的，如图6所示，MME生成接入密钥的方法，可以包括：

步骤5071、MME获取需要为位于第一制式网络的UE提供服务的第二制式网络的类型标识。

第一方面，在步骤506中，演进型基站向MME发送UE的服务请求消息时，可以在该服务请求消息中添加需要为UE提供服务的第二制式网络的类型标识或者需要为UE提供服务的第二制式网络的身份标识，其中，需要为UE提供服务的第二制式网络的类型标识用于指示需要为UE提供服务的第二制式网络的类型，如WiFi类型、GSM类型、UMTS类型或者GPRS类型，需要为UE提供服务的第二制式网络的身份标识用于唯一标识需要为UE提供服务的第二制式网络的身份。MME可以从服务请求消息中获取需要为UE提供服务的第二制式网络的类型标识或者需要为UE提供服务的第二制式网络的身份标识或者网络设备A的身份标识，若获取的是网络设备A的身份标识，则将该网络设备A所在的网络的类型标识确定为需要为UE提供服务的第二制式网络的类型标识；若获取的是需要为UE提供服务的第二制式网络的身份标识，可以根据该需要为UE提供服务的第二制式网络的身份标识确定需要为UE提供服务的第二制式网络的类型标识。在本发明实施例中，将需要为UE提供服务的第二制式网络的类型标识或者需要为UE提供服务的第二制式网络的身份标识携带在服务请求消息中无需生成新的消息，可以减少消息数量，降低网络负荷。

第二方面，在接收到服务请求消息后，演进型基站可以生成第二制式网络指示信息，然后向MME发送第二制式网络指示信息，该第二制式网络指示信息可以包括需要为UE提供服务的第二制式网络的类型标识或者需要为UE提供服务的第二制式网络的身份标识或者网络设备A的身份标识，MME接收该第二制式网络指示信息后，当第二制式网络指示信息包括需要为UE提供服务的第二制式网络的类型标识，则MME可以直接从第二制式网络指示信息中获取需要为UE提供服务的第二制式网络的类型标识；当第二制式网络指示信息包括需要为UE提供服务的第二制式网络的身份标识，则MME可以直接从第二制式网络指示信息中获取需要为UE提供服务的第二制式网络的身份标识，并根据该需要为UE提供服务的第二制式网络的身份标识，确定需要为UE提供服务的第二制式网络的类型标识；当第二制式网络指示信息包括网络设备A的身份标识，则MME将该网络设备B所在的网络的类型标识确定为需要为UE提供服务的第二制式网络的类型标识。

步骤5072、MME根据第二制式网络的类型标识、预设网络密钥和上行NAS序列号，采用预设密钥推演算法确定接入密钥。

示例的，MME可以根据在步骤502中获取的NAS安全上下文中的相关参数，采用密钥计算公式获取接入密钥，该密钥计算公式为：

K＝KDF(uplink NAS count，Kasme，X)；

其中，K为接入密钥，“uplink NAS count”为上行NAS序列号，Kasme为预设网络密钥，X为第二制式网络的类型标识，指示第二制式网络可以为WiFi网络、GSM、UMTS和GPRS网络中的任意一种，KDF指示预设密钥推演算法，如HMAC-SHA256算法。需要说明的是，上述密钥K的推演过程不仅可以包括“uplink NAS count”，“Kasme”和“X”等参数，也可以包括其他参数。

步骤508、MME将UE的能力信息和接入密钥发送至第二制式网络中网络设备A。

第一方面，MME将UE的能力信息和接入密钥发送至演进型基站，由于步骤505中，为UE提供服务的第二制式网络中的网络设备由演进型基站指定，因此演进型基站能够获取该第二制式网络中的网络设备A的地址或者身份标识，可以根据该网络设备地址或者身份标识向第二制式网络中网络设备A转发UE的能力信息和接入密钥。

第二方面，若MME获取了网络设备A的身份标识，MME可以根据网络设备A的身份标识，直接将UE的能力信息和接入密钥发送至网络设备A。

步骤509、网络设备A根据UE的能力信息确定密码算法。

网络设备A本地保存有算法列表，该算法列表记录有第二制式网络所支持的各种密码算法，这些密码算法按照优先级由低到高或者由高到低的顺序排布，在获取与第二制式网络的密码算法时，网络设备A可以将UE在该第二制式网络的能力与该算法列表匹配得到UE在该第二制式网络的能力与该算法列表中相同的密码算法，再获取这些算法中优先级最高的算法作为该第二制式网络选择的密码算法。示例的，GSM网络的网络设备支持的密码算法有A5/1、A5/3、A5/4(A5/1、A5/3、A5/4是A5算法中的三种算法，A5算法是一种序列密码，它是欧洲GSM标准中规定的加密算法，用于数字蜂窝移动电话的加密，加密从用户设备到基站之间的链路)，UMTS网络的网络设备支持的密码算法有SNOW 3G、Kasumi，GPRS网络的网络设备支持的密码算法有GEA3、GEA4，WiFi网络的网络设备支持的密码算法有AES(AES是美国国家标准技术研究所NIST旨在取代DES的21世纪的加密标准)，假设第二制式网络为GSM，则网络设备A获取的UE在GSM的能力为L1和L5，假设GSM的算法列表如表2所示，该表2中的密码算法按照优先级由高到低的顺序排布，依次为算法L1、L4、L5和L2，则网络设备A将UE在GSM的能力与GSM的算法列表匹配得到UE在GSM的能力与GSM的算法列表中相同的密码算法为L1和L5，再根据表2获取这些算法中优先级最高的算法为L1，则可以将L1确定为最终的密码算法。

表2

步骤510、网络设备A根据密码算法和接入密钥生成第二制式网络的AS密钥。

当网络设备A处于的第二制式网络不同，其对应的密码算法不同，本发明实施例假设GSM的网络设备选择的密码算法为L1，UMTS的网络设备选择的密码算法为L2，WiFi网络的网络设备选择的密码算法为L3，示例的，当第二制式网络为GSM时，AS密钥计算的计算公式为：

Kc＝KDF(K，L1，“GSM”)；

其中，Kc为GSM中的AS密钥，K为接入密钥，L1为根据UE的能力选择的密码算法所对应的算法标识符，“GSM”指示第二制式网络为GSM，KDF指示采用L1对应的算法。

当第二制式网络为UMTS时，AS密钥计算的计算公式为：

CK/IK＝KDF(K，L2，“UMTS”)；

其中，CK/IK为UMTS中的AS密钥，K为接入密钥，L2为根据UE的能力选择的密码算法(加密算法或者完整性保护算法)所对应的算法标识符，类型标识“UMTS”指示第二制式网络为UMTS，KDF指示采用L2对应的算法。

当第二制式网络为WiFi网络时，AS密钥计算的计算公式为：

PMK＝KDF(K，L3，“WiFi”)

其中，PMK为WiFi网络中的AS密钥，K为接入密钥，L3为根据UE的能力选择的密码算法所对应的算法标识符，“WiFi网络”指示第二制式网络为WiFi网络，KDF指示采用L3对应的算法。

需要说明的是，在UE和网络设备A均生成了第二制式网络的AS密钥之后，UE和网络设备A可以利用生成的密钥进行空口安全激活过程，完成AS安全上下文的协商和激活，如执行GSM下的加密模式命令(Cipher Mode Command)、UMTS下的安全模式命令(Security Mode Command)或者WiFi网络下的四次握手(4-way handshake)流程。

步骤511、UE生成第二制式网络的AS密钥。

示例的，如图7所示，UE生成第二制式网络的AS密钥的过程可以包括：

步骤5111、UE获取需要为UE提供服务的第二制式网络的类型标识。

若执行了步骤505，则在步骤505中，演进型基站可以根据混合网络当前的网络状况、通信质量等多种情况，确定可以为UE提供服务的网络，将该网络的类型标识通过服务响应消息发送至UE，因此UE可以从该服务响应消息中提取网络的类型标识，根据该类型标识来确定第二制式网络，该第二制式网络可以为WiFi网络、GSM、UMTS和GPRS网络中的任意一个网络。

若未执行步骤505，则UE可以从MME发送的空口安全激活过程的信令中获得第二制式网络的类型标识。

步骤5112、UE根据第二制式网络的类型标识、预设网络密钥和上行NAS序列号，采用预设密钥推演算法确定接入密钥。

示例的，UE可以根据在步骤502中获取的NAS安全上下文中的相关参数，采用密钥计算公式获取接入密钥，该密钥计算公式为：

K＝KDF(uplink NAS count，Kasme，X)

其中，K为接入密钥，“uplink NAS count”为上行NAS序列号，Kasme为预设网络密钥，X为第二制式网络的类型标识，可以为WiFi网络、GSM、UMTS和GPRS网络中的任意一种，KDF指示预设密钥推演算法，该密钥推演算法与MME在步骤507中采用的密钥推演算法相同，如HMAC-SHA256算法。

步骤5113、UE根据密码算法和接入密钥生成第二制式网络的AS密钥。

该密码算法是步骤509中网络设备A根据UE的能力信息确定的，在网络设备A选择了密码算法后，会向UE发该密码算法，通常，网络设备A可以在服务请求响应消息或者空口安全激活过程中的任一消息中携带该密码算法，UE可以通过解析相应的消息来获取密码算法。

不同的第二制式网络对应的AS密钥计算方法不同，本发明实施例假设GSM的网络设备选择的密码算法为L1，UMTS的网络设备选择的密码算法为L2，WiFi网络的网络设备选择的密码算法为L3，示例的，当第二制式网络为GSM时，AS密钥计算的计算公式为：

Kc＝KDF(K，L1，“GSM”)；

其中，Kc为GSM中的AS密钥，K为接入密钥，L1为网络设备A根据UE的能力选择的密码算法所对应的算法标识符，“GSM”指示第二制式网络为GSM，KDF指示采用L1对应的算法。

当第二制式网络为UMTS时，AS密钥计算的计算公式为：

CK/IK＝KDF(K，L2，“UMTS”)；

其中，CK/IK为UMTS中的AS密钥，K为接入密钥，L2为网络设备A根据UE的能力选择的密码算法(加密算法或者完整性保护算法)所对应的算法标识符，类型标识“UMTS”指示第二制式网络为UMTS，KDF指示采用L2对应的算法。

当第二制式网络为WiFi网络时，AS密钥计算的计算公式为：

PMK＝KDF(K，L3，“WiFi”)

其中，PMK为WiFi网络中的AS密钥，K为接入密钥，L3为网络设备A根据UE的能力选择的密码算法所对应的算法标识符，“WiFi网络”指示第二制式网络为WiFi网络，KDF指示采用L3对应的算法。

特别的，本发明实施例提供的密钥生成方法步骤的先后顺序可以进行适当调整，步骤也可以根据情况进行相应增减，例如，步骤505可以是可选的步骤。另外，步骤505和步骤506也可以在步骤507或者步骤508后执行，步骤5111至步骤5113可以在步骤506之前执行等等。此外，步骤510后，网络设备A会和UE进行AS安全上下文的激活过程。通过该AS安全上下文的激活的流程，UE也可以获取第二制式网络的类型标识。步骤501中UE侧的AS密钥推演过程可以与步骤510后的AS安全上下文激活的流程中同时执行。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本发明的保护范围之内，因此不再赘述。

现有技术中，在2G GSM网络、GPRS网络、3G UMTS网络、4G LTE网络等网络中的至少两个所组成的混合网络中，AS和NAS是耦合在一起的，即一个网络的NAS信令只能和该网络的AS信令配合使用，一个网络的NAS信令不能用于生成其他网络的AS信令。为了提高网络的性能，使得NAS信令和AS信令可以独立演进，需要对NAS信令和AS信令解耦，即，使得一个网络的NAS信令可以和其他网络的AS信令配合使用。但现有方案中，在安全认证方面，各个网络中的用于保护AS信令的密钥都是通过其对应的NAS信令流程生成的。例如，GSM网络和GPRS网络需要根据GSM认证与密钥协商(英文：Authentication and Key Agreement；简称：AKA)协议生成加密密钥(英文：key encryption；简称：Kc)，通过加密模式命令(英文：Cipher Mode Command；简称：CMC)流程或者GSM AKA流程确定加密算法并激活该加密算法。UMTS网络需要根据UMTS AKA协议生成加密密钥(英文：Cipher Key；简称：CK)和完整性密钥IK(英文：Integrity Key；简称：IK)，通过SMC流程确定加密算法和完整性保护算法，并激活这些算法。

本发明实施例中，由于NAS序列号是NAS信令的一种序列号，而第一制式网络的第一网络设备可以根据第二制式网络的类型标识、预设网络密钥和NAS序列号生成接入密钥，第二制式网络的网络设备可以根据该第一制式网络的第一网络设备发送的UE的能力信息确定密码算法，并根据该密码算法和接入密钥生成第二制式网络的AS密钥，则表明第一制式网络中的NAS信令可以用于第二制式网络中的AS密钥的生成，而AS密钥是AS信令中的一种安全密钥，因此实现了在安全认证方面，NAS信令和AS信令的解耦。

综上所述，本发明实施例提供的密钥生成方法，由于第一制式网络的第一网络设备在根据NAS信息确定接入密钥后，将接入密钥发送至第二制式网络中的网络设备，使得该网络设备可以根据接入密钥生成第二制式网络的AS密钥，则第二制式网络中的网络设备能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷，并且实现了安全认证方面NAS信令和AS信令的解耦。

另一方面，本发明实施例以位于第一制式网络中的UE进行网络切换为例进行说明，假设UE从第一制式网络切换至第二制式网络，此时，请求消息为切换请求消息，第一命令为切换命令，假设第一制式网络为LTE网络，则第一制式网络的接入设备为MME，本实施例中的第一制式网络中的第二网络设备为LTE网络中的演进型基站，如图8所示，本发明实施例假设第二制式网络中需要为UE提供服务的网络设备为网络设备B，本发明实施例提供一种密钥生成方法，包括：

步骤801、演进型基站向MME发送切换请求消息。

演进型基站可以实时监测UE的状态和演进型基站本地的状态，当UE移动出预设小区范围，或者演进型基站的负荷过大，需要将该UE或者该UE的一部分数据流量切换至其他制式网络中以减轻演进型基站的负担，此时演进型基站向MME发送切换请求消息。

步骤802、MME生成第二制式网络的接入密钥。

具体的，如图9所示，MME生成接入密钥的方法，包括：

步骤8021、MME获取需要为UE提供服务的第二制式网络的类型标识。

第一方面，在步骤801中演进型基站向MME发送的切换请求消息时，可以在该切换请求消息中添加需要为UE提供服务的第二制式网络的类型标识或者网络设备B的身份标识；MME可以从切换请求消息中获取需要为UE提供服务的第二制式网络的类型标识或者网络设备B的身份标识或者需要为UE提供服务的第二制式网络的身份标识，若获取的是网络设备B的身份标识，则将该网络设备B所在的网络的类型标识确定为需要为UE提供服务的第二制式网络的类型标识；若获取的是需要为UE提供服务的第二制式网络的身份标识，可以根据该第二制式网络的身份标识确定需要为UE提供服务的第二制式网络的类型标识。

第二方面，演进型基站可以生成第二制式网络指示信息，向MME发送第二制式网络指示信息，该第二制式网络指示信息可以包括需要为UE提供服务的第二制式网络的类型标识或者需要为UE提供服务的第二制式网络的身份标识或者网络设备B的身份标识，MME接收该第二制式网络指示信息后，当第二制式网络指示信息包括需要为UE提供服务的第二制式网络的类型标识，则MME可以直接从第二制式网络指示信息中获取需要为UE提供服务的第二制式网络的类型标识；当第二制式网络指示信息包括需要为UE提供服务的第二制式网络的身份标识，则MME可以直接从第二制式网络指示信息中获取需要为UE提供服务的第二制式网络的身份标识，并根据该第二制式网络的身份标识，确定需要为UE提供服务的第二制式网络的类型标识；当第二制式网络指示信息包括网络设备A的身份标识，则MME将该网络设备B所在的网络的类型标识确定为需要为UE提供服务的第二制式网络的类型标识。

步骤8022、MME根据第二制式网络的类型标识、预设网络密钥和下行NAS序列号，采用预设密钥推演算法确定接入密钥。

由于在UE请求服务时，UE和MME需要进行AKA认证流程和NAS SMC流程，以实现UE和MME之间的NAS安全上下文共享，具体步骤可以参考上述实施例中步骤503，因此，此时MME已获取了NAS安全上下文，在本发明实施例中，NAS安全上下文至少包括：预设网络密钥和NAS序列号。MME获取的NAS安全上下文与UE存储的NAS安全上下文相同。

示例的，MME可以根据安全上下文中的相关参数，采用密钥计算公式获取接入密钥，该密钥计算公式为：

K＝KDF(downlink NAS count，Kasme，X)；

其中，K为接入密钥，“downlink NAS count”为下行NAS序列号，Kasme为预设网络密钥，X为第二制式网络的类型标识，可以为WiFi网络、GSM网络、UMTS网络和GPRS网络中的任意一种，KDF指示预设密钥推演算法，如HMAC-SHA256算法。需要说明的是，上述密钥K的推演过程不仅可以包括“downlink NAS count”，“Kasme”和“X”等参数，也可以包括其他参数。

步骤803、MME将UE的能力信息和接入密钥发送至第二制式网络中网络设备B。

第一方面，MME将UE的能力信息和接入密钥发送至演进型基站，由于步骤801中，演进型基站向MME发送切换请求消息，则演进型基站会指定新的为UE提供服务的网络设备，即切换的目的设备，因此演进型基站能够获取该第二制式网络中的网络设备B的地址或者身份标识，可以根据该网络设备地址或者身份标识可以向第二制式网络中网络设备B转发UE的能力信息和接入密钥。

第二方面，若MME获取了网络设备B的身份标识，MME根据网络设备B的身份标识，将UE的能力信息和接入密钥发送至网络设备B。

步骤804、网络设备B根据UE的能力信息确定密码算法。

网络设备B本地保存有第二制式网络的算法列表，该算法列表记录有第二制式网络所支持的各种密码算法，这些密码算法按照优先级由低到高或者由高到低的顺序排布，在获取与第二制式网络的密码算法时，网络设备B可以将UE在该第二制式网络的能力与该算法列表匹配得到UE在该第二制式网络的能力与该算法列表中相同的密码算法，再获取这些算法中优先级最高的算法作为该第二制式网络选择的密码算法。示例的，GSM网络的网络设备支持的密码算法有A5/1、A5/3、A5/4，UMTS网络的网络设备支持的密码算法有SNOW3G、Kasumi，GPRS网络的网络设备支持的密码算法有GEA3、GEA4，WiFi网络的网络设备支持的密码算法有AES。具体过程可以参考上述实施例中步骤509。

步骤805、网络设备B根据密码和接入密钥生成第二制式网络的AS密钥。

当网络设备B处于的第二制式网络不同，其对应的密码算法不同，本发明实施例假设GSM的网络设备选择的密码算法为L1，UMTS的网络设备选择的密码算法为L2，WiFi网络的网络设备选择的密码算法为L3，示例的，当第二制式网络为GSM时，AS密钥计算的计算公式为：

Kc＝KDF(K，L1，“GSM”)；

当第二制式网络为UMTS时，AS密钥计算的计算公式为：

CK/IK＝KDF(K，L2，“UMTS”)；

当第二制式网络为WiFi网络时，AS密钥计算的计算公式为：

PMK＝KDF(K，L3，“WiFi”)

步骤806、网络设备B向MME发送切换命令。

网络设备B为演进型基站指定的新的为UE提供服务的网络设备，该切换命令用于指示UE从第一制式网络切换至第二制式网络，可以包括网络设备B选择的密码算法。特别的，该密码算法也可以通过其他命令或者消息发送至演进型基站，并由该演进型基站转发给UE。

步骤807、MME向演进型基站发送切换命令。

步骤808、演进型基站向UE发送切换命令。

步骤809、UE生成第二制式网络的AS密钥。

示例的，如图10所示，UE生成第二制式网络的AS密钥的过程可以包括：

步骤8091、UE获取需要为UE提供服务的第二制式网络的类型标识。

在步骤801中，演进型基站可以实时监测UE的状态和本地的状态，当UE移动出预设小区范围，或者演进型基站的负荷过大，根据混合网络当前的网络状况、通信质量等多种情况，确定可以为UE提供服务的网络作为UE要切换的网络(即第二制式网络)，将该网络的类型标识通过切换命令发送至UE，因此UE可以从该切换命令中提取网络的类型标识，根据该类型标识来确定第二制式网络，该第二制式网络可以为WiFi网络、GSM网络、UMTS网络和GPRS网络中的任意一个网络。

步骤8092、UE根据第二制式网络的类型标识、预设网络密钥和下行NAS序列号，采用预设密钥推演算法确定接入密钥。

示例的，UE可以根据在步骤503中获取的NAS安全上下文中的相关参数，采用密钥计算公式获取接入密钥，该密钥计算公式为：

K＝KDF(downlink NAS count，Kasme，X)

其中，K为接入密钥，“downlink NAS count”为下行NAS序列号，Kasme为预设网络密钥，X为第二制式网络的类型标识，可以为WiFi网络、GSM、UMTS和GPRS网络中的任意一种，KDF指示预设密钥推演算法，该密钥推演算法与MME在步骤8022中采用的密钥推演算法相同，如HMAC-SHA256算法。

步骤8093、UE根据密码算法和接入密钥生成第二制式网络的AS密钥。

密码算法是步骤804中网络设备B根据UE的能力信息确定的，在网络设备B选择了密码算法后，会向UE发该密码算法，通常的，网络设备B可以在步骤806生成的切换命令中携带该密码算法，UE通过解析该切换命令得到密码算法。

Kc＝KDF(K，L1，“GSM”)；

其中，Kc为GSM中的AS密钥，K为接入密钥，L1为网络设备B根据UE的能力选择的密码算法所对应的算法标识符，“GSM”指示第二制式网络为GSM，KDF指示采用L1对应的算法。

当第二制式网络为UMTS时，AS密钥计算的计算公式为：

CK/IK＝KDF(K，L2，“UMTS”)；

其中，CK/IK为UMTS中的AS密钥，K为接入密钥，L2为网络设备B根据UE的能力选择的密码算法所对应的算法标识符，类型标识“UMTS”指示第二制式网络为UMTS，KDF指示采用L2对应的算法。

当第二制式网络为WiFi网络时，AS密钥计算的计算公式为：

PMK＝KDF(K，L3，“WiFi”)

其中，PMK为WiFi网络中的AS密钥，K为接入密钥，L3为网络设备B根据UE的能力选择的密码算法所对应的算法标识符，“WiFi网络”指示第二制式网络为WiFi网络，KDF指示采用L3对应的算法。

特别的，本发明实施例提供的密钥生成方法步骤的先后顺序可以进行适当调整，步骤也可以根据情况进行相应增减。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本发明的保护范围之内，因此不再赘述。

现有技术中，一个网络的NAS信令不能用于生成其他网络的AS信令。而本发明实施例中，由于NAS序列号是NAS信令的一种序列号，而第一制式网络的第一网络设备可以根据第二制式网络的类型标识、预设网络密钥和NAS序列号生成接入密钥，第二制式网络的网络设备可以根据该第一制式网络的第一网络设备发送的UE的能力信息确定密码算法，并根据该密码算法和接入密钥生成第二制式网络的AS密钥，则表明第一制式网络中的NAS信令可以用于第二制式网络中的AS密钥的生成，而AS密钥是AS信令中的一种安全密钥，因此实现了在安全认证方面，NAS信令和AS信令的解耦。

进一步的，现有的技术中，将WiFi网络接入到LTE网络的核心网形成的混合网络，UE在接入WiFi网络时，需要与WiFi网络执行安全认证流程以生成密钥，当UE从WiFi网络切换至LTE网络，需要与LTE网络重新执行完整的安全认证流程。而本发明实施例中，UE在接入WiFi网络时，WiFi网络的AS密钥是根据LTE确定的接入密钥生成的，当UE从WiFi网络切换至LTE 网络，LTE网络的第一网络设备(即MME)可以根据UE在LTE网络的能力选择密码算法，根据该密码算法和预先生成的接入密钥生成LTE网络的AS密钥，无需重新执行完整的安全认证流程。因此，降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

本发明实施例提供一种密钥生成设备1，该密钥生成设备1位于第一制式网络，密钥生成设备1可以为位于第一制式网络的UE的部分或全部，如图11所示，所述密钥生成设备1可以包括：

获取单元11，确定单元12和生成单元13。

获取单元11，用于在接收到第一命令之后，获取需要为所述密钥生成设备1提供服务的第二制式网络的类型标识；其中，所述第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；

确定单元12，用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

生成单元13，用于根据所述接入密钥生成所述第二制式网络的接入层AS 密钥。

可选的，所述密钥生成设备1与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。

综上所述，本发明实施例提供的密钥生成设备，由于在确定单元通过NAS信息确定接入密钥后，生成单元能够根据接入密钥生成第二制式网络的AS密钥，因此能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

可选地，所述第一命令包括密码算法，则所述生成单元13具体用于：根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

可选地，所述第一命令为服务请求响应消息或者为空口安全激活过程中的任一消息，如图12所示，所述密钥生成设备1还可以包括：

发送单元14，该发送单元14用于：

向所述第一制式网络的第二网络设备发送用于请求服务的服务请求消息，以便于所述第一制式网络的第二网络设备根据所述服务请求消息向所述第一制式网络的第一网络设备发送第二制式网络指示信息，所述第二制式网络指示信息包括所述需要为所述UE提供服务的所述第二制式网络的类型标识或者所述需要为所述UE提供服务的所述第二制式网络的身份标识；或者，向所述第一制式网络的第二网络设备发送用于请求服务的第一服务请求消息，以便于所述第一制式网络的第二网络设备根据所述第一服务请求消息将第二服务请求消息发送给所述第一制式网络的第一网络设备；其中，所述第二服务请求消息包括所述需要为所述UE提供服务的所述第二制式网络的类型标识或者所述需要为所述UE提供服务的所述第二制式网络的身份标识。

需要说明的是，所述第一制式网络为LTE网络，所述第二制式网络为GSM网络、UMTS网络、GPRS网络和WiFi网络中的至少一种。

本发明实施例提供一种密钥生成设备2，所述密钥生成设备2位于第一制式网络，该密钥生成设备2可以为第一制式网络的第一网络设备的部分或全部，如图13所示，所述密钥生成设备2可以包括：

获取单元21，确定单元22和发送单元23。

获取单元21，用于在接收到所述第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于所述第一制式网络的UE提供服务的第二制式网络的类型标识；其中，所述请求消息为服务请求消息或者切换请求消息；

确定单元22，用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

发送单元23，用于将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

可选的，所述密钥生成设备与所述UE共享所述NAS序列号和所述第一制式网络的密钥。

综上所述，本发明实施例提供的密钥生成设备，由于在确定单元通过NAS信息确定接入密钥后，发送单元将接入密钥发送至第二制式网络中的网络设备，使得该网络设备可以根据接入密钥生成第二制式网络的AS密钥，则第二制式网络中的网络设备能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

可选地，所述获取单元21还用于：获取所述UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；所述发送单元23具体用于：将所述UE的能力信息和所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法，并根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

可选地，所述请求消息包括所述需要为位于所述第一制式网络的UE提供服务的第二制式网络的类型标识或者所述需要为位于所述第一制式网络的UE提供服务的第二制式网络的身份标识；则所述获取单元21具体用于：从所述请求消息中获取所述第二制式网络的类型标识；或者，根据所述第二制式网络的身份标识，确定所述第二制式网络的类型标识。

进一步的，所述获取单元21具体用于：

接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的类型标识；或者，接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的身份标识；根据所述第二制式网络的身份标识确定所述第二制式网络的类型标识。

所述发送单元23具体用于：通过所述第一制式网络的第二网络设备将所述接入密钥发送至所述第二制式网络的网络设备。

所述第一制式网络为LTE网络，所述第二制式网络为GSM网络、UMTS网络、GPRS网络和无线保真WiFi网络中的至少一种。

本发明实施例提供一种密钥生成设备3，该密钥生成设备3位于第二制式网络，该密钥生成设备3可以为第二制式网络的网络设备，如图14所示，所述密钥生成设备3可以包括：接收单元31和生成单元32。

接收单元31，用于接收第一制式网络的第一网络设备发送的接入密钥；其中，所述接入密钥为所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号所确定的；

生成单元32，用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

综上所述，本发明实施例提供的密钥生成设备，由于在接收单元接收第一制式网络的第一网络设备发送的接入密钥后，生成单元根据接入密钥生成第二制式网络的接入层AS密钥，其中，接入密钥为第一制式网络的第一网络设备根据第二制式网络的类型标识、第一制式网络的密钥和NAS序列号所确定的，即第二制式网络中的网络设备能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

进一步的，所述生成单元32具体用于：接收所述第一制式网络的第一网络设备发送的UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；根据所述UE的能力信息确定密码算法；根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

可选地，所述接收单元31具体用于：接收所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备发送的接入密钥。

其中，所述第一制式网络为LTE网络，所述第二制式网络为GSM网络、UMTS网络、GPRS网络和WiFi网络中的至少一种。

综上所述，本发明实施例提供的密钥生成设备，由于处理器在通过NAS信息确定接入密钥后，能够根据接入密钥生成第二制式网络的AS密钥，因此能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

本发明实施例提供一种密钥生成设备4，该密钥生成设备4位于第一制式网络，该密钥生成设备4可以为第一制式网络的UE的全部或部分，如图15所示，所述密钥生成设备可以包括：接收器41、处理器42(例如CPU)、总线43和存储器44；所述总线43用于连接所述接收器41、所述处理器42和所述存储器44，所述处理器42用于执行所述存储器44中存储的程序441，存储器44可能包含高速随机存取存储器(英文Random Access Memory；缩写：RAM)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。

所述处理器42，用于在所述接收器41接收到第一命令之后，获取需要为所述密钥生成设备4提供服务的第二制式网络的类型标识；其中，所述第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；

所述处理器42还用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述处理器42还用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

可选的，所述密钥生成设备与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。

可选的，所述第一命令包括密码算法，则所述处理器42具体用于：根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

可选的，如图16所示，所述第一命令为服务请求响应消息或者为空口安全激活过程中的任一消息，所述密钥生成设备4还可以包括：

发射器45，所述发射器45用于：

本发明实施例提供一种密钥生成设备5，如图17所示，该密钥生成设备5位于第一制式网络，该密钥生成设备5可以为第一制式网络的第一网络设备的部分或全部，所述密钥生成设备5包括：接收器51、发射器52、处理器53、总线54和存储器55；所述总线54用于连接所述接收器51、所述发射器52、所述处理器53和所述存储器55，所述处理器53用于执行所述存储器55中存储的程序551；

所述处理器53，用于在所述接收器接收到所述第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于所述第一制式网络的UE提供服务的第二制式网络的类型标识；其中，所述请求消息为服务请求消息或者切换请求消息；

所述处理器53，还用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述发射器52，用于将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。

综上所述，本发明实施例提供的密钥生成设备，由于在处理器根据NAS信息确定接入密钥后，发射器将接入密钥发送至第二制式网络中的网络设备，使得该网络设备可以根据接入密钥生成第二制式网络的AS密钥，则处理器能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

可选的，所述密钥生成设备5与所述UE共享所述NAS序列号和所述第一制式网络的密钥。

可选的，所述处理器53还用于获取所述UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述发射器52具体用于将所述UE的能力信息和所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法，并根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

可选的，所述请求消息包括所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的类型标识或者所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的身份标识；则所述处理器53具体用于：

从所述请求消息中获取所述第二制式网络的类型标识；

可选的，所述接收器51具体用于：

接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的身份标识；所述第一制式网络的第一网络设备根据所述第二制式网络的身份标识确定所述第二制式网络的类型标识。

可选的，所述发射器52具体用于：

本发明实施例提供一种密钥生成设备6，如图18所示，该密钥生成设备6位于第二制式网络，该密钥生成设备6可以为第二制式网络的网络设备的部分或全部，所述密钥生成设备6可以包括：接收器61、处理器62、总线63和存储器64；所述总线63用于连接所述接收器61、所述处理器62和所述存储器 64，所述处理器62用于执行所述存储器64中存储的程序641；

所述接收器61，用于接收第一制式网络的第一网络设备发送的接入密钥；其中，所述接入密钥为所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号所确定的；

处理器62，用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥；

综上所述，本发明实施例提供的密钥生成设备，由于接收器接收第一制式网络的第一网络设备发送的接入密钥后，处理器根据接入密钥生成第二制式网络的接入层AS密钥，其中，接入密钥为第一制式网络的第一网络设备根据第二制式网络的类型标识、第一制式网络的密钥和NAS序列号所确定的，即第二制式网络中的网络设备能够利用第一制式网络的密钥和NAS信息，生成第二制式网络的AS密钥，既避免了现有技术中生成第二制式网络的AS密钥生成前的安全认证流程，也保障了安全，相应地降低了混合网络整体通信的时延，减少了混合网络的通信负荷。

可选的，所述接收器61还用于：

所述处理器62具体用于：根据所述UE的能力信息确定密码算法；根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。

可选的，所述接收器61具体用于：

本发明实施例提供一种密钥生成系统，该密钥生成系统可以包括：

图11或图12所示的密钥生成设备1；图13所示的密钥生成设备2。

进一步的，该密钥生成系统还可以包括：图14所示的密钥生成设备3。

实际应用中，密钥生成系统可以包括：图11或图12所示的密钥生成设备1，图13所示的密钥生成设备2和图14所示的密钥生成设备3中的至少一种设备，例如，密钥生成系统可以包括：图11或图12所示的密钥生成设备1及图14所示的密钥生成设备3，再例如，密钥生成系统可以包括：图13所示的密钥生成设备2和图14所示的密钥生成设备3。

图15或图16所示的密钥生成设备4；图17所示的密钥生成设备5。

进一步的，该密钥生成系统还可以包括：图18所示的密钥生成设备6。

实际应用中，密钥生成系统可以包括：图15或图16所示的密钥生成设备4，图17所示的密钥生成设备5和图18所示的密钥生成设备6中的至少一种设备，例如，密钥生成系统可以包括：图15或图16所示的密钥生成设备4及图18所示的密钥生成设备6，再例如，密钥生成系统可以包括：图17所示的密钥生成设备5和图18所示的密钥生成设备6。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，设备和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解实现上述实施例的全部或者部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或者光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种密钥生成方法，其特征在于，所述方法包括：

位于第一制式网络的用户设备UE在接收到第一命令之后，获取需要为所述UE提供服务的第二制式网络的类型标识；其中，所述第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；

所述UE根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述UE根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求1所述的方法，其特征在于，所述UE与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。
根据权利要求1或者2所述的方法，其特征在于，所述第一命令包括密码算法，

则所述UE根据所述接入密钥生成所述第二制式网络的接入层AS密钥包括：

所述UE根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求1-3任一项所述的方法，其特征在于，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成方法，其特征在于，所述方法包括：

第一制式网络的第一网络设备在接收到所述第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识；其中，所述请求消息为服务请求消息或者切换请求消息；

所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述第一制式网络的第一网络设备将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求5所述的方法，其特征在于，所述第一制式网络的第一网络设备与所述UE共享所述NAS序列号和所述第一制式网络的密钥。
根据权利要求5或者6所述的方法，其特征在于，在所述获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识之前，所述方法还包括：

所述第一制式网络的第一网络设备获取所述UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述第一制式网络的第一网络设备将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥包括：

所述第一制式网络的第一网络设备将所述UE的能力信息和所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法，并根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求5-7任一项所述的方法，其特征在于，所述请求消息包括所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的类型标识或者所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的身份标识；

则所述获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识包括：

所述第一制式网络的第一网络设备从所述请求消息中获取所述第二制式网络的类型标识；

或者，所述第一制式网络的第一网络设备根据所述第二制式网络的身份标识，确定所述第二制式网络的类型标识。
根据权利要求5-7任一项所述的方法，其特征在于，所述获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识包括：

所述第一制式网络的第一网络设备接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的类型标识；或者，

所述第一制式网络的第一网络设备接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的身份标识；所述第一制式网络的第一网络设备根据所述第二制式网络的身份标识确定所述第二制式网络的类型标识。
根据权利要求5-9任一项所述的方法，其特征在于，所述第一制式网络的第一网络设备将所述接入密钥发送至所述第二制式网络的网络设备，包括：

所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备将所述接入密钥发送至所述第二制式网络的网络设备。
根据权利要求5-10任一项所述的方法，其特征在于，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成方法，其特征在于，所述方法包括：

第二制式网络的网络设备接收第一制式网络的第一网络设备发送的接入密钥；其中，所述接入密钥为所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号所确定的；

所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求12所述的方法，其特征在于，所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥，包括：

所述第二制式网络的网络设备接收所述第一制式网络的第一网络设备发送的UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法；

所述第二制式网络的网络设备根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求12或者13所述的方法，其特征在于，所述第二制式网络的网络设备接收第一制式网络的第一网络设备发送的接入密钥，包括：

所述第二制式网络的网络设备接收所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备发送的接入密钥。
根据权利要求12至14任一项所述的方法，其特征在于，

所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成设备，其特征在于，所述密钥生成设备位于第一制式网络，所述密钥生成设备包括：

获取单元，用于在接收到第一命令之后，获取需要为所述密钥生成设备提供服务的第二制式网络的类型标识；其中，所述第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；

确定单元，用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

生成单元，用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求16所述的密钥生成设备，其特征在于，所述密钥生成设备与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。
根据权利要求16或者17所述的密钥生成设备，其特征在于，所述第一命令包括密码算法，则所述生成单元具体用于：

根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求16-18任一项所述的设备，其特征在于，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成设备，其特征在于，所述密钥生成设备位于第一制式网络，所述密钥生成设备包括：

获取单元，用于在接收到所述第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识；其中，所述请求消息为服务请求消息或者切换请求消息；

确定单元，用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

发送单元，用于将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求20所述的设备，其特征在于，所述密钥生成设备与所述UE共享所述NAS序列号和所述第一制式网络的密钥。
根据权利要求20或者21所述的设备，其特征在于，

所述获取单元还用于：获取所述UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述发送单元具体用于：将所述UE的能力信息和所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法，并根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求20-22任一项所述的设备，其特征在于，所述请求消息包括所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的类型标识或者所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的身份标识；则所述获取单元具体用于：

从所述请求消息中获取所述第二制式网络的类型标识；

或者，根据所述第二制式网络的身份标识，确定所述第二制式网络的类型标识。
根据权利要求20-22任一项所述的设备，其特征在于，所述获取单元具体用于：

接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的类型标识；或者，

接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的身份标识；根据所述第二制式网络的身份标识确定所述第二制式网络的类型标识。
根据权利要求20-24任一项所述的设备，其特征在于，所述发送单元具体用于：

通过所述第一制式网络的第二网络设备将所述接入密钥发送至所述第二制式网络的网络设备。
根据权利要求20-25任一项所述的设备，其特征在于，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成设备，其特征在于，所述密钥生成设备位于第二制式网络，所述密钥生成设备包括：

接收单元，用于接收第一制式网络的第一网络设备发送的接入密钥；其中，所述接入密钥为所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号所确定的；

生成单元，用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求27所述的设备，其特征在于，所述生成单元具体用于：

接收所述第一制式网络的第一网络设备发送的UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

根据所述UE的能力信息确定密码算法；

根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求27或者28所述的设备，其特征在于，所述接收单元具体用于：

接收所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备发送的接入密钥。
根据权利要求27至29任一项所述的设备，其特征在于，

所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成设备，其特征在于，所述密钥生成设备位于第一制式网络，所述密钥生成设备包括：接收器、处理器、总线和存储器；所述总线用于连接所述接收器、所述处理器和所述存储器，所述处理器用于执行所述存储器中存储的程序；

所述处理器，用于在所述接收器接收到第一命令之后，获取需要为所述密钥生成设备提供服务的第二制式网络的类型标识；其中，所述第一命令为服务请求响应消息，或者切换命令，或者空口安全激活过程中的任一消息；

所述处理器还用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述处理器还用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求31所述的设备，其特征在于，所述密钥生成设备与所述第一制式网络的第一网络设备共享所述NAS序列号和所述第一制式网络的密钥。
根据权利要求31或者32所述的设备，其特征在于，所述第一命令包括密码算法，则所述处理器具体用于：根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求31-33任一项所述的设备，其特征在于，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成设备，其特征在于，所述密钥生成设备位于第一制式网络，所述密钥生成设备包括：接收器、发射器、处理器、总线和存储器；所述总线用于连接所述接收器、所述发射器、所述处理器和所述存储器，所述处理器用于执行所述存储器中存储的程序；

所述处理器，用于在所述接收器接收到所述第一制式网络的第二网络设备发送的请求消息之后，获取需要为位于所述第一制式网络的用户设备UE提供服务的第二制式网络的类型标识；其中，所述请求消息为服务请求消息或者切换请求消息；

所述处理器，还用于根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号，采用预设密钥推演算法确定接入密钥；

所述发射器，用于将所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求35所述的设备，其特征在于，所述密钥生成设备与所述UE共享所述NAS序列号和所述第一制式网络的密钥。
根据权利要求35或者36所述的设备，其特征在于，

所述处理器还用于获取所述UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述发射器具体用于将所述UE的能力信息和所述接入密钥发送至所述第二制式网络的网络设备，以便于所述第二制式网络的网络设备根据所述UE的能力信息确定密码算法，并根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求35-37任一项所述的设备，其特征在于，所述请求消息包括所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的类型标识或者所述需要为位于所述第一制式网络的UE提供服务的所述第二制式网络的身份标识；

则所述处理器具体用于：

从所述请求消息中获取所述第二制式网络的类型标识；

或者，根据所述第二制式网络的身份标识，确定所述第二制式网络的类型标识。
根据权利要求35-37任一项所述的设备，其特征在于，

所述接收器具体用于：接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的类型标识；或者，

接收所述第一制式网络的第二网络设备发送的第二制式网络指示信息，所述第二制式网络指示信息包括所述第二制式网络的身份标识；根据所述第二制式网络的身份标识确定所述第二制式网络的类型标识。
根据权利要求35-39任一项所述的设备，其特征在于，所述发射器具体用于：

通过所述第一制式网络的第二网络设备将所述接入密钥发送至所述第二制式网络的网络设备。
根据权利要求35-40任一项所述的设备，其特征在于，所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成设备，其特征在于，所述密钥生成设备位于第二制式网络，所述密钥生成设备包括：接收器、处理器、总线和存储器；所述总线用于连接所述接收器、所述处理器和所述存储器，所述处理器用于执行所述存储器中存储的程序；

所述接收器，用于接收第一制式网络的第一网络设备发送的接入密钥；其中，所述接入密钥为所述第一制式网络的第一网络设备根据所述第二制式网络的类型标识、所述第一制式网络的密钥和所述第一制式网络的非接入层NAS序列号所确定的；

处理器，用于根据所述接入密钥生成所述第二制式网络的接入层AS密钥。
根据权利要求42所述的设备，其特征在于，所述接收器还用于：

接收所述第一制式网络的第一网络设备发送的UE的能力信息，所述UE的能力信息包括所述UE在所述第二制式网络中的能力；

所述处理器具体用于：

根据所述UE的能力信息确定密码算法；

根据所述密码算法和所述接入密钥生成所述第二制式网络的AS密钥。
根据权利要求42或者43所述的设备，其特征在于，所述接收器具体用于：

接收所述第一制式网络的第一网络设备通过所述第一制式网络的第二网络设备发送的接入密钥。
根据权利要求42至44任一项所述的设备，其特征在于，

所述第一制式网络为长期演进LTE网络，所述第二制式网络为全球移动通信系统GSM网络、通用移动通信系统UMTS网络、通用分组无线服务技术GPRS网络和无线保真WiFi网络中的至少一种。
一种密钥生成系统，其特征在于，所述系统包括：

权利要求16-19任一所述的密钥生成设备；

权利要求20-26任一所述的密钥生成设备。
根据权利要求46所述的网络，其特征在于，所述密钥生成系统还包括:

权利要求27-29任一所述的密钥生成设备。