[发明专利]安全实现方法、相关装置以及系统

说明书

本申请公开了安全实现方法、相关装置和系统，该方法包括：第一网元接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求；第一网元获得安全密钥；所述安全密钥用于，在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后，对所述用户设备与所述目标接入网设备之间的通信进行保护；第一网元向所述目标接入网设备发送所述安全密钥。

技术领域

本申请涉及通信技术领域，尤其涉及安全实现方法、相关装置以及系统。

背景技术

现如今，用户设备(如手机)已经被广泛地应用，极大的方便了人们的生活。用户设备可以直接与基站建立通信连接，从而进行通信，利用网络提供的数据传输服务为用户呈现丰富的通信体验。在一些应用场景中，如果用户设备从一个基站小区移动到当前基站小区，需要将用户设备的网络连接从原基站切换到当前基站，才能继续保持通信。

未来移动通信架构(例如第5代通信系统5G)同样要求网络满足用户设备的切换需求。目前，在现有的移动通信3GPP标准中，SA2架构组已经提出了5G网络的大致架构，在该架构中，核心网的接入与管理网元AMF通常会部署在离基站较近的位置，所以当用户设备跨基站切换通信时，也可能会造成跨AMF切换。

然而，目前的通信安全实现方法(可扩展的身份验证协议EAP方法)并不适用5G网络中跨AMF切换的安全保护，因此，如何建立基于未来的移动通信架构的安全机制，成为目前亟待解决的问题。

发明内容

本发明实施例提供了安全实现方法、相关装置以及系统，可实现跨AMF切换场景中的安全保护，提高未来的移动通信架构的安全性，满足用户需求。

第一方面，本发明实施例公开了一种安全实现方法，该方法包括：第一网元接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求；所述第一网元获得安全密钥；所述安全密钥用于，在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后，对所述用户设备与所述目标网络之间的通信进行保护，所述目标网络包括所述目标接入网设备和目标核心网设备，所述目标核心网设备包括所述第一网元；所述第一网元向所述目标接入网设备发送所述安全密钥。

其中，第二网元连接所述源接入网设备，第二网元和源接入网设备属于源侧的网络设备；第一网元连接目标接入网设备，第一网元和目标接入网设备属于目标侧的网络设备。

在具体实现中，所述第二网元可以是源AMF、源SEAF、源SMF等网络设备，第一网元为对应的目标AMF、目标SEAF、目标SMF等网络设备。

其中，所述请求可能携带有源侧的安全上下文，所述源侧安全上下文例如可以包括密钥的生存周期、密钥的索引、UE的安全能力、完整性算法、完整性算法标识、加密算法、加密算法标识、与计算密钥相关的计数值中的一项或多项，所述请求例如可以为切换请求、路径切换请求等等。

在本发明实施例中，所述第一网元获得安全密钥，包括：所述第一网元获取第一中间密钥；所述第一中间密钥为认证后生成的上层的密钥，用于推衍下层的接入层AS和非接入层NAS密钥；所述第一网元确定安全保护算法，基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥。

所述安全密钥可包括接入层AS密钥和非接入层NAS密钥，AS密钥用于对用户设备与接入网设备之间的通信进行保护，NAS密钥用于对用户设备与核心网设备(如AMF/SEAF/SMF等等)之间的通信进行保护。

其中，第一网元获取第一中间密钥的方式可以是多种多样的：

具体实施例中，第一网元获取第二网元基于第二中间密钥、网络参数推衍出的所述第一中间密钥；其中，第二中间密钥为认证后生成的上层的密钥，用于推衍下层的接入层和非接入层密钥，例如，第二中间密钥为原先已存在于第二网元的密钥Kamf，该密钥Kamf在通过认证时由第二网元所获取。