CN113810903B

CN113810903B - 一种通信方法及装置

Info

Publication number: CN113810903B
Application number: CN202010479818.1A
Authority: CN
Inventors: 邓娟
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-05-29
Filing date: 2020-05-29
Publication date: 2023-07-11
Anticipated expiration: 2040-05-29
Also published as: WO2021238280A1; CN113810903A

Abstract

本申请实施例提供一种通信方法及装置，用于解决当发生接入和移动管理功能AMF变化时，对AMF密钥进行更新的问题。该方法包括：第一AMF确定终端设备的安全特性和第二AMF的密钥；AMF根据所述终端设备的安全特性以及所述第一AMF的安全特性，确定第一ABBA参数；所述第一AMF根据所述第一ABBA参数和第二AMF的密钥，确定所述第一AMF的密钥。

Description

一种通信方法及装置

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

在第五代(5th generation，5G)通信系统中，终端设备和网络功能所支持的安全特性在不断演进。高阶版本的终端设备，除了支持低阶版本的终端设备所支持的安全特性之外，还会支持新的、低阶版本终端设备不支持的安全特性。同理，高阶版本的网络功能，除了支持低阶版本的网络功能所支持的安全特性之外，还会支持新的、低阶版本网络功能不支持的安全特性。终端设备和网络功能在采用某个安全特性进行通信之前，双方需要进行安全特性协商，确保对方都支持该安全特性。如果一方不支持，则通信双方不能使用该安全特性。例如，高阶版本的终端设备同时支持使用256位密钥加密和128位密钥加密，而低阶版本的网络功能仅支持使用128位密钥加密，则终端设备和网络功能之间的通信仅能采用双方都支持的128位密钥进行加密。

其中，第三代合作伙伴计划(the third generation partnership protect，3GPP)标准33.501，即5G系统安全架构和流程，在版本15(release 15，Rel-15)中定义了5G系统的安全需求，其中包括阻止降维攻击(bidding down attacks)，又称为抗降维攻击。降维攻击是指一个攻击者使得终端设备或者网络功能各自认为对端不支持高阶版本的安全特性，而实际上终端设备和网络功能均支持高阶版本的安全特性。攻击成功后，终端设备和网络功能仅能采用低阶版本的安全特性进行通信，导致安全特性的降维，使得终端设备和网络功能之间的通信安全降级。

目前在一种场景中，当服务终端设备的网络功能发生变更，例如，由第一接入和移动管理功能(Access and Mobile Management Function,AMF)功能变更为第二AMF功能。由于第一AMF功能和第二AMF功能所支持的安全特性可能不同，此时如何对AMF密钥进行更新，是当前待解决的问题。

发明内容

本申请实施例提供一种通信方法及装置，以实现对接入和移动管理功能AMF密钥的更新。

第一方面，提供一种通信方法，该方法中的第一AMF，还可以为配置于第一AMF中的部件(比如，芯片、电路或其它等)，该方法包括：第一AMF确定终端设备的安全特性；第一AMF根据所述终端设备的安全特性以及所述第一AMF的安全特性，确定第一架构间抗降维ABBA参数；第一AMF获取第二AMF的密钥；第一AMF根据所述第一ABBA参数和所述第二AMF的密钥，确定所述第一AMF的密钥。

在上述方法中，第一AMF可为Target AMF，第二AMF可为Old AMF，终端设备可以为UE。当UE注册的AMF，或者，服务于UE的AMF发生变更时，Target AMF可根据UE和Target AMF之间支持的安全特性，生成ABBA_New参数，并将ABBA_New作为输入参数生成新的K_AMF密钥，供UE和Target AMF使用，从而保证UE和Target AMF之间的通信安全。

在一种可能的设计中，所述第一AMF确定终端设备的安全特性，包括：所述第一AMF向所述第二AMF发送用于请求终端设备上下文的请求消息；所述第一AMF接收所述第二AMF发送的终端设备上下文，所述终端设备上下文中携带有所述终端设备的安全特性。

在上述方法中，第一AMF可与通过第二AMF与终端设备之间进行安全特性的协商，抗降维攻击。

在一种可能的设计中，所述第一AMF获取第二AMF的密钥，包括：第一AMF向第二AMF发送用于请求终端设备上下文的请求消息；第一AMF接收第二AMF发送的终端设备上下文，所述终端设备上下文中携带有第二AMF的密钥。

在一种可能的设计中，在所述第一AMF根据所述终端设备的安全特性以及所述第一AMF的安全特性，确定第一ABBA参数之前，所述方法还包括：所述第一AMF确定第二AMF的安全特性；所述第一AMF确定所述第一AMF的安全特性与所述第二AMF的安全特性不同。

在上述方法中，当UE注册的两个AMF，或者服务于UE的两个AMF的安全特性不一致时，再更新AMF的密钥，否则不再更新AMF密钥，避免更新AMF密钥的开销浪费。

在一种可能的设计中，在所述第一AMF根据所述终端设备的安全特性以及所述第一AMF的安全特性，确定第一ABBA参数之后，所述方法还包括：所述第一AMF向所述终端设备发送所述第一ABBA参数以及第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新AMF密钥。

在上述方法中，上述第一指示信息是可选的。即第一AMF可只向终端设备发送第一ABBA参数。终端设备可根据第一ABBA参数，更新AMF密钥。进而根据AMF密钥，对两者间的通信进行保护，抗降维攻击。

第二方面，提供一种通信方法，该方法中的终端设备，还可以是终端设备中的部件(例如，芯片、电路或其它等)，该方法包括：终端设备接收第一AMF发送的第一ABBA参数和可选的第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新AMF密钥；所述终端设备根据所述第一ABBA参数和第二AMF的密钥，确定所述第一AMF的密钥。

在上述方法中，当终端设备的注册的AMF发生变更，或者，服务于终端设备的AMF发生变更时，终端设备可根据变更后AMF的安全特性，更新AMF的密钥，满足通信要求，抗降维攻击。

在一种可能的设计中，所述第一ABBA参数包括所述终端设备的安全特性和所述第一AMF的安全特性。

在一种可能的设计中，所述方法还包括：所述终端设备向所述第一AMF发送注册请求，所述注册请求中携带有所述终端设备的安全特性或者第二ABBA参数。

第三方面，提供一种通信方法，该方法中的第一AMF和第二AMF，均可还是为AMF中的部件(例如，芯片，电路或其它等)，包括：第二AMF向第一AMF发送终端设备的安全特性，以及所述第二AMF的密钥，所述第二ABBA参数中包括所述终端设备的安全特性以及所述第二AMF的安全特性；所述第一AMF根据所述终端设备的安全特性以及所述第一AMF的安全特性，确定第一ABBA参数；所述第一AMF根据所述第一ABBA参数和所述第二AMF的密钥，确定所述第一AMF的密钥。

在一种可能的设计中，所述第二AMF向第一AMF发送终端设备的安全特性，以及所述第二AMF的密钥，包括：所述第一AMF向所述第二AMF发送用于请求终端设备上下文的请求消息；所述第二AMF向所述第一AMF发送终端设备上下文，所述终端设备上下文中携带有所述终端设备的安全特性以及所述第二AMF的密钥。

在一种可能的设计中，在所述第一AMF根据所述终端设备的安全特性以及所述第一AMF的密钥，确定第一ABBA参数之前，所述方法还包括：所述第一AMF确定所述第二AMF的安全特性；所述第一AMF确定所述第一AMF与所述第二AMF的安全特性不同。

第四方面，提供一种装置，有益效果可参见第一方面的描述。所述通信装置具有实现上述第一方面的方法实施例中行为的功能。所述功能可以通过执行相应的硬件或软件。所述件或软件包括一个或多个与上述功能相对应的单元。

第五方面，提供一种装置，有益效果可参见第二方面的描述。所述通信装置具有实现上述第二方面的方法实施例中行为的功能。所述功能可以通过执行相应的硬件或软件。所述件或软件包括一个或多个与上述功能相对应的单元。

第六方面，提供了一种装置，该装置可以为上述方法实施例中的第一AMF，或者为设置在第一AMF中的芯片。该装置包括通信接口以及处理器，可选的，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器与存储器、通信接口耦合，当处理器执行所述计算机程序或指令时，使通信装置执行上述各方面中由第一AMF所执行的方法。

第七方面，提供了一种装置，该装置可以为上述方法实施例中的终端设备，或者为设置在终端设备中的芯片。该装置包括通信接口以及处理器，可选的，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器与存储器、通信接口耦合，当处理器执行所述计算机程序或指令时，使通信装置执行上述各方面中由终端设备所执行的方法。

第八方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码并运行时，使得上述各方面中由第一AMF或终端设备执行的方法被执行。

第九方面，本申请提供了一种芯片系统，该芯片系统包括处理器，用于实现上述各方面的方法中第一AMF或终端设备的功能。在一种可能的设计中，所述芯片系统还包括存储器，用于保存程序指令和/或数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十方面，本申请提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，当该计算机程序被运行时，实现上述各方面中由第一AMF或终端设备执行的方法。

第十一方面，本申请提供了一种系统，包括上述各方面所述的第一AMF、第二AMF或终端设备中的至少一个。

附图说明

图1为本申请实施例提供的使用ABBA抗降维攻击的一流程图；

图2a为本申请实施例提供的UE空闲态移动的安全处理的一流程图；

图2b和图2c为本申请实施例提供的不同场景的示意图；

图3为本申请实施例提供的N2切换的安全处理的一流程图；

图4为本申请实施例提供的UE从EPS切换到5GS的N2切换的安全处理的一流程图；

图5为本申请实施例提供的UE从EPS空闲态移动到5GS的安全处理的一流程图；

图6为本申请实施例提供的网络架构的一示意图；

图7a和图7b为本申请实施例提供的通信方法的流程图；

图8a为本申请实施例一提供的通信方法的一流程图；

图8b为本申请实施例提供的UE在5GS中空闲态移动注册中的安全特性协商和密钥更新流程的一流程图；

图9为本申请实施例提供的UE在N2切换中的安全特性协商和密钥更新的一流程图；

图10为本申请实施例提供的UE从EPS切换到5GS中的安全特性协商和密钥更新的一流程图；

图11为本申请实施例提供的UE空闲态从EPS移动到5GS中的安全特性协商和密钥更新的一流程图；

图12为本申请实施例二提供的通信方法的一流程图；

图13为本申请实施例提供的UE在5GS中空闲态从Old AMF移动到Target AMF的一流程图；

图14为本申请实施例三提供的通信方法的一流程图；

图15为本申请实施例提供的UE在5G的空闲态移动的一流程图；

图16为本申请实施例四提供的通信方法的一流程图；

如图17为本申请实施例提供的UE在5G的空闲态移动的一流程图；

图18和图19为本申请实施例四提供的通信方法的一流程图；

图20为本申请实施例提供的通信方法的一流程图；

图21为本申请实施例提供的UE在5GS的空闲态移动注册的流程图；

图22为本申请实施例提供的UE的N2切换流程的一流程图；

图23和图24为本申请实施例七提供的通信方法的一流程图；

图25为本申请实施例提供的UE的N2切换的一流程图；

图26为本申请实施例提供的通信装置的一示意图；

图27为本申请实施例提供的通信装置的另一示意图。

具体实施方式

为了便于理解，首先对本申请实施例中涉及的通信名词或术语进行解释说明，该通信名词或术词也作为发明内容的一部分。

1、架构间抗降维(anti-bidding down between architectures，ABBA)参数。

3GPP标准33.501的版本15(release 15，Rel-15)是5G通信系统架构和流程安全的第一个版本。随着5G通信系统架构和流程安全的不断演进，未来会演进到高阶版本。例如，版本16(release 16，Rel-16)和版本17(release 17，Rel-17)等。为了阻止未来出现降维攻击，33.501的版本15中定义了ABBA参数，ABBA参数可包括：

(1)UE支持的安全特性；

(2)网络功能支持的安全特性，或者，网络功能所选择的安全特性；

(3)可选的，其它；

在一种可能的实现方式中，ABBA参数中有16位可用于表示UE支持的安全特性，有16位表示网络设备所支持或选择的安全特性。

在本申请实施例中，为了便于区分，可将UE注册到Old AMF(Access and MobileManagement Function,接入和移动管理功能)时，网络侧设置的ABBA，称为ABBA_Old。该ABBA_Old中可包括Old AMF所支持或选择的安全特性，以及UE所支持的安全特性。可将UE注册到Target AMF时，网络侧设置的ABBA，称为ABBA_New。该ABBA_New中可包括Target AMF所支持或选择的安全特性，以及UE所支持的安全特性。在本申请中，Old AMF为UE在空闲态移动之前或者N2切换之前，服务UE的AMF，Target AMF为UE在空闲态移动之后或者N2切换后，服务UE的AMF；即服务UE的AMF发生变更，从Old AMF变更到Target AMF。

在本申请中，Target AMF还为UE从EPS空闲态移动到5GS之后或者从EPS切换到5GS之后，服务UE的AMF。

2、安全特性

由于当前标准33.501发布了Rel-15。因此，在5G通信系统中，UE和网络功能都是支持Rel-15版本。未来的5G通信系统，可能存在多个版本并存的情况。比如，部分UE支持Rel-15，部分UE支持post Rel-15(即Rel-15之后的版本)。部分基站支持Rel-15，部分基站支持post Rel-15等。在未来的5G通信系统中，UE在注册前，UE和网络设备都不知道对方的版本，也即不知道对方支持的安全特性。因此，UE和网络设备间需要进行安全特性的协商。在本申请实施例中，将Rel-16、Rel-17等，统称为post Rel-15。

需要说明的是，在本申请的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

图1示出了标准33.501中使用ABBA抗降维攻击的具体流程，包括：

步骤101，UE向AMF发送注册请求(registration request，RR)消息，所述RR消息中携带有UE支持的安全特性。可选的，所述RR消息有可能是没有保护的，所以攻击者可能篡改UE支持的安全特性，使得网络侧认为UE支持低版本的安全特性，造成降维攻击。

步骤102，SEAF(Security Anchor Function,安全锚点功能)决定发起主认证。其中，AMF与SEAF是合设的，可看做一个网络功能(network fuction，NF)。

步骤103，SEAF向认证服务功能(AUthentication Server Function，AUSF)发送认证服务请求。例如，认证服务请求可以为Nausf_UE Authentication_AuthenticateRequest。AUSF向SEAF返回认证服务响应。例如，认证服务响应可以为Nausf_UEAuthentication_Authenticate Response。

步骤104，SEAF可根据上述步骤101发送的UE支持的安全特性以及AMF所支持或选择的安全特性，设置架构间抗降维(anti-bidding down between architectures，ABBA)参数。

步骤105，SEAF通过AMF向UE发送认证请求。例如，该认证请求可以为authentication request。该认证请求中包括ABBA参数。

其中，UE在上述步骤105中接收到认证请求之后，可获取ABBA参数。根据ABBA参数，可确定AMF所支持或选择的安全特性。但是由于上述步骤105中的认证请求没有被保护，攻击者仍然可能篡改ABBA参数。因此，需要后续的认证流程检查ABBA参数是否被篡改。

步骤106，UE通过AMF向SEAF返回认证响应。例如，认证响应可以为authenticationresponse。

步骤107，SEAF向AUSF发送认证服务请求。例如，该认证服务请求可以是Nausf_UEAuthentication_Authenticate request。

步骤108，AUSF向SEAF返回认证服务响应。例如，该认证服务响应可以为Nausf_UEAuthentication_Authenticage response。该认证服务响应中可包括SEAF密钥，即K_SEAF。

步骤109，SEAF可根据上述步骤104所设置的ABBA参数以及上述步骤108中携带的K_SEAF，生成K_AMF。且SEAF将K_AMF发送给AMF。

步骤1010，AMF根据收到的K_AMF，生成非接入层(non-access-stratum，NAS)完整性密钥K_NASint和NAS加密密钥K_NASenc。

步骤1011，AMF向UE发送NAS安全模式命令(security mode command，SMC)，NASSMC中携带有ABBA参数，NAS SMC采用K_NASint进行完整性保护。

步骤1012，由于上述NAS SMC仅进行完整性保护，并没有进行加密保护。因此可认为上述ABBA参数是明文传输的。UE在接收到NAS SMC之后，可获取ABBA参数。UE可根据上述ABBA和K_SEAF，生成K_AMF密钥。进一步，根据K_AMF密钥，生成K_NASint和K_NASenc。并使用K_NASint验证上述NAS SMC的完整性。如果验证成功，说明ABBA没有被篡改。UE根据ABBA未被篡改可确定：UE发送给网络侧的UE支持的安全特性未被篡改；网络侧发送给UE的网络侧支持的或者选择的安全特性也未被篡改。在上述步骤1012之前，还可包括：UE生成K_SEAF。UE生成K_SEAF可在UE接收到认证请求(即步骤105)之后的任意时刻。

步骤1013,UE验证NAS SMC成功之后，可向AMF发送NAS安全模式完成(securitymode complete，SMP)消息。上述NAS SMP消息采用K_NASenc进行加密，采用K_NASint进行完整性保护。

其中，AMF在接收到NAS SMP之后，可采用K_NASint对NAS SMF进行完整性验证，采用K_NASenc对NAS SMP进行解密。两者的先后顺序，不作限定。如果验证成功，则网络侧可以确认：网络侧接收到的UE支持的安全特性没有被篡改，UE接收到的ABBA参数没有被篡改。

可选的，如果UE在上述步骤1012中对NAS SMC的完整性验证失败，则说明ABBA参数可能被篡改。因此，上述步骤1013可替换为：UE向AMF发送NAS安全模式拒绝消息。AMF在接收到NAS安全模式拒绝消息之后，AMF终止注册流程。

通过上述流程：UE和网络侧之间进行了安全特性的协商，并将ABBA作为参数之一生成K_AMF密钥，进一步根据K_AMF密钥，生成NAS完整性密钥和加密密钥。如果发生降维攻击(UE和/或网络设备侧发送的安全特性被篡改)，则UE和网络设备能检测到该篡改，并终止流程。

进一步，通过上述图1的流程可以看出，在上述抗降维攻击的过程中，UE和SEAF分别根据ABBA参数，生成K_AMF密钥。进一步，根据K_AMF密钥，生成NAS完整性密钥和加密密钥。之后，UE利用完NAS整性密钥对NAS SMC进行验证。如果验证成功，UE可确定UE发送给网络侧的UE支持的安全特性未被篡改。网络侧发送给UE的网络侧支持或选择的安全特性也未被篡改。SEAF可利用完整性密钥和/加密密钥对NAS SMP进行验证。如果验证成功，SEAF可确定网络侧发送给UE的网络侧支持的安全特性未被篡改，UE发送给网络侧的UE支持的安全特性也未被篡改。

针对上述提供一种场景，当发生AMF变化时，比如，UE空闲态移动，服务UE的AMF从老的AMF(Old AMF)变成目标AMF(Target AMF)，或者，发生N2切换，服务UE的AMF从Old AMF变成Target AMF，可能会存在Old AMF的安全特性与Target AMF的安全特性不同。此时，如何对上述K_AMF密钥进行更新，是本申请实施例待解决的问题。

如图2至图5所示，提供服务UE的AMF由Old AMF变到Target AMF、或者服务UE的网络功能从MME变成Target AMF的几种可能情形，以及每种情形下可能出现的问题。

图2a示出了标准33.501中定义的UE的5GS空闲态移动的安全处理的具体流程，该流程包括：

步骤201，UE注册到Old AMF。其中，Old AMF和UE之间建立安全上下文。Old AMF可为UE分配一个5G全球唯一临时身份(globally unique temporary UE identity,5G-GUTI)。

步骤202，UE在空闲态发生移动。例如，UE移动到Target AMF的注册域(reregistration area，RA)。

步骤203，UE向Target AMF发送注册请求(registration request，RR)消息，所述RR消息中可能携带有UE的5G-GUTI。

步骤204，如果RR中有5G-GUTI，则Target AMF根据5G-GUTI，确定Old AMF，并向OldAMF请求UE的安全上下文。例如，Target AMF可向Old AMF发送UE的安全上下文转移请求(Namf_communication_UEContextTransfer Request)消息。

步骤205，Old AMF向目标AMF发送UE的安全上下文，UE的安全上下文中包括AMF密钥，即K_AMF。例如，Old AMF可向Target AMF发送UE上下文转移响应(Namf_Communication_UEContextTransfer Response)消息，该UE上下文转移响应消息中可携带有UE的安全上下文。

步骤206，Target AMF根据本地策略，可以选择使用接收到的UE的安全上下文，即使用接收到的AMF密钥(即K_AMF)，根据接收到的AMF密钥，生成NAS加密和完整性密钥，对UE和目标AMF之间的通信进行保护。或者，Target AMF可根据本地策略，选择不使用接收到的安全上下文，发起认证流程。

在UE空闲态移动注册的过程中，可能会发生降维攻击。如图2b所示，考虑以下场景1：UE支持post Rel-15的安全特性，Old AMF支持Rel-15的安全特性，Target AMF支持postRel-15的安全特性。

当UE注册到Old AMF，Old AMF服务UE的期间，UE和Old AMF使用的安全特性，只能是Rel-15的。在AMF密钥推导时，使用的ABBA参数(称为ABBA_Old)中包括：UE的安全特性(为post Rel-15的安全特性)、Old AMF的安全特性(为Rel-15的安全特性)。

UE空闲态移动，并注册到Target AMF。UE和Target AMF同时支持post Rel-15的安全特性。按照现有流程，如果Target AMF决定使用Old AMF发送的安全上下文，则TargetAMF不会与UE协商安全特性。存在以下问题：

1)Target AMF和UE不知道对方支持的安全特性。UE和Target AMF使用Rel-15的安全特性。而实际上，UE和Target AMF同时支持post Rel-15的特性，这样就发生了安全特性降维。

2)此时的ABBA也应该更新为，包括：UE支持的安全特性(为post Rel-15的安全特性)、Target AMF支持的安全特性(为Post Rel-15的安全特性)。进一步，需要采用更新后的ABBA(称为ABBA_new)作为新的参数生成K_AMF密钥。然而在上核述图2a的流程中，当TargetAMF决定使用Old AMF发送的安全上下文时，其中的AMF密钥仍然是由ABBA_Old生成的。

因此，在上述场景1中，需要解决以下问题：当UE在空闲态移动中，UE和网络侧如何进行安全特性协商，生成新的ABBA(称为ABBA_New)，并采用ABBA_New生成AMF密钥。

如图2c所示，考虑以下场景2c：Old AMF和UE同时支持post Rel-15安全特性，Target AMF支持Rel-15安全特性，如下图所示。

UE在注册到Old AMF，Old AMF服务UE期间，Old AMF和UE使用post Rel-15安全特性。当UE空闲态移动注册到Target AMF之后，Target AMF和UE之间没有进行安全特性协商，Target AMF和UE不知道对方所支持的安全特性。UE仍然采用post Rel-15的安全特性，而Target AMF并不支持post Rel-15的安全特性，会导致UE和Target AMF之间的通信失败。在该场景下，同样需要解决：在UE的空闲态移动时，UE和网络侧如何进行安全特性协商，生成新的ABBA(称为ABBA_new)，并采用ABBA_new生成密钥等问题。

图3示出了标准33.501中定义的N2切换的安全处理的具体流程，该流程包括：

步骤301，UE注册到Old AMF，UE和Old AMF之间建立安全上下文。

步骤302，Old AMF发起N2切换。

步骤303，Old AMF向Target AMF发送创建上下文请求，所述创建上下文请求中携带有UE安全上下文，UE安全上下文中包括AMF密钥。例如，该创建上下文请求可以为Namf_Communication_CreateUEContext Request。

步骤304，其它N2切换中的流程。

步骤305，UE发起注册请求。例如，UE可以向Target AMF发送RR消息。

步骤306，Target AMF，根据本次策略，可以选择使用接收到的UE安全上下文；或者，根据本地策略，也可以选择不使用接收到的UE安全上下文，而是发起认证流程。

同样考虑上述场景1，UE和Target AMF支持post Rel-15安全特性，Old AMF支持Rel-15安全特性。当UE从Old AMF切换到Target AMF时，Target AMF和UE并不知道对方支持的安全特性，可能会导致安全特性降维。同样需要解决上述场景1的技术问题。

同样考虑上述场景2，UE和Old AMF支持post Rel-15安全特性，Target AMF支持Rel-15安全特性。当UE从Old AMF切换到Target AMF时，Target AMF没有跟UE进行安全特性协商，Target AMF和UE不知道对方支持的安全特征，UE用Post Rel-15安全特性，TargetAMF使用Rel-15安全特性，导致UE和Target AMF的通信失败。同样需要解决上述场景2中的技术问题。

图4示出了标准33.501中定义的UE从演进分组系统(evolved packet system，EPS)(即4G系统)切换到5G系统(5G system，5GS)的N26切换的安全处理流程，该流程包括：

步骤400，UE注册到移动管理实体(mobility management entity，MME)。

步骤401，MME决定发起N26切换。

步骤402，MME向Target AMF发送转发重定位请求。例如，该转发重定位请求可以为Forward Relocation Request。该转发重定位请求中包括UE的EPS安全上下文，该UE的EPS安全上下文中包括MME密钥K_ASME。

步骤403，Target AMF根据接收到的UE的EPS安全上下文，创建5G安全上下文。所述5G安全上下文中的AMF密钥即K_AMF是根据密钥K_ASME所生成的。可选的，Target AMF可根据生成的AMF密钥K_AMF以及选择的5G安全算法，生成NAS加密密钥和完整性密钥。

步骤404，Target AMF向MME发送转发重定位响应。例如，转发重定位响应可以为Forward Relocation Response。该转发重定位响应中包括NAS容器(NAS container，NASC)。该NASC中包括生成创建5G安全上下文所需的安全参数，例如，5G安全算法等。

步骤405，MME向UE发送切换命令(handover command)，该切换命令中携带有NASC。

步骤406,UE根据接收到的NASC中包括的安全参数，和UE的EPS安全上下文，创建5G安全上下文。

步骤407，UE向Target AMF发送注册请求RR消息。可选的，Target AMF接收到该注册请求RR消息之后，可根据本地策略，选择不进行主认证，或者，进行主认证。

在上述图4的流程中，Target AMF在接收到UE的RR消息之后，当Target AMF决定不进行认证时，有可能发生降维攻击。因为Target AMF和UE均根据UE的EPS安全上下文创建5G安全上下文，UE和Target AMF没有进行安全特性协商。UE和Target AMF不知道对方所支持的安全能力，UE和Target AMF均采用Rel-15的安全能力。而实际上，UE和Target AMF可能都是支持post Rel-15安全特性的。并且，UE和Target AMF使用的AMF密钥中，没有采用ABBA_New参数。需要解决的问题包括以下：

1、UE从EPS切换到5GS之后，需要和Target AMF进行安全特性协商。

2、根据UE和Target AMF所支持的安全特性，生成ABBA_New参数，将ABBA_New作为密钥的输入参数，生成新的密钥。

图5示出了标准33.501中定义的UE从EPS空闲态移动到5GS的安全处理的具体流程，该流程包括：

步骤500，UE注册到MME。

步骤501，UE空闲态移动到5GS。

步骤502，UE向Target AMF发送RR消息。可选的，该RR消息中可包括5G-GUTI。

步骤503，Target AMF在接收到UE发送的RR消息之后，向之前服务UE的MME发送上下文请求。例如，该上下文请求可以是Context Request。

步骤504，MME向Target AMF发送上下文响应。例如，该上下文响应可以是ContextResponse。该上下文响应中包括UE的EPS安全上下文。UE的EPS安全上下文中包括MME的密钥K_ASME。

步骤505，Target AMF根据接收到的UE的EPS安全上下文创建5G安全上下文。5G安全上下文中包括根据上述K_ASME推衍的AMF密钥K_AMF。

步骤506，如果Target AMF在RR消息中接收到5G-GUTI。则Target AMF可根据接收到的5G-GUTI，找到分配该5G-GUTI的Old AMF。并向Old AMF发送UE上下文请求消息。例如，该UE上下文请求消息可以是Namf_Communication_UEContextTransfer Request。

步骤507，Old AMF根据5G-GUTI，找到UE的5G安全上下文，并返回给Target AMF。例如，Old AMF可向Target AMF发送UE上下文响应，该UE上下文响应中包括5G安全上下文。例如，UE上下文响应可以为Namf_Communication_UEContextTransfer Response。

需要说明的是，如果Target AMF从Old AMF接收到5G安全上下文，则Target AMF丢弃上述步骤505中根据EPS安全上下文生成的5G安全上下文，而是使用从Old AMF处接收到的5G安全上下文。

步骤508，Target AMF如果从Old AMF处获取5G安全上下文失败，则Target AMF可根据本地策略，选择使用上述步骤505生成的5G安全上下文，或者发起主认证生成新的5G安全上下文。

步骤509，Target AMF向UE发送NAS SMC，用于和UE协商要使用的安全上下文和建立安全关联。

步骤5010，UE向Target AMF回复NAS SMP。UE和Target AMF之间的安全关联建立完成。

在上述图5所示的流程中，可以看出：Target AMF和UE通信使用的安全上下文，可以有以下几种情况的任一种：

1、Target AMF根据从MME处获取的EPS安全上下文，生成5G的安全上下文(称为映射的5G安全上下文，即mapped 5G security context)；

2、Target AMF从Old AMF处获取5G安全上下文。

3、Target AMF和UE进行主认证，生成新的5G安全上下文。

针对上述前两种情况，UE和Target AMF之间没有进行安全特性协商，UE和TargetAMF不知道各自对方的安全特性，默认使用Rel-15。而实际上，UE和Target AMF可能都支持Post Rel-15安全特性，这样发生了降维攻击。并且，根据UE和Target AMF支持的安全特性，可能生成新的ABBA参数，即ABBA_New参数，应该将ABBA_New作为参数，生成密钥供UE和AMF使用。但在现有的流程中，UE和Target AMF基于从MME或者Old AMF获取的密钥，没有使用ABBA_New参数，需要解决的问题，包括：

1、UE和Target AMF之间的安全特性协商。

2、根据UE和Target AMF支持的安全特性，生成ABBA_New参数。并将ABBA_New参数作为输入参数，生成新的密钥。

通过上述图2至图5所示场景的描述，当UE注册或切换到一个Target AMF时，需要解决以下两个问题：

1、UE和Target AMF之间安全特性的协商。

2、根据UE和Target AMF之间支持的安全特性，生成ABBA_New参数，并将ABBA_New作为输入参数生成新的K_AMF密钥，供UE和Target AMF使用。

基于上述，本申请实施例提供一种通信方法及装置，该方法包括：Target AMF确定UE的安全特性；Target AMF确定UE的安全特性，可以通过以下任一方式：Target AMF可通过与UE的安全特性协商，获取UE的安全特性；或者Target AMF可以从Old AMF处获取UE的安全特性；或者Target AMF根据本地存储和配置获取。Target AMF根据UE的安全特性和TargetAMF的安全特性，确定ABBA_New参数。Target AMF使用ABBA_New，推演新的AMF密钥；具体地，Target AMF获取Old AMF使用的AMF密钥，并根据Old AMF的AMF密钥和ABBA_New生成新的AMF密钥。

本申请实施例的通信方法，可应用于网络架构中。如图6所示，提供网络架构的示意图，包括接入网和核心网。

其中，接入网用于实现无线接入有关的功能，接入网设备是为终端设备提供接入的设备。接入网设备包括无线接入网(radio access network，RAN)设备和/或接入网(access network，AN)设备。RAN设备可以是第三代合作伙伴计划(3rd generationpartnership project，3GPP)中定义的接入网设备。AN设备可以是非3GPP(non-3GPP)定义的接入网设备。

RAN设备，主要负责空口侧的无线资源管理、服务质量(quality of service，QoS)管理、数据压缩和安全处理等。所述RAN设备可以包括各种形式的基站。例如，宏基站、微基站(小站)、中继站或接入点等。RAN设备包括但不限于：5G中的下一代基站(generationnodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio networkcontroller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或homenode B，HNB)、基带单元(baseband unit，BBU)、收发点(transmitting and receivingpoint，TRP)、发射点(transmitting point，TP)、移动交换中心等。RAN设备还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器、集中单元(centralized unit，CU)，和/或分布单元(distributed unit,DU)，或者RAN设备可以为中继站、接入点、车载设备、终端设备、可穿戴设备以及未来6G网络中的接入网设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)网络中的接入网设备等。

AN设备，用于使得终端设备与3GPP核心网之间可采用非3GPP技术互联互通。所述非3GPP技术包括但不限于：无线保真(wireless fidelity，WIFI)、全球微波互联接入(worldwide interoperability for microwave access，WiMAX)、码分多址(codedivision multiple access，CDMA)网络技术等。

其中，核心网设备可包括以下中的一个或多个网元：接入和移动管理功能(accessand mobility management function，AMF)网元、会话管理功能(session managementfunction，SMF网元)网元、用户面功能(user plane function，UPF网元)网元、策略控制功能(policy control function，PCF)网元、应用功能(application function，AF)网元、统一数据管理(unified data management，UDM)网元、认证服务器功能(authenticationserver function，AUSF)网元、网络切片选择功能(network slice selection function，NSSF)网元。

AMF网元：主要负责移动网络中的移动性管理，如用户位置更新、用户注册网络、用户切换等。SMF网元：主要负责移动网络中的会话管理，如会话建立、修改、释放。具体功能如为用户分配IP地址、选择提供报文转发功能的UPF网元等。UPF网元：主要负责用户数据的转发和接收。在下行传输中，UPF网元可以从数据网络(data network，DN)接收用户数据，通过接入网设备传输给终端设备；在上行传输中，UPF网元可以通过接入网设备从终端设备接收用户数据，向DN转发该用户数据。可选的，UPF网元中为终端设备提供服务的传输资源和调度功能可以由SMF网元管理控制。PCF网元：主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。AF网元：主要支持与3GPP核心网交互来提供服务，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。UDM网元，主要用于生成认证信任状，用户标识处理(如存储和管理用户永久身份等)，接入授权控制和签约数据管理等。AUSF网元，主要用于在终端设备接入网络时执行认证，包括接收安全锚点功能(security anchor function,SEAF)发送的鉴权请求，选择鉴权方法，以及向鉴权存储和处理功能(authentication repository andprocessing function，ARPF)请求鉴权向量等。NSSF网元，主要用于为终端设备选择网络切片实例，确定允许的网络切片选择辅助信息(network slice selection assistanceinformation，NSSAI)、配置NSSAI和确定服务UE的AMF集。

可选的，图6所示的网络架构中，还可包括：终端设备。终端设备可以简称为终端，是一种具有无线收发功能的设备，终端设备可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self driving)中的无线终端设备、远程医疗(remote medical)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备，以及还可以包括用户设备(userequipment，UE)等。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来第五代(the 5thgeneration，5G)网络中的终端设备或者未来演进的公用陆地移动通信网络(public landmobile network，PLMN)中的终端设备等。终端设备有时也可以称为终端设备、用户设备(user equipment，UE)、接入终端设备、车载终端设备、工业控制终端设备、UE单元、UE站、移动站、移动台、远方站、远程终端设备、移动设备、UE终端设备、终端设备、无线通信设备、UE代理或UE装置等。终端设备也可以是固定的或者移动的。本申请实施例对此并不限定。作为示例而非限定，在本申请实施例中，终端设备可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大功能的设备。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。在本申请中，终端设备可以是物联网(internet of things，IoT)系统中的终端，IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。本申请中的终端设备可以是机器类型通信(machine type communication，MTC)中的终端设备。本申请的终端设备可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元，车辆通过内置的所述车载模块、车载模组、车载部件、车载芯片或者车载单元可以实施本申请的方法。因此，本申请实施例可以应用于车联网，例如车辆外联(vehicle toeverything，V2X)、车间通信长期演进技术(long term evolution vehicle，LTE-V)、车到车(vehicle to vehicle，V2V)等。

可选的，在图6所示的网络架构中，还可包括：DN。DN可以是为用户提供数据业务服务的服务网络。例如，DN可以是IP多媒体业务(IP multi-media service)网络或互联网(internet)等。其中，终端设备可以建立从终端设备到DN的协议数据单元(protocol dataunit，PDU)会话，来访问DN。

需要说明的是，在不同的通信系统中，上述核心网中的网元可以有不同的名称。在上述图6所示的示意图中，是以第五代移动通信系统为例进行说明的，并不作为对本申请的限定。进一步，上述图6中的核心网网元仅为示意性说明，并不作为对本申请实施例的限定。比如，在图6所示的网络架构中，核心网网元还可包括：网络开放功能(network exposurefunction，NEF)、网络存储器功能(network repository function，NRF)、或业务控制点(service control point，SCP)等中的一个或多个网元等。

在本申请的描述中，以第一AMF为Target AMF，第二AMF为Old AMF，终端设备为UE，ABBA_New参数为第一ABBA参数，ABBA_Old参数为第二ABBA参数为例进行介绍。

在本申请的描述中，UE的安全特性，可具体为UE支持的安全特性，或者，UE选择的安全特性。Target AMF的安全特性，可具体为Target AMF支持的安全特性，或者，TargetAMF选择的安全特性。Old AMF的安全特性，可具体为Old AMF支持的安全特性，或者，OldAMF选择的安全特性。

在本申请的描述中，“安全特性”与“支持的安全特性”和“选择的安全特性”，三者间可相互替代，不作区分。除此之外，在本申请的描述中，ABBA_Old和ABBA_old可相互替代。ABBA_New和ABBA_new可相互替代。AMF密钥可为K_AMF，MME密钥可为K_ASME。ABBA_New包括UE的安全特性以及Target AMF的安全特性；或者ABBA_New包括UE安全特性的指示以及TargetAMF的安全特性的指示。ABBA_Old包括UE的安全特性以及Old AMF的安全特性；或者ABBA_Old包括UE安全特性的指示以及Old AMF的安全特性的指示。

在本申请的描述中，Old AMF的AMF密钥或者Old AMF的密钥，是指UE注册到OldAMF(或者Old AMF服务UE)时，UE和Old AMF使用的AMF密钥。UE是在认证过程中，生成该AMF密钥。Old AMF则是由SEAF向Old AMF发送的该AMF密钥。

在本申请中，Old AMF的密钥，Old AMF的AMF密钥，Old AMF向Target AMF发送的AMF密钥，以及Target AMF接收到Old AMF发送的AMF密钥，都是同一个，可交替使用。

请参见图7a所示，为本申请实施例提供的通信方法的一流程图。包括但不限于以下步骤：

步骤701a，Target AMF确定UE的安全特性。

步骤701a，Target AMF确定Old AMF的AMF密钥。

可选的，通过上述描述可知，UE和Target AMF可支持一种或多种安全特性。例如，在当前标准33.501中，UE和Target AMF可仅支持Rel-15的安全特性。在未来的演进中，UE和Target AMF可支持Rel-16和Rel-17等安全特性。

在一种可能的实现方式中，Target AMF可通过以下的任一种方式，获取UE支持的安全特性：Old AMF向Target AMF发送UE支持的安全特性；Target AMF从本地存储中获取UE支持的安全特性；Old AMF向Target AMF发送ABBA_Old参数，所述AABA_Old参数中包括UE的安全特性或UE的安全特性的指示，以及Old AMF的安全特性或Old AMF的安全特性的指示。

在一种可能的实现方式中，Target AMF可通过以下方式，获取Old AMF的AMF密钥：Old AMF向Target AMF发送Old AMF的AMF密钥。例如，Target AMF可向Old AMF发送用于请求终端设备上下文的请求消息。Old AMF在接收到上述请求时，向Target AMF发送UE上下文，所述UE上下文中携带有Old AMF的AMF密钥。又例如，Old AMF向Target AMF发送创建上下文请求，在该请求中，包括Old AMF的AMF密钥。在本申请中年，Old AMF发送给Target AMF的AMF密钥，可以是Old AMF当前的AMF密钥，或者Old AMF将当前AMF密钥进行水平K_AMF推衍生成的密钥。

步骤702a，Target AMF根据UE的安全特性和Target AMF的安全特性，确定ABBA_New参数。

步骤703a，Target AMF根据ABBA_New参数和Old AMF的AMF密钥，确定Target AMF的AMF密钥，也成为新的AMF密钥。之后，Target AMF可根据Target AMF的AMF密钥，推衍NAS完整性密钥和加密密钥。并根据NAS完整性密钥和加密密钥，对UE和网络设备之间的通信进行完整性保护和加密保护。保证通信安全。

可选的，步骤704a，Target AMF向UE发送ABBA_New参数和可选的第一指示信息。在本申请中，第一指示信息用于指示UE根据ABBA_New参数更新AMF密钥或者用于指示UE更新AMF密钥。

UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE在接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用ABBA_New和Old AMF的AMF密钥。

可选的，在Target AMF根据UE的安全特性以及Target AMF的安全特性，确定ABBA_New参数之前，所述方法还包括Target AMF确定Old AMF的安全特性；当Target AMF与OldAMF的安全特性不同时，再执行上述步骤702a-704a中的步骤，否则不再执行。

请参见图7b所示，为本申请实施例提供的通信方法的另一流程图，包括但不限于以下步骤：

步骤701b，Target AMF确定UE的安全特性。Target AMF确定UE安全特性的方式，见701a描述。

步骤701b，Target AMF确定MME的MME密钥K_ASME。

在一种可能的实现方式中，Target AMF可通过以下方式，获取MME的MME密钥：MME向Target AMF发送MME密钥。例如，Target AMF向MME发送上下文请求，MME回复上下文响应，并在该响应中包括MME的MME密钥K_ASME。又例如，MME向Target AMF发送转发重定位请求(Forward Relocation Request)，并在该请求中包括MME的MME密钥K_ASME等，不作限定。关于上述Target AMF确定UE的安全特性的方式，可参见上述图7a中的记载，在此不再说明。

步骤702b，Target AMF根据UE的安全特性和Target AMF的安全特性，确定ABBA_New参数。

步骤703b，Target AMF根据ABBA_New参数和MME密钥，确定Target AMF的AMF密钥。

可选的，步骤704b，Target AMF可向UE发送ABBA_New参数和可选的第一指示信息。UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE在接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用的参数包括ABBA_New和MME密钥。

实施例一

在以下实施例中，如无特别说明，AMF和SEAF合设，视为同一个网络功能(networkfuction，NF)，即Target AMF和SEAF是同一个NF，可交替使用。

参见图8a，在一种可能的实现方式中，Target AMF可获取UE支持的安全特性。例如，Target AMF可接收Old AMF发送的UE支持的安全特性，或者，Target AMF可从本地存储中获取UE支持的安全特性，或者，Target AMF可接收Old AMF发送的ABBA_Old参数。之后，Target AMF根据UE和Target AMF支持的安全特性，设置ABBA_New。Target AMF推衍新的AMF密钥，即K_AMF。Target AMF向UE发送ABBA_New参数。可选的，Target AMF还可向UE发送Indicator1。Indicator1用于指示UE更新AMF密钥或者使用ABBA_New生成密钥。UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE在接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式。

图8b示出了实施例一的一具体流程，例如，该流程可以为UE在5GS中空闲态移动注册中的安全特性协商和密钥更新流程的示意图，包括但不限于以下步骤：

步骤801，UE注册到Old AMF。

步骤802，UE空闲态移动。

步骤803，UE向Target AMF发送注册请求RR消息，RR消息中可能携带有UE的5G-GUTI。

步骤804，如果RR中有5G-GUTI，则Target AMF向Old AMF发送UE上下文请求消息。例如，UE上下文请求消息可以为Namf_Communication_UEContextTransfer Request。

步骤805，OldAMF向Target AMF发送UE上下文响应消息。例如，UE上下文响应消息可以是Namf_Communication_UEContextTransfer Response。所述UE上下文响应消息中携带有UE支持的安全特性，或者，ABBA_Old参数。所述UE上下文响应消息中还包括Old AMF的AMF密钥。该AMF密钥可以是Old AMF使用的AMF密钥，或者Old AMF对该使用的AMF密钥进行水平K_AMF推演而生成的新的密钥。在本申请中，Old AMF发送给Target AMF的AMF密钥，统称为Old AMF的AMF密钥，可以为上述两种的任何一种(即Old AMF使用的AMF密钥，或者对该使用的AMF密钥进行水平K_AMF推演后生成的新的密钥)，后面不再一一说明。

步骤806，Target AMF根据UE支持的安全特性以及Target AMF所支持的安全特性，生成ABBA_New参数。Target AMF获取UE的安全特性，可以通过以下方式：Old AMF发送的UE安全特性；Old AMF发送的ABBA_Old；Target AMF从本地配置和存储中获取。Target AMF生成新的AMF密钥。生成新的AMF密钥使用的参数包括：从Old AMF处接收到的AMF密钥和ABBA_New。Target AMF使用生成的新的AMF密钥，生成NAS加密密钥和完整性密钥。

步骤807，Target AMF向UE发送NAS SMC，所述NAS SMC中携带有ABBA_New参数。可选的，NAS SMC中还可包括第一指示。第一指示可称为indicatior1，用于指示UE进行AMF密钥推衍或使用ABBA_News生成AMF密钥。

步骤808，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE在接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用ABBA_New和Old AMF的AMF密钥。然后UE根据生成的新的AMF密钥，生成NAS加密密钥和完整性密钥。

图9示出了实施例一的另一具体流程。例如，该流程可为UE在N2切换中的安全特性协商和密钥更新流程，该流程包括但不限于：

步骤901，UE注册到Old AMF。

步骤902，Old AMF发起切换。

步骤903，Old AMF向Target AMF请求创建UE上下文。例如，Old AMF可向TargetAMF发送创建UE上下文请求消息。例如，该创建UE上下文请求消息可以为Namf_Communication_CreateUEContext Request。所述创建UE上下文请求消息中可携带有UE支持的安全特性，或者，ABBA_Old参数。

步骤904，Target AMF根据接收到的UE支持的安全特性(或者，接收到的ABBA_Old中指示的UE支持的安全特性，或者，本地存储的UE支持的安全特性)，以及Target AMF支持的安全特性，设置ABBA_New。Target AMF生成新的AMF密钥。生成新的AMF密钥使用的参数包括：从Old AMF处接收到的Old AMF的AMF密钥和ABBA_New。Target AMF将推衍的新的密钥作为AMF密钥，根据该新的AMF密钥生成NAS加密密钥和完整性密钥。

步骤905，Target AMF向Old AMF返回创建UE上下文的响应消息。所述创建UE上下文的响应消息可以是Namf_Communication_CreateUEContext Response。该创建UE上下文的响应消息中包括ABBA_New。可选的，该创建UE上下文的响应消息中还可包括Indicator1。该Indicator1用于指示UE进行AMF密钥推衍，或使用ABBA_New生成AMF密钥。

步骤906，Old AMF通过接入网向UE发送ABBA_New和可选的Indicator1。Old AMF如果从Target AMF处接收到Indicator1，则向UE转发该Indicator1。

步骤907，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用ABBA_New和Old AMF的AMF密钥。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。

图10为实施例一的另一具体流程。例如，该流程可以为UE从EPS切换到5GS中的安全特性协商和密钥更新流程，该流程包括但不限于：

步骤1000：UE注册到MME。

步骤1001：MME决定发起N26切换。

步骤1002：MME向Target AMF发送转发重定位请求消息。例如，该转发重定位请求消息可以是Forward Relocation Request。

步骤1003：Target AMF创建5G安全上下文。

步骤1004：Target AMF向MME发送转发重定位响应消息。例如，该转发重定位响应消息可以是Forward Relocation Response。该转发重定位响应消息中携带有NASC。

步骤1005：MME向UE发送切换命令。例如，该切换命令可以是Handover Command。

步骤1006：UE创建5G安全上下文。

步骤1007：UE向Old AMF发送RR消息，该RR消息中可能包括5G-GUTI。

步骤1008：如果RR中包括5G-GUTI，则Target AMF向Old AMF发送UE上下文请求消息，该上下文请求消息可以为Namf_Communication_UEContextTransfer Request。

步骤1009：Old AMF向Target AMF发送UE上下文请求响应消息，该上下文请求响应消息可以为Namf_Communication_UEContextTransfer Response。该上下文请求响应消息中可包括UE支持的安全特性，或者ABBA_Old参数。该上下文请求响应消息中包括Old AMF的AMF密钥。

步骤10010：Target AMF根据接收到的UE支持的安全特性(或者，接收到的ABBA_Old中指示的UE支持的安全特性，或者，本地存储的UE支持的安全特性)，以及Target AMF支持的安全特性，生成ABBA_New参数。进一步，Target AMF根据ABBA_New参数，推演新的AMF密钥。Target AMF根据新的AMF密钥，生成NAS加密密钥和完整性密钥。

步骤10011：Target AMF向UE发送NAS SMC，该NAS SMC中携带有上述ABBA_New参数，以及可选的Indicator1，所述Indicator1用于指示UE使用ABBA_New参数推演新的AMF密钥；或者用于指示UE进行AMF密钥推演。

步骤10012：如果UE接收到Indicator1，则UE根据接收到的Indicator1，采用与网络侧相同的方式推衍新的AMF密钥。如果UE接收到ABBA_New，没有接收到indicator1，则UE根据ABBA_New，采用与网络侧相同的方式推演新的AMF密钥。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。

图11为实施例一的另一具体流程。例如，该流程可以为UE空闲态从EPS移动到5GS中的安全特性协商和密钥更新流程。该流程包括但不限于：

步骤1100：UE注册到MME。

步骤1101：UE空闲态移动。

步骤1102：UE向Target AMF发送RR消息。RR中可能携带5G-GUTI。

步骤1103：Target AMF向MME发送上下文请求消息，上下文请求消息可以为Context Request。

步骤1104：MME向Target AMF发送上下文响应消息，上下文响应消息可以为Context Response。该上下文响应消息中可包括EPS安全上下文。

步骤1105：Target AMF创建5G安全上下文。

步骤1106：如果RR中携带5G-GUTI，则Target AMF向Old AMF发送UE上下文请求，UE上下文请求可以为Namf_Communication_UEContextTransfer Request。

步骤1107：Old AMF向Target AMF发送UE上下文响应，UE上下文响应可以为Namf_Communication_UEContextTransfer Response。该UE上下文响应中包括UE支持的安全特性，或者，ABBA_Old参数。该UE上下文响应中包括Old AMF的AMF密钥。

步骤1108：Target AMF根据接收到的UE支持的安全特性(或者，接收到的ABBA_Old中指示的UE支持的安全特性，或者，本地存储的UE支持的安全特性)，以及Target AMF支持的安全特性，确定ABBA_New参数。且根据ABBA_New参数，生成新的AMF密钥。Target AMF根据新的AMF密钥，生成NAS加密密钥和完整性密钥。Target AMF生成新的AMF密钥使用的参数包括ABBA_New和Old AMF的AMF密钥。

步骤1109：Target AMF向UE发送NAS SMC，该NAS SMC中携带有ABBA_New参数和可选的Inicator1，Indicator1用于指示UE使用ABBA_New参数，更新AMF密钥；或者用于指示UE进行AMF密钥推演。

步骤11010：UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用的参数包括ABBA_New和Old AMF的AMF密钥。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。

在上述实施例一中，实现了Target AMF和UE之间进行安全特性协商，且将ABBA_New作为推演AMF的密钥。

实施例二

实施例二与实施例一不同的是，Target AMF获取UE支持的安全特性之后，TargetAMF发起主认证流程。通过主认证流程，UE和Target AMF会进行安全特性协商，生成ABBA_New参数，并根据ABBA_New参数推演新的AMF密钥。

如图12所示，在一种可能的实现方式中，Target AMF从Old AMF处获取UE支持的安全特性。例如，Old AMF可向Target AMF发送UE支持的安全特性，或者，ABBA_Old参数。或者，Target AMF可从本地存储中获取UE支持的安全特性。之后，Target AMF根据UE支持的安全特性以及Target AMF支持的安全特性，设置ABBA_New，发起主认证流程，并将设置的ABBA_New发送给UE。例如，Target AMF可以向UE发送认证请求(authentication request)，所述认证请求中携带上述ABBA_New。

如图13所示，提供实施例二的一具体流程。例如，该流程可以是UE在5GS中空闲态移动的流程。该流程包括但不限于：

步骤1301：UE注册到Old AMF。

步骤1302，UE空闲态移动。

步骤1303，UE向Target AMF发送注册请求(registration requst，RR)消息，该RR消息中可选的携带有5G-GUTI。

步骤1304，如果RR中有5G-GUTI，则Target AMF向Old AMF发送UE上下文请求消息。例如，该UE上下文请求消息可以是Namf_Communication_UEContextTransfer Request。

步骤1305，Old AMF向Target AMF发送UE上下文响应消息。例如，该UE上下文响应消息可以是Namf_Communication_UEContextTransfer Response。该UE上下文响应消息中可包括UE支持的安全特性或者ABBA_Old。

步骤1306，Target AMF根据接收到的UE支持的安全特性(或者，接收到的ABBA_Old中指示的UE支持的安全特性，或者，本地存储的UE支持的安全特性)，以及Target AMF支持的安全特性，设置ABBA_New。

步骤1307，Target AMF向UE发送认证请求(authentication request)，所述认证请求中携带上述ABBA_New。UE使用接收到的ABBA_New生成AMF密钥。

需要说明的是，在本申请实施例中，对UE的N2切换、从EPS至5GS切换、从EPS到5GS的空闲态移动的过程，与上述相似。

针对UE的N2切换(从Old AMF切换到Target AMF)场景，除了以下步骤，与图3所示流程的描述相同，不同的步骤为：

步骤303：Old AMF向Target AMF请求创建UE上下文。例如，Old AMF可向TargetAMF发送创建UE上下文请求消息。例如，该创建UE上下文请求消息可以为Namf_Communication_CreateUEContext Request。所述创建UE上下文请求消息中可携带有UE支持的安全特性，或者，ABBA_Old参数。

Target AMF根据接收到的UE支持的安全特性(或者，接收到的ABBA_Old中指示的UE支持的安全特性，或者，本地存储的UE支持的安全特性)，以及Target AMF的安全特性，生成ABBA_New。Target AMF生成ABBA_New可发生在步骤303和306之间的任意时刻。

步骤306:Target AMF向UE发送认证请求，并在认证请求中携带ABBA_New。

UE使用ABBA_New生成AMF密钥。

针对UE从EPS到5GS的切换场景，除了以下步骤，与图10所示的流程相同，不同步骤为：

步骤10010：Target AMF根据接收到的UE支持的安全特性(或者，接收到的ABBA_Old中指示的UE支持的安全特性，或者，本地存储的UE支持的安全特性)，以及Target AMF支持的安全特性，生成ABBA_New参数。

步骤10011：Target AMF向UE发起认证请求，认证请求中携带ABBA_New。

步骤10012：UE使用接收到的ABBA_New，生成AMF密钥。

针对UE空闲态从EPS移动到5GS的场景，除了以下步骤与图11所示的流程相同，不同步骤为：

步骤1108：Target AMF根据接收到的UE支持的安全特性(或者，接收到的ABBA_Old中指示的UE支持的安全特性，或者，本地存储的UE支持的安全特性)，以及Target AMF支持的安全特性，确定ABBA_New参数。

步骤1109：Target AMF向UE发送认证请求，并在该认证请求中包括ABBA_New。

步骤11010：UE使用接收到的ABBA_New生成AMF密钥。

在上述实施例二中，实现了Target AMF和UE之间进行安全特性协商，且将ABBA_New作为密钥推演的参数，推演AMF密钥。

实施例三

如图14所示，在一种可能的实现方式中，Target AMF获取Old AMF支持的安全特性，以及UE支持的安全特性。例如，Target AMF可以接收Old AMF发送的UE支持的安全特性，以及Old AMF支持的安全特性。或者，Target AMF可以接收Old AMF发送的ABBA_Old，该ABBA_Old中包括UE支持的安全特性和Old AMF支持的安全特性。或者，Target AMF可根据本地存储，获取UE支持的安全特性和/或Old AMF支持的安全特性。之后，Target AMF可判断Target AMF与Old AMF所支持的安全特性是否相同。如果Old AMF支持的安全特性，与Target AMF所支持的安全特性不同，则Target AMF可根据UE和Target AMF支持的安全特性，设置ABBA_New。Target AMF根据设置的ABBA_New，推衍新的AMF密钥，并通知UE进行AMF密钥推衍。例如，Target AMF可向UE发送NAS SMC，该NAS SMC中携带有ABBA_New以及可选的Indicator1，该Indicator1用于指示UE进行AMF密钥更新或者根据ABBA_New生成新的AMF密钥。

实施例三与上述实施例一的不同之处在于：

1、Target AMF需要获取Old AMF支持的安全特性。

2、Target AMF判断Target AMF和Old AMF支持的安全特性是否相同。如果不同，则Target AMF才设置ABBA_New，并推演密钥。否则，不再设置ABBA_New。

图15示出了实施例三的一种流程，该流程可以为UE在5G的空闲态移动的具体流程，包括但不限于：

步骤1501，UE注册到Old AMF。

步骤1502，UE空闲态移动。

步骤1503，UE向Target AMF发送注册请求(registration request，RR)消息。该RR消息中可选的包括5G-GUTI。

步骤1504，Target AMF向Old AMF发送UE上下文请求。例如UE上下文请求可以是Namf_Communicaiton_UEContextTransfer Request。

步骤1505，Old AMF向Target AMF发送UE上下文响应。例如UE上下文响应可以是Namf_Communicaiton_UEContextTransfer Request。该UE上下文响应中携带有UE支持的安全特性和/或，Old AMF支持的安全特性，和/或ABBA_Old。ABBA_Old中包括UE的安全特性，以及Old AMF的安全特性。进一步，该UE上下文响应中还携带有Old AMF的AMF密钥。

步骤1506，如果Old AMF支持的安全特性与Target AMF支持的安全特性不同，则Target AMF根据UE和Target AMF的安全特性，确定ABBA_New。Target AMF使用ABBA_New推衍AMF密钥。Target AMF推衍AMF密钥还可使用Old AMF的AMF密钥。也就是说，Target AMF可根据ABBA_New以及Old AMF的AMF密钥,推衍AMF密钥。Target AMF获取UE安全特性或OldAMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或Old AMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

步骤1507，Target AMF向UE发送NAS SMC，该NAS SMC中携带有ABBA_New，以及可选的Indicator1。该Indicator1用于指示UE进行AMF密钥推演，或者根据ABBA_New生成新的AMF密钥。

步骤1508，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用的参数包括ABBA_New和Old AMF的AMF密钥。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。

关于UE的N2切换、UE空闲态从EPS移动到5GS，UE从EPS切换到5GS的流程，与上述相似。

针对UE的N2切换(从Old AMF切换到Target AMF)场景，除了以下步骤与图9所示的流程和描述相同，不同的步骤为：

步骤903，Old AMF向Target AMF请求创建UE上下文。例如，Old AMF可向TargetAMF发送创建UE上下文请求消息。例如，该创建UE上下文请求消息可以为Namf_Communication_CreateUEContext Request。所述创建UE上下文请求消息中可携带有UE支持的安全特性，和/或，Old AMF的安全特性，和/或，ABBA_Old参数。

步骤904，如果Old AMF支持的安全特性与Target AMF支持的安全特性不同，则Target AMF根据UE和Target AMF的安全特性，确定ABBA_New。Target AMF使用ABBA_New推衍AMF密钥。Target AMF推衍AMF密钥还使用Old AMF的AMF密钥。Target AMF获取UE安全特性或Old AMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或OldAMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

针对UE从EPS到5GS的切换场景，除了以下步骤与图10所示的流程相同，不同的步骤为：

步骤1009：Old AMF向Target AMF发送UE上下文请求响应消息，该上下文请求响应消息可以为Namf_Communication_UEContextTransfer Response。该上下文请求响应消息中可包括UE支持的安全特性，和/或，Old AMF的安全特性，和/或，ABBA_Old参数。

步骤10010：如果Old AMF支持的安全特性与Target AMF支持的安全特性不同，则Target AMF根据UE和Target AMF的安全特性，确定ABBA_New。Target AMF使用ABBA_New推衍AMF密钥。Target AMF推衍AMF密钥还使用Old AMF的AMF密钥。Target AMF获取UE安全特性或Old AMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或OldAMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

针对UE空闲态从EPS移动到5GS的场景，除以下步骤与图11所示的流程相同，不同步骤为：

步骤1107：Old AMF向Target AMF发送UE上下文响应，UE上下文响应可以为Namf_Communication_UEContextTransfer Response。该UE上下文响应中包括UE支持的安全特性，和/或，Old AMF的安全特性，和/或，ABBA_Old参数。

步骤1108：如果Old AMF支持的安全特性与Target AMF支持的安全特性不同，则Target AMF根据UE和Target AMF的安全特性，确定ABBA_New。Target AMF使用ABBA_New推衍AMF密钥。Target AMF推衍AMF密钥还使用Old AMF的AMF密钥。Target AMF获取UE安全特性或Old AMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或OldAMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

在上述实施例三中，实现了Target AMF和UE之间进行安全特性协商，且将ABBA_New作为密钥推衍的参数，作为AMF密钥。

实施例四

如图16所示，在实施例四中，Target AMF获取UE支持的安全特性和Old AMF支持的安全特性。如果Old AMF支持的安全特性与Target AMF支持的安全特性不同，则Target AMF根据获取到的UE支持的安全特性和Target AMF支持的安全特性，设置ABBA_New参数，发起主认证流程，并将设置的ABBA_New参数通过主认证流程发送给UE。例如，Target AMF可向UE发送认证请求(authentication request)，该认证请求中携带有ABBA_New参数。

Target AMF获取UE支持的安全特性和/或Old AMF支持的安全特性，可以通过以下方式中的任一种：

1、Old AMF向Target AMF发送UE支持的安全特性和/或Old AMF支持的安全特性。

2、Old AMF向Target AMF发送ABBA_Old。

3、Target AMF根据本地存储或者配置，获取UE支持的安全特性和/或Old AMF支持的安全特性。

实施例四与实施例二的不同之处，在于：

1、Target AMF要获取Old AMF支持的安全特性。

2、Target AMF判断Target AMF和Old AMF支持的安全特性是否相同。如果不同，Target AMF才设置ABBA_New参数，发起主认证。

如图17所示，提供实施例四的一种流程。该流程可以为UE在5G的空闲态移动的具体流程，该流程包括但不限于：

步骤1701，UE注册到Old AMF。

步骤1702，UE空闲态移动。

步骤1703，UE向Target AMF发送注册请求(reqistration request，RR)。该注册请求中可选的携带有5G-GUTI。

步骤1704，如果RR中5G-GUTI，Target AMF向Old AMF发送UE上下文请求消息。例如，该UE上下文请求消息可以是Namf_Communicaiton_UEContextTransfer Request。

步骤1705，Old AMF向Target AMF发送UE上下文响应消息。例如，该UE上下文响应消息可以是Namf_Communicaiton_UEContextTransfer Response。该UE上下文响应消息中包括UE安全的安全特性，和/或，Old AMF支持的安全特性，和/或，ABBA_Old。

步骤1706，如果Old AMF与Target AMF所支持的安全特性不同，则Target AMF根据UE支持的安全特性以及Target AMF支持的安全特性，确定ABBA_New。

Target AMF获取UE安全特性或Old AMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或Old AMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

步骤1707，Target AMF向UE发送认证请求(authentication request)，该认证请求中包括ABBA_New。

关于UE的N2切换、UE空闲态从EPS移动到5GS，UE从EPS切换到5GS，与上述过程相似。

针对UE的N2切换(从Old AMF切换到Target AMF)场景，除了以下步骤与图3所示的流程和描述相同，该不同步骤为：

步骤303：Old AMF向Target AMF请求创建UE上下文。例如，Old AMF可向TargetAMF发送创建UE上下文请求消息。例如，该创建UE上下文请求消息可以为Namf_Communication_CreateUEContext Request。所述创建UE上下文请求消息中可携带有UE支持的安全特性，和/或，Old AMF的安全特性，和/或，ABBA_Old参数。

如果Old AMF与Target AMF所支持的安全特性不同，则Target AMF根据UE支持的安全特性以及Target AMF支持的安全特性，确定ABBA_New。Target AMF设置ABBA_New可发生在步骤303和306之间的任意时刻。Target AMF获取UE安全特性或Old AMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或Old AMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

UE使用ABBA_New生成AMF密钥。

针对UE从EPS到5GS的切换场景，除了以下步骤与图10所示的流程相同，该不同步骤为：

步骤1009：Old AMF向Target AMF发送UE上下文请求响应消息，该上下文请求响应消息可以为Namf_Communication_UEContextTransfer Response。该上下文请求响应消息中可包括UE支持的安全特性，和/或Old AMF的安全特性，和/或ABBA_Old参数。

步骤10010：如果Old AMF与Target AMF所支持的安全特性不同，则Target AMF根据UE支持的安全特性以及Target AMF支持的安全特性，确定ABBA_New。Target AMF获取UE安全特性或Old AMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或Old AMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

步骤10012：UE使用接收到的ABBA_New生成AMF密钥。

针对UE空闲态从EPS移动到5GS的场景，除了以下步骤与图11所示的流程相同，该不同步骤为：

步骤1107：Old AMF向Target AMF发送UE上下文响应，UE上下文响应可以为Namf_Communication_UE ContextTransferResponse。该UE上下文响应中包括UE支持的安全特性，和/或，ABBA_Old参数,和/或，Old AMF的安全特性。

步骤1108：如果Old AMF与Target AMF所支持的安全特性不同，则Target AMF根据UE支持的安全特性以及Target AMF支持的安全特性，确定ABBA_New。Target AMF获取UE安全特性或Old AMF安全特性，可以通过以下任意一种方式：根据Old AMF发送的UE安全特性或Old AMF安全特性；根据Old AMF发送的ABBA_Old；根据本次配置或存储。

步骤11010：UE使用接收到的ABBA_New生成AMF密钥。

在上述实施例四中，实现了Target AMF和UE之间进行安全特性协商，且将ABBA_New作为推衍AMF的参数。

实施例五

实施例五与上述实施例一至实施例四的不同之处在于，Target AMF从UE处获取UE安全特性和/或ABBA_Old，ABBA_Old中包括UE支持的安全特性和Old AMF支持的安全特性。Target也可以从本地配置或者存储中获取UE安全特性和/或Old AMF的安全特性。TargetAMF获取到上述UE支持的安全特性和/或Old AMF支持的安全特性之后，可执行以下四种操作的任何一种。可参见图18所示。

操作一：根据获取到的UE的安全特性，和Target AMF支持的安全特性，确定ABBA_New；Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。Target AMF根据ABBA_New，生成AMF密钥。生成AMF密钥使用的参数包括设置的ABBA_New。Target AMF将设置的ABBA_New和可选的Indicator1发送给UE。UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用的参数包括ABBA_New。然后UE根据新生成的AMF密钥生成NAS加密密钥和完整性密钥。参考实施例一，与实施例一的区别在于Target AMF获取安全特性的方式不同。

操作二：根据获取的UE的安全特性，和Target AMF的安全特性，确定ABBA_New。Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。Target AMF在后续生成新的AMF密钥时，使用ABBA_New。Target AMF发起认证流程，将ABBA_New发送给UE；参考实施例二，与实施例二的区别在于Target AMF获取安全特性的方式不同。

操作三：如果获取到的Old AMF支持的安全特性与Target AMF所支持的安全特性不同，则Target AMF根据获取到的UE支持的安全特性与Target AMF支持的安全特性，设置ABBA_New。Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。Target AMF获取Old AMF的安全特性，可以是从RR中接收到的ABBA_Old中的Old AMF的安全特性、或者本地配置或存储的Old AMF的安全特性。Target AMF根据ABBA_New，生成AMF密钥。生成AMF密钥使用的参数包括设置的ABBA_New。Target AMF将ABBA_New和可选的指示Indicator1发送给UE。UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用的参数包括ABBA_New。UE生成AMF密钥使用的参数包括接收到的ABBA_New。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。参考实施例三，区别在于Target AMF获取安全特性的方式不同。

操作四：如果获取到的Old AMF支持的安全特性与Target AMF所支持的安全特性不同，则Target AMF根据获取到的UE支持的安全特性与Target AMF支持的安全特性，设置ABBA_New。Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。Target AMF获取Old AMF的安全特性，可以是从RR中接收到的ABBA_Old中的Old AMF的安全特性、或者本地配置或存储的Old AMF的安全特性。Target AMF发起认证流程，将设置的ABBA_New发送给UE。参考实施例四，注意区别在于Target AMF获取安全特性的方式不同。

如图19所示，提供实施例五的一种具体流程，该流程包括但不限于：

步骤1901，UE向Target AMF发送注册请求(reqistration request，RR)消息，RR消息中ABBA_Old和/或UE的安全特性。RR中可能携带5G-GUTI。

步骤1902，如果RR中携带5G-GUTI，则Target AMF向Old AMF发UE上下文的请求消息。例如，UE上下文的请求消息可以是Namf_Communication_UEContextTransfer Request。

步骤1903，Old AMF接收Target AMF发送的UE上下文的响应消息，所述UE上下文的响应消息中包括Old AMF的AMF密钥。例如UE上下文的响应消息可以是Namf_Communication_UEContextTransfer Response。该UE上下文响应消息中包括Old AMF的AMF密钥。

可选的，在一种可能的实现方式中，可执行下述操作一：

步骤1904a，Target AMF根据获取的UE的安全特性，和Target AMF的安全特性，确定ABBA_New。Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。TargetAMF生成新的AMF密钥。生成新的AMF密钥，使用ABBA_New。推衍新的AMF密钥，还使用Old AMF的AMF密钥。

步骤1905a，Target AMF向Old AMF发送NAS SMC，该NAS SMC中包括ABBA_New参数以及可选的Indicator1。Indicator1用于指示UE推衍AMF密钥，或用于指示UE使用ABBA_New生成AMF密钥。

步骤1906a，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用的参数包括ABBA_New。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。

可选的，在另一种可的实现方式中，可执行下述操作二：

步骤1904b，Target AMF根据获取的UE的安全特性，和Target AMF的安全特性，确定ABBA_New。Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。TargetAMF在后续推衍新的AMF密钥时，使用ABBA_New。

步骤1905b，Target AAMF发起主认证流程，向UE发送认证请求(authenticationrequest)，该认证请求中包括ABBA_New参数。UE使用该ABBA_New生成AMF密钥。

可选的，在另一种可能的实现方式中，可执行下述操作三：

步骤1904c，如果获取到的Old AMF支持的安全特性与Target AMF所支持的安全特性不同，则Target AMF根据获取到的UE支持的安全特性与Target AMF支持的安全特性，设置ABBA_New。Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。TargetAMF获取Old AMF的安全特性，可以是从RR中接收到的ABBA_Old中的Old AMF的安全特性、或者本地配置或存储的Old AMF的安全特性。Target AMF使用ABBA_New生成新的AMF密钥。

步骤1905c，Target AMF向UE发送NAS消息，该NAS消息中包括ABBA_New参数以及可选的Indicator1。Indicator1用于指示UE推衍AMF密钥，或用于指示UE使用ABBA_New生成AMF密钥。

步骤1906c，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式，使用的参数包括ABBA_New。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。

可选的，在另一种可能的实现方式中，可执行下述操作四：

步骤1904d，如果获取到的Old AMF支持的安全特性与Target AMF支持的安全特性不同，则Target AMF根据获取到的UE的安全特性以及Target AMF的安全特性，确定ABBA_New。Target AMF获取UE的安全特性，可以是从RR中接收到的UE的安全特性、或者RR中接收到的ABBA_Old中的UE的安全特性、或者本地配置或存储的UE的安全特性。Target AMF获取Old AMF的安全特性，可以是从RR中接收到的ABBA_Old中的Old AMF的安全特性、或者本地配置或存储的Old AMF的安全特性。Target AMF在后续推衍新的AMF密钥时，使用ABBA_New。

步骤1905d，Target AMF发起主认证流程，向UE发送认证请求(authenticationrequest)，该认证请求中包括ABBA_New参数。之后，UE根据ABBA_New，生成新的AMF密钥。

在上述实施例四中，实现了Target AMF和UE之间进行安全特性协商，将ABBA_New作为输入参数，生成新的AMF密钥。

实施例六

在上述实施例一至实施例五中，都是Target AMF获取安全特性，设置ABBA_New，推衍AMF密钥。而在本申请实施例六中，由Old AMF获取安全特性，设置ABBA_New。Old AMF还可根据ABBA_New推衍密钥。例如，参见图20所示。

Old AMF获取Target AMF的安全特性。Old AMF获取Old AMF获取Target AMF的安全特性，可以通过：Target AMF可向Old AMF发送Target AMF安全特性；或者Old AMF根据本地存储或者配置获取Target AMF的安全特性。

Old AMF根据UE的安全特性和Target AMF的安全特性，确定ABBA_New。

Old AMF推演新的AMF密钥。推衍新的AMF密钥使用的参数包括ABBA_New。推衍新的AMF密钥使用的参数还可以包括以下中的任意一种：

1、当前的AMF密钥，即Old AMF的密钥。

2、对当前的AMF密钥进行水平K_AMF推演生成的密钥。

可选地，Old AMF在确定ABBA_New之前，Old AMF判断Target AMF的安全特性与OldAMF支持的安全特性是否相同；如果不同，则Old AMF根据UE安全特性和Target AMF安全特性，确定ABBA_New，生成新的AMF密钥。

Old AMF将推衍新的AMF密钥所需的参数ABBA_New以及可选的Indicator1，发送给UE。或者，Old AMF也可将ABBA_New和可选的Indicator2，发送给Target AMF。之后由TargetAMF发送给UE。Target AMF将接收到的ABBA_New发给UE。如果Target AMF接收到Indicator2，则Target AMF发送Indicator1给UE。

在本申请中，该Indicator1用于指示UE进行AMF密钥推衍，或者用于指示UE使用ABBA_New生成AMF密钥。Indicator2指示的含义同Indicator1。Indicator2和Indicator1可以为同一个指示，或者不同的指示。

UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式。然后UE根据新的AMF密钥生成NAS加密密钥和完整性密钥。

如图21所示提供实施例六的一种具体流程。例如，该流程可以为UE在5GS的空闲态移动注册流程。该流程同样适用UE从EPS切换到5GS后的注册流程，和UE从EPS空闲态移动到5GS的注册流程。该流程包括但不限于：

步骤2103，UE向Target AMF发送注册请求RR消息，所述注册请求RR消息中可选地携带有5G-GUTI。

步骤2104，如果RR中有5G-GUTI，则Target AMF向Old AMF发送UE上下文请求，所述UE上下文请求中携带有Target AMF所支持的安全特性。例如，该UE上下文请求可以是Namf_Communication_UEContextTransfer Request。

步骤2105，Old AMF根据UE的安全特性和Target AMF的安全特性，确定ABBA_New。Old AMF获取Target AMF的安全特性可以是通过：接收到Target AMF发送的Target AMF的安全特性，或者从本地存储或者配置中获取。Old AMF生成新的AMF密钥。生成新的AMF密钥所使用的密钥包括设置的ABBA_New。推衍新的AMF密钥使用的参数还可以使用Old AMF当前的AMF密钥，或者根据当前的AMF密钥进行水平K_AMF推演生成的密钥。

可选地，Old AMF在生成ABBA_New之前，Old AMF将Target AMF支持的安全特性，与Old AMF支持的安全特性相比较。如果两者不同，则Old AMF根据UE和Target AMF支持的安全特性，确定ABBA_New。Target AMF生成新的AMF密钥。

步骤2106，Old AMF向Target AMF发送UE上下文请求的响应消息。例如，UE上下文请求消息可以是Namf_Communication_UEContextTransfer Response消息。该消息中包括ABBA_New，以及可选的指示Indicator2。

步骤2107，Target AMF向UE发送接收到的ABBA_New和可选的Indicator1。例如，Target AMF向UE发送NAS SMC。该NAS SMC中包括ABBA_New和可选的Indicator1。如果Target AMF接收到Indicator2，则Target AMF向UE发送Indicator1。

步骤2108，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式。UE根据生成的新的AMF密钥生成NAS加密密钥和完整性密钥。

图22示出了实施例六的另一流程。例如，该流程可以是UE的N2切换流程的流程。该流程包括但不限于：

步骤2201，UE注册到Old AMF。

步骤2202，Old AMF发起切换。

步骤2203，Old AMF向Target AMF发送UE上下文请求消息。例如，UE上下文请求消息可以是Namf_Communication_CreateUEContextRequest。

步骤2204，Target AMF向Old AMF发送UE上下文请求响应。例如，UE上下文请求响应可以是Namf_Communication_CreateUEContext Response。所述UE上下文请求响应中包括Target AMF所支持的安全特性。

步骤2205，同步骤2105。

步骤2206，Old AMF向UE发送生成的ABBA_New和可选的Indicator1。比如Old AMF向UE发送NAS SMC消息，在该NAS SMC中包括设置的ABBA_New和可选的Indicator1。

步骤2207，同步骤2108。

在上述实施例六中，实现了Target AMF与UE之间进行安全特性协商，将且ABBA_New作为输入参数，推衍AMF的新密钥。

实施例七

如图23所示，在实施例七中，AMF和SEAF不合设，为两个独立的网络功能。在该实施例中，AMF向SEAF请求密钥。SEAF根据UE的安全特性和Target AMF的安全特性生成ABBA_New。SEAF生成AMF密钥，使用ABBA_New。SEAF生成AMF密钥，还可以使用K_SEAF或者K_AMF。

SEAF将生成的AMF密钥和可选的Indicator3发送给Target AMF。Target AMF向UE发送ABBA_New和可选的Indicator1。如果Target AMF接收到Indicator3，则Target AMF向UE发送Indicator1。

在本申请中，Indicator3指示的含义同Indicator1。Indicator3和Indicator1可以为同一个指示，或者不同的指示。

其中，SEAF生成ABBA_New使用的UE安全特性和Target AMF安全特性，可通过以下方式获取。

1，SEAF从本地存储或配置中获取UE安全特性，或者Target AMF向SEAF发送UE安全特性。

2，SEAF从本地存储或配置中获取Target AMF安全特性，或者Target AMF向SEAF发送Target AMF安全特性。

SEAF也可以不用生成ABBA_New，而是直接从Target AMF处获取ABBA_New，即Target AMF向SEAF发送ABBA_New。

图24示出了实施例七提供的一种具体流程。该流程可具体为UE在5G中的空闲态移动注册流程、UE从EPS空闲态移动到5GS的注册，或者UE从EPS切换到5GS的注册流程等。该流程包括但不限于：

步骤2403，UE向Target AMF发送RR消息，所述RR消息中携带可选的有5G-GUTI，和可选的ABBA_Old、可选的UE安全特性。

步骤2404，如果有RR中有5G-GUTI，则Target AMF向Old AMF发送UE上下文请求消息。例如UE上下文请求消息可以是Namf_Communication_UEContextTransfer Resquest。

步骤2405，Old AMF向Target AMF发送UE上下文响应消息。例如，UE上下文响应消息可以是Namf_Communication_UEContextTransfer Response。该消息中可选的包括UE支持的安全特性、和/或，Old AMF支持的安全特性，和/或，ABBA_Old。

因此，Target AMF获取UE安全特性或Old AMF安全特性，可以是通过：UE向TargetAMF发送，或者本地存储或者配置，或者Old AMF发送。Target AMF获取ABBA_Old，可以是通过：UE发送或者Old AMF发送。

步骤2406，Target AMF向SEAF发送密钥请求消息，用于请求SEAF生成AMF密钥。该密钥请求消息中携带有UE的标识，例如，UE的订阅永久标识(subsciber permanentidentifier，SUPI)或者，5G-GUTI。该密钥请求消息中还可以包括以下中的任意一项或多项：获取的UE支持的安全特性，Old AMF支持的安全特性，Target AMF支持的安全特性，ABBA_Old。

可选的，Target AMF可判断获取的Old AMF支持的安全特性是否与Target AMF支持的安全特性相同；如果不同，则上述Target AMF向SEAF发送密钥请求消息。或者，TargetAMF根据UE和Target AMF支持的安全特性，确定ABBA_New。Target AMF向SEAF发送密钥请求消息，在该消息中携带有ABBA_New。

步骤2407，SEAF生成AMF密钥。SEAF生成AMF密钥采用的参数包括SEAF密钥或者AMF密钥，以及ABBA_New。

其中，SEAF生成AMF密钥采用的ABBA_New可以通过以下中的任意一种方式获取：

1、Target AMF向SEAF发送ABBA_New。

2、SEAF获取UE和Target AMF支持的安全特性，SEAF生成ABBA_New。

3、SEAF获取Old AMF和Target AMF支持的安全特性，如果Old AMF和Target AMF支持的安全特性不同，则SEAF生成ABBA_New。

进一步，SEAF获取UE或者Target AMF或者Old AMF支持的安全特性，可以是通过以下中的任意一种方式：

1、SEAF从本地存储或配置中获取。

2、Target AMF向SEAF发送UE或Target AMF或Old AMF支持的安全特性。

可选的，SEAF在生成AMF密钥或者ABBA_New之前，也可以先进行判断：如果Old AMF支持的安全特性与Target AMF支持的安全特性不同，则SEAF生成AMF密钥或者ABBA_New。

步骤2408，SEAF向Target AMF发送AMF密钥和可选的ABBA_New，以及可选的Indicator3。

步骤2409，Target AMF向UE发送ABBA_New，以及可选的Indicator1。例如TargetAMF向UE发送NAS SMC，在NAS SMC中包括ABBA_New和可选的Indicator1。

Target AMF发送Indicator1，可以是根据以下中的任意一种或多种：Target AMF接收到SEAF发送的Indicator3；Target AMF接收到SEAF发送的AMF密钥；Target AMF接收到SEAF发送的ABBA_New。

步骤2410，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式。然后UE根据推演的新的AMF密钥，生成NAS加密密钥和完整性密钥。

图25示出了实施例七的另一流程，该流程是UE的N2切换流程，该流程包括但不限于：

步骤2501，UE注册到Old AMF。

步骤2502，Old AMF发起切换。

步骤2503，Old AMF向Target AMF发送创建UE上下文请求消息。例如，该UE上下文请求消息可以是Namf_Communication_CreateUEContext Request消息。该消息中可选的包括以下中的任意一项或多项：UE支持的安全特性；Old AMF支持的安全特性，ABBA_Old。

可能地：Target AMF也可以从UE或者本地存储，获取UE支持的安全特性和/或OldAMF支持的安全特性，和/或ABBA_Old。

关于上述步骤2504至步骤2506的具体说明，可参见上述图24中的步骤2406至2408，不再额外说明。

步骤2507，Target AMF向Old AMF发送UE上下文响应消息。例如，该UE上下文响应消息可以是Namf_Communication_CreatUEContext Response。该消息中携带ABBA_new和可选的Indicator4。

在本申请中，Indicator4指示的含义同Indicator3。Indicator4和Indicator3可以为同一个指示，或者不同的指示。

步骤2508，Old AMF向UE发送ABBA_new和可选的Indicator1。如果Old AMF接收到Indicator4，则Old AMF向UE发送Indicator1。

在本申请中，上述Indicator4与Indicator1可以是同一指示，或者不同指示，不作限定。

步骤2509，UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式。然后UE根据推演的新的AMF密钥，生成NAS加密密钥和完整性密钥。

作为实施例七的另一流程，该流程包括但不限于：

UE注册到Old AMF。

Old AMF发起切换。

Old AMF向Target AMF发送创建UE上下文请求消息。例如，该UE上下文请求消息可以是Namf_Communication_CreateUEContext Request消息。

Target AMF向Old AMF发送创建UE上下午响应消息。例如，该UE上下文请求消息可以是Namf_Communication_CreateUEContext Response消息。该Response消息包括TargetAMF的安全特性。

Old AMF向SEAF发送密钥请求消息，用于请求SEAF生成AMF密钥。该密钥请求消息中携带有UE的标识，例如，UE的订阅永久标识(subsciber permanent identifier，SUPI)或者，5G-GUTI。该密钥请求消息中还可以包括以下中的任意一项或多项：UE支持的安全特性，Old AMF支持的安全特性，Target AMF支持的安全特性，ABBA_Old。

可选的，Old AMF可判断获取的Target AMF支持的安全特性是否与Old AMF支持的安全特性相同；如果不同，则上述Old AMF向SEAF发送密钥请求消息。或者，Old AMF根据UE和Target AMF支持的安全特性，确定ABBA_New。Old AMF向SEAF发送密钥请求消息，在该消息中携带有ABBA_New。

SEAF生成AMF密钥。SEAF生成AMF密钥采用的参数包括SEAF密钥或者AMF密钥，以及ABBA_New。

1、Old AMF向SEAF发送ABBA_New。

2、SEAF获取UE和Target AMF支持的安全特性，SEAF生成ABBA_New。

1、SEAF从本地存储或配置中获取。

2、Old AMF向SEAF发送UE或Target AMF或Old AMF支持的安全特性。

SEAF向Old AMF发送AMF密钥和可选的ABBA_New，以及可选的Indicator5。

Old AMF向UE发送ABBA_new和可选的Indicator1。如果Old AMF接收到Indicator5，则Old AMF向UE发送Indicator1。

在本申请中，上述Indicator5与Indicator1可以是同一指示，或者不同指示，不作限定。

UE在接收到ABBA_New时，可根据ABBA_New，生成新的AMF密钥。如果UE接收到第一指示信息，可在第一指示信息的指示下,生成新的AMF密钥。UE生成新的AMF密钥，采用与网络侧相同的方式。然后UE根据推演的新的AMF密钥，生成NAS加密密钥和完整性密钥。

在本申请中，指示Indicator1，Indicator2，Indicator3，Indicator4，和Indicator5都指示相同的内容。本申请中不一一描述。

在上述实施例七中，实现了Target AMF和UE之间进行安全特性协商，已经将ABBA作为密钥推衍的参数。当AMF改变时，从Old AMF到Target AMF，Target AMF和UE如何协商支持的安全特性以及生成ABBA，并根据该ABBA生成新密钥。

通过上述实施例一至实施例七，解决了5G中UE空闲态移动注册、N2切换、UE空闲态从EPS移动到5GS，UE从EPS切换到5GS的过程中，可能出的降维攻击。

以上结合图1至图25详细说明了本申请实施例提供的方法。以下结合图26和图27详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应。因此，未详细描述的内容可参见上文方法实施例中的描述。

图26是本申请实施例提供的装置2600的示意性框图。例如，该装置可以为软件单元或芯片系统。所述芯片系统可以由芯片构成，也可以包括芯片和其它分立器件。该装置包括通信单元2601，还可包括处理单元2602。通信单元2601，可以与处部进行通信，通信单元2601可以包括发送单元和/或接收单元等。处理单元2602，用于进行处理。

在一种示例中，装置2600可实现上文方法实施例中第一AMF执行的步骤，所述装置2600可以是第一AMF，或者配置于第一AMF中的芯片或电路。处理单元2602，用于执行上文方法实施例中第一AMF侧的处理操作，通信单元2601，用于执行上文方法实施例中第一AMF侧的收发相关操作。

比如，处理单元2602，用于确定终端设备的安全特性；处理单元2602，还用于根据所述终端设备的安全特性以及第一AMF的安全特性，确定第一架构间抗降维ABBA参数；处理单元2602，还用于获取第二AMF的密钥；处理单元2602，还用于根据所述第一ABBA参数和所述第二AMF的密钥，确定所述第一AMF的密钥。

可选的，处理单元2602确定终端设备的安全特性，包括：控制通信单元2601向第二AMF发送用于请求终端设备上下文的请求消息；控制通信单元2601接收第二AMF发送的终端设备上下文，所述终端设备上下文中携带有终端设备的安全特性。

可选的，处理单元2602确定终端设备的安全特性，包括：控制通信单元2601接收终端设备发送的注册请求，所述注册请求中携带有终端设备的安全特性。

可选的，处理单元2602获取第二AMF的密钥，包括：控制通信单元2601向第二AMF发送用于请求终端设备上下文的请求消息，控制通信单元2601接收第二AMF发送的终端设备上下文，所述终端设备上下文中携带有第二AMF的密钥。

可选的，在处理单元2602根据终端设备的安全特性以及第一AMF的安全特性，确定第一ABBA参数之前，处理单元2602还用于：确定第二AMF的安全特性；确定所述第一AMF的安全特性与所述第二AMF的安全特性不同。

可选的，在处理单元2602根据终端设备的安全特性以及第一AMF的安全特性，确定第一ABBA参数之后，通信单元2601，还用于：向所述终端设备发送所述第一ABBA参数以及第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新AMF密钥。

在另一种示例中，装置2600可实现上文方法实施例中终端设备执行的步骤，所述装置2600可以是终端设备，或者配置于终端设备中的芯片或电路。通信单元2601执行上文方法实施例中终端设备的收发操作，处理单元2602用于执行上文方法实施例中终端设备的处理相关操作。

比如，通信单元2601，用于接收第一AMF发送的第一ABBA参数和第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新AMF密钥；处理单元2602，用于根据所述第一ABBA参数和第二AMF的密钥，确定所述第一AMF的密钥。

可选的，所述第一ABBA参数包括所述终端设备的安全特性和所述第一AMF的安全特性。

可选的，通信单元2601，还用于：向第一AMF发送注册请求，所述注册请求中携带有终端设备的安全特性。

本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能单元可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

可以理解的是，上述实施例中的通信单元的功能可以由收发器实现，处理单元的功能可以由处理器实现。收发器可以包括发射器和/或接收器等，分别用于实现发送单元和/或接收单元的功能。以下结合图27举例进行说明。

图27是本申请实施例提供的装置2700的示意性框图，图27所示的装置2700可以为图26所示的装置的一种硬件电路的实现方式。为了便于说明，图27仅示出该通信装置的主要部件。

图27所示的通信装置2700包括至少一个处理器2701。通信装置2700还可以包括至少一个存储器2702，用于存储程序指令和/或数据。存储器2702和处理器2701耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性、机械性或其它的形式，用于装置、单元或模块之间的信息交互。处理器2701可以和存储器2702协同操作，处理器2701可以执行存储器2702中存储的程序指令，所述至少一个存储器中2702中的至少一个可以包括于处理器2701中。

装置2700还可以包括通信接口2703，用于通过传输介质和其它设备进行通信，从而用于通信装置2700可以和其它设备进行通信。在本申请实施例中，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。在本申请实施例中，通信接口为收发器时，收发器可以包括独立的接收器、独立的发射器；也可以集成收发功能的收发器、或者是接口电路。

应理解，本申请实施例中不限定上述处理器2701、存储器2702以及通信接口2703之间的连接介质。本申请实施例在图27中以存储器2702、处理器2701以及通信接口2703之间通过通信总线2704连接，总线在图27中以粗线表示，其它部件之间的连接方式，仅是示意性说明，并不作为限定。所述总线可以包括地址总线、数据总线、控制总线等。为了便于表示，图27中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线等。

在一种示例中，装置2700用于实现上文方法实施例中第一AMF执行的步骤。通信接口2703用于执行上文方法实施例中第一AMF的收发相关操作，处理器2701用于执行上文方法实施例中第一AMF的处理相关操作。

比如，处理器2701，用于确定终端设备的安全特性；处理器2701，还用于根据所述终端设备的安全特性以及第一AMF的安全特性，确定第一架构间抗降维ABBA参数；处理器2701，还用于获取第二AMF的密钥；处理器2701，还用于根据所述第一ABBA参数和所述第二AMF的密钥，确定所述第一AMF的密钥。

可选的，处理器2701确定终端设备的安全特性，包括：控制通信接口2703向第二AMF发送用于请求终端设备上下文的请求消息，以及控制通信接口2703接收第二AMF发送的终端设备上下文，所述终端设备上下文中携带有终端设备的安全特性。

可选的，处理器2701确定终端设备的安全特性，包括：控制通信接口2703接收终端设备发送的注册请求，所述注册请求中携带有所述终端设备的安全特性。

可选的，处理器2701获取第二AMF的密钥，包括：控制通信接口2703向所述第二AMF发送用于请求终端设备上下文的请求消息；控制通信接口2703接收所述第二AMF发送的终端设备上下文，所述终端设备上下文中携带有所述第二AMF的密钥。

可选的，在所述第一AMF根据所述终端设备的安全特性以及所述第一AMF的安全特性，确定第一ABBA参数之前，处理器2701还用于：确定第二AMF的安全特性；确定所述第一AMF的安全特性与所述第二AMF的安全特性不同。

可选的，在所述第一AMF根据所述终端设备的安全特性以及所述第一AMF的安全特性，确定第一ABBA参数之后，通信接口2703还用于：向所述终端设备发送所述第一ABBA参数以及第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新AMF密钥。

在一种示例中，装置2700用于实现上文方法实施例中终端设备的步骤。通信接口2703用于执行上文实施例中终端设备的收发相关操作，处理器2701用于执行上文方法实施例中终端设备的处理相关操作。

比如，通信接口2703，用于接收第一AMF发送的第一ABBA参数和第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新AMF密钥；处理器2701，用于根据所述第一ABBA参数和第二AMF的密钥，确定所述第一AMF的密钥。

可选的，通信接口2703，还用于：向第一AMF发送注册请求，所述注册请求中携带有终端设备的安全特性。

进一步的，本申请实施例还提供一种系统，该系统包括上文方法实施例中的第一AMF、第二AMF或UE中的至少一个。一种装置，所述装置用于执行上文方法实施例中的方法。一种计算机可读存储介质，包括程序，当所述程序被处理器运行时，上文方法实施例中的方法被执行。一种计算机程序产品，所述计算机程序产品包括计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机实现上文方法实施例中的方法。一种芯片，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得装置执行上文方法实施例中的方法。

本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatilememory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

本申请实施例提供的方法中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，简称DVD))、或者半导体介质(例如,SSD)等。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种通信方法，其特征在于，包括：

第一接入和移动管理功能确定终端设备的安全特性；

所述第一接入和移动管理功能根据所述终端设备的安全特性以及所述第一接入和移动管理功能的安全特性，确定第一架构间抗降维ABBA参数；

所述第一接入和移动管理功能获取第二接入和移动管理功能的密钥；

所述第一接入和移动管理功能根据所述第一ABBA参数和所述第二接入和移动管理功能的密钥，确定所述第一接入和移动管理功能的密钥，所述第一接入和移动管理功能为服务所述终端设备的目标接入和移动管理功能，所述第二接入和移动管理功能为服务所述终端设备的源接入和移动管理功能。

2.如权利要求1所述的方法，其特征在于，所述第一接入和移动管理功能确定终端设备的安全特性，包括：

所述第一接入和移动管理功能向所述第二接入和移动管理功能发送用于请求终端设备上下文的请求消息；

所述第一接入和移动管理功能接收所述第二接入和移动管理功能发送的终端设备上下文，所述终端设备上下文中携带有所述终端设备的安全特性。

3.如权利要求1所述的方法，其特征在于，所述第一接入和移动管理功能确定终端设备的安全特性，包括：

所述第一接入和移动管理功能接收终端设备发送的注册请求，所述注册请求中携带有所述终端设备的安全特性。

4.如权利要求1所述的方法，其特征在于，所述第一接入和移动管理功能获取第二接入和移动管理功能的密钥，包括：

所述第一接入和移动管理功能接收所述第二接入和移动管理功能发送的终端设备上下文，所述终端设备上下文中携带有所述第二接入和移动管理功能的密钥。

5.如权利要求1至4中任一项所述的方法，其特征在于，在所述第一接入和移动管理功能根据所述终端设备的安全特性以及所述第一接入和移动管理功能的安全特性，确定第一ABBA参数之前，所述方法还包括：

所述第一接入和移动管理功能确定第二接入和移动管理功能的安全特性；

所述第一接入和移动管理功能确定所述第一接入和移动管理功能的安全特性与所述第二接入和移动管理功能的安全特性不同。

6.如权利要求1至4中任一项所述的方法，其特征在于，在所述第一接入和移动管理功能根据所述终端设备的安全特性以及所述第一接入和移动管理功能的安全特性，确定第一ABBA参数之后，所述方法还包括：

所述第一接入和移动管理功能向所述终端设备发送所述第一ABBA参数以及第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新接入和移动管理功能密钥。

7.一种通信方法，其特征在于，包括：

终端设备接收第一接入和移动管理功能发送的第一架构间抗降维ABBA参数和第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新接入和移动管理功能密钥；

所述终端设备根据所述第一ABBA参数和第二接入和移动管理功能的密钥，确定所述第一接入和移动管理功能的密钥，所述第一接入和移动管理功能为服务所述终端设备的目标接入和移动管理功能，所述第二接入和移动管理功能为服务所述终端设备的源接入和移动管理功能。

8.如权利要求7所述的方法，其特征在于，所述第一ABBA参数包括所述终端设备的安全特性和所述第一接入和移动管理功能的安全特性。

9.如权利要求7或8所述的方法，其特征在于，还包括：

所述终端设备向所述第一接入和移动管理功能发送注册请求，所述注册请求中携带有所述终端设备的安全特性。

10.一种通信方法，其特征在于，包括：

第二接入和移动管理功能向第一接入和移动管理功能发送终端设备的安全特性，以及所述第二接入和移动管理功能的密钥；

所述第一接入和移动管理功能根据所述终端设备的安全特性以及所述第一接入和移动管理功能的安全特性，确定第一ABBA参数；

11.如权利要求10所述的方法，其特征在于，所述第二接入和移动管理功能向第一接入和移动管理功能发送终端设备的安全特性以及所述第二接入和移动管理功能的密钥，包括：

所述第二接入和移动管理功能向所述第一接入和移动管理功能发送终端设备上下文，所述终端设备上下文中携带有所述终端设备的安全特性以及所述第二接入和移动管理功能的密钥。

12.如权利要求10或11所述的方法，其特征在于，在所述第一接入和移动管理功能根据所述终端设备的安全特性以及所述第一接入和移动管理功能的密钥，确定第一ABBA参数之前，所述方法还包括：

所述第一接入和移动管理功能确定所述第二接入和移动管理功能的安全特性；

所述第一接入和移动管理功能确定所述第一接入和移动管理功能与所述第二接入和移动管理功能的安全特性不同。

13.一种通信装置，其特征在于，包括：

处理单元，用于确定终端设备的安全特性；

所述处理单元，还用于根据所述终端设备的安全特性以及第一接入和移动管理功能的安全特性，确定第一架构间抗降维ABBA参数；

所述处理单元，还用于获取第二接入和移动管理功能的密钥；

所述处理单元，还用于根据所述第一ABBA参数和所述第二接入和移动管理功能的密钥，确定所述第一接入和移动管理功能的密钥，所述第一接入和移动管理功能为服务所述终端设备的目标接入和移动管理功能，所述第二接入和移动管理功能为服务所述终端设备的源接入和移动管理功能。

14.如权利要求13所述的装置，其特征在于，所述处理单元确定终端设备的安全特性，包括：

控制通信单元向所述第二接入和移动管理功能发送用于请求终端设备上下文的请求消息；

控制通信单元接收所述第二接入和移动管理功能发送的终端设备上下文，所述终端设备上下文中携带有所述终端设备的安全特性。

15.如权利要求13所述的装置，其特征在于，所述处理单元确定终端设备的安全特性，包括：

控制通信单元接收终端设备发送的注册请求，所述注册请求中携带有所述终端设备的安全特性。

16.如权利要求13所述的装置，其特征在于，所述处理单元获取第二接入和移动管理功能的密钥，包括：

控制所述通信单元接收所述第二接入和移动管理功能发送的终端设备上下文，所述终端设备上下文中携带有所述第二接入和移动管理功能的密钥。

17.如权利要求13至16中任一项所述的装置，其特征在于，所述处理单元，还用于：

确定第二接入和移动管理功能的安全特性；

确定所述第一接入和移动管理功能的安全特性与所述第二接入和移动管理功能的安全特性不同。

18.如权利要求13至16中任一项所述的装置，其特征在于，通信接口，还用于：

向所述终端设备发送所述第一ABBA参数以及第一指示信息，所述第一指示信息用于指示所述终端设备根据所述第一ABBA参数更新接入和移动管理功能密钥。

19.一种通信装置，其特征在于，包括：

通信单元，用于接收第一接入和移动管理功能发送的第一架构间抗降维ABBA参数和第一指示信息，所述第一指示信息用于指示终端设备根据所述第一ABBA参数更新接入和移动管理功能密钥；

处理单元，用于根据所述第一ABBA参数和第二接入和移动管理功能的密钥，确定所述第一接入和移动管理功能的密钥，所述第一接入和移动管理功能为服务所述终端设备的目标接入和移动管理功能，所述第二接入和移动管理功能为服务所述终端设备的源接入和移动管理功能。

20.如权利要求19所述的装置，其特征在于，所述第一ABBA参数包括所述终端设备的安全特性和所述第一接入和移动管理功能的安全特性。

21.如权利要求19或20所述的装置，其特征在于，所述通信单元还用于：

向所述第一接入和移动管理功能发送注册请求，所述注册请求中携带有所述终端设备的安全特性。

22.一种通信系统，其特征在于，包括：

第二接入和移动管理功能，用于向第一接入和移动管理功能发送终端设备的安全特性，以及所述第二接入和移动管理功能的密钥；

所述第一接入和移动管理功能，用于根据所述终端设备的安全特性以及所述第一接入和移动管理功能的安全特性，确定第一ABBA参数；

所述第一接入和移动管理功能，还用于根据所述第一ABBA参数和所述第二接入和移动管理功能的密钥，确定所述第一接入和移动管理功能的密钥，所述第一接入和移动管理功能为服务所述终端设备的目标接入和移动管理功能，所述第二接入和移动管理功能为服务所述终端设备的源接入和移动管理功能。

23.如权利要求22所述的系统，其特征在于，所述第二接入和移动管理功能向第一接入和移动管理功能发送终端设备的安全特性以及所述第二接入和移动管理功能的密钥，包括：

接收所述第一接入和移动管理功能发送的用于请求终端设备上下文的请求消息；

向所述第一接入和移动管理功能发送终端设备上下文，所述终端设备上下文中携带有所述终端设备的安全特性以及所述第二接入和移动管理功能的密钥。

24.如权利要求22或23所述的系统，其特征在于，在所述第一接入和移动管理功能根据所述终端设备的安全特性以及所述第一接入和移动管理功能的密钥，确定第一ABBA参数之前，所述第一接入和移动管理功能还用于：

确定所述第二接入和移动管理功能的安全特性；

确定所述第一接入和移动管理功能与所述第二接入和移动管理功能的安全特性不同。

25.一种通信装置，其特征在于，包括处理器和存储器，所述存储器中存储有指令，所述处理器执行所述指令时，使得所述通信装置执行权利要求1至6任一项所述的方法，或者，使得所述通信装置执行权利要求7至9任一项所述的方法，或者，使得所述通信装置执行权利要求10至12任一项所述的方法。

26.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行权利要求1至6任一项所述的方法，或者，使得计算机执行权利要求7至9任一项所述的方法，或者，使得计算机执行权利要求10至12任一项所述的方法。