CN113543126B

CN113543126B - 密钥获取方法及装置

Info

Publication number: CN113543126B
Application number: CN202010246665.6A
Authority: CN
Inventors: 李飞; 何承东
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-03-31
Filing date: 2020-03-31
Publication date: 2023-02-28
Anticipated expiration: 2040-03-31
Also published as: CN113543126A

Abstract

本申请公开了一种密钥获取方法和装置，其中方法包括：用户设备UE生成密钥标识KID，其中，所述KID包括归属网络标识,路由信息和输出结果；以及所述UE向应用功能网元AF发送应用会话建立请求，其中，所述应用会话建立请求中包括所述KID。本申请实施例公开了生成KID的方法，以便根据KID寻址到对应的网元，使得AF获取到密钥信息，并根据获取到的密钥信息完成与用户设备建立应用会话，提升建立应用会话的效率。

Description

密钥获取方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种密钥获取方法及装置。

背景技术

在应用的认证和密钥管理(Authentication and Key Management forApplications,AKMA)的密钥架构中，用户设备(User Equipment,UE)和网络侧各自生成各个密钥。在网络侧，在UE完成主认证之后，认证服务器功能(Authentication SeverFunction,AUSF)可根据主认证过程中生成的AUSF密钥K_AUSF生成AKMA密钥K_AKMA，K_AKMA是perUE粒度的密钥(即每个UE有其专有的K_AKMA)。AUSF将生成的K_AKMA传递给AKMA锚点功能(AKMAAnchor Function,AAnF)。AAnF再根据K_AKMA为一个应用功能(Application Function，AF)生成应用密钥K_AF。K_AF是一个per UE、per application粒度的密钥(即一个UE在访问一个AF时使用专有的K_AF)。在UE侧，在认证过程中，UE采用与网络侧相同的参数和算法生成K_AUSF。认证成功之后，UE可根据K_AUSF，采用与网络侧相同的参数和算法生成K_AKMA，并根据K_AKMA，采用与网络侧相同的参数和算法生成K_AF。然后UE侧与网络侧基于K_AF进行UE与AF之间的流量保护。

在这个过程中，每个K_AKMA由一个唯一密钥标识K_AKMA ID(在该发明中称为KID)来标识。当UE访问AF时，UE向AF发送KID，用于指示UE使用的K_AKMA。AF接收到KID之后，向AAnF发送该KID，AAnF从正确的AUSF中获取KID对应的K_AKMA，以便使用K_AKMA生成K_AF，并将K_AF发送给AF。这样就保证了UE和AF使用相同的K_AF，即该K_AF是由KID标识的K_AKMA生成的，从而完成了UE和AF之间的密钥协商，完成UE和AF的会话建立的过程。现有技术中缺乏关于如何寻址到正确的AUSF的方法，造成上述UE和AF之间的密钥协商过程效率低下。

发明内容

本申请实施例提供了一种密钥获取方法及装置，以使得AF正确寻址到网元，并从网元中获取密钥，提升AF与UE建立应用会话的效率。

第一方面，提供了一种密钥获取方法，包括：

用户设备UE生成密钥标识KID，其中，所述KID包括输出结果；以及

所述UE向应用功能网元AF发送应用会话建立请求，其中，所述应用会话建立请求中包括所述KID。

在本申请实施例中，UE生成的KID中包括归属网络标识，路由信息和输出结果，其中归属网络标识用于寻址目标AAnF，路由信息用于寻址目标UDM，输出结果用于UDM匹配到目标AUSF，并从目标AUSF中获取到UE对应的K_AKMA，该过程解决了如何寻址到正确的AUSF的方法，提升了UE和AF之间密钥协商的效率。

在一种可能的设计中，所述输出结果为对用户永久标识符SUPI加密后的密文。

在一种可能的设计中，所述输出结果为对通用公共用户标识符GPSI加密后的密文。

在一种可能的设计中，所述输出结果为GPSI。

在一种可能的设计中，所述KID还包括服务网络标识SNID。

在一种可能的设计中，所述KID还包括保护方案标识和归属网络公钥标识。

在一种可能的设计中，所述KID还包括归属网络标识。

在一种可能的设计中，所述KID还包括路由信息。

在一种可能的设计中，所述KID还包括AKMA以及3gppnetwork.org的业务标识。

在一种可能的设计中，所述方法还包括：

所述UE接收来自AF的应用会话建立响应消息。

第二方面，提供了一种密钥获取方法，包括：

AF接收UE发送的会话建立请求，所述会话建立请求中包括KID，所述KID包括归属网络标识,路由信息和输出结果；

所述AF根据所述KID获取所述KID对应的K_AF。

在一种可能的设计中，所述AF根据所述KID获取所述KID对应的AF密钥K_AF包括：

所述AF向目标AAnF发送第一密钥请求，第一密钥请求包括KID，目标AAnF是根据归属网络标识确定的；

所述目标AAnF根据KID中的路由信息寻址目标统一数据管理UDM，并向目标UDM发送第一请求消息，第一请求消息中包括KID；

所述目标UDM根据第一请求消息获取目标AUSF的地址或标识，并反馈给目标AAnF；

所述目标AAnF向目标AUSF发送第二密钥请求，第二密钥请求中包括UE标识；

所述目标AAnF从目标AUSF中获取UE标识对应的K_AKMA；

所述目标AAnF根据获取到的KAKMA生成K_AF并反馈给AF。

在一种可能的设计中，所述输出结果为GPSI。

在一种可能的设计中，所述KID还包括服务网络标识SNID。

在一种可能的设计中，所述第二密钥请求中包括所述输出结果和所述KID中的所述SNID。

在一种可能的设计中，所述方法还包括：

所述AF在获取到K_AF之后，生成应用会话建立响应消息并向所述UE发送。

第三方面，提供一种终端设备，包括处理模块和发送模块，其中：

所述处理模块，用于生成密钥标识KID，其中，所述KID包括归属网络标识,路由信息和输出结果；

所述发送模块，用于向应用功能网元AF发送应用会话建立请求，其中，所述应用会话建立请求中包括所述KID。

可选的，所述终端设备还用于执行上述第一方面任一种可能的实现方法。

第四方面，提供一种应用功能网元，包括接收模块和处理模块，其中：

所述接收模块，用于接收UE发送的会话建立请求，所述会话建立请求中包括KID，所述KID包括归属网络标识,路由信息和输出结果；

所述处理模块，用于根据所述KID获取所述KID对应的K_AF。

可选的，所述应用功能网元还用于执行上述第二方面任一种可能的实现方法。

第五方面，本申请实施例提供一种通信装置，该装置具有实现上述第一方面或第一方面的任一种可能的实现方式中终端的功能、或具有实现上述第二方面或第二方面的任一种可能的实现方式中应用功能网元的功能。

该装置可以为终端，也可以为终端中包括的芯片。上述通信装备的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，所述硬件或软件包括一个或多个与上述功能相对应的模块。

该装置可以为网络设备，也可以为网络设备中包含的芯片。上述通信装备的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现，所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置的结构中包括处理模块和收发模块，其中，处理模块被配置为支持该装置执行上述第一方面或第一方面的任一种可能的实现方式中的方法，或者执行上述第二方面或第二方面的任一种可能的实现方式中的方法。

在另一种可能的设计中，该装置的结构中包括处理器，还可以包括存储器。处理器与存储器耦合，可用于执行存储器中存储的计算机程序指令，以使装置执行上述第一方面、或第一方面的任一种可能的实现方式中的方法，或者执行上述第二方面或第二方面的任一种可能的实现方式中的方法。可选地，该装置还包括通信接口，处理器与通信接口耦合。当装置为网络设备时，该通信接口可以是收发器或输入/输出接口；当该装置为网络设备中包含的芯片时，该通信接口可以是芯片的输入/输出接口。可选地，收发器可以为收发电路，输入/输出接口可以是输入/输出电路。

第六方面，本申请实施例提供一种芯片系统，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得该芯片系统实现上述第一方面或第一方面的任一种可能的实现方式中的方法，或者执行上述第二方面或第二方面的任一种可能的实现方式中的方法。

可选地，该芯片系统还包括接口电路，该接口电路用于交互代码指令至所述处理器。

可选地，该芯片系统中的处理器可以为一个或多个，该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

第七方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序或指令，当该计算机程序或指令被执行时，使得计算机执行上述第一方面或第一方面的任一种可能的实现方式中的方法，或者执行上述第二方面或第二方面的任一种可能的实现方式中的方法。

第八方面，本申请实施例提供一种计算机程序产品，当计算机读取并执行所述计算机程序产品时，使得计算机执行上述第一方面或第一方面的任一种可能的实现方式中的方法，或者执行上述第二方面或第二方面的任一种可能的实现方式中的方法。

第九方面，本申请实施例提供一种通信系统，该通信系统包括上述的一个或多个终端设备或应用功能网元，可选的，该通信系统中还可包括认证服务器功能网元，存储功能网元，其他网元/网络设备和/或终端。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。

图1为本申请实施例提供的一种AKMA的网络架构示意图；

图2为本申请实施例提供的一种AKMA密钥架构图；

图3为本申请实施例提供的一种UE访问AF时的密钥协商示意图；

图4A为本申请实施例提供的一种密钥获取方法流程示意图；

图4B为申请实施例提供的一种SUCI格式示意图；

图4C为申请实施例提供的一种获取K_AF的方法流程图；

图4D为本申请实施例提供的一种服务网络与AUSF的对应关系示意图；

图4E为本申请实施例提供的另一种获取K_AF的方法流程图；

图4F为本申请实施例提供的另一种获取K_AF的方法流程图；

图5为本申请实施例提供的另一种获取K_AKMA的方法流程图；

图6为本申请实施例提供的一种存储信息的方法流程图；

图7为本申请实施例提供的一种获取AF密钥的方法流程图；

图8为本申请实施例提供的一种终端设备示意框图；

图9为本申请实施例提供的一种通信装置示意框图；

图10为本申请实施例中的一种通信装置的硬件结构示意图。

具体实施方式

本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

以下将以图1为例介绍本申请实施例所涉及的术语。

图1为本申请实施例提供的一种AKMA的网络架构示意图，与传统的第五代移动通信技术(5th Generation Mobile Networks，5G)架构相比，其中增加了AKMA锚点功能(AKMAAnchor Function,AAnF)100这个新的网络功能(Network Function,NF)。AAnF既可以是一个独单部署的NF，也可能与其他NF合设。AAnF用于支持AKMA锚点密钥(K_AKMA)，以及生成应用密钥(K_AF)。另外，图1中所涉及的其他各个部分以及本申请实施例将涉及的网络功能如下所示：

终端设备110，也可称为用户设备(User Equipment，UE)、终端等。终端设备是一种具有无线收发功能的设备，可以经(无线)接入网络((Radio)Access Network，(R)AN)120中的接入网设备与一个或多个核心网(Core Network，CN)进行通信。可以部署在陆地上，包括室内或室外、手持、穿戴或车载；也可以部署在水面上，如轮船上等；还可以部署在空中，例如部署在飞机、气球或卫星上等。终端设备可以是手机(Mobile Phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(Virtual Reality，VR)终端设备、增强现实(AugmentedReality，AR)终端设备、工业控制(Industrial Control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端等等。

(无线)接入网络((Radio)Access Network，(R)AN)120，用于为特定区域的授权用户设备提供入网功能，并能够根据用户设备的级别，业务的需求等使用不同质量的传输隧道。如(R)AN可管理无线资源，为用户设备提供接入服务，进而完成控制信息和/或数据信息在用户设备和核心网(Core Network，CN)之间的转发。本申请实施例中的接入网设备是一种为终端设备提供无线通信功能的设备，也可称为网络设备。如该接入网设备可以包括：5G系统中的下一代基站节点(Next Generation Node Basestation，gNB)、长期演进(LongTerm Evolution，LTE)中的演进型节点B(Evolved Node B，eNB)、无线网络控制器(RadioNetwork Controller，RNC)、节点B(node B，NB)、基站控制器(Base Station Controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，Home EvolvedNodeB，或Home Node B，HNB)、基带单元(Base Band Unit，BBU)、传输点(Rransmitting andReceiving Point，TRP)、发射点(Transmitting Point，TP)、小基站设备(pico)、移动交换中心，或者未来网络中的网络设备等。可理解，本申请实施例对接入网设备的具体类型不作限定。在不同无线接入技术的系统中，具备接入网设备功能的设备的名称可能会有所不同。

接入与移动管理功能(Access and Mobility Management Function，AMF)网络功能130，主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(MobilityManagement Entity，MME)功能中除会话管理之外的其它功能，例如，合法监听以及接入授权/鉴权等功能。可理解，以下简称AMF网络功能为AMF。

认证服务器功能(Authentication Sever Function,AUSF)140，用于鉴权服务、产生密钥、实现对用户设备的双向鉴权，支持统一的鉴权框架。在本申请实施例中主要用于在UE和网络之间相互认证，并生成安全密钥以便在后续的流程中使用。

应用功能(Application Function，AF)150，用于进行应用影响的数据路由，接入网络开放功能，与策略框架交互进行策略控制等。

网络开放功能(Network Exposure Function，NEF)160，用于进行网络能力的收集、分析和重组,以及网络能力的开放，AF可以通过NEF接入5G核心网络。

统一数据管理(Unified Data Management，UDM)170网络功能，可用于处理用户设备标识，接入鉴权，注册以及移动性管理等。可理解，以下简称UDM网络功能为UDM。

安全锚点功能(Security Anchor Function,SEAF)网络功能，与UE之间共享密钥K_SEAF，该密钥被用于导出任何其他密钥，例如用于控制平面保护的密钥和用于无线电接口保护的密钥。然后假设SEAF驻留在安全位置，而K_SEAF将决不会离开SEAF。因此每次UE进入空闲然后再次激活时可以通过共享密钥进行接入，从而避免重新认证。SEAF可单独部署，也可以与AMF网络功能130合设。

为方便说明，本申请实施例中以接入和移动性管理功能AMF网络功能130为例进行说明。进一步地，将AMF网络功能130简称为AMF，将终端设备110称为UE，即本申请实施例中后文所描述的AMF均可替换为接入和移动性管理网络功能，UE均可替换为终端设备。

请参阅图2，图2为本申请实施例提供的一种AKMA密钥架构图，如图2所示，UE与网络侧完成主认证，并生成安全密钥以便在后续的流程中使用。主认证还涉及网络侧的AMF/SEAF(在本申请中，使用AMF/SEAF表示AMF、SEAF或SEAF与AMF合设)、AUSF、和UDM。主认证过程中生成的安全密钥包括K_AUSF，为AUSF与UE的共享密钥。进一步地，UE与AUSF还可以生成AKMA密钥K_AKMA，以便UE与AF根据由K_AKMA生成的K_AF进行UE与AF之前的流量保护。另外，KID为K_AKMA对应的唯一密钥标识。

在UE和AUSF分别获取K_AKMA和KID之后，请参阅图3，图3为本申请实施例提供的一种UE访问AF时的密钥协商示意图，如图3所示，UE向AF发起服务会话请求消息，服务会话请求消息中包括KID；AF在接收到服务会话请求消息后，向AAnF发送应用密钥请求消息，用于获取K_AF，该应用密钥请求消息中也包括接收到的KID；AAnF在接收到应用密钥请求后，检查本地是否有KID所对应的K_AKMA生成的K_AF，如果有该K_AF，则AAnF向AF发送该K_AF，如果没有该K_AF，则AAnF检查本地是否有KID对应的K_AKMA。如果有该K_AKMA，则AAnF根据K_AKMA生成K_AF，并将K_AF发送给AF，如果没有K_AKMA，则AAnF向AUSF发送AKMA密钥请求消息，在AKAM密钥请求消息中携带接收到的KID。AUSF接收到携带KID的AKMA密钥请求消息之后，AUSF向AAnF返回该KID对应的K_AKMA。AAnF则根据接收到的K_AKMA计算出K_AF，并将K_AF发送给AF。AF和UE就可以基于K_AF对通信进行保护。

根据图2对应的描述可知，AF获取K_AF之前，需要通过AAnF从AUSF中获取与通信中的UE的KID对应的K_AKMA，该AUSF是完成UE主认证的AUSF，AF需要寻址到正确的AUSF，才能够获取到KID对应的K_AKMA。为了解决这个问题，请参阅图4A，图4A为本申请实施例提供的一种密钥获取方法流程示意图，如图4A所示，该方法包括如下步骤：

101、用户设备UE生成密钥标识KID，KID包括归属网络标识,路由信息和输出结果。

K_AKMA为UE所专有的密钥，KID根据K_AKMA生成，也为UE所专有。因此，在生成KID的时候，考虑通过UE的专有参数生成。

UE标识包括：订阅永久标识符(SUPI：Subscription Permanent Identifier),订阅隐藏标识符(SUCI：Subscription，Concealed Identifier)，通用公共订阅标识符(GPSI：Generic Public Subscription Identifier)等，其中SUCI是UE对SUPI进行隐藏获取到的标识，图4B为本申请实施例提供的一种SUCI格式示意图，如图4B所示，SUCI中包括的参数有：携带SUPI的类型(SUPI type)，如类型为国际移动用户识别码(International MobileSubscriber Identity,IMSI)；UE归属网络(Home Network Identifier)，通过PLMN ID标识；路由信息(Routing Indicator，RI)为，用于寻址归属网络AUSF和UDM；保护方案ID(Protection Scheme ID)，表明UE保护SUPI采用的方案ID；保护SUPI时采用的归属网络公钥ID(Home Network Public Key Id)；SUPI经过安全保护的输出结果(Scheme Output)，UDM在收到SUCI之后，则可以从SUCI中解密出UE的SUPI。

在本申请实施例中，可以通过对应的方式和参数生成KID。具体为：

必备的参数：Home Network Identifier、RI、Scheme Output(SUPI进行保护或GPSI进行保护或明文GPSI)；

可选的参数：服务网络的PLMM ID(Serving Network ID)，Protection SchemeID、Home Network Public Key Id，其中一个或多个。

生成KID的格式可以为：

SN ID||Protection scheme ID||Home network public key ID||Schemeoutput@RI.HN ID.3gppnetwork.org

SUCI@SN id

SN ID||Protection scheme ID||Home network public key ID||Schemeoutput@AKMA.RI.HN ID.3gppnetwork.org

Protection scheme ID||Home network public key ID||Scheme output@AKMA.SN ID.RI.HN ID.3gppnetwork.org

102、UE向应用功能网元AF发送应用会话建立请求，其中，应用会话建立请求中包括KID。

103、AF根据接收到的会话建立请求KID获取KID对应的K_AF。

当UE需要与AF会话时，UE发送会话建立请求以便与AF建立会话。这个过程包括UE向AF发送KID，以及AF通过KID获取K_AF完成密钥协商的过程。其中，KID对应的K_AF是指根据KID对应的K_AKMA生成的K_AF。因为K_AF由AAnF根据KID对应的K_AKMA生成，而K_AKMA由AAnF从完成UE主认证的AUSF中获取，因此，寻址到正确的AUSF有助于快速正确地建立UE与AF的会话。

具体地，请参阅图4C，图4C为申请实施例提供的一种获取K_AF的方法流程图，如图4C所示，具体可包括如下步骤：

1011、AF向目标AAnF发送第一密钥请求，第一密钥请求包括KID，目标AAnF是根据归属网络标识确定的；

1012、目标AAnF根据KID中的路由信息寻址目标统一数据管理UDM，并向目标UDM发送第一请求消息，第一请求消息中包括KID；

1013、目标UDM根据第一请求消息获取目标AUSF的地址或标识，并反馈给目标AAnF；

1014、目标AAnF向目标AUSF发送第二密钥请求，第二密钥请求中包括UE标识；

1015、目标AAnF从目标AUSF中获取UE标识对应的K_AKMA；

1016、目标AAnF根据获取到的K_AKMA生成K_AF并反馈给AF。

AF向目标AAnF发送的第一密钥请求中包括从UE获取到的KID，而生成KID的参数中包括UE的归属网络标识，例如归属网络可以是中国移动(China Mobile CommunicationsGroup Co.,Ltd，CMCC)，中国联通(China Unicom)或美国电话电报公司(AmericanTelephone&Telegraph，AT&T)等，根据归属网络标识能够找到对应的目标AAnF，具体方法可以是AF通过归属网络标识确定目标AAnF，再向目标AAnF发送第一密钥请求，或者也可以是AF向多个AAnF广播第一密钥请求，而匹配到KID中归属网络标识的目标AAnF接收该第一密钥请求。

目标AAnF根据第一密钥请求中的KID获取路由信息，然后根据路由信息寻址目标UDM，目标UDM与路由信息唯一对应。UDM中存储了AUSF和UE的对应关系，表示UE的主认证过程通过该AUSF完成。其中AUSF可以通过其对应的地址来标识，或者通过其对应的标识或其组标识，以下统一简称AUSF的标识。UE可以通过SUPI或GPSI进行唯一标识，因此AUSF和UE的对应关系可以由AUSF(的地址或标识)和SUPI，或AUSF和GPSI，或AUSF和GPSI以及SUPI的对应关系来表示。

目标UDM获取到AAnF发送的第一请求消息后，根据第一请求消息中包括的KID获取UE标识，包括SUPI和/或GPSI。UE的SUPI和/或GPSI获取过程包括：目标UDM对接收到的KID进行解密获得输出结果，再根据输出结果获取SUPI和/或GPSI，即输出结果中可以包括SUPI或GPSI其中一个，也可以SUPI和GPSI都包括。其中因为GPSI为公共订阅标识符，可以进行明文传输，因此输出结果中包括的GPSI可以密文，也可以是明文。SUPI通过密文进行传输。如果输出结果中为加密后的SUPI或GPSI，那么KID中还包括Protection Scheme ID，目标UDM根据该参数解密获得明文SUPI或GPSI。

目标UDM获取到目标AAnF发送的KID对应的SUPI和/或GPSI之后，将其与存储的UE标识进行匹配，在匹配成功的情况下，获取UE标识对应的AUSF作为目标AUSF，并将目标AUSF的标识或地址反馈给目标AAnF。

目标AAnF根据目标AUSF的标识或地址寻址到目标AUSF，并向AUSF发送第二密钥请求，以便获取KID对应的AKMA密钥K_AKMA。其中第二密钥请求中包括UDM解密KID获取的UE标识，SUPI和/或GPSI，AUSF根据该UE标识匹配到对应的K_AKMA，并将该K_AKMA反馈给AAnF。

可见，在本申请实施例中，在本申请实施例中，UE生成的KID中包括归属网络标识，路由信息和输出结果，其中归属网络标识用于寻址目标AAnF，路由信息用于寻址目标UDM，输出结果用于UDM匹配到目标AUSF，并从目标AUSF中获取到UE对应的K_AKMA，该过程解决了如何寻址到正确的AUSF的方法，提升了UE和AF之间密钥协商的效率。

可选的，UDM可以对KID，根据该KID解密获得的SUPI和/或GPSI，以及AUSF地址或标识进行对应存储，以便目标AAnF再次向UDM请求获取目标AUSF时，能够直接根据KID获取到目标AUSF，而无需再次进行KID解密，提升通信效率。

或者，可选情况下，AAnF也可以将获取到的目标AUSF地址或标识与KID进行对应存储，以便AAnF再次需要从目标AUSF中获取K_AKMA时，AAnF能够直接根据KID寻址到目标AUSF而不需要通过UDM获取目标AUSF的地址。

可选的，KID中还可以包括服务网络标识(Serving Network ID，SN ID)，SN ID表示当前为UE提供服务的网络对应的标识，可以与UE的归属网络标识相同，也可以不同。例如UE的签约网络(归属网络)为中国移动，而当用户漫游到美国时，对应的服务网络为AT&T，因此还可以通过KID中的SN ID来获取目标AUSF，或者通过SN ID来获取目标AUSF中的K_AKMA。

具体地，请参阅图4D，图4D为本申请实施例提供的一种服务网络与AUSF的对应关系示意图，如图4D所示，UE通过两个不同的SN ID实现在AMF中的双注册，对于两个不同的SNID，可以通过同一个AUSF完成主认证，即如图4D中的(a)所示，SN ID1对应的K_ausf1和SN ID2对应的K_ausf2都在AUSF0中生成，UDM中存储了AUSF0的标识AUSF ID0(或者也可以是AUSF0的地址)。那么当UDM寻址到目标AUSF后，因为同一个AUSF可能完成了同一个UE的双注册，因此还需要获取KID中的SN ID1或SN ID2，以便获取该服务网络对应的K_ausf和K_AKMA。

或者，UE通过两个不同的SN ID实现在AMF中的双注册后，对于两个不同的SN ID，也可以通过两个不同的AUSF完成主认证，即如图4D中的(b)所示，SN ID1对应的K_ausf1在AUSF1中生成，SN ID2对应的K_ausf2在AUSF2中生成，UDM中存储了AUSF1的标识AUSF ID1(或者也可以是AUSF1的地址)以及AUSF2的标识AUSF ID2(或者也可以是AUSF2的地址)。那么当UDM寻址目标AUSF时，因为不同的SN ID对应不同的目标AUSF，因此还需要获取KID中的SNID1或SN ID2，以便寻址对应的目标AUSF，并从中获取KID对应的K_ausf和K_AKMA。

在本申请实施例中，KID中还包括SN ID，用于UE通过不同SN ID注册网络，生成不同K_AKMA的场景，以便能够通过SN ID更准确地获取KID对应的K_AKMA。UDM根据用户标识以及KID中的SN ID获取对应的AUSF标识或地址信息。进一步地，AAnF在向AUSF发送的第二密钥请求还可以携带KID中的SN ID或直接携带KID，AUSF根据用户标识和SN ID或根据用户标识和KID中的SN ID中获取对应的K_AUSF或K_AKMA。

目标AAnF获取到KID对应的AKMA密钥K_AKMA之后，根据K_AKMA生成对应的K_AF并反馈给AF，表明AF和UE之间完成密钥协商过程，AF可以向UE发送应用会话建立响应消息，以便UE与AF进行会话业务。

在一些情况，AF的第一密钥请求可以发送给NEF，然后由NEF转发给AAnF，即NEF作为AF与AAnF之间的通信中介。同样的，AF与AAnF的其他通信消息或通信数据也可以由NEF转发，该方法同样适用于本申请的其他实施例。

或者，在一些情况下，可以由NEF寻址到目标AUSF，并向AAnF发起针对目标AUSF的密钥获取请求，以便AAnF从目标AUSF中获取K_AKMA。具体地，请参阅图4E，图4E为本申请实施例提供的另一种获取K_AF的方法流程图，如图4E所示，该方法包括如下步骤：

1021、AF向目标NEF发送第一请求，第一请求包括KID；

1022、目标NEF根据KID中的路由信息寻址目标UDM，并向目标UDM发送第二请求消息，第二请求消息中包括KID；

1023、目标UDM根据第二请求消息获取目标AUSF的地址或标识，以及UE标识，并反馈给目标NEF；

1024、目标NEF向目标AAnF发送第三密钥请求，第三密钥请求中包括目标AUSF的地址或标识和UE标识；

1025、目标AAnF向目标AUSF发送第四密钥请求，第四密钥请求中包括UE标识；

1026、目标AAnF从目标AUSF中获取UE标识对应的AKMA密钥K_AKMA；

1027、目标AAnF生成K_AKMA对应的K_AF并反馈给AF。

在本申请实施例中，AF首先向目标NEF发送第一请求，第一请求可以是用于获取密钥的请求，也可以是专门用于获取目标AUSF地址或标识的请求，以便通过NEF从目标UDM中获取目标AUSF的地址或标识。第一请求中包括KID，KID中包括归属网络标识,路由信息和输出结果。通过归属网络标识寻址到目标NEF。然后目标NEF通过KID中的路由信息寻址到目标UDM，目标UDM根据KID中的输出结果解密获得SUPI和/或GPSI，进而获取该UE表示对应的目标AUSF，并反馈给NEF。NEF根据KID中包括的归属网络标识确定目标AAnF，再通过AAnF从目标AUSF中获取KID中的UE标识对应的K_AKMA。

同样的，KID中还可以包括UE对应的SN ID，NEF在向AAnF发送第三密钥请求以及AAnF向AUSF发送第四密钥请求的时候，携带KID中的SN ID。AUSF根据用户标识和SN ID获取K_AUSF或K_AKMA。或者，第三密钥请求和第四密钥请求中携带KID，目标AUSF根据接收到的KID获得SN ID，并通过SN ID进行获取K_AUSF或K_AKMA。

在这个过程中，NEF用于寻址目标AUSF，NEF在获取到目标AUSF的地址或标识后，可以将其与KID进行对应存储，以便AF再次发起针对该KID的密钥请求时，NEF可以直接向目标AAnF指示从目标AUSF获取KID对应的K_AKMA。

另外，在本申请实施例中，如果第一请求是用于获取密钥的请求，那么NEF获取到目标AUSF的地址或标识之后，可以自动生成第三密钥请求并向目标AAnF发送；如果第一请求是专门用于获取目标AUSF地址或标识的请求，那么NEF可以在获取到目标AUSF地址或标识之后，再生成第三密钥请求。例如NEF可以在再次接收到AF发送的密钥请求之后，再向目标AAnF发送第三密钥请求。或者，也可以由AF直接向目标AAnF发送第三密钥请求。

可见，在本申请实施例中，通过NEF获取目标AUSF的标识或地址，以便指示AAnF获取K_AKMA时，可以直接指示AAnF从目标AUSF获取K_AKMA，这样在一些场景下，例如AF多次与同一个UE重复建立会话，或者AF与多个UE建立会话时，可以减少密钥协商过程的耗时，进而提升会话建立过程的效率。

或者，在一些情况下，UDM获取到目标AUSF的地址或标识后，也可以不反馈给AAnF，而是自身直接向目标AUSF发起获取密钥的请求，具体请参阅图4F，图4F为本申请实施例提供的另一种获取K_AF的方法流程图，如图4F所示，该方法包括如下步骤：

1031、AF向目标AAnF发送第五密钥请求，第一密钥请求包括KID，目标AAnF是根据归属网络标识确定的；

1032、目标AAnF根据KID中的路由信息寻址目标UDM，并向目标UDM发送第六密钥请求，第六密钥请求中包括KID；

1033、目标UDM根据KID获取目标AUSF的地址或标识和UE标识，并向目标AUSF发送第七密钥请求，第七密钥请求中包括UE标识；

1034、目标UDM从目标AUSF中获取到UE标识对应的K_AKMA，并将K_AKMA反馈给目标AAnF；

1035、目标AAnF生成K_AKMA对应的K_AF并反馈给AF。

具体地，目标AAnF根据KID中的路由信息寻址到目标UDM之后，由UDM根据KID获取目标AUSF的地址或标识，并且UDM可以根据KID获得对应的UE标识。然后UDM可以直接向目标AUSF转发其接收到的密钥请求，或者根据接收到的信息生成新的密钥请求，该密钥请求中包括UE标识，用于从目标AUSF中获取UE标识对应的K_AKMA。UDM的具体操作可以由目标AAnF发送的第六密钥请求中的指示信息进行指示，或者UDM从AF或其他网元中获取到相应授权，因此能够直接从目标AUSF中获取K_AKMA。

同样的，KID中可以包括SN ID，UDM向目标AUSF发送的密钥请求中可以包括SN ID，或者包括KID，以便目标AUSF接收到KID之后获取其中的SN ID，然后目标AUSF再根据UE标识和SN ID获取对应的K_AKMA。

在本申请实施例中，通过目标UDM寻址到目标AUSF，并直接向目标AUSF发送密钥请求，以便目标AUSF获取KID对应的K_AKMA，并反馈给目标AAnF,最终由目标AAnF生成K_AKMA对应的K_AF并反馈给AF。在这个过程中，通过目标UDM直接向目标AUSF转发密钥请求，减少了目标AAnF获取目标AUSF的标识或地址，再由AAnF向目标AUSF发送密钥请求的过程，提升了获取密钥的效率。

在一些情况下，也可以根据其他方法在UE和AUSF中都生成KID。例如采用KID＝HMAC(K_ausf，SUPI)等方式，只需要保证UE和AUSF生成结果一致即可，本方案不作限定。

根据本方法生成的KID，在寻址目标AUSF，并从AUSF中获取KID对应的K_AKMA的方法与上述实施例有所不同。具体地，请参阅图5,图5为本申请实施例提供的另一种获取K_AKMA的方法流程图，如图5所示，该方法包括如下步骤：

201、UDM将SUPI和/或GPSI与AUSF标识或地址进行对应存储；

202、UDM在确定AUSF地址或标识更新时，向AAnF发送推送消息，推送消息包括更新内容；

203、AAnF根据更新内容对自身保存的SUPI和/或GPSI与AUSF标识或地址进行更新；

204、AAnF接收AF发送的第七密钥请求，第七密钥请求中包括KID；

205、AAnF根据KID获取目标AUSF的地址或标识；

206、AAnF向目标AUSF发送第八密钥请求，第八密钥请求中包括KID；

207、AAnF从目标AUSF中获取到KID对应的K_AKMA；

208、AAnF生成K_AKMA对应的K_AF并反馈给AF。

在本申请实施例中，由于UE和AUSF都能生成KID，因此AAnF从目标AUSF获取K_AKMA时，除了根据UE标识进行获取外，还可以根据KID进行获取。

具体地，UDM中存储了UE标识(包括SUPI和/或GPSI)与AUSF地址或标识的对应关系，表明这些UE通过对应的AUSF完成主认证过程，UDM中可以存储AUSF与不同UE标识的对应关系，或者UE标识与不同AUSF的对应关系。当有新的注册或认证发生时，UDM中的AUSF地址或标识将会进行更新，例如增加AUSF地址或标识，减少AUSF地址或标识等。在完成UDM中的更新后，或者UDM接收到更新信息时，可以向AAnF发送推送消息，推送消息中包括UDM的更新内容，以便AAnF将更新内容同步到自身。

AAnF接收到AF或NEF发送的第七密钥请求时，因为AAnF存储了UE标识与AUSF的对应关系，那么它可以直接根据第七密钥请求中包括的KID匹配到对应的目标AUSF，再从目标AUSF中获取KID对应的K_AKMA。

或者，UDM中也可以直接存储AUSF地址或标识与KID的对应关系，然后将更新内容同步到AAnF，以便AAnF接收到AF发送的密钥请求之后，直接根据密钥请求中携带的KID匹配到对应的目标AUSF，进而从目标AUSF中获取KID对应的K_AKMA。

可见，在本申请实施例中，通过UDM主动推送AUSF地址或标识的更新信息给AAnF，以便AAnF中存储了UE标识与目标AUSF之间的对应关系，使得AAnF在接收到AF发送的密钥请求后，可以直接通过存储信息寻址到目标AUSF并获取KID对应的K_AKMA。有效提升了获取密钥的效率。

根据上述实施例可知，在UDM中可以存储UE标识与AUSF的地址或标识的对应关系，或者可以直接存储KID与AUSF的地址或标识的对应关系，这些对应关系由UDM从AUSF中获取，具体请参阅图6，图6为本申请实施例提供的一种存储信息的方法流程图，如图6所示，该方法具体包括如下步骤：

301a、UDM向AUSF发送订阅消息，用于订阅KID更新信息；

302a、AUSF生成与UD对应的K_AKMA和KID；

303a、AUSF向UDM发送通知消息，通知消息中包括KID更新信息。

304、AAnF接收AF发送的第九密钥请求，第九密钥请求中包括KID；

305、AAnF向UDM发送第三请求消息，用于获取目标AUSF的地址或标识，第三请求中包括KID；

306、AAnF根据KID从UDM中获取到目标AUSF的地址或标识；

307、AAnF向目标AUSF发送第十密钥请求，第十密钥请求中包括KID；

308、AAnF从目标AUSF中获取到KID对应的K_AKMA；

309、AAnF生成K_AKMA对应的K_AF并反馈给AF。

具体地，UDM从AUSF中获取UE标识与AUSF的地址或标识的对应关系的方法，可以是由UDM向AUSF发送订阅消息，该订阅消息可以针对特定的UE，那么订阅消息中可以包括该特定UE的标识；或者可以是针对任何通过AUSF完成认证的UE。那么在AUSF中生成特定UE或者其他UE的K_AKMA和KID之后，向UDM发送通知消息，用于通知UDM在AUSF中进行了KID更新。通知消息中可以包括UE标识，表明该UE标识对应UE的KID进行了更新，并且UDM将该UE标识和发送通知消息的AUSF进行对应存储，以便AAnF向UDM请求目标AUSF时，UDM可以根据请求消息中对应的UE标识获取目标AUSF对应的地址或标识。或者，通知消息中可以包括KID，表明该KID为更新的KID，并且UDM将该更新的KID和发送通知消息的AUSF进行对应存储，以便AAnF向UDM请求目标AUSF时，UDM可以根据请求消息中的KID匹配到目标AUSF对应的地址或标识。

在本申请实施例中，通过UDM向AUSF发送订阅消息，以便获取KID更新信息，在这个过程中，UDM发送的订阅消息中可以包括UE标识，以便获取UE标识对应的KID更新信息，使得获取的更新信息更具有目的性和针对性，减少UDM获取更新信息的数据量。

在一些情况下，UDM没有向AUSF发送订阅消息，而是由AUSF主动向UDM发送推送消息。具体包括：

301b、AUSF生成与UE对应的K_AKMA和KID；

302b、AUSF向UDM发送推送消息，推送消息中包括KID更新信息。

步骤301b～步骤302b与上述步骤301a～步骤303a是可选的方法，因此上述步骤301a～步骤303a可以由步骤301b～步骤302b替换，形成包括步骤301b～步骤309的方法实施例。

具体地，AUSF可以主动向UDM推送更新信息，更新信息中包括UE标识，或者KID，以便UDM将UE标识或KID与推送更新信息的AUSF进行对应的存储，当AAnF向UDM请求目标AUSF时，UDM可以根据请求消息中的KID匹配到目标AUSF对应的地址或标识。

可选情况下，AUSF推送的KID更新信息，也可以包括其他AUSF与KID的对应关系，例如AUSF1向UDM推送KID更新信息时，该更新信息中包括AUSF2与中新生成的KID。UDM将AUSF2与其生成的KID进行对应存储。

在本申请实施例中，通过AUSF主动向UDM推送KID更新信息，可以使得UDM中保存的KID与AUSF的对应关系更加全面和完整，以便AAnF从UDM中请求获取目标AUSF的地址或标识时，提升获取成功率。

另外，本申请实施例中，步骤304与步骤301b～步骤302b，或者与步骤301a～步骤303a之间没有严格的先后顺序，即是说，AF发送密钥请求可以在UDM发送订阅消息，获取KID更新信息之前，也可以在之后。同样的，AF发送密钥请求可以在AUSF主动推送KID更新信息之前，也可以在之后。本申请实施例中不做限定。

本申请实施例中UDM获取KID更新信息的方法可以与图4A～图4E对应的方法实施例进行结合，即采用图4A～图4E中的方法步骤获取密钥时，UDM中的KID更新信息也可以通过实施例对应的步骤实现。

在一些情况下，还可以通过AF向AAnF发送订阅消息，以便在AAnF获取到更新的K_AKMA之后，自动生成K_AKMA对应的K_AF并反馈给AF，具体请参阅图7，图7为本申请实施例提供的一种获取AF密钥的方法流程图，如图7所示，该方法包括如下步骤：

401、AF向AAnF发送第一订阅消息以获取更新的K_AF，第一订阅消息中包括UE标识；

402、AAnF向UDM发送第二订阅消息以获取更新的K_AKMA(和KID)，第二订阅消息中包括UE标识；

403a、UDM向AUSF发送订阅消息，用于订阅KID更新信息；

404a、AUSF生成与UD对应的K_AKMA和KID；

405a、AUSF向UDM发送通知消息，通知消息中包括KID更新信息。

406、UDM向AAnF发送第一通知消息，第一通知消息中包括UE标识对应的K_AKMA；

407、AAnF向AF发送第二通知消息，第二通知消息中包括根据K_AKMA生成的UE对应的K_AF。

在本申请实施例中，AF向AAnF发送第一订阅消息，以便AAnF在获取到新的K_AKMA之后，生成对应的K_AF并反馈给AF。在这个过程中，第一订阅消息中可以包括UE标识，例如SUPI和/或GPSI，这样AAnF可以获知AF需要的是那些UE对应的K_AKMA生成的AF密钥。

同样的，AAnF获知K_AKMA的过程，也可以是向UDM发送第二订阅消息，第二订阅消息中包括UE标识，以便UDM在获取对应该UE标识的K_AKMA或KID更新内容，如果发送给UDM的第二订阅消息用于获取K_AKMA更新消息,那么AAnF可以直接收到UDM反馈的K_AKMA。如果发送给UDM的第二订阅消息用于获取KID更新消息，那么AAnF可以在获取到KID之后，寻址到目标AUSF再获取KID对应的K_AKMA。

如果发送给UDM的第二订阅消息用于获取K_AKMA更新消息，那么UDM需要从AUSF中获取K_AKMA。具体方法可以和图6对应的实施例相结合，包括步骤403a～步骤405a向AUSF发送订阅消息，获取K_AKMA更新信息；或者步骤403b～步骤404b接收AUSF主动推送的K_AKMA更新信息。即步骤403a～步骤405a与步骤403b～步骤404b为两种可选的方法，任意一种都可以与步骤401、402、406和407对应的方法相结合。

另外，本申请实施例也可以是步骤401和步骤407对应的方法，即AF通过向AAnF发送订阅消息获取K_AF，AAnF如何获取K_AKMA并生成对应的K_AF的方法步骤不做限定。

在本申请实施例中，由AF向AAnF发送订阅消息，获取AAnF更新K_AKMA后生成的K_AF，这样可以使得AF可以在申请之前自动获得K_AF，以便在AF与UE建立会话时，快速获取密钥并与UE完成密钥协商过程，提升了会话建立的效率。

上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是，上述实现各网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对终端、控制面网元、服务功能网元、管理功能网元或其他网络设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中，上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图8为本申请实施例提供的一种终端设备500，其可以用于执行上述图4A～图4E、图5～图7的应用于终端设备的密钥获取方法和具体实施例，该终端设备可以是终端设备或者可以配置于终端设备的芯片。该终端设备包括发送模块502和处理模块503。

所述处理模块503，用于生成密钥标识KID，其中，所述KID包括归属网络标识,路由信息和输出结果；

所述发送模块502，用于向应用功能网元AF发送应用会话建立请求，其中，所述应用会话建立请求中包括所述KID。

可选的，上述的处理模块503可以是芯片，编码器，编码电路或其他可以实现本申请方法的集成电路。

可选的，终端设备500还可以包括接收模块501，接收模块501和发送模块502可以为接口电路或者收发器。接收模块501和发送模块502可以为独立的模块，也可以集成为收发模块(图未示)，收发模块可以实现上述接收模块501和发送模块502的功能。可以为接口电路或者收发器。

由于具体的方法和实施例在前面已经介绍过，该装置500是用于执行对应于终端设备的密钥获取方法，因此涉及密钥获取方法的具体描述，特别是发送模块502和处理模块503的功能可以参考对应实施例的相关部分，此处不再赘述。

可选的，装置500还可以包括存储模块(图中未示出)，该存储模块可以用于存储数据和/或信令，存储模块可以和处理模块503耦合，也可以和接收模块501或发送模块502耦合。例如，处理模块503可以用于读取存储模块中的数据和/或信令，使得前述方法实施例中的密钥获取方法被执行。

图9是本申请实施例提供的一种通信装置600，其可以用于执行上述图4A～图4E、图5～图7的应用于应用功能网元的密钥获取方法和具体实施例，该装置可以是终端或者可以配置于终端的芯片。在一种可能的实现方式中，如图8所示，该通信装置600包括接收模块601，处理模块602。

所述接收模块601，用于接收UE发送的会话建立请求，所述会话建立请求中包括KID，所述KID包括归属网络标识,路由信息和输出结果；

所述处理模块602，用于根据所述KID获取所述KID对应的K_AF。

可选的，上述的处理模块602可以是芯片，编码器，编码电路或其他可以实现本申请方法的集成电路。

可选的，通信装置600还可以包括发送模块603，接收模块601和发送模块603可以为接口电路或者收发器。接收模块601和发送模块603可以为独立的模块，也可以集成为收发模块(图未示)，收发模块可以实现上述接收模块601和发送模块603的功能。可以为接口电路或者收发器。

由于具体的方法和实施例在前面已经介绍过，该装置600是用于执行对应于终端的密钥获取方法，因此涉及密钥获取方法的具体描述，特别是接收模块601和发送模块603的功能可以参考对应实施例的相关部分，此处不再赘述。

可选的，装置600还可以包括存储模块(图中未示出)，该存储模块可以用于存储数据和/或信令，存储模块可以和处理模块602耦合，也可以和接收模块601或发送模块603耦合。例如，处理模块602可以用于读取存储模块中的数据和/或信令，使得前述方法实施例中的密钥获取方法被执行。

可选的，该通信装置也可以用于执行上述图4A～图4E、图5～图7的应用于AUSF/UDM/AAnF或其他功能网元的密钥获取方法和具体实施例，在此不再赘述。

如图10所示，图10示出了本申请实施例中的一种通信装置的硬件结构示意图。终端设备或应用功能网元的结构可以参考图10所示的结构。通信装置900包括：处理器111和通收发器112，所述处理器111和所述收发器112之间电偶合；

所述处理器111，用于执行所述存储器中的部分或者全部计算机程序指令，当所述部分或者全部计算机程序指令被执行时，使得所述装置执行上述任一实施例所述的方法。

所述收发器112，用于和其他设备进行通信；例如从AUSF获取第四消息，并根据所述第四消息向UE发送第五消息，以使得所述UE根据所述第五消息获取所述KID和/或所述KAKMA。

可选的，还包括存储器113，用于存储计算机程序指令，可选的，所述存储器113(Memory#1)位于所述装置内，所述存储器113(Memory#2)与处理器111集成在一起，或者所述存储器113(Memory#3)位于所述装置之外。

应理解，图9所示的通信装置900可以是芯片或电路。例如可设置在终端装置或者通信装置内的芯片或电路。上述收发器112也可以是通信接口。收发器包括接收器和发送器。进一步地，该通信装置900还可以包括总线系统。

其中，处理器111、存储器113、收发器112通过总线系统相连，处理器111用于执行该存储器113存储的指令，以控制收发器接收信号和发送信号，完成本申请涉及的实现方法中第一设备或者第二设备的步骤。所述存储器113可以集成在所述处理器111中，也可以与所述处理器111分开设置。

作为一种实现方式，收发器112的功能可以考虑通过收发电路或者收发专用芯片实现。处理器111可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。处理器可以是中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片或其他通用处理器。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)及其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等或其任意组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本申请描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例提供了一种计算机存储介质，存储有计算机程序，该计算机程序包括用于执行上述实施例中对应用于终端设备的方法。

本申请实施例提供了一种计算机存储介质，存储有计算机程序，该计算机程序包括用于执行上述实施例中对应用于AF网元的方法。

本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中对应用于终端设备的方法。

本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中对应用于AF网元的方法。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种密钥获取方法，其特征在于，所述方法包括：

终端设备UE生成密钥标识KID，其中，所述KID包括归属网络标识，服务网络标识SNID，路由信息和输出结果，所述归属网络标识用于寻址目标AAnF，所述路由信息用于所述目标AAnF寻址目标UDM，所述输出结果用于UDM匹配到目标AUSF；以及

2.根据权利要求1所述的方法，其特征在于，所述输出结果为对用户永久标识符SUPI加密后的密文。

3.根据权利要求1所述的方法，其特征在于，所述输出结果为对通用公共用户标识符GPSI加密后的密文。

4.根据权利要求1所述的方法，其特征在于，所述输出结果为GPSI。

5.根据权利要求1至4任一所述的方法，其特征在于，所述KID还包括保护方案标识和归属网络公钥标识。

6.根据权利要求1至4任一所述的方法，其特征在于，所述KID还包括AKMA以及3gppnetwork.org的业务标识。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述UE接收来自AF的应用会话建立响应消息。

8.一种终端设备，其特征在于，所述设备包括用于执行权利要求1-7任一项方法的模块。

9.一种通信装置，其特征在于，所述装置包括至少一个处理器，所述至少一个处理器与至少一个存储器耦合：

所述至少一个处理器，用于执行所述至少一个存储器中存储的计算机程序或指令，以使得所述装置执行如权利要求1至7中任一项所述的方法。

10.一种可读存储介质，其特征在于，用于存储指令，当所述指令被执行时，使如权利要求1至7中任一项所述的方法被实现。

11.一种通信装置，其特征在于，包括处理器和接口电路；

所述接口电路，用于交互代码指令至所述处理器；

所述处理器用于运行所述代码指令以执行如权利要求1至7中任一项所述的方法。