WO2019095748A1

WO2019095748A1 - 通信管理方法、装置、系统、终端、管理实体及存储介质

Info

Publication number: WO2019095748A1
Application number: PCT/CN2018/099855
Authority: WO
Inventors: 谢振华; 李振东
Original assignee: 中兴通讯股份有限公司
Priority date: 2017-11-16
Filing date: 2018-08-10
Publication date: 2019-05-23
Also published as: CN109803256A

Abstract

本公开实施例提供一种通信管理方法、装置、系统、终端、管理实体及存储介质，终端在接入第一制式网络后，获取第一安全信息，在成功接入第二制式网络后，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信；即终端在进行不同制式网络切换之后，将根据切换前网络的安全信息生成切换后网络的安全信息，并使用切换后网络的安全信息进行后续安全通信。

Description

通信管理方法、装置、系统、终端、管理实体及存储介质

相关申请的交叉引用

本申请基于申请号为201711139319.2、申请日为2017年11月16日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本公开涉及通信领域但不限于通信领域，尤其涉及一种通信管理方法、装置、系统、终端、管理实体及存储介质。

背景技术

在用户使用手机进行通信时，通常会出现网络切换的场景，例如从4G(the 4 Generation mobile communication technology，第四代移动通信技术)网络切换到5G(5-Generation，第五代移动通信技术)网络等。

3GPP(3rd Generation Partnership Project，第三代合作伙伴计划)针对终端从4G到5G的切换场景，在切换完成后，终端UE和5G网络的AMF(Access Management Function，接入管理实体)是基于4G的安全信息进行安全通信，不满足5G网络要求的终端需要使用5G的安全信息进行安全通信的要求。即，在相关技术中，终端进行不同制式网络切换之后，仍然使用切换前网络的安全信息进行后续安全通信，不满足网络通信安全要求。

发明内容

本公开实施例提供了一种通信管理方法、装置、系统、终端、管理实体及存储介质。

本公开实施例提供一种终端通信管理方法，包括：

终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；

终端接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本公开实施例还提供一种终端通信管理方法，包括：

第二管理实体接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码；

接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

获取第二安全信息，使用第二安全信息进行安全通信；

向终端发送成功响应。

本公开实施例还提供一种终端通信管理方法，包括：

终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

第二管理实体接收来自终端的接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码；

第一管理实体接收终端验证请求，并根据安全校验码对终端进行验证，在验证通过时，向第二管理实体发送通过响应；

第二管理实体接收第一管理实体发送的通过响应，获取第二安全信息，使用第二安全信息进行安全通信，向终端发送成功消息；

终端接收第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本公开实施例还提供一种终端通信管理装置，设置于终端内，终端通信管理装置包括：

接入模块，配置为接入第一制式网络，与第一管理实体建立通信，获取第一安全信息，在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

接收模块，配置为接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块，配置为根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本公开实施例还提供一种终端，其包括：处理器、存储器及通信总线，其中，

通信总线配置为实现处理器和存储器之间的连接通信；

处理器配置为执行存储器中存储的一个或者多个程序，以实现本公开实施例提供的终端通信管理方法。

本公开实施例还提供一种终端通信管理装置，其设置于第二管理实体，终端通信管理装置包括：

接收模块，配置为接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

验证模块，配置为根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码；接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块，配置为获取第二安全信息，使用第二安全信息进行安全通信；向终端发送成功响应。

本公开实施例还提供一种管理实体，包括：处理器、存储器及通信总线，其中，

通信总线用于实现处理器和存储器之间的连接通信；

本公开实施例还提供一种终端通信管理系统，其包括终端、设置在第一制式网络中的第一管理实体，设置在第二制式网络中的第二管理实体，其中，

终端配置为接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

第二管理实体配置为接收来自终端的接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码；

第一管理实体配置为接收终端验证请求，并根据安全校验码对终端进行验证，在验证通过时，向第二管理实体发送通过响应；

第二管理实体配置为接收第一管理实体发送的通过响应，获取第二安全信息，使用第二安全信息进行安全通信，向终端发送成功消息；

终端配置为接收第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本公开实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个程序，一个或者多个程序可被一个或者多个处理器执行，以实现本公开实施例提供的终端通信管理方法。

本公开根据本公开实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质，终端在接入第一制式网络后，获取第一安全信息，在成功接入第二制式网络后，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信；即终端在进行不同制式网络切换之后，将根据切换前网络的安全信息生成切换后网络的安全信息，并使用切换后网络的安全信息进行后续安全通信，满足了网络通信安全要求。

附图说明

图1为本公开实施例提供的终端通信管理方法的流程图；

图2为本公开实施例提供的终端通信管理方法在终端侧的流程图；

图3为本公开实施例提供的终端通信管理方法在管理实体侧的流程图；

图4为本公开实施例提供的终端的示意图；

图5为本公开实施例提供的设置在终端的终端通信管理装置的示意图；

图6为本公开实施例提供的管理实体的示意图；

图7为本公开实施例提供的设置在管理实体的终端通信管理装置的示意图；

图8为本公开实施例提供的终端从4G切换到5G时的流程图；

图9为本公开实施例提供的终端从4G切换到5G时的第一种流程图；

图10为本公开实施例提供的终端从4G切换到5G时的第二种流程图；

图11为本公开实施例提供的终端从4G切换到5G时的第三种流程图；

图12为本公开实施例提供的终端从4G切换到5G时的第四种流程图；

图13为本公开实施例提供的终端从5G切换到4G时的第一种流程图；

图14为本公开实施例提供的终端从5G切换到4G时的第二种流程图；

图15为本公开实施例提供的终端从5G切换到4G时的第三种流程图；

图16为本公开实施例提供的终端从5G切换到4G时的第四种流程图。

具体实施方式

为了使本公开的技术方案更加清楚明白，下面通过具体实施方式结合附图对本公开实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本公开的技术方案，并不用于限定本公开的技术方案。

在本公开实施例中，第一制式网络和第二制式网络是指两种制式不同的网络，例如4G和5G就是两种制式不同的网络，第一管理实体是指第一制式网络中的用于对终端用户进行管理的实体设备，而第一安全信息则是指终端在第一制式网络进行消息和数据等加解密处理等安全通信所使用的信息，对应的，第二管理实体是指第二制式网络中的用于对终端用户进行管理的实体设备，而第二安全信息则是指终端在第二制式网络进行消息和数据等加解密处理等安全通信所使用的信息。

在本公开实施例中，安全信息至少包括加解密密钥和密钥修正参数，密钥修正参数是指对加解密密钥进行修正的参数。所述密钥修正参数可包括：加解密密钥多长时间修改一次，或者使用几次之后修改一次，以及如何修改的指示信息中的一种或多种。在实际应用中，可以通过计时器等实现加解密密钥多长时间修改一次，或者使用几次之后修改一次的控制，可以使用修改函数，例如散列函数等实现加解密密钥的修改。

请参见图1，本实施例提供的终端通信管理方法包括：

S101：终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码。

在本公开实施例中，终端先接入第一制式网络，然后在重启、用户手动选择网络、自动进行小区切换等场景下，接入第二制式网络。

在本公开实施例中，终端首先在第一小区接入第一制式网络，与第一管理实体建立通信，完成身份验证，然后第一管理实体生成第一安全信息，发送至终端，终端基于第一安全信息，在第一制式网络中进行安全通信。然后终端因为移动或者信号强度变化，进行小区重选，根据基站发送的系统广播，判断新小区(第二小区)的网络制式是否和第一小区相同，若相同，则没有发生网络制式的切换，向第二小区的基站发送常规的接入请求，接入第二小区，并继续使用第一安全信息进行通信，若不同，则发生网络制式的切换，通过第二小区的基站向第二制式网络发送接入请求。

S102：第二管理实体接收来自终端的接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码。

S103：第一管理实体接收终端验证请求，并根据安全校验码对终端进行验证，在验证通过时，向第二管理实体发送通过响应。

本步骤包括：第一管理实体提取终端验证请求携带的第一通信标识和接入请求；查找第一通信标识对应的第一安全信息；根据第一安全信息和接入请求，生成验证校验码；提取接入请求携带的安全校验码；比对验证校验码和安全校验码；若比对通过，则终端验证通过，向第二管理实体发送通过响应；若比对未通过，则终端验证未通过，向第二管理实体发送未通过响应。

S104：第二管理实体接收第一管理实体发送的通过响应，获取第二安全信息，使用第二安全信息进行安全通信，向终端发送成功消息。

S105：终端接收第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

在一些实施例中，本方法还包括：第一管理实体向第二管理实体发送未通过响应，第二管理实体接收第一管理实体发送的未通过响应后，向终端发送失败消息，拒绝终端接入。

如图2所示，本实施例在终端侧的体现包括：

S201：终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；

S202：终端接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

在一些实施例中，本步骤包括：终端根据在第一制式网络的第一通信标识，生成在第二制式网络中的第二通信标识；构建携带第二通信标识的接入请求；根据接入请求和第一安全信息，生成安全校验码；将安全校验码添加至接入请求；发送接入请求至第二管理实体。

S203：接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

S204：根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

在一些实施例中，本步骤包括：根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥包括：调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数可以是相等函数或者散列函数，以散列函数为例，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥包括：当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

在一些实施例中，散列函数可以是HMAC-SHA-256函数，该函数的输入包括密钥和散列参数，锚点密钥和节点密钥可以基于这个函数进行转换，例如，当锚点密钥为{123456}这个字符串时，经过HMAC-SHA-256函数的计算，输出字符串{284369}，然后将这个字符串{284369}作为节点密钥即可。

如图3所示，本实施例在管理实体侧的体现包括：

S301：第二管理实体接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

S302：根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码；

在一些实施例中，本步骤包括：提取接入请求携带的终端在第二制式网络中的第二通信标识；根据在第二通信标识，生成终端在第一制式网络中的第一通信标识；构建携带第一通信标识和接入请求的终端验证请求；发送终端验证请求至第一管理实体。

S303：接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

S304：获取第二安全信息，使用第二安全信息进行安全通信；

在一些实施例中，本步骤包括：直接提取通过响应携带的第二安全信息，第二安全信息为第一管理实体根据第一安全信息生成的；或者，提取通过响应携带的第一安全信息，根据第一安全信息生成第二安全信息。

在一些实施例中，根据第一安全信息生成第二安全信息包括：根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，转换函数为散列函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥包括：当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

S305：向终端发送成功响应。

如图4所示，本实施例提供的终端包括：处理器41、存储器42及通信总线43。

通信总线43配置为实现处理器41和存储器42之间的连接通信；

处理器41配置为执行存储器42中存储的一个或者多个程序，以实现以下步骤：

接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；

在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

在一些实施例中，处理器41配置为执行存储器42中存储的一个或者多个程序，以实现以下步骤：

根据在第一制式网络的第一通信标识，生成在第二制式网络中的第二通信标识；构建携带第二通信标识的接入请求；根据接入请求和第一安全信息，生成安全校验码；将安全校验码添加至接入请求；发送接入请求至第二管理实体。

根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；

根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数可以是相等函数或者散列函数，以散列函数为例，处理器41配置为执行存储器42中存储的一个或者多个程序，以实现以下步骤：

当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

如图5所示，本实施例提供的设置在终端的终端通信管理装置5包括：

接入模块51，配置为接入第一制式网络，与第一管理实体建立通信，获取第一安全信息，在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

接收模块52，配置为接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块53，配置为根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

在一些实施例中，接入模块51配置为根据在第一制式网络的第一通信标识，生成在第二制式网络中的第二通信标识；构建携带第二通信标识的接入请求；根据接入请求和第一安全信息，生成安全校验码；将安全校验码添加至接入请求；发送接入请求至第二管理实体。

在一些实施例中，通信模块53配置为根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，通信模块53配置为调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数可以是相等函数或者散列函数，以散列函数为例，通信模块53配置为当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

如图6所示，本实施例提供的管理实体包括：处理器61、存储器62及通信总线63，其中，

通信总线63配置为实现处理器61和存储器62之间的连接通信；

处理器61配置为执行存储器62中存储的一个或者多个程序，以实现以下步骤：

接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

获取第二安全信息，使用第二安全信息进行安全通信；

向终端发送成功响应。

在一些实施例中，处理器61配置为执行存储器62中存储的一个或者多个程序，以实现以下步骤：

提取接入请求携带的终端在第二制式网络中的第二通信标识；根据在第二通信标识，生成终端在第一制式网络中的第一通信标识；构建携带第一通信标识和接入请求的终端验证请求；发送终端验证请求至第一管理实体。

直接提取通过响应携带的第二安全信息，第二安全信息为第一管理实体根据第一安全信息生成的；或者，提取通过响应携带的第一安全信息，根据第一安全信息生成第二安全信息。

根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，转换函数为散列函数，处理器61配置为执行存储器62中存储的一个或者多个程序，以实现以下步骤：

如图7所示，本实施例提供的设置在管理实体的终端通信管理装置7包括：

接收模块71，配置为接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

验证模块72，配置为根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码；接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块73，配置为获取第二安全信息，使用第二安全信息进行安全通信；向终端发送成功响应。

在一些实施例中，验证模块72配置为提取接入请求携带的终端在第二制式网络中的第二通信标识；根据在第二通信标识，生成终端在第一制式网络中的第一通信标识；构建携带第一通信标识和接入请求的终端验证请求；发送终端验证请求至第一管理实体。

在一些实施例中，通信模块73配置为根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，通信模块73配置为直接提取通过响应携带的第二安全信息，第二安全信息为第一管理实体根据第一安全信息生成的；或者，提取通过响应携带的第一安全信息，根据第一安全信息生成第二安全信息。

在一些实施例中，通信模块73配置为调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，通信模块73配置为当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

在一些实施例中，本实施例还提供一种终端通信管理系统，包括终端、设置在第一制式网络中的第一管理实体，设置在第二制式网络中的第二管理实体，终端配置为接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带有终端根据第一安全信息和接入请求生成的安全校验码；

第二管理实体配置为接收来自终端的接入请求，根据接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带有安全校验码；

根据本实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质，终端在接入第一制式网络后，获取第一安全信息，在成功接入第二制式网络后，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信；即终端在进行不同制式网络切换之后，将根据切换前网络的安全信息生成切换后网络的安全信息，并使用切换后网络的安全信息进行后续安全通信，满足了网络通信安全要求。

现结合具体的运用场景对本公开实施例的技术方案做进一步的说明。

随着通信技术的发展，4G和5G将作为主流的通信网络，终端将在以下实施例中进行重点描述，可以预见的是，本公开可以运用到任意的不同制式网络的切换场景。

本实施例以终端从4G切换到5G为例。

图8为现有3GPP提供的终端从4G切换到5G的切换流程图，如图8所示，现有切换流程包括：

S801：终端UE在4G网络制式下与4G网络的MME(Mobility Management Entity，移动管理实体)建立了信令连接，而后终端UE由于移动等因素进入空闲状态，释放了无线连接，但UE和4G MME都保留有针对UE的4G上下文，包括4G安全信息，4G标识(4G GUTI)。

S802：终端在5G网络制式下接入网络，向5G AMF发送注册请求。

UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息，使用该跟踪区更新消息和4G安全信息生成的消息验证码4G MAC(Message Authentication Code，消息认证码，带密钥的Hash函数)，跟踪区更新消息包含有4G标识。注册请求携带由4G标识映射而来的5G标识(5G GUTI)，UE构造的跟踪区更新消息，以及消息验证码4G MAC。

S803：5G AMF从注册请求中获取4G跟踪区更新消息和4G MAC，根据4G跟踪区消息中的4G标识获取4G MME信息，然后向4G MME发送上下文请求消息，消息包含4G标识，4G跟踪区更新消息，以及4G MAC。

S804：4G MME从上下文请求消息中获取4G标识，4G跟踪区更新消息和4G MAC，使用4G标识找到针对终端UE的4G安全信息，使用包含的4G跟踪区更新消息和针对终端UE的4G安全信息校验4G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S805：如果4G MME认证终端UE成功，则向5G AMF发送上下文响应，包含针对终端UE的4G上下文信息，包括4G安全信息。

S806：5G AMF向终端UE发送注册响应，使终端UE可接入5G移动网络。

S807：5G AMF和终端UE使用4G安全信息进行安全通信。

在该流程中，UE和5G网络还使用4G的安全信息，而非5G的安全信息对消息和数据进行保护，不满足通信要求，同时，UE在接入5G制式移动网络时还需要构造接入4G制式移动网络时需要的消息，使UE需要额外构造内容，增大了消息长度，降低了网络接入效率。

为了解决图8存在的UE和5G网络还使用4G的安全信息的问题，提供图9或图10所示的实施例。

如图9所示，本实施例提供的切换方法包括：

S901：终端UE在4G网络制式下与4G的MME建立了信令连接，而后终端UE由于移动等因素进入空闲状态，释放了无线连接，但UE和4G MME都保留有针对UE的4G上下文，包括4G安全信息，4G标识(4G GUTI)。

S902：终端在5G网络制式下接入网络，向5G AMF发送注册请求。

UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息，使用该跟踪区更新消息和4G安全信息生成消息验证码4G MAC(Message Authentication Code，消息认证码，带密钥的Hash函数)，跟踪区更新消息包含有4G标识。注册请求携带由4G标识映射而来的5G标识(5G GUTI)，跟踪区更新消息，以及消息验证码4G MAC。

S903：5G AMF根据5G标识生成4G标识，然后向4G MME发送上下文请求消息，消息包含4G标识，完整的注册请求，以及4G MAC。

S904：4G MME从上下文请求消息中获取4G标识，包含的注册请求和4G MAC，使用4G标识找到针对终端UE的安全信息，使用注册请求包含的跟踪区更新消息和查找到的针对终端UE的安全信息重新生成校验码，以校验注册请求包含的4G MAC(下文相同)，如果校验成功则认证终端UE成功，否则认证失败。

S905：如果4G MME认证终端UE成功，则使用针对UE的安全信息生成5G安全信息，比如使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S906：然后4G MME向5G AMF发送上下文响应，包含针对终端UE的上下文信息，包括5G安全信息。

S907：5G AMF向终端UE发送注册成功消息。

S908：UE使用相同派生方法，使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S909：UE和5G移动网络开始使用5G安全信息进行安全通讯。

如图10所示，本实施例提供的切换方法包括：

S1001：终端UE在4G网络制式下与4G的MME建立了信令连接，而后终端UE由于移动等因素进入空闲状态，释放了无线连接，但UE和4G MME都保留有针对UE的4G上下文，包括4G安全信息，4G标识(4G GUTI)。

S1002：终端在5G网络制式下接入网络，向5G AMF发送注册请求。

UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息，使用该跟踪区更新消息和4G安全信息生成消息验证码4G MAC(Message Authentication Code，消息认证码，带密钥的Hash函数)，跟踪区更新消息包含有4G标识。注册请求携带由4G标识映射而来的5G标识(5G GUTI)，跟踪区更新消息，以及4G MAC。

S1003：5G AMF根据5G标识生成4G标识，然后向4G MME发送上下文请求消息，消息包含4G标识，完整的注册请求，以及4G MAC。

S1004：4G MME从上下文请求消息中获取4G标识，包含的注册请求和4G MAC，使用4G标识找到针对终端UE的安全信息，使用注册请求包含的跟踪区更新消息和针对终端UE的安全信息校验注册请求携带的4G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S1005：如果4G MME认证终端UE成功，4G MME向5G AMF发送上下文响应，包含针对终端UE的上下文信息，包括4G安全信息。

S1006：5G AMF使用针对UE的安全信息生成5G安全信息，比如使用上下文响应携带的4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S1007：5G AMF向终端UE发送注册成功消息。

S1008：UE使用相同派生方法，使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S1009：UE和5G移动网络开始使用5G安全信息进行安全通讯。

为了提升终端接入网络的效率，提供图11或图12所示的实施例。

如图11所示，本实施例提供的切换方法包括：

S1101：终端UE在4G网络制式下与4G的MME建立了信令连接，而后终端UE由于移动等因素进入空闲状态，释放了无线连接，但UE和4G MME都保留有针对UE的4G上下文，包括4G安全信息，4G标识(4G GUTI)。此时，所述MME为所述4G网络的管理实体。

S1102：终端在5G网络制式下接入网络，向5G AMF发送注册请求。

终端在5G网络制式下接入网络，向5G AMF发送注册请求，注册请求携带由4G标识映射而来的5G标识(5G GUTI)，以及UE使用该注册请求和4G安全信息生成的消息验证码4G MAC。AMF可为所述5G网络的管理实体，若4G网络为第一制式网络，则所述MME可为所述第一管理实体；若5G网络为第二制式网络，则所述AM可为所述第二管理实体。再例如，若4G网络为第二制式网络，则所述MME可为所述第二管理实体；若5G网络为第一制式网络，则所述AM可为所述第一管理实体。

S1103：5G AMF根据5G标识生成4G标识，然后向4G MME发送上下文请求消息，消息包含4G标识，注册请求，以及4G MAC。

S1104：4G MME从上下文请求消息中获取4G标识，包含的注册请求和4G MAC，使用4G标识找到针对终端UE的安全信息，使用包含的注册请求和针对终端UE的安全信息校验4G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S1105：如果4G MME认证终端UE成功，则使用针对UE的安全信息生成5G安全信息，比如使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S1106：然后4G MME向5G AMF发送上下文响应，包含针对终端UE的上下文信息，包括5G安全信息。

S1107：5G AMF向终端UE发送注册成功消息。

S1108：UE使用相同派生方法，使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S1109：UE和5G移动网络开始使用5G安全信息进行安全通讯。

如图12所示，本实施例提供的切换方法包括：

S1201：终端UE在4G网络制式下与4G的MME建立了信令连接，而后终端UE由于移动等因素进入空闲状态，释放了无线连接，但UE和4G MME都保留有针对UE的4G上下文，包括4G安全信息，4G标识(4G GUTI)。

S1202：终端在5G网络制式下接入网络，向5G AMF发送注册请求。

终端在5G网络制式下接入网络，向5G AMF发送注册请求，注册请求携带由4G标识映射而来的5G标识(5G GUTI)，以及UE使用该注册请求和4G安全信息生成的消息验证码4G MAC。

S1203：5G AMF根据5G标识生成4G标识，然后向4G MME发送上下文请求消息，消息包含4G标识，注册请求，以及4G MAC。

S1204：4G MME从上下文请求消息中获取4G标识，包含的注册请求和4G MAC，使用4G标识找到针对终端UE的安全信息，使用包含的注册请求和针对终端UE的安全信息校验4G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S1205：如果4G MME认证终端UE成功，4G MME向5G AMF发送上下文响应，包含针对终端UE的上下文信息，包括4G安全信息。

S1206：5G AMF使用针对UE的安全信息生成5G安全信息，比如使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S1207：5G AMF向终端UE发送注册成功消息。

S1208：UE使用相同派生方法，使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。

S1209：UE和5G移动网络开始使用5G安全信息进行安全通讯。

本实施例以终端从5G切换到4G为例。

由于现有3GPP没有提供的终端从5G切换到4G的切换流程图，本实施例提供4种具体的从5G切换到4G的切换流程，以解决这个空白。

如图13所示，本实施例提供的切换方法包括：

S1301：终端UE在5G网络制式下与5G AMF建立了信令连接，而后终端UE进入空闲状态，即释放了无线连接，但UE和5G AMF都保留有针对UE的5G上下文，包括5G安全信息，5G标识(5G GUTI)。

S1302：终端在4G网络制式下接入网络，向4G MMF发送跟踪区更新消息。

UE构造在5G网络制式下接入网络时会发送的注册请求，使用该注册请求和5G安全信息生成消息验证码5G MAC。跟踪区更新消息可以为TAU Request消息，携带由5G标识映射而来的4G标识(4G GUTI)，注册请求以及5G MAC。

S1303：4G MME根据4G标识生成5G标识，然后向5G AMF发送上下文请求消息，消息包含5G标识，完整的跟踪区更新消息，以及5G MAC；在其他实施例中，4G MME可在上下文请求消息中直接携带4G标识。

S1304：5G AMF从上下文请求消息中获取4G标识或5G标识，包含的跟踪区更新消息和5G MAC，如果收到的是5G标识，则使用5G标识找到针对终端UE的安全信息，如果收到的是4G标识，则使用收到的4G标识生成5G标识，而后再使用5G标识找到针对终端UE的5G安全信息，5G AMF再使用包含的注册请求和针对终端UE的5G安全信息校验跟踪区更新消息携带的5G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S1305：如果5G AMF认证终端UE成功，则使用针对UE的5G安全信息生成4G安全信息，比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1306：然后5G AMF向4G MME发送上下文响应，包含针对终端UE的上下文信息，包括4G安全信息。

S1307：4G MME向终端UE发送注册成功消息。

S1308：UE使用相同派生方法，使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1309：UE和4G移动网络开始使用4G安全信息进行安全通讯。

如图14所示，本实施例提供的切换方法包括：

S1401：终端UE在5G网络制式下与5G AMF建立了信令连接，而后终端UE进入空闲状态，即释放了无线连接，但UE和5G AMF都保留有针对UE的5G上下文，包括5G安全信息，5G标识(5G GUTI)。

S1402：终端在4G网络制式下接入网络，向4G MMF发送跟踪区更新消息。

S1403：4G MME根据4G标识生成5G标识，然后向5G AMF发送上下文请求消息，消息包含5G标识，完整的跟踪区更新消息，以及5G MAC；在其他实施例中，4G MME可在上下文请求消息中直接携带4G标识。

S1404：5G AMF从上下文请求消息中获取4G标识或5G标识，包含的跟踪区更新消息和5G MAC，如果收到的是5G标识，则使用5G标识找到针对终端UE的安全信息，如果收到的是4G标识，则使用收到的4G标识生成5G标识，而后再使用5G标识找到针对终端UE的安全信息，5G AMF再使用包含的注册请求和针对终端UE的5G安全信息校验跟踪区更新消息携带的5G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S1405：如果5G AMF认证终端UE成功，5G AMF向4G MME发送上下文响应，包含针对终端UE的上下文信息，包括5G安全信息。

S1406：4G MME使用针对UE的5G安全信息生成4G安全信息，比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1407：4G MME向终端UE发送注册成功消息。

S1408：UE使用相同派生方法，使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1409：UE和4G移动网络开始使用4G安全信息进行安全通讯。

如图15所示，本实施例提供的切换方法包括：

S1501：终端UE在5G网络制式下与5G AMF建立了信令连接，而后终端UE进入空闲状态，即释放了无线连接，但UE和5G AMF都保留有针对UE的5G上下文，包括5G安全信息，5G标识(5G GUTI)。

S1502：终端在4G网络制式下接入网络，向4G MMF发送跟踪区更新消息。

UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息，可以为TAU Request消息，根据跟踪区更新消息和5G安全信息生成消息验证码5G MAC，跟踪区更新消息携带由5G标识映射而来的4G标识(4G GUTI)，以及5G MAC。

S1503：4G MME根据4G标识生成5G标识，然后向5G AMF发送上下文请求消息，消息包含5G标识，跟踪区更新消息，以及5G MAC；在其他实施例中，4G MME可在上下文请求消息中直接携带4G标识。

S1504：5G AMF从上下文请求消息中获取4G标识或5G标识，包含的跟踪区更新消息和5G MAC，如果收到的是5G标识，则使用5G标识找到针对终端UE的安全信息，如果收到的是4G标识，则使用收到的4G标识生成5G标识，而后再使用5G标识找到针对终端UE的安全信息，5G AMF再使用包含的跟踪区更新消息和针对终端UE的5G安全信息校验跟踪区更新消息携带的5G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S1505：如果5G AMF认证终端UE成功，则使用针对UE的5G安全信息生成4G安全信息，比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1506：然后5G AMF向4G MME发送上下文响应，包含针对终端UE的上下文信息，包括4G安全信息。

S1507：4G MME向终端UE发送注册成功消息。

S1508：UE使用相同派生方法，使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1509：UE和4G移动网络开始使用4G安全信息进行安全通讯。

如图16所示，本实施例提供的切换方法包括：

S1601：终端UE在5G网络制式下与5G AMF建立了信令连接，而后终端UE进入空闲状态，即释放了无线连接，但UE和5G AMF都保留有针对UE的5G上下文，包括5G安全信息，5G标识(5G GUTI)。

S1602：终端在4G网络制式下接入网络，向4G MMF发送跟踪区更新消息。

S1603：4G MME根据4G标识生成5G标识，然后向5G AMF发送上下文请求消息，消息包含5G标识，跟踪区更新消息，以及5G MAC；在其他实施例中，4G MME可在上下文请求消息中直接携带4G标识。

S1604：5G AMF从上下文请求消息中获取4G标识或5G标识，包含的跟踪区更新消息和5G MAC，如果收到的是5G标识，则使用5G标识找到针对终端UE的安全信息，如果收到的是4G标识，则使用收到的4G标识生成5G标识，而后再使用5G标识找到针对终端UE的安全信息，5G AMF再使用包含的跟踪区更新消息和针对终端UE的5G安全信息校验跟踪区更新消息携带的5G MAC，如果校验成功则认证终端UE成功，否则认证失败。

S1605：如果5G AMF认证终端UE成功，5G AMF向发送上下文响应，包含针对终端UE的上下文信息，包括5G安全信息。

S1606：4G MME使用针对UE的5G安全信息生成4G安全信息，比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1607：4G MME向终端UE发送注册成功消息。

S1608：UE使用相同派生方法，使用5G安全信息中的节点密钥Kamf 作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。

S1609：UE和4G移动网络开始使用4G安全信息进行安全通讯。

值得注意的是：所述第一制式网络和所述第二制式网络不局限于4G网络和5G网络，还可以是3G网络和4G网络。在另一些实施例中，所述第一制式网络和第二制式网络还可以是5G以后发展出的通信网络。

本公开实施例例还提供了一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个程序，一个或者多个程序被执行，以实现本公开所有实施例所提供的方法。

该计算机可读存储介质为非瞬间存储介质。

综上可知，通过本公开实施例的实施，至少存在以下有益效果：

根据本公开实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质，终端在接入第一制式网络后，获取第一安全信息，在成功接入第二制式网络后，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信；即终端在进行不同制式网络切换之后，将根据切换前网络的安全信息生成切换后网络的安全信息，并使用切换后网络的安全信息进行后续安全通信，满足了网络通信安全要求。

显然，本领域的技术人员应该明白，上述本公开实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在计算机存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以，本公开不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本公开实施例所作的进一步详细说明，不能认定本公开的具体实施只局限于这些说明。对于本公开所属技术领域的普通技术人员来说，在不脱离本公开构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本公开的保护范围。

Claims

一种终端通信管理方法，包括：

终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；

所述终端接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码；

接收所述第二管理实体发送的成功响应；所述成功响应为所述第二管理实体基于所述接入请求向所述第一管理实体发送终端验证请求，并在所述第一管理实体根据所述终端验证请求对终端验证通过时发送的；

根据第一安全信息生成第二安全信息，使用所述第二安全信息进行安全通信。
如权利要求1所述的终端通信管理方法，其中，所述根据第一安全信息生成第二安全信息包括：

根据所述第一安全信息中的加解密密钥，生成所述第二安全信息中的加解密密钥；

根据所述第一安全信息中的密钥修正参数，生成所述第二安全信息中的密钥修正参数。
如权利要求2所述的终端通信管理方法，其中，所述根据所述第一安全信息中的加解密密钥，生成所述第二安全信息中的加解密密钥包括：

调用预设的转换函数；

将所述第一安全信息中的加解密密钥，作为所述转换函数的输入参数，将所述转换函数的输出结果，作为所述第二安全信息中的加解密密钥；

使用所述转换函数，根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥。
如权利要求3所述的终端通信管理方法，其中，所述转换函数为散列函数，所述根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥包括：

当所述第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将所述第一安全信息中的锚点密钥作为所述散列函数的输入，派生出所述第二安全信息中的节点密钥；

当所述第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将所述第一安全信息中的节点密钥作为所述散列函数的输入，派生出所述第二安全信息中的锚点密钥。
如权利要求1至4任一项所述的终端通信管理方法，其中，所述根据所述第一安全信息向第二管理实体发送第二制式网络的接入请求包括：

终端根据在所述第一制式网络的第一通信标识，生成在所述第二制式网络中的第二通信标识；

构建携带所述第二通信标识的接入请求；

对所述接入请求和所述第一安全信息进行安全校验，生成安全校验码；

将所述安全校验码添加至所述接入请求；

发送所述接入请求至所述第二管理实体。
一种终端通信管理方法，包括：

第二管理实体接收来自终端的接入请求；所述接入请求为所述终端在从第一制式网络接入第二制式网络时发送的，携带所述终端根据第一安全信息和所述接入请求生成的安全校验码，所述第一安全信息为所述终端在与所述第一制式网络中的第一管理实体建立通信后获取的；

根据所述接入请求，确定所述终端对应的第一管理实体，向所述第一管理实体发送终端验证请求；所述终端验证请求携带所述安全校验码；

接收所述第一管理实体发送的通过响应；所述通过响应为所述第一管理实体根据所述终端验证请求对终端验证通过时发送的；

获取第二安全信息，使用所述第二安全信息进行安全通信；

向所述终端发送成功响应。
如权利要求6所述的终端通信管理方法，其中，所述获取第二安全信息的方式包括：

直接提取所述通过响应携带的第二安全信息，所述第二安全信息为所述第一管理实体根据第一安全信息生成的；

或者，

提取所述通过响应携带的第一安全信息，根据所述第一安全信息生成所述第二安全信息。
如权利要求7所述的终端通信管理方法，其中，所述根据第一安全信息生成第二安全信息包括：

根据所述第一安全信息中的加解密密钥，生成所述第二安全信息中的加解密密钥；

根据所述第一安全信息中的密钥修正参数，生成所述第二安全信息中的密钥修正参数。
如权利要求8所述的终端通信管理方法，其中，所述根据所述第一安全信息中的加解密密钥，生成所述第二安全信息中的加解密密钥包括：

调用预设的转换函数；

将所述第一安全信息中的加解密密钥，作为所述转换函数的输入参数，将所述转换函数的输出结果，作为所述第二安全信息中的加解密密钥；

使用所述转换函数，根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥。
如权利要求9所述的终端通信管理方法，其中，所述转换函数为散列函数，所述根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥包括：

当所述第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将所述第一安全信息中的锚点密钥作为所述散列函数的输入，派生出所述第二安全信息中的节点密钥；

当所述第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将所述第一安全信息中的节点密钥作为所述散列函数的输入，派生出所述第二安全信息中的锚点密钥。
如权利要求6至10任一项所述的终端通信管理方法，其中，所述根据所述接入请求，确定所述终端对应的第一管理实体，向所述第一管理实体发送终端验证请求包括：

提取所述接入请求携带的终端在第二制式网络中的第二通信标识；

根据在所述第二通信标识，生成所述终端在第一制式网络中的第一通信标识；

构建携带所述第一通信标识和所述接入请求的终端验证请求；

发送所述终端验证请求至所述第一管理实体。
一种终端通信管理方法，包括：

终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码；

所述第二管理实体接收来自所述终端的接入请求，根据所述接入请求，确定所述终端对应的第一管理实体，向所述第一管理实体发送终端验证请求；所述终端验证请求携带所述安全校验码；

所述第一管理实体接收所述终端验证请求，并根据所述安全校验码对所述终端进行验证，在验证通过时，向所述第二管理实体发送通过响应；

所述第二管理实体接收所述第一管理实体发送的通过响应，获取第二安全信息，使用所述第二安全信息进行安全通信，向所述终端发送成功消息；

所述终端接收所述第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用所述第二安全信息进行安全通信。
如权利要求12所述的终端通信管理方法，其中，所述第一管理实体对所述终端进行验证包括：

所述第一管理实体提取所述终端验证请求携带的第一通信标识和接入请求；

查找所述第一通信标识对应的第一安全信息；

根据所述第一安全信息和接入请求，生成验证校验码；

提取所述接入请求携带的安全校验码；

比对所述验证校验码和所述安全校验码；

若比对通过，则终端验证通过。
一种终端通信管理装置，设置于终端内，所述终端通信管理装置包括：

接入模块，配置为接入第一制式网络，与第一管理实体建立通信，获取第一安全信息，在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码；

接收模块，配置为接收所述第二管理实体发送的成功响应；所述成功响应为所述第二管理实体基于所述接入请求向所述第一管理实体发送终端验证请求，并在所述第一管理实体根据所述终端验证请求对终端验证通过时发送的；

通信模块，配置为根据第一安全信息生成第二安全信息，使用所述第二安全信息进行安全通信。
一种终端，包括：处理器、存储器及通信总线，其中，

所述通信总线配置为于实现所述处理器和所述存储器之间的连接通信；

所述处理器配置为执行所述存储器中存储的一个或者多个程序，以实现如权利要求1至5任一项所述的终端通信管理方法。
一种终端通信管理装置，设置于第二管理实体，所述终端通信管理装置包括：

接收模块，配置为接收来自终端的接入请求；所述接入请求为所述终端在从第一制式网络接入第二制式网络时发送的，携带所述终端根据第一安全信息和所述接入请求生成的安全校验码，所述第一安全信息为所述终端在与所述第一制式网络中的第一管理实体建立通信后获取的；

验证模块，配置为根据所述接入请求，确定所述终端对应的第一管理实体，向所述第一管理实体发送终端验证请求；所述终端验证请求携带所述安全校验码；接收所述第一管理实体发送的通过响应；所述通过响应为所述第一管理实体根据所述终端验证请求对终端验证通过时发送的；

通信模块，配置为获取第二安全信息，使用所述第二安全信息进行安全通信；向所述终端发送成功响应。
一种管理实体，其中，包括：处理器、存储器及通信总线，其中，

所述通信总线配置为实现所述处理器和所述存储器之间的连接通信；

所述处理器配置为执行所述存储器中存储的一个或者多个程序，以实现如权利要求6至11任一项所述的终端通信管理方法。
一种终端通信管理系统，其中，包括终端、设置在第一制式网络中的第一管理实体，设置在第二制式网络中的第二管理实体，其中，

所述终端配置为接入第一制式网络，与所述第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码；

所述第二管理实体配置为接收来自所述终端的接入请求，根据所述接入请求，根据所述接入请求，确定所述终端对应的第一管理实体，向所述第一管理实体发送终端验证请求；所述终端验证请求携带所述安全校验码；

所述第一管理实体配置为接收所述终端验证请求，并根据所述安全校验码对所述终端进行验证，在验证通过时，向所述第二管理实体发送通过响应；

所述第二管理实体配置为接收所述第一管理实体发送的通过响应，获取第二安全信息，使用所述第二安全信息进行安全通信，向所述终端发送成功消息；

所述终端配置为接收所述第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用所述第二安全信息进行安全通信。
一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至5、6至11或12至13任一项所述的终端通信管理方法。