通信管理方法、装置、系统、终端、管理实体及存储介质与流程

本发明涉及通信领域，尤其涉及一种通信管理方法、装置、系统、终端、管理实体及存储介质。

背景技术：

在用户使用手机进行通信时，通常会出现网络切换的场景，例如从4g(the4generationmobilecommunicationtechnology，第四代移动通信技术)网络切换到5g(5-generation，第五代移动通信技术)网络等。

3gpp(3rdgenerationpartnershipproject，第三代合作伙伴计划)针对终端从4g到5g的切换场景，提供了如图8所示的切换流程，由图8可知，在切换完成后，终端ue和5g网络的amf(authenticationmanagementfunction，接入管理实体)是基于4g的安全信息进行安全通信，不满足5g网络要求的终端需要使用5g的安全信息进行安全通信的要求。即，在现有技术中，终端进行不同制式网络切换之后，仍然使用切换前网络的安全信息进行后续安全通信，不满足网络通信安全要求。

技术实现要素：

本发明实施例提供了一种通信管理方法、装置、系统、终端、管理实体及存储介质，以解决现有技术中终端进行不同制式网络切换之后，仍然使用切换前网络的安全信息进行后续安全通信，不满足网络通信安全要求的问题。

为实现上述目的，本发明实施例提供一种终端通信管理方法，其包括：

终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；

终端接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本发明实施例还提供一种终端通信管理方法，其包括：

第二管理实体接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；

接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

获取第二安全信息，使用第二安全信息进行安全通信；

向终端发送成功响应。

本发明实施例还提供一种终端通信管理方法，其包括：

终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

第二管理实体接收来自终端的接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；

第一管理实体接收终端验证请求，并根据安全校验码对终端进行验证，在验证通过时，向第二管理实体发送通过响应；

第二管理实体接收第一管理实体发送的通过响应，获取第二安全信息，使用第二安全信息进行安全通信，向终端发送成功消息；

终端接收第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本发明实施例还提供一种终端通信管理装置，其设置于终端内，终端通信管理装置包括：

接入模块，用于接入第一制式网络，与第一管理实体建立通信，获取第一安全信息，在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

接收模块，用于接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块，用于根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本发明实施例还提供一种终端，其包括：处理器、存储器及通信总线，其中，

通信总线用于实现处理器和存储器之间的连接通信；

处理器用于执行存储器中存储的一个或者多个程序，以实现本发明实施例提供的终端通信管理方法的步骤。

本发明实施例还提供一种终端通信管理装置，其设置于第二管理实体，终端通信管理装置包括：

接收模块，用于接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

验证模块，用于根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块，用于获取第二安全信息，使用第二安全信息进行安全通信；向终端发送成功响应。

本发明实施例还提供一种管理实体，其包括：处理器、存储器及通信总线，其中，

通信总线用于实现处理器和存储器之间的连接通信；

处理器用于执行存储器中存储的一个或者多个程序，以实现本发明实施例提供的终端通信管理方法的步骤。

本发明实施例还提供一种终端通信管理系统，其包括终端、设置在第一制式网络中的第一管理实体，设置在第二制式网络中的第二管理实体，其中，

终端用于接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

第二管理实体用于接收来自终端的接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；

第一管理实体用于接收终端验证请求，并根据安全校验码对终端进行验证，在验证通过时，向第二管理实体发送通过响应；

第二管理实体用于接收第一管理实体发送的通过响应，获取第二安全信息，使用第二安全信息进行安全通信，向终端发送成功消息；

终端用于接收第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

本发明实施例还提供一种计算机可读存储介质，其特征在于，计算机可读存储介质存储有一个或者多个程序，一个或者多个程序可被一个或者多个处理器执行，以实现本发明实施例提供的终端通信管理方法的步骤。

本发明的有益效果是：

根据本发明实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质，终端在接入第一制式网络后，获取第一安全信息，在成功接入第二制式网络后，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信；即终端在进行不同制式网络切换之后，将根据切换前网络的安全信息生成切换后网络的安全信息，并使用切换后网络的安全信息进行后续安全通信，满足了网络通信安全要求。

本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明，且应当理解，至少部分有益效果从本发明说明书中的记载变的显而易见。

附图说明

图1为本发明实施例一提供的终端通信管理方法的流程图；

图2为本发明实施例一提供的终端通信管理方法在终端侧的流程图；

图3为本发明实施例一提供的终端通信管理方法在管理实体侧的流程图；

图4为本发明实施例一提供的终端的示意图；

图5为本发明实施例一提供的设置在终端的终端通信管理装置的示意图；

图6为本发明实施例一提供的管理系统的示意图；

图7为本发明实施例一提供的设置在管理实体的终端通信管理装置的示意图；

图8为现有终端从4g切换到5g时的流程图；

图9为本发明实施例二提供的终端从4g切换到5g时的第一种流程图；

图10为本发明实施例二提供的终端从4g切换到5g时的第二种流程图；

图11为本发明实施例二提供的终端从4g切换到5g时的第三种流程图；

图12为本发明实施例二提供的终端从4g切换到5g时的第四种流程图；

图13为本发明实施例三提供的终端从5g切换到4g时的第一种流程图；

图14为本发明实施例三提供的终端从5g切换到4g时的第二种流程图；

图15为本发明实施例三提供的终端从5g切换到4g时的第三种流程图；

图16为本发明实施例三提供的终端从5g切换到4g时的第四种流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明中，第一制式网络和第二制式网络是指两种制式不同的网络，例如4g和5g就是两种制式不同的网络，第一管理实体是指第一制式网络中的用于对终端用户进行管理的实体设备，而第一安全信息则是指终端在第一制式网络进行消息和数据等加解密处理等安全通信所使用的信息，对应的，第二管理实体是指第二制式网络中的用于对终端用户进行管理的实体设备，而第二安全信息则是指终端在第二制式网络进行消息和数据等加解密处理等安全通信所使用的信息。

在本发明中，安全信息至少包括加解密密钥和密钥修正参数，密钥修正参数是指对加解密密钥进行修正的参数，包括：加解密密钥多长时间修改一次，或者使用几次之后修改一次，以及如何修改。在实际应用中，可以通过计时器等实现加解密密钥多长时间修改一次，或者使用几次之后修改一次的控制，可以使用修改函数，例如散列函数等实现加解密密钥的修改。

实施例一：

为了解决现有技术中终端进行不同制式网络切换之后，仍然使用切换前网络的安全信息进行后续安全通信，不满足网络通信安全要求的问题，提供本实施例，请参见图1，本实施例提供的终端通信管理方法包括以下步骤：

s101：终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码。

在本发明中，终端先接入第一制式网络，然后在重启、用户手动选择网络、自动进行小区切换等场景下，接入第二制式网络。

在本发明中，终端首先在第一小区接入第一制式网络，与第一管理实体建立通信，完成身份验证，然后第一管理实体生成第一安全信息，发送至终端，终端基于第一安全信息，在第一制式网络中进行安全通信。然后终端因为移动或者信号强度变化，进行小区重选，根据基站发送的系统广播，判断新小区(第二小区)的网络制式是否和第一小区相同，若相同，则没有发生网络制式的切换，向第二小区的基站发送常规的接入请求，接入第二小区，并继续使用第一安全信息进行通信，若不同，则发生网络制式的切换，通过第二小区的基站向第二制式网络发送接入请求。

s102：第二管理实体接收来自终端的接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码。

s103：第一管理实体接收终端验证请求，并根据安全校验码对终端进行验证，在验证通过时，向第二管理实体发送通过响应。

本步骤包括：第一管理实体提取终端验证请求携带的第一通信标识和接入请求；查找第一通信标识对应的第一安全信息；根据第一安全信息和接入请求，生成验证校验码；提取接入请求携带的安全校验码；比对验证校验码和安全校验码；若比对通过，则终端验证通过，若比对未通过，则终端验证未通过，向第二管理实体发送未通过响应。

s104：第二管理实体接收第一管理实体发送的通过响应，获取第二安全信息，使用第二安全信息进行安全通信，向终端发送成功消息。

s105：终端接收第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

在一些实施例中，本方法还包括：第一管理实体向第二管理实体发送未通过响应，第二管理实体接收第一管理实体发送的未通过响应后，向终端发送失败消息，拒绝终端接入。

具体的，如图2所示，本实施例在终端侧的体现包括以下步骤：

s201：终端接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；

s202：终端接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

在一些实施例中，本步骤包括：终端根据在第一制式网络的第一通信标识，生成在第二制式网络中的第二通信标识；构建携带第二通信标识的接入请求；根据接入请求和第一安全信息，生成安全校验码；将安全校验码添加至接入请求；发送接入请求至第二管理实体。

s203：接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

s204：根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

在一些实施例中，本步骤包括：根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥包括：调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数可以是相等函数或者散列函数，以散列函数为例，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥包括：当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

在一些实施例中，散列函数可以是hmac-sha-256函数，该函数的输入包括密钥和散列参数，锚点密钥和节点密钥可以基于这个函数进行转换，例如，当锚点密钥为{123456}这个字符串时，经过hmac-sha-256函数的计算，输出字符串{284369}，然后将这个字符串{284369}作为节点密钥即可。

具体的，如图3所示，本实施例在管理实体侧的体现包括以下步骤：

s301：第二管理实体接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

s302：根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；

在一些实施例中，本步骤包括：提取接入请求携带的终端在第二制式网络中的第二通信标识；根据在第二通信标识，生成终端在第一制式网络中的第一通信标识；构建携带第一通信标识和接入请求的终端验证请求；发送终端验证请求至第一管理实体。

s303：接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

s304：获取第二安全信息，使用第二安全信息进行安全通信；

在一些实施例中，本步骤包括：直接提取通过响应携带的第二安全信息，第二安全信息为第一管理实体根据第一安全信息生成的；或者，提取通过响应携带的第一安全信息，根据第一安全信息生成第二安全信息。

在一些实施例中，根据第一安全信息生成第二安全信息包括：根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥包括：调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数为散列函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥包括：当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

s305：向终端发送成功响应。

具体的，如图4所示，本实施例提供的终端包括：处理器41、存储器42及通信总线43，其中，

通信总线43用于实现处理器41和存储器42之间的连接通信；

处理器41用于执行存储器42中存储的一个或者多个程序，以实现以下步骤：

接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；

在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

在一些实施例中，处理器41用于执行存储器42中存储的一个或者多个程序，以实现以下步骤：

根据在第一制式网络的第一通信标识，生成在第二制式网络中的第二通信标识；构建携带第二通信标识的接入请求；根据接入请求和第一安全信息，生成安全校验码；将安全校验码添加至接入请求；发送接入请求至第二管理实体。

在一些实施例中，处理器41用于执行存储器42中存储的一个或者多个程序，以实现以下步骤：

根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；

根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，处理器41用于执行存储器42中存储的一个或者多个程序，以实现以下步骤：

调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数可以是相等函数或者散列函数，以散列函数为例，处理器41用于执行存储器42中存储的一个或者多个程序，以实现以下步骤：

当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

如图5所示，本实施例提供的设置在终端的终端通信管理装置5包括：

接入模块51，用于接入第一制式网络，与第一管理实体建立通信，获取第一安全信息，在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

接收模块52，用于接收第二管理实体发送的成功响应；成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求，并在第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块53，用于根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

在一些实施例中，接入模块51用于：根据在第一制式网络的第一通信标识，生成在第二制式网络中的第二通信标识；构建携带第二通信标识的接入请求；根据接入请求和第一安全信息，生成安全校验码；将安全校验码添加至接入请求；发送接入请求至第二管理实体。

在一些实施例中，通信模块53用于：根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，通信模块53用于：调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数可以是相等函数或者散列函数，以散列函数为例，通信模块53用于：当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

具体的，如图6所示，本实施例提供的管理实体包括：处理器61、存储器62及通信总线63，其中，

通信总线63用于实现处理器61和存储器62之间的连接通信；

处理器61用于执行存储器62中存储的一个或者多个程序，以实现以下步骤：

接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；

接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

获取第二安全信息，使用第二安全信息进行安全通信；

向终端发送成功响应。

在一些实施例中，处理器61用于执行存储器62中存储的一个或者多个程序，以实现以下步骤：

提取接入请求携带的终端在第二制式网络中的第二通信标识；根据在第二通信标识，生成终端在第一制式网络中的第一通信标识；构建携带第一通信标识和接入请求的终端验证请求；发送终端验证请求至第一管理实体。

在一些实施例中，处理器61用于执行存储器62中存储的一个或者多个程序，以实现以下步骤：

直接提取通过响应携带的第二安全信息，第二安全信息为第一管理实体根据第一安全信息生成的；或者，提取通过响应携带的第一安全信息，根据第一安全信息生成第二安全信息。

在一些实施例中，处理器61用于执行存储器62中存储的一个或者多个程序，以实现以下步骤：

根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，处理器61用于执行存储器62中存储的一个或者多个程序，以实现以下步骤：

调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，转换函数为散列函数，处理器61用于执行存储器62中存储的一个或者多个程序，以实现以下步骤：

当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

如图7所示，本实施例提供的设置在管理实体的终端通信管理装置7包括：

接收模块71，用于接收来自终端的接入请求；接入请求为终端在从第一制式网络接入第二制式网络时发送的，携带终端根据第一安全信息和接入请求生成的安全校验码，第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的；

验证模块72，用于根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；接收第一管理实体发送的通过响应；通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的；

通信模块73，用于获取第二安全信息，使用第二安全信息进行安全通信；向终端发送成功响应。

在一些实施例中，验证模块72用于：提取接入请求携带的终端在第二制式网络中的第二通信标识；根据在第二通信标识，生成终端在第一制式网络中的第一通信标识；构建携带第一通信标识和接入请求的终端验证请求；发送终端验证请求至第一管理实体。

在一些实施例中，通信模块73用于：根据第一安全信息中的加解密密钥，生成第二安全信息中的加解密密钥；根据第一安全信息中的密钥修正参数，生成第二安全信息中的密钥修正参数。

在一些实施例中，通信模块73用于：直接提取通过响应携带的第二安全信息，第二安全信息为第一管理实体根据第一安全信息生成的；或者，提取通过响应携带的第一安全信息，根据第一安全信息生成第二安全信息。

在一些实施例中，通信模块73用于：调用预设的转换函数；将第一安全信息中的加解密密钥，作为转换函数的输入参数，将转换函数的输出结果，作为第二安全信息中的加解密密钥；使用转换函数，根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。

在一些实施例中，通信模块73用于：当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时，将第一安全信息中的锚点密钥作为散列函数的输入，派生出第二安全信息中的节点密钥；当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时，将第一安全信息中的节点密钥作为散列函数的输入，派生出第二安全信息中的锚点密钥。

在一些实施例中，本实施例还提供一种终端通信管理系统，其包括终端、设置在第一制式网络中的第一管理实体，设置在第二制式网络中的第二管理实体，其中，

终端用于接入第一制式网络，与第一管理实体建立通信，获取第一安全信息；在接入第二制式网络时，向第二管理实体发送第二制式网络的接入请求；接入请求携带终端根据第一安全信息和接入请求生成的安全校验码；

第二管理实体用于接收来自终端的接入请求，根据接入请求，根据接入请求，确定终端对应的第一管理实体，向第一管理实体发送终端验证请求；终端验证请求携带安全校验码；

第一管理实体用于接收终端验证请求，并根据安全校验码对终端进行验证，在验证通过时，向第二管理实体发送通过响应；

第二管理实体用于接收第一管理实体发送的通过响应，获取第二安全信息，使用第二安全信息进行安全通信，向终端发送成功消息；

终端用于接收第二管理实体发送的成功消息，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信。

根据本实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质，终端在接入第一制式网络后，获取第一安全信息，在成功接入第二制式网络后，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信；即终端在进行不同制式网络切换之后，将根据切换前网络的安全信息生成切换后网络的安全信息，并使用切换后网络的安全信息进行后续安全通信，满足了网络通信安全要求。

现结合具体的运用场景对本发明做进一步的说明。

随着通信技术的发展，4g和5g将作为主流的通信网络，终端将在以下实施例中进行重点描述，可以预见的是，本发明可以运用到任意的不同制式网络的切换场景。

实施例二：

本实施例以终端从4g切换到5g为例。

图8为现有3gpp提供的终端从4g切换到5g的切换流程图，如图8所示，现有切换流程包括以下步骤：

s801：终端ue在4g网络制式下与4g网络的mme(mobilitymanagemententity，移动管理实体)建立了信令连接，而后终端ue由于移动等因素进入空闲状态，释放了无线连接，但ue和4gmme都保留有针对ue的4g上下文，包括4g安全信息，4g标识(4gguti)。

s802：终端在5g网络制式下接入网络，向5gamf发送注册请求。

ue构造在4g网络制式下接入网络时会发送的跟踪区更新消息，使用该跟踪区更新消息和4g安全信息生成的消息验证码4gmac(messageauthenticationcode，消息认证码，带密钥的hash函数)，跟踪区更新消息包含有4g标识。注册请求携带由4g标识映射而来的5g标识(5gguti)，ue构造的跟踪区更新消息，以及消息验证码4gmac。

s803：5gamf从注册请求中获取4g跟踪区更新消息和4gmac，根据4g跟踪区消息中的4g标识获取4gmme信息，然后向4gmme发送上下文请求消息，消息包含4g标识，4g跟踪区更新消息，以及4gmac。

s804：4gmme从上下文请求消息中获取4g标识，4g跟踪区更新消息和4gmac，使用4g标识找到针对终端ue的4g安全信息，使用包含的4g跟踪区更新消息和针对终端ue的4g安全信息校验4gmac，如果校验成功则认证终端ue成功，否则认证失败。

s805：如果4gmme认证终端ue成功，则向5gamf发送上下文响应，包含针对终端ue的4g上下文信息，包括4g安全信息。

s806：5gamf向终端ue发送注册响应，使终端ue可接入5g移动网络。

s807：5gamf和终端ue使用4g安全信息进行安全通信。

在该流程中，ue和5g网络还使用4g的安全信息，而非5g的安全信息对消息和数据进行保护，不满足通信要求，同时，ue在接入5g制式移动网络时还需要构造接入4g制式移动网络时需要的消息，使ue需要额外构造内容，增大了消息长度，降低了网络接入效率。

为了解决图8存在的ue和5g网络还使用4g的安全信息的问题，提供图9或图10所示的实施例。

如图9所示，本实施例提供的切换方法包括以下步骤：

s901：终端ue在4g网络制式下与4g的mme建立了信令连接，而后终端ue由于移动等因素进入空闲状态，释放了无线连接，但ue和4gmme都保留有针对ue的4g上下文，包括4g安全信息，4g标识(4gguti)。

s902：终端在5g网络制式下接入网络，向5gamf发送注册请求。

ue构造在4g网络制式下接入网络时会发送的跟踪区更新消息，使用该跟踪区更新消息和4g安全信息生成消息验证码4gmac(messageauthenticationcode，消息认证码，带密钥的hash函数)，跟踪区更新消息包含有4g标识。注册请求携带由4g标识映射而来的5g标识(5gguti)，跟踪区更新消息，以及消息验证码4gmac。

s903：5gamf根据5g标识生成4g标识，然后向4gmme发送上下文请求消息，消息包含4g标识，完整的注册请求，以及4gmac。

s904：4gmme从上下文请求消息中获取4g标识，包含的注册请求和4gmac，使用4g标识找到针对终端ue的安全信息，使用注册请求包含的跟踪区更新消息和查找到的针对终端ue的安全信息重新生成校验码，以校验注册请求包含的4gmac(下文相同)，如果校验成功则认证终端ue成功，否则认证失败。

s905：如果4gmme认证终端ue成功，则使用针对ue的安全信息生成5g安全信息，比如使用4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s906：然后4gmme向5gamf发送上下文响应，包含针对终端ue的上下文信息，包括5g安全信息。

s907：5gamf向终端ue发送注册成功消息。

s908：ue使用相同派生方法，使用4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s909：ue和5g移动网络开始使用5g安全信息进行安全通讯。

如图10所示，本实施例提供的切换方法包括以下步骤：

s1001：终端ue在4g网络制式下与4g的mme建立了信令连接，而后终端ue由于移动等因素进入空闲状态，释放了无线连接，但ue和4gmme都保留有针对ue的4g上下文，包括4g安全信息，4g标识(4gguti)。

s1002：终端在5g网络制式下接入网络，向5gamf发送注册请求。

ue构造在4g网络制式下接入网络时会发送的跟踪区更新消息，使用该跟踪区更新消息和4g安全信息生成消息验证码4gmac(messageauthenticationcode，消息认证码，带密钥的hash函数)，跟踪区更新消息包含有4g标识。注册请求携带由4g标识映射而来的5g标识(5gguti)，跟踪区更新消息，以及4gmac。

s1003：5gamf根据5g标识生成4g标识，然后向4gmme发送上下文请求消息，消息包含4g标识，完整的注册请求，以及4gmac。

s1004：4gmme从上下文请求消息中获取4g标识，包含的注册请求和4gmac，使用4g标识找到针对终端ue的安全信息，使用注册请求包含的跟踪区更新消息和针对终端ue的安全信息校验注册请求携带的4gmac，如果校验成功则认证终端ue成功，否则认证失败。

s1005：如果4gmme认证终端ue成功，4gmme向5gamf发送上下文响应，包含针对终端ue的上下文信息，包括4g安全信息。

s1006：5gamf使用针对ue的安全信息生成5g安全信息，比如使用上下文响应携带的4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s1007：5gamf向终端ue发送注册成功消息。

s1008：ue使用相同派生方法，使用4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s1009：ue和5g移动网络开始使用5g安全信息进行安全通讯。

为了解决图8存在的接入效率低的问题，提供图11或图12所示的实施例。

如图11所示，本实施例提供的切换方法包括以下步骤：

s1101：终端ue在4g网络制式下与4g的mme建立了信令连接，而后终端ue由于移动等因素进入空闲状态，释放了无线连接，但ue和4gmme都保留有针对ue的4g上下文，包括4g安全信息，4g标识(4gguti)。

s1102：终端在5g网络制式下接入网络，向5gamf发送注册请求。

终端在5g网络制式下接入网络，向5gamf发送注册请求，注册请求携带由4g标识映射而来的5g标识(5gguti)，以及ue使用该注册请求和4g安全信息生成的消息验证码4gmac。

s1103：5gamf根据5g标识生成4g标识，然后向4gmme发送上下文请求消息，消息包含4g标识，注册请求，以及4gmac。

s1104：4gmme从上下文请求消息中获取4g标识，包含的注册请求和4gmac，使用4g标识找到针对终端ue的安全信息，使用包含的注册请求和针对终端ue的安全信息校验4gmac，如果校验成功则认证终端ue成功，否则认证失败。

s1105：如果4gmme认证终端ue成功，则使用针对ue的安全信息生成5g安全信息，比如使用4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s1106：然后4gmme向5gamf发送上下文响应，包含针对终端ue的上下文信息，包括5g安全信息。

s1107：5gamf向终端ue发送注册成功消息。

s1108：ue使用相同派生方法，使用4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s1109：ue和5g移动网络开始使用5g安全信息进行安全通讯。

如图12所示，本实施例提供的切换方法包括以下步骤：

s1201：终端ue在4g网络制式下与4g的mme建立了信令连接，而后终端ue由于移动等因素进入空闲状态，释放了无线连接，但ue和4gmme都保留有针对ue的4g上下文，包括4g安全信息，4g标识(4gguti)。

s1202：终端在5g网络制式下接入网络，向5gamf发送注册请求。

终端在5g网络制式下接入网络，向5gamf发送注册请求，注册请求携带由4g标识映射而来的5g标识(5gguti)，以及ue使用该注册请求和4g安全信息生成的消息验证码4gmac。

s1203：5gamf根据5g标识生成4g标识，然后向4gmme发送上下文请求消息，消息包含4g标识，注册请求，以及4gmac。

s1204：4gmme从上下文请求消息中获取4g标识，包含的注册请求和4gmac，使用4g标识找到针对终端ue的安全信息，使用包含的注册请求和针对终端ue的安全信息校验4gmac，如果校验成功则认证终端ue成功，否则认证失败。

s1205：如果4gmme认证终端ue成功，4gmme向5gamf发送上下文响应，包含针对终端ue的上下文信息，包括4g安全信息。

s1206：5gamf使用针对ue的安全信息生成5g安全信息，比如使用4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s1207：5gamf向终端ue发送注册成功消息。

s1208：ue使用相同派生方法，使用4g安全信息中的锚点密钥kasme作为hmac-sha-256函数的输入派生出5gamf使用的节点密钥kamf。

s1209：ue和5g移动网络开始使用5g安全信息进行安全通讯。

实施例三：

本实施例以终端从5g切换到4g为例。

由于现有3gpp没有提供的终端从5g切换到4g的切换流程图，本实施例提供4种具体的从5g切换到4g的切换流程，以解决这个空白。

如图13所示，本实施例提供的切换方法包括以下步骤：

s1301：终端ue在5g网络制式下与5gamf建立了信令连接，而后终端ue进入空闲状态，即释放了无线连接，但ue和5gamf都保留有针对ue的5g上下文，包括5g安全信息，5g标识(5gguti)。

s1302：终端在4g网络制式下接入网络，向4gmmf发送跟踪区更新消息。

ue构造在5g网络制式下接入网络时会发送的注册请求，使用该注册请求和5g安全信息生成消息验证码5gmac。跟踪区更新消息可以为taurequest消息，携带由5g标识映射而来的4g标识(4gguti)，注册请求以及5gmac。

s1303：4gmme根据4g标识生成5g标识，然后向5gamf发送上下文请求消息，消息包含5g标识，完整的跟踪区更新消息，以及5gmac；在其他实施例中，4gmme可在上下文请求消息中直接携带4g标识。

s1304：5gamf从上下文请求消息中获取4g标识或5g标识，包含的跟踪区更新消息和5gmac，如果收到的是5g标识，则使用5g标识找到针对终端ue的安全信息，如果收到的是4g标识，则使用收到的4g标识生成5g标识，而后再使用5g标识找到针对终端ue的5g安全信息，5gamf再使用包含的注册请求和针对终端ue的5g安全信息校验跟踪区更新消息携带的5gmac，如果校验成功则认证终端ue成功，否则认证失败。

s1305：如果5gamf认证终端ue成功，则使用针对ue的5g安全信息生成4g安全信息，比如使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1306：然后5gamf向4gmme发送上下文响应，包含针对终端ue的上下文信息，包括4g安全信息。

s1307：4gmme向终端ue发送注册成功消息。

s1308：ue使用相同派生方法，使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1309：ue和4g移动网络开始使用4g安全信息进行安全通讯。

如图14所示，本实施例提供的切换方法包括以下步骤：

s1401：终端ue在5g网络制式下与5gamf建立了信令连接，而后终端ue进入空闲状态，即释放了无线连接，但ue和5gamf都保留有针对ue的5g上下文，包括5g安全信息，5g标识(5gguti)。

s1402：终端在4g网络制式下接入网络，向4gmmf发送跟踪区更新消息。

ue构造在5g网络制式下接入网络时会发送的注册请求，使用该注册请求和5g安全信息生成消息验证码5gmac。跟踪区更新消息可以为taurequest消息，携带由5g标识映射而来的4g标识(4gguti)，注册请求以及5gmac。

s1403：4gmme根据4g标识生成5g标识，然后向5gamf发送上下文请求消息，消息包含5g标识，完整的跟踪区更新消息，以及5gmac；在其他实施例中，4gmme可在上下文请求消息中直接携带4g标识。

s1404：5gamf从上下文请求消息中获取4g标识或5g标识，包含的跟踪区更新消息和5gmac，如果收到的是5g标识，则使用5g标识找到针对终端ue的安全信息，如果收到的是4g标识，则使用收到的4g标识生成5g标识，而后再使用5g标识找到针对终端ue的安全信息，5gamf再使用包含的注册请求和针对终端ue的5g安全信息校验跟踪区更新消息携带的5gmac，如果校验成功则认证终端ue成功，否则认证失败。

s1405：如果5gamf认证终端ue成功，5gamf向4gmme发送上下文响应，包含针对终端ue的上下文信息，包括5g安全信息。

s1406：4gmme使用针对ue的5g安全信息生成4g安全信息，比如使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1407：4gmme向终端ue发送注册成功消息。

s1408：ue使用相同派生方法，使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1409：ue和4g移动网络开始使用4g安全信息进行安全通讯。

如图15所示，本实施例提供的切换方法包括以下步骤：

s1501：终端ue在5g网络制式下与5gamf建立了信令连接，而后终端ue进入空闲状态，即释放了无线连接，但ue和5gamf都保留有针对ue的5g上下文，包括5g安全信息，5g标识(5gguti)。

s1502：终端在4g网络制式下接入网络，向4gmmf发送跟踪区更新消息。

ue构造在4g网络制式下接入网络时会发送的跟踪区更新消息，可以为taurequest消息，根据跟踪区更新消息和5g安全信息生成消息验证码5gmac，跟踪区更新消息携带由5g标识映射而来的4g标识(4gguti)，以及5gmac。

s1503：4gmme根据4g标识生成5g标识，然后向5gamf发送上下文请求消息，消息包含5g标识，跟踪区更新消息，以及5gmac；在其他实施例中，4gmme可在上下文请求消息中直接携带4g标识。

s1504：5gamf从上下文请求消息中获取4g标识或5g标识，包含的跟踪区更新消息和5gmac，如果收到的是5g标识，则使用5g标识找到针对终端ue的安全信息，如果收到的是4g标识，则使用收到的4g标识生成5g标识，而后再使用5g标识找到针对终端ue的安全信息，5gamf再使用包含的跟踪区更新消息和针对终端ue的5g安全信息校验跟踪区更新消息携带的5gmac，如果校验成功则认证终端ue成功，否则认证失败。

s1505：如果5gamf认证终端ue成功，则使用针对ue的5g安全信息生成4g安全信息，比如使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1506：然后5gamf向4gmme发送上下文响应，包含针对终端ue的上下文信息，包括4g安全信息。

s1507：4gmme向终端ue发送注册成功消息。

s1508：ue使用相同派生方法，使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1509：ue和4g移动网络开始使用4g安全信息进行安全通讯。

如图16所示，本实施例提供的切换方法包括以下步骤：

s1601：终端ue在5g网络制式下与5gamf建立了信令连接，而后终端ue进入空闲状态，即释放了无线连接，但ue和5gamf都保留有针对ue的5g上下文，包括5g安全信息，5g标识(5gguti)。

s1602：终端在4g网络制式下接入网络，向4gmmf发送跟踪区更新消息。

ue构造在4g网络制式下接入网络时会发送的跟踪区更新消息，可以为taurequest消息，根据跟踪区更新消息和5g安全信息生成消息验证码5gmac，跟踪区更新消息携带由5g标识映射而来的4g标识(4gguti)，以及5gmac。

s1603：4gmme根据4g标识生成5g标识，然后向5gamf发送上下文请求消息，消息包含5g标识，跟踪区更新消息，以及5gmac；在其他实施例中，4gmme可在上下文请求消息中直接携带4g标识。

s1604：5gamf从上下文请求消息中获取4g标识或5g标识，包含的跟踪区更新消息和5gmac，如果收到的是5g标识，则使用5g标识找到针对终端ue的安全信息，如果收到的是4g标识，则使用收到的4g标识生成5g标识，而后再使用5g标识找到针对终端ue的安全信息，5gamf再使用包含的跟踪区更新消息和针对终端ue的5g安全信息校验跟踪区更新消息携带的5gmac，如果校验成功则认证终端ue成功，否则认证失败。

s1605：如果5gamf认证终端ue成功，5gamf向发送上下文响应，包含针对终端ue的上下文信息，包括5g安全信息。

s1606：4gmme使用针对ue的5g安全信息生成4g安全信息，比如使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1607：4gmme向终端ue发送注册成功消息。

s1608：ue使用相同派生方法，使用5g安全信息中的节点密钥kamf作为hmac-sha-256函数的输入派生出4gmme使用的锚点密钥kasme。

s1609：ue和4g移动网络开始使用4g安全信息进行安全通讯。

本发明还提供了一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个程序，一个或者多个程序被执行，以实现本发明所有实施例所提供的方法的步骤。

综上可知，通过本发明实施例的实施，至少存在以下有益效果：

根据本发明实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质，终端在接入第一制式网络后，获取第一安全信息，在成功接入第二制式网络后，根据第一安全信息生成第二安全信息，使用第二安全信息进行安全通信；即终端在进行不同制式网络切换之后，将根据切换前网络的安全信息生成切换后网络的安全信息，并使用切换后网络的安全信息进行后续安全通信，满足了网络通信安全要求。

显然，本领域的技术人员应该明白，上述本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在计算机存储介质(rom/ram、磁碟、光盘)中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以，本发明不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。