CN115250469A

CN115250469A - 一种通信方法以及相关装置

Info

Publication number: CN115250469A
Application number: CN202110469602.1A
Authority: CN
Inventors: 李�赫; 吴�荣
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-04-28
Filing date: 2021-04-28
Publication date: 2022-10-28
Also published as: WO2022228455A1

Abstract

本申请实施例公开了一种通信方法以及相关装置，方法包括：所述接入和移动性管理功能生成第二安全上下文，所述第二安全上下文与第一安全上下文不一致，所述第一安全上下文为所述接入和移动性管理功能当前使用的安全上下文；所述接入和移动性管理功能确定是否激活所述第二安全上下文。本申请实施例中，当终端设备仅需要进行鉴权时，终端设备侧与网络侧均不需要更新新的安全上下文，降低密钥更新复杂度，提升设备性能。

Description

一种通信方法以及相关装置

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法以及相关装置。

背景技术

随着网络技术的快速的发展，网络安全成为日益突出的问题。随着第五代移动通信(the 5th generation，5G)的发展，目前用户设备(user equipment，UE)与应用服务器(application function，AF)之间可以采用应用的认证和密钥管理(authentication andkey management for application，AKMA)流程。在AKMA流程中，鉴权管理功能(authentication server function，AUSF)向统一数据管理功能(Unified DataManagement，UDM)发送鉴权向量获取请求消息(Numd_UEAuthentication Get Request)，该鉴权向量获取请求消息中携带永久身份标识(subscriber permanent identifier，SUPI)或签约隐藏标识符(subscription concealed identifier，SUCI)，该鉴权向量获取请求消息用于触发UE与网络侧(核心网)之间的主鉴权(Primary authentication)流程。

在主鉴权流程后，基于中间密钥Kausf生成AKMA锚点密钥Kakma，基于中间密钥Kausf生成AKMA密钥临时身份标识(AKMA-Key Identifier，A-KID)。而基于该中间密钥Kausf派生出的Kakma，还可以继续派生出其它密钥，例如：应用服务器AF使用的密钥Kaf。本申请实施例中为了便于描述，将上述基于中间密钥Kausf派生出的密钥，称为安全上下文。

Kausf的有效时间，与，安全上下文中各种密钥的有效时间可能不一致。例如：安全上下文基于中间密钥Kausf#1派生，该安全上下文中的Kaf#1有效时间到期后，该Kaf#1无效，AF与UE无法继续使用该Kaf#1。此时，Kausf#1依然处于有效时间内，则基于该Kausf#1派生的新的Kaf与Kaf#1一致，依然无法使用。因此需要更新Kausf，并基于新的Kausf#2，生成新的Kaf#2。但是生成新的Kausf#2后，安全上下文都需要更新，否则无法继续使用。因此，造成密钥更新的复杂度较大，影响设备性能。

发明内容

第一方面，本申请实施例提出一种通信方法，包括：

接入和移动性管理功能AMF生成第二安全上下文，所述第二安全上下文与第一安全上下文不一致，所述第一安全上下文为接入和移动性管理功能当前使用的安全上下文；所述接入和移动性管理功能确定是否激活所述第二安全上下文。

具体的，该第一安全上下文为第一中间密钥对应的安全上下文，该第一中间密钥为Kausf。该第一安全上下文为当前使用的安全上下文。该安全上下文还可以是Kamf对应的安全上下文。当AMF收到来自其他网元的请求消息后，AMF生成第二安全上下文。该其它网元包括但不限于：鉴权管理功能AUSF、网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF。则AMF能确定是否激活所述第二安全上下文。具体的，AMF可以使用该第二安全上下文。AMF也可以更新第一安全上下文，更新后的安全上下文为第二安全上下文。

本申请实施例中的安全上下文包括密钥、算法、计数器等用于安全功能的材料。其中，安全上下文可以分为：原生安全上下文和5G安全上下文。原生安全上下文是指通过主鉴权流程生成的安全上下文。5G安全上下文是指用于5G系统的安全上下文。5G安全上下文包括但不限于5G NAS安全上下文、5G AS安全上下文和5G AKMA安全上下文。5G NAS安全上下文用于UE和AMF之间的安全保护，AS安全上下文用于UE和基站之间的安全保护。5G AKMA安全上下文包括Kakma、A-KID、Kaf等密钥(或者安全材料，或者安全密钥)。5G AKMA安全上下文在主鉴权流程后AUSF侧生成，并发送给AAnF，UE侧则是在AKMA业务发起前再生成。

当第一安全上下文包括：密钥、算法、计数器等用于安全功能的材料中的一项或多项，与第二安全上下文包括的密钥、算法、计数器等用于安全功能的材料中的一项或多项不一致时，视为第一安全上下文与第二安全上下文不一致。本申请实施例中，AMF并不盲目激活安全上下文，当生成新的安全上下文后，AMF确定是否激活。以此降低密钥更新复杂度，提升设备性能。

结合第一方面，在第一方面的一种可能的实现方式中，所述接入和移动性管理功能确定是否激活所述第二安全上下文，包括：所述接入和移动性管理功能向所述终端设备发送包含第二密钥标识符的第二鉴权请求消息，所述第二鉴权请求消息用于触发所述终端设备和网络之间的第二鉴权(也称为第二主鉴权流程)；在所述第二鉴权成功之后，所述接入和移动性管理功能确定是否需要激活所述第二鉴权过程中生成的第二安全上下文；在不需要激活所述第二安全上下文的情况下，所述接入和移动性管理功能向所述终端设备发送第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息包括第一密钥标识符；其中，所述第一密钥标识符为所述接入和移动性管理功能当前使用的第一安全上下文的密钥标识符。第一密钥标识符与第二密钥标识符不一致。

本申请实施例中，激活也可以替换为更新。不激活第二安全上下文可以是不更新第二安全上下文；也可以是生成该第二安全上下文后，不使用该第二安全上下文；还可以是不生成该第二安全上下文，此处不作限制。在不激活第二安全上下文的情况下，可以继续使用第一安全上下文。

具体的，AMF触发第二主鉴权流程后，AMF发起第二主鉴权流程：AMF向AUSF请求对UE进行鉴权；AUSF向UDM请求鉴权向量；UDM生成鉴权向量，并根据选择的主鉴权方法确定发送生成的鉴权向量还是处理后的鉴权向量发送给AUSF，AMF获取来自AUSF的鉴权向量后，AMF向UE发送第二鉴权请求消息，该第二鉴权请求消息包括第二密钥标识符，该第二鉴权请求消息用于触发UE与网络的第二鉴权(也称为第二主鉴权流程)。本申请实施例中，以密钥标识符是ngKSI为例进行说明，可以理解的是，该密钥标识符还可以是其它标识，此处不作限制。具体流程可以参考标准TS 33.501版本17.1.0中章节6.1.3的描述。AMF通过第二NASSMC消息(“NAS Security Mode Command”消息)向UE发送该第一密钥标识符。即该第二NASSMC消息中携带该第一密钥标识符(例如ngKSI#1)。具体地，AMF将第一密钥标识符使用的加密算法和/或完整性保护算法作为选择的安全算法放入到第二NAS SMC消息中。该第二NASSMC消息使用第一密钥标识符对应的K_NASint-1进行完整性保护和/或使用K_NASenc-1进行机密性保护。

结合第一方面，在第一方面的一种可能的实现方式中，所述接入和移动性管理功能向所述终端设备发送包含所述第二密钥标识符的所述第二鉴权请求消息之前，所述方法还包括：

所述接入和移动性管理功能向所述终端设备发送包含所述第一密钥标识符的第一鉴权请求消息，所述第一鉴权请求消息用于触发所述终端设备和网络之间的第一鉴权；在所述第一鉴权成功之后，向所述终端设备发送第一NAS SMC消息以激活在所述第一鉴权过程中生成的所述第一安全上下文，所述第一NAS SMC消息包括所述第一密钥标识符。具体的，AMF向UE发送第一鉴权请求消息，该第一鉴权请求消息包括第一密钥标识符，该第一鉴权请求消息用于触发UE与网络之间的第一鉴权(也称为第一主鉴权流程)。示例性的，该第一密钥标识符为ngKSI#1，该第一密钥标识符与第一中间密钥对应。本申请实施例中，以中间密钥为Kausf为例进行说明。则该第一中间密钥为Kausf#1。

AMF接收注册请求消息后，AMF发起主鉴权流程：AMF向AUSF请求对UE进行鉴权；AUSF向UDM请求鉴权向量；UDM生成鉴权向量，并根据选择的主鉴权方法确定发送生成的鉴权向量还是处理后的鉴权向量发送给AUSF，AMF获取来自AUSF的鉴权向量后，AMF向UE发送第一鉴权请求消息，该第一鉴权请求消息中包括第一密钥标识符。本申请实施例中，以密钥标识符是ngKSI为例进行说明，可以理解的是，该密钥标识符还可以是其它标识，此处不作限制。具体流程可以参考标准TS 33.501版本17.1.0中章节6.1.3的描述。

具体的，AMF向UE发送第一鉴权请求消息，该第一鉴权请求消息包括第一密钥标识符，该第一鉴权请求消息用于触发UE与网络之间的第一鉴权(也称为第一主鉴权流程)。

结合第一方面，在第一方面的一种可能的实现方式中，所述接入和移动性管理功能向所述终端设备发送包含所述第一密钥标识符的所述第一鉴权请求消息之前，所述方法还包括：

所述接入和移动性管理功能接收来自所述终端设备的注册请求消息。UE向AMF发送注册请求消息，该注册请求消息通过网络设备转发。该注册请求消息中携带UE的用户隐藏标识(Subscription Concealed Identifier，SUCI)。可选的，该注册请求消息可以是“Registration Request”。该注册请求消息触发的是第一鉴权，即该终端设备的初次鉴权。第一鉴权中生成第一安全上下文，该第一安全上下文激活。AMF无需判断是否激活该第一安全上下文。降低了设备计算负担，降低了密钥复杂度。

结合第一方面，在第一方面的一种可能的实现方式中，所述接入和移动性管理功能确定是否需要激活所述第二鉴权过程中生成的所述第二安全上下文，包括：

所述接入和移动性管理功能确定不更新非接入层NAS密钥和/或接入层AS密钥时，所述接入和移动性管理功能确定不激活所述第二安全上下文。

或者，

所述接入和移动性管理功能确定非接入层NAS计数器(count)翻转时，所述接入和移动性管理功能确定激活所述第二安全上下文。具体的，AMF确定更新5G NAS安全上下文或者5G AS安全上下文时，比如，NAS COUNT即将翻转。AMF确定激活第二安全上下文。

或者，

所述接入和移动性管理功能确定更新所述终端设备的非接入层NAS密钥上下文和/或接入层AS密钥上下文时，所述接入和移动性管理功能确定激活所述第二安全上下文；

或者，

所述接入和移动性管理功能确定所述第二鉴权由第一网元触发，则所述接入和移动性管理功能不激活所述第二安全上下文，所述第一网元包括以下任一个：鉴权管理功能AUSF、网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF。即AMF收到来自第一网元的用于请求更新密钥的消息后，AMF不激活第二安全上下文。

或者，

所述接入和移动性管理功能确定所述第二鉴权仅需要对所述终端设备进行鉴权，则所述接入和移动性管理功能不激活所述第二安全上下文；

或者，

所述接入和移动性管理功能确定所述第二鉴权由所述终端设备触发，则所述接入和移动性管理功能不激活所述第二安全上下文。

或者，AMF根据本地策略，确定不激活第二安全上下文。示例性的场景如下：运营商配置出现如下场景时，触发UE鉴权，且不激活第二安全上下文，该场景包括但不限于：UE断网(UE与为该UE提供通信服务的网络设备断开连接)；AMF数据发生迁移，即从AMF#1迁移至AMF#2。

通过多种手段确定是否激活第二安全上下文，提升了方案的实现灵活性。

结合第一方面，在第一方面的一种可能的实现方式中，所述方法还包括：

在所述接入和移动性管理功能确定需要激活所述第二安全上下文的情况下，所述接入和移动性管理功能向所述终端设备发送所述第二密钥标识符。

具体的，AMF确定发起主鉴权流程，AMF向AUSF请求对UE进行鉴权，AUSF向UDM请求鉴权向量，UDM发送鉴权向量给AUSF，AUSF将鉴权向量经过处理发送给AMF。AMF在收到经过处理的鉴权向量后生成第二密钥标识符，并将第二密钥标识符随着经过处理的鉴权向量发送给UE。

示例性的，AMF通过“Authentication Request”消息向UE发送该第二密钥标识符。该第二密钥标识符可以是ngKSI#2。

在所述接入和移动性管理功能确定需要激活所述第二安全上下文的情况下，所述接入和移动性管理功能向所述终端设备发送第一指示信息，所述第一指示信息与第二网元关联，所述第一指示信息指示所述终端设备更新所述终端设备与所述第二网元之间的通信密钥；

所述第二网元包括以下任一个：鉴权管理功能AUSF、网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF。

可选地，该第一指示信息来自AAnf。AAnF向AUSF发送第二密钥请求消息，该第二密钥请求消息携带第一指示信息。AUSF向AMF发送该第一指示信息。AMF向UE发送该第一指示信息。该第一指示信息与第二网元关联，第一指示信息指示终端设备更新终端设备与第二网元之间的通信密钥。第二网元包括以下任一个但不限于NEF、AAnF、ECS、EES或AF。示例性的，当第二网元为AF时，第一指示信息可以是AF的标识信息(AF_ID)。

在所述接入和移动性管理功能确定需要激活所述第二安全上下文的情况下，所述接入和移动性管理功能激活第二中间密钥的非接入层NAS密钥，所述第二安全上下文对应所述第二中间密钥；

所述接入和移动性管理功能不激活所述第二中间密钥的接入层AS密钥。

具体的，AMF确定是否要更新AS密钥。如果该主鉴权触发流程是因为NAS密钥需要更新，比如NAS计数器值即将翻转。为了节省UE的复杂度，AMF可以确定不更新AS密钥。则，AMF在激活该第二安全上下文时，不激活该第二密钥标识符对应的AS密钥。即AMF激活的该第二安全上下文中不包括AS密钥，AMF仅激活该第二密钥标识符对应的NAS密钥。例如：AMF不激活ngKSI#2对应的AS密钥，该AS密钥包括但不限于：密钥K_gNB。具体的，AMF不生成ngKSI#2对应的K_gNB(AMF不生成新的K_gNB#2，旧的K_gNB#1对应ngKSI#1)，或者AMF生成K_gNB#2后，并不发送该K_gNB#2至网络设备(例如基站)。

所述接入和移动性管理功能接收第一网元发送的第三鉴权请求消息，其中，所述第三鉴权请求消息携带所述终端设备的永久标识信息，所述第三鉴权请求消息用于触发所述终端设备与网络之间的所述第二鉴权；

所述第一网元包括以下任一个：鉴权管理功能AUSF、网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF。

可选地，该第三鉴权请求消息指示AMF确定是否激活第二安全上下文。具体的，该第三鉴权请求消息用于请求AMF触发主鉴权流程。该第三鉴权请求消息中携带UE的永久身份信息，可选地，该第三鉴权请求消息携带指示信息，该指示信息用于指示需要触发主鉴权流程的原因值。

AMF可以根据该第三鉴权请求消息，或者根据该第三鉴权请求消息中携带的指示信息确定主鉴权流程是为了更新AKMA相关密钥，则AMF确定不激活第二安全上下文。该第三鉴权请求消息可以是“initial primary authentication Request”。可选地，或者，AMF根据该指示信息判断是否需要激活第二安全上下文。若AMF判断NAS COUNT即将翻转，即NASCOUNT翻转需要激活第二安全上下文，则AMF确定要激活第二安全上下文。

可选地，该第三鉴权请求消息携带指示信息，该指示信息用于指示需要触发主鉴权流程的原因值。

示例性的，第一网元为AAnF。AAnF可以直接向AMF发送第三鉴权请求消息，第三鉴权请求消息携带UE的永久标识信息，可选地携带AF ID。在AAnF发送该消息前，AAnF要确定可以为UE服务的AMF。AAnF根据UE的永久标识信息从UDM中确定为该UE提供服务的AMF。

结合第一方面，在第一方面的一种可能的实现方式中，所述接入和移动性管理功能向所述终端设备发送所述第二NAS SMC消息，包括：

所述接入和移动性管理功能选择安全算法对所述接入和移动性管理功能向所述终端设备发送的第二NAS SMC消息进行完整性保护和机密性保护；当所述接入和移动性管理功能选择的安全算法与所述第一安全上下文对应的安全算法相同，则所述接入和移动性管理功能确定不激活所述第二安全上下文；所述接入和移动性管理功能向所述终端设备发送所述第二NAS SMC消息，所述第二NAS SMC消息包括所述第一密钥标识符。AMF根据选择的安全算法(对第二NAS SMC消息进行处理的安全算法)，与当前使用的第一安全上下文对应的安全算法是否相同，确定是否激活第二安全上下文。若不激活，则在NAS SMC流程#2中，AMF向UE发送第二NAS SMC消息，该第二NAS SMC消息包括第一密钥标识符。第一密钥标识符标识的NAS密钥是AMF和UE当前正在使用的密钥。通过第一密钥标识符，通知UE不激活第二安全上下文。

结合第一方面，在第一方面的一种可能的实现方式中，所述接入和移动性管理功能确定激活所述第二安全上下文之后，所述方法还包括：

所述接入和移动性管理功能向所述终端设备发送第二非接入层安全模式命令NASSMC消息，所述第二NAS SMC消息包括第二指示信息，所述第二指示信息指示所述终端设备生成Kamf#2，并激活Kamf#2对应的所述第二安全上下文，所述Kamf#2为更新的Kamf。

在另一种实现方式中，没有发生主鉴权流程。AMF生成了Kamf#2，但是没有生成第二密钥标识符时，AMF确定不需要激活第二安全上下文。为了让UE与AMF之间的密钥同步，则第二NAS SMC消息中包括第二指示信息(Kamf change)，第二指示信息指示UE需要生成新的Kamf，称为Kamf#2(UE原来使用的Kamf称为Kamf#1)。可选的，AMF在第二NAS SMC消息中携带第一密钥标识符，

在另一种实现方式中，没有发生主鉴权流程，但是AMF生成了Kamf#2和第二密钥标识符，AMF确定不需要激活第二安全上下文。为了让UE与AMF之间的密钥同步，则AMF向UE发送第二指示信息，第二指示信息告知UE需要生成新的Kamf，称为Kamf#2。若AMF获得了第二密钥标识符，则第二NAS SMC消息中携带第一密钥标识符和第二指示信息。

结合第一方面，在第一方面的一种可能的实现方式中，所述第二NAS SMC消息还包括第三指示信息，所述第三指示信息指示所述终端设备继续使用所述第一安全上下文中的NAS安全上下文和所述第一安全上下文中的AS安全上下文。

可选地，当主鉴权流程没有发生的情况下，若AMF向UE发送第一密钥标识符，则第二NAS SMC消息中还可以携带一个第三指示信息。具体地，第三指示信息用于告知UE不需要更新当前使用的NAS安全上下文和AS安全上下文。当前使用的NAS安全上下文也可以称为第一安全上下文中的NAS安全上下文，当前使用的AS安全上下文也可以称为第一安全上下文中的AS安全上下文。本申请实施例中NAS安全上下文可以是5G NAS安全上下文，AS安全上下文可以是5G AS安全上下文。

第三指示信息的具体形式本实施例不做具体限定，可以是比特位指示信息，也可以是枚举类型信息，还可以通过有没有出现进行指示，比如第二NAS SMC消息出现了第三指示信息则不更新当前使用的5G NAS安全上下文和5G AS安全上下文，第二NAS SMC消息中没有出现则指示UE需要更新当前使用的5G NAS安全上下文和5G AS安全上下文。

在另一种实现方式中，没有发生主鉴权流程。AMF生成了Kamf#2，但是没有生成第二密钥标识符时，AMF确定不需要激活第二安全上下文。为了让UE与AMF之间的密钥同步，则第二NAS SMC消息中包括第二指示信息(Kamf change indicator)，第二指示信息指示UE需要生成新的Kamf，称为Kamf#2(UE原来使用的Kamf称为Kamf#1)。可选的，AMF在第二NAS SMC消息中携带第一密钥标识符，可选的，第二NAS SMC消息还携带第三指示信息。

在另一种实现方式中，没有发生主鉴权流程，但是AMF生成了Kamf#2和第二密钥标识符，AMF确定不需要激活第二安全上下文。为了让UE与AMF之间的密钥同步，则AMF向UE发送第二指示信息，第二指示信息告知UE需要生成新的Kamf，称为Kamf#2。若AMF获得了第二密钥标识符，则第二NAS SMC消息中携带第一密钥标识符和第二指示信息，或者第二NASSMC消息中携带第二密钥标识符、第三指示信息和第二指示信息。

结合第一方面，在第一方面的一种可能的实现方式中，所述第二安全上下文包括以下一项或多项：Kseaf#2、Kamf#2、Kaf#2、Kakma#2、K_NASint#2、K_NASenc#2、K_gNB#2、K_RRCint#2、K_RRCenc#2或者K_N3IWF#2。

第二方面，本申请实施例提出一种通信方法，包括：

所述终端设备接收来自接入和移动性管理功能AMF的第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息携带来自所述来自AMF的密钥标识符；当所述密钥标识符与所述终端设备正在使用的第一安全上下文的第一密钥标识符相同时，所述终端设备确定不激活第二安全上下文，所述第二安全上下文与所述第一安全上下文不一致。

本申请实施例中，UE并不盲目激活安全上下文，当生成新的安全上下文后，UE确定是否激活。以此降低密钥更新复杂度，提升设备性能。

结合第二方面，在第二方面的一种可能的实现方式中，所述终端设备确定不激活所述第二安全上下文，包括：所述终端设备确定不激活所述第二安全上下文中的NAS安全上下文和/或所述第二安全上下文中的AS安全上下文。UE可以不激活第二安全上下文中的部分NAS安全上下文和/或所述第二安全上下文中的AS安全上下文，提升方案的实现灵活性。

结合第二方面，在第二方面的一种可能的实现方式中，所述终端设备确定不激活所述第二安全上下文之前，所述方法还包括：所述终端设备验证所述来自AMF的密钥标识符对应的安全算法，与所述第一安全上下文对应的安全算法是否相同，所述来自AMF的密钥标识符对应的安全算法为所述接入和移动性管理功能选择的安全算法；当所述来自AMF的密钥标识符对应的安全算法与所述第一安全上下文对应的安全算法相同，所述终端设备确定不更新第一安全上下文。

UE收到第二NAS SMC消息后，如果第二NAS SMC消息有加密保护，则UE使用当前UE正在使用的密钥对消息进行解密保护。

具体的，UE收到第二NAS SMC消息后，UE使用当前UE正在使用的密钥对消息进行完整性保护验证。并验证第二NAS SMC消息中携带的安全算法是否与UE在注册请求消息中携带的安全算法相同，安全算法包括：UE的完整性保护算法和加密算法。在所有验证通过后，UE根据该第一密钥标识符确定后续使用的密钥。下面对不同方案分别进行描述：

(1)、当来自AMF的密钥标识符与UE的密钥标识符相同，且密钥标识符对应的安全算法与第一中间密钥对应的安全算法相同，则终端设备继续使用第一安全上下文，终端设备不作任何处理，其中，第一安全上下文对应第一中间密钥；

(2)、当来自AMF的密钥标识符与UE的密钥标识符不相同，则终端设备使用第二中间密钥生成第二安全上下文，终端设备激活第二安全上下文；

(3)、当来自AMF的密钥标识符与UE的密钥标识符相同，且密钥标识符对应的安全算法与第一中间密钥对应的安全算法不同，则终端设备根据第一中间密钥生成第三安全上下文，终端设备激活第三安全上下文。

具体的，当该来自AMF的密钥标识符为第一密钥标识符时，UE需要使用该第一密钥标识符对应的密钥，即UE需要使用第一安全上下文和第一中间密钥。UE可以继续使用原有的中间密钥(第一中间密钥)和第一安全上下文。UE可以重新激活该第一中间密钥和第一安全上下文，此处不做限制。

在另一种实现方法中，UE可以对比第二NAS SMC消息中来自AMF的密钥标识符与当前UE正在使用的中间密钥的密钥标识符是否一样，UE还需要验证第二NAS SMC消息中该密钥标识符对应的安全算法与当前UE正在使用的安全算法是否相同。如果均一样，并且UE验证NAS SMC的完整性保护是正确的，则UE可以不进行任何操作，继续使用当前的5G NAS安全上下文。即，使用当前的密钥和安全算法，NAS COUNT也不需要重置为0。

在一种实现方法中，UE可以对比第二NAS SMC消息中来自AMF的密钥标识符与当前UE正在使用的中间密钥的密钥标识符是否一样，UE还需要验证第二NAS SMC消息中该来自AMF的密钥标识符对应的安全算法与当前UE正在使用的安全算法是否相同。如果只有后者不同(即密钥标识符一致，安全算法不一致)，则UE需要使用ngKSI#1标识的Kausf#1对应的Kamf#1，使用第二NAS SMC消息携带的新的安全算法生成第三安全上下文。该第三安全上下文可以是新的5G NAS安全上下文(对应于第一中间密钥)，具体地，生成新的K_NAS-int和新的K_NASenc，并且NAS COUNT重置为0。UE使用新生成的K_NAS-int验证第二NAS SMC消息的完整性保护。可以理解的是，因为第二NAS SMC消息携带的是ngKSI#1，所以只能用ngKSI#1对应的第一中间密钥进行进一步衍生子密钥。所以只需要生成新的NAS密钥就行了。

在另一种实现方法中，UE对第一密钥标识符标识的密钥做激活操作，可以包括以下至少1个步骤：根据密钥标识#1标识的Kausf#1生成，生成Kseaf#1，使用Kseaf#1生成Kamf#1，再使用Kamf#1和第二NAS SMC消息中携带的选择的安全算法生成K_NASint#1和K_NASenc#1，将K_NASint#1、K_NASenc#1加密算法和完整性保护算法用于具体的功能，但是NAS COUNT保持不变。

在另一种实现方式中，UE只对比第二NAS SMC消息中携带的来自AMF的密钥标识符与当前正在使用的密钥对应的密钥标识符是否一样，如果一样，并且对第二NAS SMC消息的完整性保护校验成功，则不进行任何操作，继续使用当前的5G NAS安全上下文。

在AMF可以不生成第二密钥标识符的情况下，NAS SMC#2中还携带了第二指示信息时，UE进一步检查是否收到第三指示信息。如果UE收到第三指示信息，则UE只生成新的Kamf(生成Kamf#2)，不更新5G NAS和/或5G AS安全上下文。

在标准规定每次Kamf变化都会生成第二密钥标识符的情况下，如果NAS SMC#2中携带第一密钥标识符，则终端设备继续使用第一安全上下文，即只需要生成Kamf#2，不再作其他任何处理。也就是说，终端设备可以继续使用基于Kausf#1生成的5G NAS安全上文和5GAS安全上下文。或者，如果NAS SMC#2中携带第二密钥标识符和第三指示信息，则终端设备只需要生成Kamf#2，不再作其他任何处理。

结合第二方面，在第二方面的一种可能的实现方式中，在所述接入和移动性管理功能确定需要激活所述第二安全上下文的情况下，AMF向UE发送NAS SMC#2，NAS SMC#2中还包括第一指示信息。所述第一指示信息与第二网元关联，所述第一指示信息指示所述终端设备更新所述终端设备与所述第二网元之间的通信密钥；所述第二网元包括以下任一个：网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF。

第三方面，本申请实施例提出一种通信装置，包括：

处理模块，用于生成第二安全上下文，所述第二安全上下文与第一安全上下文不一致，所述第一安全上下文为接入和移动性管理功能当前使用的安全上下文；

所述处理模块，还用于确定是否激活所述第二安全上下文。

在一种可能的实现方式中，

收发模块，用于向所述终端设备发送包含第二密钥标识符的第二鉴权请求消息，所述第二鉴权请求消息用于触发所述终端设备和网络之间的第二鉴权；

所述处理模块，还用于在所述第二鉴权成功之后，确定是否需要激活所述第二鉴权过程中生成的第二安全上下文；

所述收发模块，还用于在不需要激活所述第二安全上下文的情况下，向所述终端设备发送第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息包括第一密钥标识符；其中，所述第一密钥标识符为所述接入和移动性管理功能当前使用的所述第一安全上下文的密钥标识符。

在一种可能的实现方式中，

所述收发模块，还用于向所述终端设备发送包含所述第一密钥标识符的第一鉴权请求消息，所述第一鉴权请求消息用于触发所述终端设备和网络之间的第一鉴权；

所述收发模块，还用于在所述第一鉴权成功之后，向所述终端设备发送第一NASSMC消息以激活在所述第一鉴权过程中生成的所述第一安全上下文，所述第一NAS SMC消息包括所述第一密钥标识符。

在一种可能的实现方式中，

所述收发模块，还用于接收来自所述终端设备的注册请求消息。

在一种可能的实现方式中，

所述处理模块，还用于当确定不更新非接入层NAS密钥和/或接入层AS密钥时，确定不激活所述第二安全上下文，

或者，

所述处理模块，还用于当确定非接入层NAS计数器翻转时，确定激活所述第二安全上下文，

或者，

所述处理模块，还用于当确定更新所述终端设备的非接入层NAS密钥上下文和/或接入层AS密钥上下文时，确定激活所述第二安全上下文；

或者，

所述处理模块，还用于当确定所述第二鉴权由第一网元触发，则不激活所述第二安全上下文，所述第一网元包括以下任一个：鉴权管理功能AUSF、网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF；

或者，

所述处理模块，还用于当确定所述第二鉴权仅需要对所述终端设备进行鉴权，则不激活所述第二安全上下文；

或者，

所述处理模块，还用于当确定所述第二鉴权由所述终端设备触发，则不激活所述第二安全上下文。

在一种可能的实现方式中，

所述收发模块，还用于当确定激活所述第二安全上下文后，向所述终端设备发送所述第二密钥标识符。

在一种可能的实现方式中，

所述收发模块，还用于当确定激活所述第二安全上下文后，向所述终端设备发送第一指示信息，所述第一指示信息与第二网元关联，所述第一指示信息指示所述终端设备更新所述终端设备与所述第二网元之间的通信密钥；

在一种可能的实现方式中，

所述收发模块，还用于当确定激活所述第二安全上下文后，所述接入和移动性管理功能激活第二中间密钥的非接入层NAS密钥，所述第二安全上下文对应所述第二中间密钥；

在一种可能的实现方式中，

所述收发模块，还用于接收第一网元发送的第三鉴权请求消息，其中，所述第三鉴权请求消息携带所述终端设备的永久标识信息，所述第三鉴权请求消息用于触发所述终端设备与网络之间的所述第二鉴权；

所述第一网元包括以下任一个：AUSF、NEF、AAnF、ECS、EES或AF。

在一种可能的实现方式中，

所述处理模块，还用于选择安全算法对所述接入和移动性管理功能向所述终端设备发送的第二NAS SMC消息进行完整性保护和机密性保护；

所述处理模块，还用于当所述接入和移动性管理功能选择的安全算法与所述第一安全上下文对应的安全算法相同，则确定不激活所述第二安全上下文；

所述收发模块，还用于向所述终端设备发送所述第二NAS SMC消息，所述第二NASSMC消息包括所述第一密钥标识符。

在一种可能的实现方式中，

所述收发模块，还用于向所述终端设备发送第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息包括第二指示信息，所述第二指示信息指示所述终端设备生成Kamf#2，并激活Kamf#2对应的所述第二安全上下文，所述Kamf#2为更新的Kamf。

在一种可能的实现方式中，

所述第二NAS SMC消息还包括第三指示信息，所述第三指示信息指示所述终端设备继续使用所述第一安全上下文中的NAS安全上下文和所述第一安全上下文中的AS安全上下文。

在一种可能的实现方式中，

所述第二安全上下文包括以下一项或多项：Kseaf#2、Kamf#2、Kaf#2、Kakma#2、K_NASint#2、K_NASenc#2、K_gNB#2、K_RRCint#2、K_RRCenc#2或者K_N3IWF#2。

第四方面，本申请实施例提出一种通信装置，包括：

收发模块，用于接收来自接入和移动性管理功能AMF的第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息携带来自所述来自AMF的密钥标识符；

处理模块，用于当所述密钥标识符与所述终端设备正在使用的第一安全上下文的第一密钥标识符相同时，确定不激活第二安全上下文，所述第二安全上下文与所述第一安全上下文不一致。

在一种可能的实现方式中，

所述处理模块，还用于确定不激活所述第二安全上下文中的NAS安全上下文和/或所述第二安全上下文中的AS安全上下文。

在一种可能的实现方式中，

所述处理模块，还用于验证所述来自AMF的密钥标识符对应的安全算法，与所述第一安全上下文对应的安全算法是否相同，所述来自AMF的密钥标识符对应的安全算法为所述接入和移动性管理功能选择的安全算法；

所述处理模块，还用于当所述来自AMF的密钥标识符对应的安全算法与所述第一安全上下文对应的安全算法相同，确定不更新第一安全上下文。

在一种可能的实现方式中，

所述收发模块，还用于接收所述接入和移动性管理功能发送的第一指示信息，所述第一指示信息与第二网元关联，所述第一指示信息指示所述终端设备更新所述终端设备与所述第二网元之间的通信密钥；

所述第二网元包括以下任一个：网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF。

第五方面，本申请实施例提供了一种通信装置，该通信装置可以实现上述第一、第二方面所涉及方法中终端设备、网络设备所执行的功能。该通信装置包括处理器、存储器以及与该处理器连接的接收器和与该处理器连接的发射器；该存储器用于存储程序代码，并将该程序代码传输给该处理器；该处理器用于根据该程序代码中的指令驱动该接收器和该发射器执行如上述第一、二方面该的方法；接收器和发射器分别与该处理器连接，以执行上述各个方面的该的方法中终端设备、网络设备的操作。具体地，发射器可以进行发送的操作，接收器可以进行接收的操作。可选的，该接收器与发射器可以是射频电路，该射频电路通过天线实现接收与发送消息；该接收器与发射器还可以是通信接口，处理器与该通信接口通过总线连接，该处理器通过该通信接口实现接收或发送消息。

第六方面，本申请实施例提供一种通信装置，该通信装置可以包括网络设备或者芯片等实体，或者，该通信装置可以包括终端设备或者芯片等实体，该通信装置包括：处理器，存储器；该存储器用于存储指令；该处理器用于执行该存储器中的该指令，使得该通信装置执行如前述第一方面或第二方面中任一项该的方法。

第七方面，本申请实施例提供了一种存储一个或多个计算机执行指令的计算机可读存储介质，当该计算机执行指令被处理器执行时，该处理器执行如前述第一方面或第二方面中任意一种可能的实现方式。

第八方面，本申请实施例提供一种存储一个或多个计算机执行指令的计算机程序产品(或称计算机程序)，当该计算机执行指令被该处理器执行时，该处理器执行前述第一方面或第二方面中任意一种可能的实现方式。

第九方面，本申请提供了一种芯片系统，该芯片系统包括处理器，用于支持计算机设备实现上述方面中所涉及的功能。在一种可能的设计中，该芯片系统还包括存储器，该存储器，用于保存计算机设备必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十方面，本申请提供了一种通信系统，该通信系统包括如上述第四方面、第五方面中的通信装置。

附图说明

图1为一种通信系统的网络架构示意图；

图2为本申请实施例中通信装置的硬件结构示意图；

图3为UE通过转发的接入流程示意图；

图4为密钥Kaf的生成流程示意图；

图5为本申请实施例涉及的NAS SMC流程示意图；

图6为本申请实施例提出的一种通信方法的流程示意图；

图7为本申请实施例提出的一种应用场景示意图；

图8为本申请实施例提出的又一种应用场景示意图；

图9为本申请实施例提出的又一种应用场景示意图；

图10为本申请实施例中通信装置的一种实施例示意图；

图11为本申请实施例中通信装置的一种实施例示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。本申请的说明书和权利要求书及上述附图中的术语“第一”、第二”以及相应术语标号等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。

在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请的描述中，“至少一项”是指一项或者多项，“多项”是指两项或两项以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

本申请实施例的技术方案可以应用于各种通信系统，例如：宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统，通用分组无线业务(generalpacket radio service，GPRS)，长期演进(Long Term Evolution，LTE)系统，LTE频分双工(frequency division duplex，FDD)系统，LTE时分双工(time division duplex，TDD)，通用移动通信系统(universal mobile telecommunication system，UMTS)，全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统，第五代(5thgeneration，5G)系统或NR以及未来的第六代通信系统等。

各种通信系统中由运营者运营的部分可称为运营商网络。运营商网络也可称为公用陆地移动网(public land mobile network，PLMN)网络，是由政府或政府所批准的经营者，以为公众提供陆地移动通信业务为目的而建立和经营的网络，主要是移动网络运营商(mobile network operator，MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的运营商网络或PLMN网络，可以为符合第三代合作伙伴项目(3rd generationpartnership project，3GPP)标准要求的网络，简称3GPP网络。通常3GPP网络由运营商来运营，包括但不限于第五代移动通信(5th-generation，5G)网络(简称5G网络)，第四代移动通信(4th-generation，4G)网络(简称4G网络)或第三代移动通信技术(3rd-generation，3G)网络(简称3G网络)。还包括未来的6G网络。为了方便描述，本申请实施例中将以运营商网络(如移动网络运营商(mobile network operator，MNO)网络)为例进行说明。

为了便于理解本申请实施例，以图1所示的5G网络架构为例对本申请使用的应用场景进行说明，可以理解的是对其他通信网络与5G网络架构相似，因此不做赘述。请参阅图1，图1为一种通信系统的网络架构示意图，所述网络架构中可以包括：终端设备(也可以称为用户设备部分，运营商网络部分和数据网络(data network，DN)部分。

终端设备部分包括终端设备110，终端设备110也可以称为用户设备(userequipment，UE)。本申请实施例中所涉及的终端设备110作为一种具有无线收发功能的设备，可以经(无线)接入网((radio)access network，(R)AN)140中的接入网设备与一个或多个核心网(core network，CN)进行通信。终端设备110也可称为接入终端，终端，用户单元，用户站，移动站，移动台，远方站，远程终端，移动设备，用户终端，无线网络设备，用户代理或用户装置等。终端设备110可以部署在陆地上，包括室内或室外，手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机，气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone)，无绳电话，会话启动协议(session initiation protocol，SIP)电话，智能电话(smart phone)，手机(mobile phone)，无线本地环路(wireless localloop，WLL)站，个人数字处理(personal digital assistant，PDA)，可以是具有无线通信功能的手持设备，计算设备或连接到无线调制解调器的其它设备，车载设备，可穿戴设备，无人机设备或物联网，车联网中的终端，第五代移动通信(fifth generation，5G)网络以及未来网络中的任意形态的终端，中继用户设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端等，其中，中继用户设备例如可以是5G家庭网关(residential gateway，RG)。例如终端设备110可以是虚拟现实(virtual reality，VR)终端，增强现实(augmented reality，AR)终端，工业控制(industrial control)中的无线终端，无人驾驶(self driving)中的无线终端，远程医疗(remote medical)中的无线终端，智能电网(smart grid)中的无线终端，运输安全(transportation safety)中的无线终端，智慧城市(smart city)中的无线终端，智慧家庭(smart home)中的无线终端等。本申请实施例对此并不限定。为方便说明，本申请实施例中以终端设备110包括无人机和无人机遥控器为例进行说明。

需要说明的是，本申请实施例中涉及的无人机还可以包括：可以自主进行行驶的车辆(vehicle)，或基于遥控器的控制指令进行行驶的车辆；可以自主进行航行的船舶(shipping)，或基于遥控器的控制指令进行航行的船舶等。

运营商网络可以包括统一数据管理(unified data management，UDM)134，鉴权管理功能(authentication server function，AUSF)136，接入和移动性管理功能(accessand mobility management function，AMF)137，会话管理功能(session managementfunction，SMF)138，用户面功能(user plane function，UPF)139以及(R)AN140等。上述运营商网络中，除(R)AN140部分之外的其他部分可以称为核心网络(core network，CN)部分或核心网部分。为方便说明，本申请实施例中以(R)AN 140为RAN为例进行说明。

数据网络DN 120，也可以称为协议数据网络(protocol data network，PDN)，通常是位于运营商网络之外的网络，例如第三方网络。运营商网络可以接入多个数据网络DN120，数据网络DN 120上可部署多种业务，可为终端设备110提供数据和/或语音等服务。例如，数据网络DN 120可以是某智能工厂的私有网络，智能工厂安装在车间的传感器可以是终端设备110，数据网络DN 120中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，基于指令将采集的传感器数据传送给控制服务器等。又例如，数据网络DN 120可以是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备110，员工的手机或者电脑可以访问公司内部办公网络上的信息，数据资源等。

终端设备110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。终端设备110还可通过运营商网络访问数据网络DN 120，使用数据网络DN 120上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为运营商网络和终端设备110之外的服务方，可为终端设备110提供其他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可基于实际应用场景确定，在此不做限制。

下面对运营商网络中的网络功能进行简要介绍。

(R)AN 140可以看作是运营商网络的子网络，是运营商网络中业务节点与终端设备110之间的实施系统。终端设备110要接入运营商网络，首先是经过(R)AN 140，进而可通过(R)AN 140与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备)，是一种为终端设备110提供无线通信功能的设备，也可以称为网络设备，RAN设备包括但不限于：5G系统中的下一代基站节点(next generation node base station，gNB)，长期演进(long term evolution，LTE)中的演进型节点B(evolved node B，eNB)，无线网络控制器(radio network controller，RNC)，节点B(node B，NB)，基站控制器(base stationcontroller，BSC)，基站收发台(base transceiver station，BTS)，家庭基站(例如，homeevolved nodeB，或home node B，HNB)，基带单元(base band unit，BBU)，传输点(transmitting and receiving point，TRP)，发射点(transmitting point，TP)，小基站设备(pico)，移动交换中心，或者未来网络中的网络设备等。采用不同无线接入技术的系统中，具备接入网设备功能的设备的名称可能会有所不同。为方便描述，本申请所有实施例中，上述为终端设备110提供无线通信功能的装置统称为接入网设备或简称为RAN或AN。应理解，本文对接入网设备的具体类型不作限定。

接入和移动性管理功能AMF(也可以称为AMF网元，AMF网络功能或AMF网络功能实体)137是由运营商网络提供的控制面网络功能，负责终端设备110接入运营商网络的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。

会话管理功能SMF(也可以称为SMF网元，SMF网络功能或SMF网络功能实体)138是由运营商网络提供的控制面网络功能，负责管理终端设备110的协议数据单元(protocoldata unit，PDU)会话。PDU会话是一个用于传输PDU的通道，终端设备需要通过PDU会话与数据网络DN 120互相传送PDU。PDU会话由SMF网络功能138负责建立，维护和删除等。SMF网络功能138包括会话管理(如会话建立，修改和释放，包含用户面功能UPF 139和(R)AN 140之间的隧道维护)，UPF网络功能139的选择和控制，业务和会话连续性(service and sessioncontinuity，SSC)模式选择，漫游等会话相关的功能。

用户面功能UPF(也可以称为UPF网元，UPF网络功能或UPF网络功能实体)139是由运营商提供的网关，是运营商网络与数据网络DN 120通信的网关。UPF网络功能139包括数据包路由和传输，数据包检测，业务用量上报，服务质量(quality of service，QoS)处理，合法监听，上行数据包检测，下行数据包存储等用户面相关的功能。

统一数据管理网元UDM(也可以称为UDM网元，UDM网络功能或UDM网络功能实体)134是由运营商提供的控制面功能，负责存储运营商网络中签约用户的永久身份标识(subscriber permanent identifier，SUPI)，签约用户的公开使用的签约标识(genericpublic subscription identifier，GPSI)，信任状(credential)等信息。其中SUPI在传输过程中会先进行加密，加密后的SUPI被称为隐藏的用户签约标识符(subscriptionconcealed identifier，SUCI)。UDM 134所存储的这些信息可用于终端设备110接入运营商网络的认证和授权。其中，上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户，例如使用“中国电信”的手机芯卡的用户，或者使用“中国移动”的手机芯卡的用户等。上述签约用户的信任状可以是：该手机芯卡存储的长期密钥或者跟该手机芯卡加密相关的信息等存储的小文件，用于认证和/或授权。需要说明的是，永久标识符，信任状，安全上下文，认证数据(cookie)，以及令牌等同验证/认证，授权相关的信息，在本申请实施例中，为了描述方便起见不做区分限制。

鉴权管理功能(authentication server function，AUSF)(也可以称为AUSF网元、AUSF网络功能或AUSF网络功能实体)136是由运营商提供的控制面功能，通常用于主认证，即终端设备110(签约用户)与运营商网络之间的认证。AUSF 136接收到签约用户发起的认证请求之后，可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权，或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能136可向签约用户反馈认证信息和/或授权信息。在认证和密钥管理(Authenticationand key management for Application，AKMA)场景中，会为认证和密钥管理锚点功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130生成AKMA锚点密钥Kakma(该秘钥管理密钥也称为AKMA中间密钥)，并且负责为应用功能(application Function,AF)135生成AF 135使用的密钥Kaf和Kaf的有效时间。

网络开放功能(Network Exposure Function，NEF)131，做为中间网元为外部应用功能(application Function,AF)135和核心网内部的认证和密钥管理锚点功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130提供交互服务。

网络存储功能(Network Repository Function，NRF)132，用于进行网络功能(Network Function，NF)登记、管理，或状态检测，实现所有NF的自动化管理，每个NF启动时，必须要到NRF进行注册登记才能提供服务，登记信息包括NF类型、地址，或服务列表等。

策略控制实体(policy control function，PCF)133,PCF 133与AF 135交互获得服务质量(Quality of Service，Qos)参数，或者提供QoS参数给AF 135，进而实现一种可以影响应用程序数据传输的作用。

应用功能AF 135，AF 135与第三代合作伙伴计划(3rd Generation PartnershipProject，3GPP)核心网交互用于提供应用层服务。比如：提供关于应用层数据路由，提供接入网络能力。AF 135可以与NEF 131交互，可以与PCF 133交互。在认证和密钥管理(Authentication and key management for Application，AKMA)场景中，AF135需要与AAnF 130交互，获得AF中间密钥(Kaf)和Kaf的有效时间。AF 135的位置可以在5G核心网内部，也可以在5G核心网外部。如果AF在5G核心网内部，那么他可以直接与PCF 133交互。如果AF 135在5G核心网外部，则NEF 131作为中间节点转发AF 135与PCF 133的交互内容。比如通过NEF转发。

认证和密钥管理AKMA锚点功能AAnF 130，AAnF 130会跟AUSF 136交互获得AKMA中间密钥(Kakma)，并且负责为AF 135生成AF 135使用的密钥Kaf和Kaf的有效时间。

图1中Nausf、Nudm、Namf、Nsmf、Nnrf、Nnef、Naanf、Naf、N1、N2、N3、N4，以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义，在此不做赘述。需要说明的是，图1中仅以终端设备110为UE作出了示例性说明，图1中的各个网络功能之间的接口名称也仅仅是一个示例，在具体实现中，该系统架构的接口名称还可能为其他名称，本申请实施例对此不做具体限定。

为方便说明，本申请实施例中以移动性管理网络功能为AMF网络功能137为例进行说明。它也可以是未来通信系统中的具有上述AMF网络功能137的其他网络功能。或者，本申请中的移动性管理网络功能还可以是LTE中的移动管理网元(Mobility ManagementEntity，MME)等。进一步地，将AMF网络功能137简称为AMF，将终端设备110称为UE，将即本申请实施例中后文所描述的AMF均可替换为移动性管理网络功能，UE均可替换为终端设备。

本申请提供的一种密钥标识的生成方法可以应用于各类通信系统中，例如，可以是物联网(internet of things，IoT)、窄带物联网(narrow band internet of things，NB-IoT)、长期演进(long term evolution，LTE)，也可以是第五代(5G)通信系统，还可以是LTE与5G混合架构、也可以是5G新无线(new radio，NR)系统以及未来通信发展中出现的新的通信系统等。本申请的5G通信系统可以包括非独立组网(non-standalone，NSA)的5G通信系统、独立组网(standalone，SA)的5G通信系统中的至少一种。通信系统还可以是公共陆地移动网络(public land mobile network，PLMN)网络、设备到设备(device-to-device，D2D)网络、机器到机器(machine to machine，M2M)网络或者其他网络。

此外，本申请实施例还可以适用于面向未来的其他通信技术，例如6G等。本申请描述的网络架构以及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对本申请提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请涉及的各个网络功能可能发生变更，本申请提供的技术方案对于类似的技术问题，同样适用。

图2为本申请实施例中通信装置的硬件结构示意图。该通信装置可以是本申请实施例中网络设备或终端设备的一种可能的实现方式。如图2所示，通信装置至少包括处理器204，存储器203，和收发器202，存储器203进一步用于存储指令2031和数据2032。可选的，该通信装置还可以包括天线206，I/O(输入/输出，Input/Output)接口210和总线212。收发器202进一步包括发射器2021和接收器2022。此外，处理器204，收发器202，存储器203和I/O接口210通过总线212彼此通信连接，天线206与收发器202相连。

处理器204可以是通用处理器，例如但不限于，中央处理器(Central ProcessingUnit，CPU)，也可以是专用处理器，例如但不限于，数字信号处理器(Digital SignalProcessor，DSP)，应用专用集成电路(Application Specific Integrated Circuit，ASIC)和现场可编程门阵列(Field Programmable Gate Array，FPGA)等。该处理器204还可以是神经网络处理单元(neural processing unit，NPU)。此外，处理器204还可以是多个处理器的组合。特别的，在本申请实施例提供的技术方案中，处理器204可以用于执行，后续方法实施例中密钥标识的生成方法的相关步骤。处理器204可以是专门设计用于执行上述步骤和/或操作的处理器，也可以是通过读取并执行存储器203中存储的指令2031来执行上述步骤和/或操作的处理器，处理器204在执行上述步骤和/或操作的过程中可能需要用到数据2032。

收发器202包括发射器2021和接收器2022，在一种可选的实现方式中，发射器2021用于通过天线206发送信号。接收器2022用于通过天线206之中的至少一根天线接收信号。特别的，在本申请实施例提供的技术方案中，发射器2021具体可以用于通过天线206之中的至少一根天线执行，例如，后续方法实施例中密钥标识的生成方法应用于网络设备或终端设备时，网络设备或终端设备中接收模块或发送模块所执行的操作。

在本申请实施例中，收发器202用于支持通信装置执行前述的接收功能和发送功能。将具有处理功能的处理器视为处理器204。接收器2022也可以称为输入口、接收电路等，发射器2021可以称为发射器或者发射电路等。

处理器204可用于执行该存储器203存储的指令，以控制收发器202接收消息和/或发送消息，完成本申请方法实施例中通信装置的功能。作为一种实现方式，收发器202的功能可以考虑通过收发电路或者收发的专用芯片实现。本申请实施例中，收发器202接收消息可以理解为收发器202输入消息，收发器202发送消息可以理解为收发器202输出消息。

存储器203可以是各种类型的存储介质，例如随机存取存储器(Random AccessMemory，RAM)，只读存储器(Read Only Memory，ROM)，非易失性RAM(Non-Volatile RAM，NVRAM)，可编程ROM(Programmable ROM，PROM)，可擦除PROM(Erasable PROM，EPROM)，电可擦除PROM(Electrically Erasable PROM，EEPROM)，闪存，光存储器和寄存器等。存储器203具体用于存储指令2031和数据2032，处理器204可以通过读取并执行存储器203中存储的指令2031，来执行本申请方法实施例中所述的步骤和/或操作，在执行本申请方法实施例中操作和/或步骤的过程中可能需要用到数据2032。

可选的，该通信装置还可以包括I/O接口210，该I/O接口210用于接收来自外围设备的指令和/或数据，以及向外围设备输出指令和/或数据。

下面，介绍本申请实施例涉及的一些背景技术。

(1)、密钥架构。

接下来，介绍第五代移动通信系统的密钥架构。UE(或USIM)和UDM(或认证凭据仓库及处理功能(Authentication credential Respository and Processing Function，ARPF)或统一数据存储(Unified Data Repoitory，UDR))上保存UE的长期密钥K。

在网络设备侧，UDM或者ARPF基于UE的长期密钥K，生成密钥CK和密钥IK。UDM选择的认证方式不同，生成中间密钥Kausf的方式存在差异。当UDM选择使用的认证方式为5G认证和密钥协商(5G Authentication and Key Agreement，5G AKA)时，UDM或者ARPF根据密钥CK和密钥IK，生成中间密钥Kausf。UDM将生成的中间密钥Kausf发送给AUSF。当UDM选择使用的认证方式为第三代认证和密钥协商的改进扩展认证协议方式(Improved ExtensibleAuthentication Protocol Method for 3rd Generation Authentication and KeyAgreement，EAP-AKA')时，UDM或者ARPF根据密钥CK和密钥IK，生成密钥CK’和密钥IK’。UDM将生成的密钥CK’和密钥IK’发送给AUSF。AUSF根据密钥CK’和密钥IK’生成中间密钥Kausf。

基于该中间密钥Kausf，可以派生出多种密钥。本申请实施例中为了便于描述，将基于该中间密钥Kausf派生的密钥称为安全上下文。安全上下文包括但不限于：Kseaf、Kamf、Kaf、Kakma、K_NASint、K_NASenc、K_gNB、K_RRCint、K_RRCenc或者K_N3IWF。

AUSF根据中间密钥Kausf生成密钥Kseaf，并将密钥Kseaf发送给SEAF。SEAF根据密钥Kseaf生成密钥Kamf并将密钥Kamf发送给AMF。AMF根据密钥Kamf生成非接入层(non-access stratum，NAS)密钥和和接入层(access stratum，AS)中间密钥K_gNB。AMF将K_gNB传递给基站，基站根据K_gNB再进一步生成AS安全上下文，比如K_RRCint、K_RRCenc。

在终端设备侧，首先，USIM基于UE的长期密钥K，生成密钥CK和密钥IK。USIM将密钥CK和密钥IK发送给UE。其次，与网络侧类似，不同认证方式下生成中间密钥Kausf的方式存在差异。当使用的认证方式为5G AKA时，UE根据密钥CK和密钥IK，生成中间密钥Kausf。当使用的认证方式为EAP-AKA’时，UE根据密钥CK和密钥IK，生成密钥CK’和密钥IK’。UE根据密钥CK’和密钥IK’生成中间密钥Kausf。

UE根据中间密钥Kausf生成密钥Kseaf。UE根据密钥Kseaf生成密钥Kamf。UE根据密钥Kamf生成NAS密钥和K_gNB。UE再根据K_gNB进一步生成K_RRCint、K_RRCenc。

(2)、AKMA。

为了便于理解，请参阅图3，图3为UE通过转发的接入流程示意图。以图3为例说明AKMA流程，具体的：

301、UE与核心网之间进行主鉴权流程。

步骤301中，UE与核心网之间进行主鉴权(Primary authentication)流程。该主鉴权流程需要使用鉴权向量(authentication vector，AV)，该鉴权向量用于主鉴权流程中传递主鉴权流程的验证参数。具体的，通过步骤302，AUSF获取该鉴权向量。

本申请实施例中，该主鉴权流程也称为鉴权流程，此处不作限制。

302、AUSF向UDM发送鉴权向量获取请求消息。

步骤302中，AUSF向UDM发送鉴权向量获取请求消息，该鉴权向量获取请求消息例如“Numd_UEAuthentication Get Request”。该鉴权向量获取请求消息用于向UDM请求鉴权向量。该鉴权向量获取请求消息中携带SUPI或SUCI。具体的，当AMF向AUSF发送的消息中携带SUPI时，该鉴权向量获取请求消息中携带SUPI；当AMF向AUSF发送的消息中携带SUCI时，该鉴权向量获取请求消息中携带SUCI。

SUCI可以理解为是SUPI的一种加密形式。SUCI的具体生成方法可以参考3GPP标准TS 33.501。概括地说，SUPI中除移动国家代码(mobile country code，MCC)之外的部分可以由全球用户识别卡(universal subscriber identity module，USIM)或移动设备(mobile equipment，ME)进行加密计算得到SUCI中的加密部分。SUCI除了加密部分，还包括路由标识RID，MCC，MNC等内容。

303、AUSF接收UDM发送的鉴权向量获取响应消息。

步骤303中，UDM收到步骤302的鉴权向量获取请求消息后，UDM确定对应的鉴权向量。UDM向AUSF发送鉴权向量获取响应消息，该鉴权向量获取响应消息中携带鉴权向量。该鉴权向量获取响应消息例如：“Num_UEAuthentication_Get Response”。

可选的，UDM基于SUPI对应的用户签约数据判断该主鉴权流程对应的UE是否支持AKMA业务。当该UE支持AKMA业务，则该鉴权向量获取响应消息中携带AKMA业务指示信息，该AKMA业务指示信息是“AKMA Indication”。AKMA业务指示信息用于指示AUSF需要为这个UE生成AKMA锚点密钥Kakma。也可以理解为：该AKMA业务指示信息用于指示该UE支持AKMA业务。当该UE不支持AKMA业务，则该鉴权向量获取请求消息中不携带AKMA业务指示信息。

304a、UE基于AUSF中间密钥生成AKMA锚点密钥Kakma。

步骤304a中，当UE的主鉴权流程成功完成后，UE基于与AUSF使用的相同的中间密钥(Kausf)生成AKMA锚点密钥(Kakma)。可选的，进一步地，UE要发起AKMA业务前，UE基于与AUSF使用的相同的中间密钥(Kausf)生成AKMA锚点密钥(Kakma)。

304b、UE生成认证和密钥管理-密钥临时身份标识A-KID。

步骤304b中，当UE的主鉴权流程成功完成后，UE要发起AKMA业务前，UE基于与AUSF使用的相同的中间密钥(Kausf)生成认证和密钥管理-密钥临时身份标识(AKMA-KeyIdentifier，A-KID)。A-KID用于标识UE的AKMA锚点密钥Kakma。可选的，进一步地，UE要发起AKMA业务前，UE基于与AUSF使用的相同的中间密钥(Kausf)生成A-KID。具体地，UE基于基于与AUSF使用的相同的中间密钥(Kausf)生成A-KID中的密钥管理-密钥临时身份标识(AKMATemporary UE Identifier，A-TID)部分。

具体的，基于路由标识RID生成A-KID。A-KID格式为“username@exmaple”。“username”部分包括路由标识，和认证和密钥管理-密钥临时身份标识(AKMA TemporaryUE Identifier，A-TID)。“example”部分包括家乡网络标识，例如：移动国家代码(mobilecountry code，MCC)和移动网络代码(mobile network code，MNC)。A-TID是基于Kausf生成的一个临时标识。

需要说明的是，步骤304a与步骤304b执行顺序不作限制。

305a、AUSF基于AUSF中间密钥生成AKMA锚点密钥Kakma。

步骤305a与前述步骤304a类似，不作赘述。与304a不同的地方在于，AUSF在收到所述鉴权向量获取响应消息后，如果消息中携带有AKMA业务指示信息，则AUSF使用AUSF获取到的Kausf生成Kakma和A-KID。如果所述鉴权向量获取响应消息没有携带有AKMA业务指示信息，则AUSF可以不生成Kakma和A-KID。

305b、AUSF生成认证和密钥管理-密钥临时身份标识A-KID。

步骤305b中，当步骤303中，UDM发送的鉴权向量获取响应消息中携带AKMA标识信息时，AUSF基于该AKMA标识信息确定需要生成A-KID。

306、AUSF向AAnF发送AKMA锚密钥注册请求消息。

步骤306中，AUSF选择一个AAnF后，AUSF向该AAnF发送AKMA锚密钥注册请求消息。AKMA锚密钥注册请求消息例如：“Naanf_AKMA_AnchorKey_Register Request”。具体的，该AKMA锚密钥注册请求消息中携带SUPI、A-KID和Kakma。

307、AUSF接收AAnF发送的AKMA锚密钥注册响应消息。

步骤307中，AAnF基于步骤306的AKMA锚密钥注册请求消息，向AUSF发送AKMA锚密钥注册响应消息。该AKMA锚密钥注册响应消息例如：“Naanf_AKMA_AnchorKey_RegisterResponse”。

308、AUSF删除Kakma和A-KID。

步骤308中，当AUSF接收来自AAnF发送的AKMA锚密钥注册响应消息后，AUSF删除Kakma和A-KID。

(3)、路由标识RID。

SUCI中包括RID。当前标准规定，RID用于AMF查找AUSF，AUSF查找UDM。在AKMA流程中，RID用于生成A-KID。RID还用于选择AAnF。

在5G全球用户识别卡(Universal Subscriber Identity Module，USIM)中，RID存储在USIM中。当5G UE使用5G USIM时，5G UE从该5G USIM中获取需要使用的RID。该RID的值可以是一个非缺省值，也可以是一个缺省值。

而在4G USIM中不存在RID，因此，如果一个5G UE使用了4G USIM，那么SUCI中的RID会被填充为缺省值。

在AMF中，关于UE的上下文中包括RID。可以理解为，AMF从SUCI中获取RID后，将该RID存储在AMF中。

(4)、密钥Kaf的生成流程。

密钥Kaf是基于中间密钥Kausf派生得到的密钥，安全上下文中包括该Kaf。具体生成Kaf的流程，请参阅图4。图4为密钥Kaf的生成流程示意图，具体的：

401、主鉴权流程并生成Kakma。

步骤401为主鉴权流程并生成Kakma，具体步骤请参阅前述图3所示各个步骤，此处不作赘述。

402、UE向AF发送A-KID。

步骤402中，UE发送“Application Session Establishment Request”消息给AF。该消息中携带A-KID。AAnF根据A-KID查找对应的Kakma，该Kakma的A-KID与该消息中的A-KID一致。

403、AF向AAnF发送A-KID和AF_ID。

步骤403中，AF发送“Naanf_AKMA_ApplicationKey_Get_Request”消息给AAnF。该消息中携带A-KID和AF的标识信息(AF_ID)。A-KID来自前述“Application SessionEstablishment Request”消息。该AF_ID用于生成Kaf。

404、AAnF根据A-KID确定Kakma，并使用Kakma生成Kaf。

步骤404中，AAnF根据A-KID确定Kakma。然后使用Kakma生成Kaf。并确定Kaf的有效时间(也可以称为过期时间)。

405、AAnF向AF发送Kaf。

步骤405中，AAnF向AF发送“Naanf_AKMA_ApplicationKey_Get Response”消息，该消息中携带生成的Kaf和Kaf的过期时间。

406、AF向UE回复响应消息。

步骤406中，AF向UE回复响应消息，该响应消息可以是“Application SessionEstablishment Response”消息。

由上述步骤可知，Kakma是在主鉴权完成后使用Kausf生成的。因此，在没有新Kausf生成的情况下，就不会有新Kakma生成。所以可以理解为，Kakma的有效时间与Kausf的有效时间一致。Kausf的更新时间依赖于主鉴权发生的频率，而主鉴权发生的时间依赖于网络配置或者触发条件。因此Kausf的有效时间(也称为过期时间、有效期或者生存时间)，不确定。基于该Kausf生成的Kakma的有效时间也不确定。

由于需要根据该A-KID确定对应的Kakma后，基于该Kakma(和AF_ID)生成Kaf。该Kaf的有效时间由AAnF设置，因此该Kaf的有效时间可能与Kausf的有效时间不一致。

因为Kaf有单独的有效期，因此当有效期到期后，Kaf就过期了。Kaf过期，就需要更新Kaf，否则UE和AF之间就存在没有密钥可以用的可能性。

因为Kaf的生成需要使用Kakma，因此如果Kakma没有更新，那么Kakma会生成相同的Kaf。所以，当Kaf过期后，如果有新的Kausf生成，则AAnF可以为AF生成新的Kaf。但是若没有新的Kausf生成，则AAnF只会再次生成过期的Kaf。此时UE和AF如果继续使用过期Kaf，那么设定Kaf的有效期就变得没有意义，与有效期的设计初衷不符。例如：使用Kakma#1生成Kaf#1，基于Kausf#1生成Kakma#1。当Kaf#1过期后，AF和UE需要使用新的Kaf(Kaf#2)。当Kausf未更新，即Kausf依然是Kausf#1时，基于该Kausf#1生成的Kaf依然是Kaf#1。因此，UE和AF无法继续使用该Kaf。

(5)、中间密钥Kausf的存储流程。

Kausf是在主鉴权过程中，在AUSF中生成的，或者UDM生成后发送给AUSF的。在UE侧，UE可以使用与AUSF或者UDM相同的方法生成与AUSF获得的相同的Kausf。当前讨论了如何确保UE和AUSF保存相同的Kausf。讨论结论是AUSF在确定鉴权成功后保存新的Kausf，而UE侧是在收到非接入层安全模式命令(Non-access stratum security mode commond，NASSMC)消息后，保存新的Kausf。

具体的，首先发生主鉴权流程，其次发生NAS SMC流程。为了实现UE保存最新的Kausf，主鉴权流程后需要强制发生NAS SMC流程，并且，主鉴权流程与NAS SMC流程之间的空闲时间尽可能小。NAS SMC流程可以用于激活原生安全上下文，原生安全上下文是指通过主鉴权流程生成的安全上下文。安全上下文包括密钥、算法、计数器等用于安全功能的材料。5G安全上下文是指用于5G系统的安全上下文。5G安全上下文包括但不限于5G NAS安全上下文、5G AS安全上下文和5G AKMA安全上下文。5G NAS安全上下文用于UE和AMF之间的安全保护，AS安全上下文用于UE和基站之间的安全保护。5G AKMA安全上下文包括Kakma、A-KID、Kaf等密钥(或者安全材料，或者安全密钥)。5G AKMA安全上下文在主鉴权流程后AUSF侧生成，并发送给AAnF，UE侧则是在AKMA业务发起前再生成。具体的，主鉴权流程中生成新的Kausf，并基于这个新的Kausf生成其它新的密钥(例如NAS密钥)。该新的密钥如果要激活的话，必须通过NAS SMC流程激活。激活密钥指的是UE和AMF开始使用密钥做安全保护。为了便于理解，请参阅图5，图5为本申请实施例涉及的NAS SMC流程示意图。NAS SMC流程包括：

501、启动完整性保护。

步骤501中，AMF启动完整性保护流程。

502、AMF向UE发送NAS SMC消息。

步骤502中，AMF在主鉴权流程中会生成5G密钥标识符(Key Set Identifier in5G，ngKSI)，该5G密钥标识符用于标识5G安全上下文。NAS SMC消息中携带的5G密钥标识符用于告知UE后续将要使用哪一套密钥进行安全保护。AMF向UE发送NAS SMC消息，该NAS SMC消息中携带5G密钥标识符(Key Set Identifier in 5G，ngKSI)，该NAS SMC消息还包括其它信息，例如：选择的加密算法和/或选择的完整性保护算法、重放的安全算法等，安全算法包括：加密算法和完整性保护算法此处不作赘述。

503、启动上行解密流程。

步骤503中，AMF启动上行链路的解密流程。

504、检验NAS SMC消息的完整性。

步骤504中，UE检验该NAS SMC消息的完整性，具体的，UE还检验是否成功启动上行链路加密，下行链路解密和完整性保护等。

505、UE向AMF发送NAS SMC完成响应。

步骤505中，UE完成NAS SMC消息的校验后，UE向AMF发送NAS SMC完成响应。该NASSMC完成响应可以是NAS消息。

506、启动下行加密流程。

步骤506中，AMF启动下行链路的加密流程。

在过去，主鉴权流程后不一定会发生NAS SMC。在没有NAS SMC流程的情况下，UE和AMF是继续使用旧密钥。也就是说，即使主鉴权流程后生成了新的部分原生密钥，但是因为没有NAS SMC流程，所以AMF没有继续生成完整的原生密钥。其中，部分原生密钥可以理解为除了NAS密钥和AS密钥意外的密钥，比如包括Kausf，Kseaf，Kamf。完整原生密钥，则是指进一步生成了NAS密钥和AS密钥。在通常情况下，只有经过NAS SMC流程，AMF和/或UE才会进一步生成NAS密钥；在只有经过AS SMC流程，基站和/或UE才会进一步生成AS密钥。

需要说明的是，当前使用的密钥不一定是前次主鉴权流程生成的密钥，因为前次主鉴权流程过后也不一定有NAS SMC流程。所以，NAS消息当前使用的密钥与主鉴权流程是否发生没有直接关系，而是与NAS SMC流程是否发生有关系。

由于NAS SMC流程中，需要使用ngkSI指示使用哪一套密钥进行安全保护，因此，保护NAS消息时使用的当前密钥与NAS SMC流程中携带哪个ngKSI有关。例如：发生了3次主鉴权，当前使用的是第1次主鉴权后的密钥，第2次主鉴权没有发生NAS SMC，但是第3次主鉴权后发生了NAS SMC。如果第三次主鉴权后的NAS SMC携带的是第二次主鉴权生成的ng-KSI，那么激活的就是第二套主鉴权相关的密钥。

现有技术中，规定了主鉴权流程与NAS SMC流程绑定，即主鉴权发生后要尽快执行NAS SMC流程。当前没有规定NAS SMC流程要携带哪个密钥标识符，若默认地NAS SMC要携带最近一次主鉴权过程中生成的密钥标识符，则意味着每一次主鉴权流程后都要做密钥更新。密钥更新不仅仅涉及到NAS密钥，还涉及到接入层(access stratum，AS)密钥，因此密钥更新的复杂度高，影响了设备性能，或者影响设备使用寿命。基于此，本申请提出一种通信方法，下面结合附图进行说明。请参阅图6，图6为本申请实施例提出的一种通信方法的流程示意图，包括：

601、UE向AMF发送注册请求消息。

UE向AMF发送注册请求消息，该注册请求消息通过网络设备转发。该注册请求消息中携带UE的用户隐藏标识(Subscription Concealed Identifier，SUCI)。

可选的，该注册请求消息可以是“Registration Request”。

602、AMF向UE发送第一密钥标识符。

示例性的，该第一密钥标识符为ngKSI#1，该第一密钥标识符与第一中间密钥对应。本申请实施例中，以中间密钥为Kausf为例进行说明。则该第一中间密钥为Kausf#1。

603、UE和AMF交互完成第一主鉴权流程。

UE收到第一鉴权请求消息(包括第一密钥标识符)，并且UE会收到鉴权向量。则UE开始对对网络侧鉴权；在验证网络侧为真后，UE会回复消息给AMF继续进行主鉴权流程，最终完成UE至AMF和AUSF的双向认证。具体的主鉴权流程标准TS 33.501版本17.1.0中章节6.1.3的描述，此处不作赘述。由于该主鉴权流程与第一中间密钥和第一密钥标识符相关，因此将该主鉴权流程称为第一主鉴权流程。

第一主鉴权流程中，AUSF存储第一密钥标识符对应的第一中间密钥。示例性的，AUSF存储Kasuf#1。具体地，在AUSF在验证UE是真实的之后，存储Kausf#1。需要说明的是，AUSF不会收到第一密钥标识符，因此，AUSF最终只是存储Kausf#1和UE的永久标识的对应关系。

604、NAS SMC流程#1。

第一主鉴权流程结束后，AMF发起NAS SMC流程，具体的NAS SMC流程与前述图5所示的流程一致，此处不作赘述。本申请实施例中，将与第一主鉴权流程相关的NAS SMC流程称为NAS SMC流程#1。

具体的，在NAS SMC流程#1中，AMF向UE发送第一NAS SMC消息，该第一NAS SMC消息中携带第一密钥标识符。AMF使用该第一密钥标识符对应的NAS完整性保护密钥对该第一NAS SMC消息进行完整性保护验证。

UE接收该第一NAS SMC消息后，UE使用该第一密钥标识符对应的NAS完整性保护密钥对该第一NAS SMC消息进行完整性保护校验。如果校验成功，那么UE使用该第一密钥标识符对应的NAS加密密钥和NAS完整性保护密钥对该消息进行机密性保护和完整性保护。UE侧完成对该第一密钥标识符对应的NAS密钥的激活过程。UE回复“NAS Security ModeComplete”消息至AMF。AMF使用该第一密钥标识符对应的NAS完整性保护密钥和NAS加密密钥对该消息(“NAS Security Mode Complete”消息)进行解密和校验完整性保护。如果校验成功，则AMF侧完成对该第一密钥标识符对应的NAS密钥的激活过程。

示例性的，因为该第一NAS SMC消息中携带ngKSI#1，所以AMF使用ngKSI#1对应的NAS完整性保护密钥对该第一NAS SMC消息进行完整性保护。

605、触发第二主鉴权流程。

AMF触发第二主鉴权流程，该第二主鉴权流程相较于第一主鉴权流程，属于重鉴权流程，第二主鉴权流程的触发条件包括但不限于：AMF根据本地策略触发，或者，NAS计数器(count)需要翻转，或者，其它网络功能(或者网元)触发。该网络功能包括但不限于：AUSF或者AAnF。

具体的，AMF可以通过主鉴权流程触发原因确定是否激活第二安全上下文。主鉴权流程触发原因可以有多种方式，包括但不限于：

a.主鉴权流程仅仅用于对UE进行鉴权，比如，AMF根据本地策略、运营商配置周期性对UE进行鉴权。

b.主鉴权流程的触发原因是为了更新5G NAS安全上下文或者5G AS安全上下文。比如，NAS COUNT即将翻转。

c.主鉴权流程是因为其他功能网元的请求触发的。比如AMF从AUSF、NEF、AAnF、ECS、EES等网元收到用于请求更新密钥的消息。在只有触发主鉴权流程才可以更新的情况下，则发起主鉴权流程。

d.主鉴权流程是因为终端设备触发的。比如终端设备通过注册请求消息携带指示信息，用于指示需要更新某个密钥。

需要说明的是，步骤605到步骤607b是可选的。步骤605到步骤607b是为了说明触发AMF生成第二安全上下文的方法。在步骤605到步骤607b未执行的情况下，AMF也可以生成第二安全上下文，比如，AMF可以通过第一安全上下文中的Kamf#1生成新的Kamf，该Kamf称为Kamf#2。Kamf#2作为中间密钥表示第二安全上下文。AMF可以进一步根据Kamf#2生成新的5G NAS密钥和新的5G AS密钥。比如，通过标准33.501章节A.13水平Kamf推演方式，生成新的Kamf。在这种情况下，AMF可以生成新的第二密钥标识符，也可以不生成第二密钥标识符。生成第二密钥标识符是为了结合现有技术，一个Kamf要与一个密钥标识符进行一一对应，此时新生成的Kamf要有一个新的密钥标识符，该新的密钥标识符用于标识该新生成的Kamf。该情况通常发生在AMF变化的场景下。不生成第二密钥标识符，则可以发生在AMF没有变化的情况下，即当前的AMF生成的Kamf继续被自己使用的情况。

606、AMF向UE发送第二密钥标识符。

AMF触发第二主鉴权流程后，AMF发起第二主鉴权流程：AMF向AUSF请求对UE进行鉴权；AUSF向UDM请求鉴权向量；UDM生成鉴权向量，并根据选择的主鉴权方法确定发送生成的鉴权向量还是处理后的鉴权向量发送给AUSF，AMF获取来自AUSF的鉴权向量后，AMF向UE发送第二鉴权请求消息，该第二鉴权请求消息包括第二密钥标识符，该第二鉴权请求消息用于触发UE与网络的第二鉴权(也称为第二主鉴权流程)。本申请实施例中，以密钥标识符是ngKSI为例进行说明，可以理解的是，该密钥标识符还可以是其它标识，此处不作限制。具体流程可以参考标准TS 33.501版本17.1.0中章节6.1.3的描述。

示例性的，该第二密钥标识符为ngKSI#2，该第二密钥标识符与第二中间密钥对应。本申请实施例中，以中间密钥为Kausf为例进行说明。则该第二中间密钥为Kausf#2。

607a、UE和AMF交互完成第二主鉴权流程。

UE、AMF和AUSF继续完成第二主鉴权流程。具体的主鉴权流程，与前述步骤603类似，此处不作赘述。

607b、存储第二中间密钥。

AUSF存储该第二密钥标识符对应的中间密钥，为了区分第一主鉴权流程中的第一中间密钥，将该第二密钥标识符对应的中间密钥称为第二中间密钥。该第二中间密钥可以是Kausf#2。具体地，在AUSF在验证UE是真实的之后，存储Kausf#1。需要说明的是，AUSF不会收到第二密钥标识符，因此，AUSF最终只是存储Kausf#2和UE的永久标识的对应关系。

608、AMF确定是否激活第二安全上下文。

AMF确定是否激活该第二中间密钥对应的安全上下文，为了区分第一中间密钥对应的第一安全上下文，将该第二中间密钥对应的中间密钥安全上下称为第二安全上下文。该第二安全上下文包括但不限于：基于中间密钥生成的5G NAS安全上下文和/或5G AS安全上下文。因此，AMF确定是否激活第二安全上下文，是指是否激活基于中间密钥生成的5GNAS安全上下文和/或5G AS安全上下文。

AMF确定是否激活第二安全上下文。下面对多种可能的实施方式进行说明：

在一种可能的实现方式中，若发生了主鉴权流程，并且主鉴权流程仅仅用于对UE进行鉴权，则不需要激活第二安全上下文。即不需要进一步使用基于Kausf#2生成的5G NAS密钥和5G AS密钥，或者UE和AMF不需要进一步生成基于Kausf#2生成的5G NAS密钥和5G AS密钥。示例性的场景如下：运营商配置出现如下场景时，触发UE鉴权，且不激活第二安全上下文，该场景包括但不限于：UE断网(UE与为该UE提供通信服务的网络设备断开连接)；AMF数据发生迁移，即从AMF#1迁移至AMF#2。在另一种可能的实现方法中，若主鉴权流程的触发原因是为了更新5G NAS安全上下文或者5G AS安全上下文，则AMF确定需要激活第二安全上下文。比如，AMF确定主鉴权流程触发是因为NAS COUNT翻转，或者因为基站请求新密钥。例如，当NAS COUNT即将翻转的时候，AMF会触发主鉴权流程生成新的5G NAS安全上下文，并通过NAS SMC流程激活生成的5G NAS安全上下文。

在另一种可能的实现方法中，发生了主鉴权流程，并且主鉴权流程是因为其他功能网元请求而触发的。比如，当主鉴权流程是AUSF请求的用于更新基于Kakma时，AMF确定不需要激活第二安全上下文。再比如，主鉴权流程是来自SMF、UDM为了同步UE状态触发的，则AMF确定不需要激活第二安全上下文。再比如，如果终端设备发送的是初始注册请求消息，AMF因为无法找到UE的5G安全上下文而触发的主鉴权流程，则AMF确定不要激活第二安全上下文。

在另一种可能的实现方式中，发生了主鉴权流程，并且主鉴权流程的触发条件不是为了更新5G NAS安全上下文，则可以默认不需要激活第二安全上下文。

在另一种可能的实现方式中，发生了主鉴权流程，在AMF无法明确是激活第二安全上下文的时候，则AMF可以默认激活第二安全上下文。例如：当AMF无法确定是否激活该第二安全上下文时，AMF默认激活该第二安全上下文。或者AMF可以默认继续使用第一安全上下文。例如：当AMF无法确定是否激活该第二安全上下文时，AMF默认继续使用第一安全上下文。需要说明的是，AMF可以根据上述的至少一个条件进行判断。当同时出现多个条件的时候，则需要综合考虑。具体地，例如，如果出现了需要激活第二安全上下文的触发条件出现，则AMF必须激活第二安全上下文。比如，AMF被本地策略触发鉴权的同时发现了NAS COUNT即将翻转，则AMF根据NAS COUNT即将翻转确定需要激活第二安全上下文。

在另一种可能的实现方式中，发生了主鉴权流程，并且主鉴权流程是因为终端设备触发的。则AMF要判断是否需要更新NAS密钥或者AS密钥，在不需要更新的情况下则可以不激活第二安全上下文；在需要更新的情况下则激活第二安全上下文；在不确定的情况下默认激活第二安全上下文。

在另一种可能的实现方式中，没有发生主鉴权流程，并且AMF收到了第一网元的更新密钥的请求消息，AMF根据该更新密钥的请求消息，触发第二鉴权。第一网元包括以下任一个但不限于：AAnF、边缘配置服务器(Elastic Compute Service，ECS)、边缘使能服务器EES或者移动边缘计算MEC功能网元。则在AMF生成第二安全上下文后，确定不激活第二安全上下文。

步骤608后，当AMF确定需要激活第二安全上下文时，进入步骤609；当AMF确定不需要激活该第二安全上下文时，进入步骤612。

609、若确定激活，则NAS SMC流程#2中，在主鉴权流程发生的情况下，AMF向UE发送第二密钥标识符。在主鉴权流程没有发生的情况下，AMF向UE发送第一密钥标识符和第二指示信息。

若AMF确定激活该第二安全上下文，则在NAS SMC流程#2中，AMF向UE发送第二密钥标识符。

在一种可能的实现方式中，AMF根据主鉴权触发是因为要更换NAS密钥，因此确定更新当前密钥。因此，AMF根据Kausf#2生成Kseaf#2。使用Kseaf#2生成Kamf#2。AMF选择一个加密算法和一个完整性保护算法，并进一步生成K_NASint#2和K_NASenc#2。可选地,AMF可以进一步生成K_gNB#2，并通过N2消息将K_gNB#2发送给网络设备(例如基站)。

示例性的，AMF通过第二NAS SMC消息(“NAS Security Mode Command”消息)向UE发送该第二密钥标识符。即该第二NAS SMC消息中携带该第二密钥标识符(例如ngKSI#2)。

UE收到该密钥标识符后根据该密钥标识符确定后续使用的密钥。当该密钥标识符为第二密钥标识符时，UE需要使用该第二密钥标识符对应的密钥材料，即UE需要使用基于第二中间密钥生成的5G NAS密钥。具体地，UE根据Kausf#2生成Kseaf#2。使用Kseaf#2生成Kamf#2。再使用Kamf#2和NAS SMC中携带的选择的安全算法生成K_NASint#2和K_NASenc#2。UE使用K_NASint#2验证NAS SMC的完整性保护。此外，UE还要验证第二NAS SMC消息中携带的安全算法是否与UE在注册请求消息中携带的相同。在验证通过后，UE开始使用K_NASint#2和K_NASenc#2对后续发送的NAS消息进行完整性保护和加密保护，对后续收到的NAS消息进行完整性保护验证和解密。

610、UE存储与第二密钥标识符对应的第二中间密钥。

UE收到NAS SMC消息后，UE存储该第二密钥标识符，并且UE存储于该第二密钥标识符对应的第二中间密钥。示例性的，UE存储ngKSI#2和Kausf#2(Kausf#2与ngKSI#2对应)。

激活操作具体如下：创建安全功能函数，并将更新的密钥放置入该安全函数中使用。UE删除或停止之前使用的安全函数。

UE回复NAS SMP消息(“NAS Security Mode complete”消息)至AMF。

611、AMF不激活新的AS密钥。

步骤611为可选步骤。AMF确定是否要更新AS密钥。如果该主鉴权触发流程是因为NAS密钥需要更新，比如NAS计数器值即将翻转。为了节省UE的复杂度，AMF可以确定不更新AS密钥。则，AMF在激活该第二安全上下文时，不激活该第二密钥标识符对应的AS密钥。即AMF激活的该第二安全上下文中不包括AS密钥，AMF仅激活该第二密钥标识符对应的NAS密钥。例如：AMF不激活ngKSI#2对应的AS密钥，该AS密钥包括但不限于：密钥K_gNB。具体的，AMF不生成ngKSI#2对应的K_gNB(AMF不生成新的K_gNB#2，旧的K_gNB#1对应ngKSI#1)，或者AMF生成K_gNB#2后，并不发送该K_gNB#2至网络设备(例如基站)。

612、若不激活第二安全上下文，则NAS SMC流程#2中，AMF向UE发送第一密钥标识符。

或者AMF向UE发送第二密钥标识符和第三指示信息。

若不激活，则在NAS SMC流程#2中，AMF向UE发送第二NAS SMC消息，该第二NAS SMC消息包括第一密钥标识符。第一密钥标识符标识的NAS密钥是AMF和UE当前正在使用的密钥。

在一种可能的实现方式中，AMF根据主鉴权触发原因初步确定不需要更新当前密钥。进一步，AMF可以选择一个安全算法，安全算法包括：加密算法和完整性保护算法，并对比跟当前第一密钥标识符标识的正在使用的安全算法是否相同。如果相同，则最终确定不做任何处理，即不更新密钥。如果不同，则需要通过NAS SMC流程#2更新密钥，激活第二安全上下文。示例性的，AMF通过第二NAS SMC消息(“NAS Security Mode Command”消息)向UE发送该第一密钥标识符。即该第二NAS SMC消息中携带该第一密钥标识符(例如ngKSI#1)。具体地，AMF将第一密钥标识符使用的加密算法和/或完整性保护算法作为选择的安全算法放入到第二NAS SMC消息中。该第二NAS SMC消息使用第一密钥标识符对应的K_NASint-1进行完整性保护和/或使用K_NASenc-1进行机密性保护。

在另一种实现方式中，没有发生主鉴权流程。AMF生成了Kamf#2，但是没有生成第二密钥标识符时，AMF确定不需要激活第二安全上下文。为了让UE与AMF之间的密钥同步，则第二NAS SMC消息中包括第二指示信息(Kamf change)，第二指示信息指示UE需要生成新的Kamf，称为Kamf#2(UE原来使用的Kamf称为Kamf#1)。可选的，AMF在第二NAS SMC消息中携带第一密钥标识符，可选的，第二NAS SMC消息还携带第三指示信息。

在另一种实现方法中，UE可以对比第二NAS SMC消息中来自AMF的密钥标识符与当前UE正在使用的中间密钥的密钥标识符是否一样，UE还需要验证第二NAS SMC消息中该密钥标识符对应的安全算法与当前UE正在使用的安全算法是否相同。如果均一样，并且UE验证NAS SMC的完整性保护是正确的，则UE可以不更新第一安全上下文，继续使用当前的5GNAS安全上下文。即，使用当前的密钥和安全算法，NAS COUNT也不需要重置为0。

在另一种实现方法中，UE可以按照步骤610的描述对第一密钥标识符标识的密钥做激活操作，可以包括以下至少1个步骤：根据密钥标识#1标识的Kausf#1生成，生成Kseaf#1，使用Kseaf#1生成Kamf#1，再使用Kamf#1和第二NAS SMC消息中携带的选择的安全算法生成K_NASint#1和K_NASenc#1，将K_NASint#1、K_NASenc#1加密算法和完整性保护算法用于具体的功能，但是NAS COUNT保持不变。

在另一种实现方式中，UE只对比第二NAS SMC消息中携带的来自AMF的密钥标识符与当前正在使用的密钥对应的密钥标识符是否一样，如果一样，并且对第二NAS SMC消息的完整性保护校验成功，则不更新第一安全上下文，继续使用当前的5G NAS安全上下文。

本申请实施例中，当UE仅需要进行鉴权时，UE侧与网络侧均不需要更新新的安全上下文，降低密钥更新复杂度，提升设备性能。

下面，结合前述实施例介绍本申请实施例提出的一种应用场景。该应用场景中，中间密钥为Kausf，安全上下文为Kaf。需要说明的是，上述中间密钥与安全上下文仅做示例性说明，安全上下文还可以是基于中间密钥生成的其它密钥、安全算法，或者密钥的变形，此处不作限制。具体的，请参阅图7，图7为本申请实施例提出的一种应用场景示意图，包括：

701、UE向AMF发送注册请求消息。

702、AMF向UE发送第一密钥标识符。

703、UE和AMF交互完成第一主鉴权流程。

704、NAS SMC流程#1。

步骤701-704与前述步骤601-604一致，此处不做赘述。

705、存储Kausf#1，并生成Kakma#1。

AUSF在第一主鉴权流程结束后，存储Kausf#1，并根据该Kausf#1生成Kakma#1。

为了便于区分，将步骤705中存储Kausf#1的AUSF称为AUSF#1。

706、生成Kakma#1。

NAS SMC流程#1结束后，UE根据Kausf#1生成Kakma#1。

707、生成Kaf#1(A-KID#1)。

当UE生成Kakma#1后，UE向AF发送A-KID，该A-KID与Kakma#1对应，因此将该A-KID称为A-KID#1。该A-KID#1用于生成对应的Kaf，该Kaf称为Kaf#1。

具体的生成Kaf#1的流程，请参阅前述步骤402-406，此处不做赘述。

708、当Kaf#1即将过期，AF向AAnF发送第一密钥请求消息，该第一密钥请求消息携带A-KID#1。

当AF确定Kaf#1即将过期，AF向AAnF发送第一密钥请求消息，该第一密钥请求消息携带A-KID#1。

可选地，当AF有该UE的标识信息的时候，AF在该第一密钥请求消息中携带UE的标识信息。

具体的，该AF为运营商外部的AF时，该UE的标识信息可以是GPSI；当该AF为运营商内部的AF时，该UE的标识信息可以是SUPI。A-KID#1为UE在首次接入AF的时候获得的，AF保存了该A-KID#1。

709、AAnF根据该第一密钥请求消息，确定A-KID#1是否存在。

AAnF根据该第一密钥请求消息，确定A-KID#1是否存在。当该第一密钥请求消息携带A-KID#1，则AAnF检查本地是否存在与该A-KID#1相同的A-KID。

当该第一密钥请求消息中携带有UE的标识信息的时候，AAnF进一步确定是否存在Kakma#2，Kakma#2为更新的Kakma。Kakma#1为相对于由第一中间密钥(Kausf#1)生成的密钥，因此Kakma#2为更新的Kakma，Kakma#2由第二中间密钥(Kausf#2)生成。

若存在A-KID#1，进入步骤710。

若AAnF确定本地没有在该A-KID#1，则AAnF使用该第一密钥请求消息中携带的UE的标识信息确定是否有Kakma#2。如果有，则进入步骤717(步骤710-716b不执行)。如果没有，则在响应消息中(步骤717中，步骤710-716b不执行)返回一个失败消息码，指示Kakma无法找到。

该第一密钥请求请求消息可以是“Naanf_AKMA_ApplicationKey_Get request”消息。

710、若存在A-KID#1，则AAnF向AUSF发送第二密钥请求消息，该第二密钥请求消息携带UE的永久标识信息。

可选地，该第二密钥请求消息携带第一指示信息。该第一指示信息与第二网元关联，第一指示信息指示终端设备更新终端设备与第二网元之间的通信密钥。第二网元包括以下任一个但不限于NEF、AAnF、ECS、EES或AF。示例性的，当第二网元为AF时，第一指示信息可以是AF的标识信息。

在AAnF发送第二密钥请求消息前，AAnF选择AUSF。AAnF可以通过多种方式确定为该UE提供服务器的AUSF。下面分别进行说明：

(1)、AAnF根据该A-KID#1对应的UE的永久标识信息(SUPI)，从UDM确定为该UE提供服务的AUSF。该AUSF称为AUSF#1。具体的，UDM根据该UE的标识信息确定AUSF，该AUSF中存储Kausf#1。由于该AUSF接收UDM发送的该UE支持AKMA业务指示信息(即AUSF#1与该UDM之间已执行前述步骤302-303)，因此该AUSF确认该UE支持AKMA业务。本申请实施例中，AKMA业务指示信息可以是“AKMAIndication(AKMA Ind)”或“AKMA ID”，不作限定。

(2)、AAnF根据A-KID#1中的RID，向NRF请求获取AUSF，该AUSF可以为该UE提供服务。该AUSF可以是AUSF#1，也可以是其它的AUSF(例如AUSF#2)。若该AUSF为AUSF#2，由于该AUSF#2未收到该UE支持AKMA业务指示信息，因此该AUSF#2无法确认该UE是否支持AKMA业务。AUSF#2与UDM之间需要通过前述步骤302-303，使得AUSF#2获取该UE的AKMA业务指示信息。

具体的，该第二密钥请求消息用于指示AMF确定不激活第二安全上下文。可选的，该第二密钥请求消息中携带指示信息，该指示信息用于指示AMF确定不激活第二安全上下文。可选的，该第二密钥请求消息中携带AF的标识信息，该AF的标识信息用于指示AMF不激活第二安全上下文。

UE的标识信息可以是SUPI或者SUCI，AF的标识信息可以是AF_ID。该UE的标识信息用于通知AUSF确定该UE相关的数据(例如Kausf#1已经该UE的AKMA业务指示信息)。该AF的标识信息还用于通知AUSF是哪个AF的密钥需要更新。

需要说明的是，该第二密钥请求消息中可以不包括第一指示信息，第一指示信息可以通过其它方式发送至UE，此处不做限制。

在另一种实现方式中，AAnF可以直接向AMF发送第三鉴权请求消息，第三鉴权请求消息携带UE的永久标识信息，可选地携带AF ID。在AAnF发送该消息前，AAnF要确定可以为UE服务的AMF。AAnF根据UE的永久标识信息从UDM中确定为该UE提供服务的AMF。当AAnF直接向AMF发送用户第三鉴权请求消息时，步骤711和步骤712不执行。

711、AUSF确定为该UE提供服务的AMF。

AUSF根据UE的永久标识信息从UDM中确定为该UE提供服务的AMF。

在AUSF确定为该UE提供服务的AMF前，AUSF首先确定该UE支持AKMA业务。

AAnF可以通过多种方式确定为该UE支持AKMA业务。下面分别进行说明：

(1)、针对步骤710中的第一种选择AUSF的方法确定AUSF#1后。由于该AUSF接收UDM发送的该UE支持AKMA业务指示信息(即AUSF#1与该UDM之间已执行前述步骤302-303)，因此该AUSF确认该UE支持AKMA业务。本申请实施例中，AKMA业务指示信息可以是“AKMAIndication(AKMA Ind)”或“AKMA ID”，不作限定。

(2)、针对步骤710中的第二种选择AUSF的方法确定AUSF后，如果该AUSF不是AUSF#1，则由于该AUSF#2未收到该UE支持AKMA业务指示信息，因此该AUSF#2无法确认该UE是否支持AKMA业务。则AUSF#2需要向UDM请求该UE是否支持AKMA业务。该过程可以是AUSF#2向UDM发送请求消息，请求消息用于向UDM请求U是否支持AKMA，消息中携带用户的永久标识SUPI。UDM可以直接回复表示支持或不支持的响应消息，或者在响应消息中携带AKMA指示信息。AUSF#2根据响应消息或者响应消息中的指示信息确定该UE是否支持AKMA业务。比如，如果响应消息是成功消息，或者携带AKMA指示信息，则确定该UE支持AKMA业务。在另一种可能的实现方式中，AUSF#2与UDM之间需要通过前述步骤302-303，使得AUSF#2获取该UE的AKMA业务指示信息。该过程可以发生在第二主鉴权流程中，也可以发在在步骤712之前。若发生在步骤712之前，意味着AUSF需要先确定该UE可以支持AKMA业务，再继续进行步骤712，即请求触发主鉴权流程。如果该过程发生在步主鉴权流程中，则AUSF在收到鉴权响应消息后，要先查看该消息中是否携带AKMA指示信息，如果携带则继续进行流程。如果不携带，则终止流程。

确定UE是否支持AKMA是为了防止一个AAnF随机携带SUPI发起密钥更新流程。因为主鉴权流程影响UE当前业务，所以要做一定的确定性检查。

AUSF确定为该UE提供服务的AMF后，AUSF回复响应消息至AAnF，该响应消息与第二密钥请求消息对应。

712、AUSF向AMF发送第三鉴权请求消息，AMF在收到该第三鉴权请求消息后，向AUSF发送响应消息。

由于步骤709确定不存在A-KID#1，因此，该第三鉴权请求消息的最终目的是用于请求更新Kakma，即请求获取Kakma#2。可选的，该第三鉴权请求消息中携带的指示信息为该AF的标识信息，AMF可根据该AF的标识信息指示判断不激活第二安全上下文。即指示信息被用于AMF判断不激活第二安全上下文。

可选的，步骤712前，AUSF从UDM获取鉴权向量，具体方式与前述步骤302-303一直，此处不做赘述。

需要说明的是，AUSF还可以通过其它消息指示AMF确定是否激活第二安全上下文，此处不作限制。该第三鉴权请求消息仅是一种示例。

713、触发第二主鉴权流程。

AMF接收第三鉴权请求消息后，触发第二主鉴权流程。

需要说明的是，AMF接收AUSF发送的第三鉴权请求消息仅是一种可能的示例。AMF还可以接收第一网元发送的第三鉴权请求消息，该第三鉴权请求消息携带终端设备的永久标识信息，该第三鉴权请求消息用于触发UE与网络之间的第二鉴权。

第一网元包括以下任一个但不限于：AUSF、NEF、AAnF、ECS、EES或AF。

714、AMF向UE发送第二密钥标识符。

步骤715是步骤713中的一部分，具体的，AMF确定发起主鉴权流程，AMF向AUSF请求对UE进行鉴权，AUSF向UDM请求鉴权向量，UDM发送鉴权向量给AUSF，AUSF将鉴权向量经过处理发送给AMF。AMF在收到经过处理的鉴权向量后生成第二密钥标识符，并将第二密钥标识符随着经过处理的鉴权向量发送给UE。

715、UE和AMF交互完成第二主鉴权流程(AUSF获取第二密钥标识符)。

UE、AMF和AUSF继续完成第二主鉴权流程。

步骤715后，分别执行步骤716a与步骤720，需要说明的是，步骤716a与步骤720的执行顺序此处不做限定。

716a、存储第二中间密钥。

AUSF存储该第二密钥标识符对应的中间密钥，该第二中间密钥是Kausf#2。AUSF根据该第二中间密钥，生成Kakma#2和A-KID#2。

716b、发送该UE的标识信息、A-KID#2和Kakma#2。

AUSF向AAnF发送该UE的永久标识信息(SUPI)、A-KID#2和Kakma#2。

717、AAnF使用Kakma#2生成Kaf#2。

718、AAnF向AF发送第一密钥请求响应消息，该第一密钥请求消息携带A-KID#2、Kaf#2和Kaf#2的过期时间。

AAnF向AF发送第一密钥请求响应消息，第一密钥请求响应消息可以是“Naanf_AKMA_ApplicationKey_Get response”消息。

该第一密钥请求消息携带A-KID#2、Kaf#2和Kaf#2的过期时间。

719、存储A-KID#2和Kaf#2。

AF存储A-KID#2和Kaf#2。

720、AMF确定是否激活第二安全上下文。

AMF可以在步骤712中确定，可以在步骤712到步骤721之间的任何时机确定。比如在步骤720中确定。步骤720可以理解为马上要发送721之前的动作。详细内容可以参考步骤712中的描述。

即，步骤712后，AMF根据来自AUSF的该第三鉴权请求消息，综合判断后，确定不激活该第二安全上下文。

721、确定不激活，则NAS SMC流程#2携带第一密钥标识符。

若不激活，则在NAS SMC流程#2中，AMF向UE发送第一密钥标识符。

示例性的，AMF通过NAS SMC消息(“NAS Security Mode Command”消息)向UE发送该第一密钥标识符。即该NAS SMC消息中携带该第一密钥标识符(例如ngKSI#1)。

可选的，AMF还可以向UE发送更新Kakma的指示信息，该更新Kakma的指示信息用于指示UE生成Kakma#2和A-KID#2。可选的，该更新Kakma的指示信息可以是AF的标识信息(AF_ID)，也可以是一个指示信息。该AF的标识信息还可以用于指示UE生成新的Kaf，即Kaf#2(UE根据AF_ID生成Kaf#2)。

722、UE存储与第二密钥标识符对应的Kausf#2。

当UE存储Kausf#2成功后，UE回复NAS SMP消息(“NAS Security Mode complete”消息)至AMF。该NAS SMP消息采用该第二密钥标识符(ngKSI#2)对应的完整性保护密钥和加密密钥进行机密性保护和完整性保护。

723、UE基于Kausf#2生成Kakma#2和Kaf#2，并将该AF的标识信息对应的密钥更新为Kaf#2。可选地，UE根据更新Kakma的指示信息生成Kakma#2和Kaf#2。

724、UE向AF发送第一激活请求消息，该第一激活请求消息携带A-KID#2，该第一激活请求消息指示AF激活Kaf#2。

当UE生成新的Kaf(即Kaf#2)后，UE发起该Kaf#2的激活流程。具体的，UE向AF发送第一激活请求消息，该第一激活请求消息携带A-KID#2，该第一激活请求消息指示AF激活Kaf#2。

UE根据NAS SMC携带的AF ID确定要跟哪个AF发送第一激活请求消息，即发起Kaf更新流程。

第一激活请求消息中携带A-KID#2.

可选的，步骤724与步骤723之间的时间间隔可以尽可能的小，以保证AF的正常运行。

示例性的，第一激活请求消息可以是“application session reestablishmentrequest”消息。

725、AF向UE发送第一激活响应消息。

当AF接收第一激活请求消息后，AF根据A-KID#2确定本地是否已经存储有A-KID#2对应的Kaf#2，如果有，则激活Kaf#2。激活操作具体如下：创建安全功能函数，并将更新的密钥放置入该安全函数中使用。AF删除或停止之前使用的安全函数(放置Kaf#1的安全函数)。

激活成功后，AF向UE发送第一激活响应消息。

示例性的，第一激活响应消息可以是“application session reestablishmentresponse”消息。

图7示意的应用场景中，AF激活新的密钥(Kaf#2)由UE指示，UE自身激活该Kaf#2。基于此，本申请实施例还提出一种应用场景，请参阅图8，图8为本申请实施例提出的又一种应用场景示意图。图8所示的应用场景中，AF自身激活Kaf#2，UE本地的Kaf#2由AF指示激活。具体的，该应用场景包括：

801、UE向AMF发送注册请求消息。

802、AMF向UE发送第一密钥标识符。

803、UE和AMF交互完成第一主鉴权流程。

804、NAS SMC流程#1。

805、存储Kausf#1，并生成Kakma#1。

806、生成Kakma#1。

807、生成Kaf#1(A-KID#1)。

808、当Kaf#1即将过期，AF向AAnF发送第一密钥请求消息，该第一密钥请求消息携带A-KID#1。

809、AAnF根据该第一密钥请求消息，确定A-KID#1是否存在。

810、若存在A-KID#1，则AAnF向AUSF发送第二密钥请求消息，该第二密钥请求消息携带UE的永久标识信息。

811、AUSF确定为该UE提供服务的AMF。

812、AUSF向AMF发送第三鉴权请求消息，AMF在收到该第三鉴权请求消息后，向AUSF发送响应消息。

813、触发第二主鉴权流程。

814、AMF向UE发送第二密钥标识符。

815、UE和AMF交互完成第二主鉴权流程(AUSF获取第二密钥标识符)。

816a、存储第二中间密钥。

816b、发送该UE的标识信息、A-KID#2和Kakma#2。

817、AAnF使用Kakma#2生成Kaf#2。

818、AAnF向AF发送第一密钥请求响应消息，该第一密钥请求消息携带A-KID#2、Kaf#2和Kaf#2的过期时间。

819、存储A-KID#2和Kaf#2。

820、AMF确定是否激活第二安全上下文。

821、若确定不激活，则NAS SMC流程#2中携带第一密钥标识符。

822、UE存储与第二密钥标识符对应的Kausf#2。

步骤801-822与前述步骤701-722一致，此处不作赘述。

823、AF向UE发送第二激活请求消息，该第二激活请求消息携带A-KID#2，该第二激活请求消息指示UE生成新的Kaf。

824、若UE还没有生成A-KID#2，则UE基于Kausf#2生成Kakma#2和A-KID#2，若UE已经生成A-KID#2，则UE对比本地生成的A-KID#2与来自AF的A-KID#2是否相同，若相同，则该AF的标识信息对应的密钥更新为Kaf#2。

825、AF向UE发送第二激活响应消息。

当AF激活Kaf#2成功后，AF向UE发送第二激活响应消息。

激活操作具体如下：创建安全功能函数，并将更新的密钥放置入该安全函数中使用。AF删除或停止之前使用的安全函数(放置Kaf#1的安全函数)。

基于前述实施例，本申请实施例还提出一种应用场景，请参阅图9，图9为本申请实施例提出的又一种应用场景示意图。图9的应用场景中，AMF不发起NAS SMC流程，使得UE并不长期保存新的中间密钥。具体的，该应用场景包括：

901、UE向AMF发送注册请求消息。

902、AMF向UE发送第一密钥标识符。

903、UE和AMF交互完成第一主鉴权流程。

904、NAS SMC流程#1。

905、存储Kausf#1，并生成Kakma#1。

906、生成Kakma#1。

907、生成Kaf#1(A-KID#1)。

908、当Kaf#1即将过期，AF向AAnF发送第一密钥请求消息，该第一密钥请求消息携带A-KID#1。

909、AAnF根据该第一密钥请求消息，确定A-KID#1是否存在。

910、若存在A-KID#1，则AAnF向AUSF发送第二密钥请求消息，该第二密钥请求消息携带UE的永久标识信息。

911、AUSF确定为该UE提供服务的AMF。

912、AUSF向AMF发送第三鉴权请求消息，AMF在收到该第三鉴权请求消息后，向AUSF发送响应消息。

913、触发第二主鉴权流程。

914、AMF向UE发送第二密钥标识符。

915、UE和AMF交互完成第二主鉴权流程(AUSF获取第二密钥标识符)。

916a、存储第二中间密钥。

916b、发送该UE的标识信息、A-KID#2和Kakma#2。

917、AAnF使用Kakma#2生成Kaf#2。

918、AAnF向AF发送第一密钥请求响应消息，该第一密钥请求消息携带A-KID#2、Kaf#2和Kaf#2的过期时间。

919、存储A-KID#2和Kaf#2。

步骤901-919与前述步骤701-719一致，此处不作赘述。

920、AMF确定不发起NAS SMC流程。

当AMF获知只需要更新Kakma和Kaf时，AMF确定不发起NAS SMC流程，以保证不影响现有的密钥架构，降低密钥更新的复杂度。

921、由于UE未收到NAS SMC消息，因此UE仅缓存Kausf#2。

由于AMF不发起NAS SMC流程，AMF并不会向UE发送NAS SMC消息。因此，UE仅缓存Kausf#2。具体的，UE的缓存区域中存储该Kausf#2，UE的长期存储区域中并不存储该Kausf#2.

922、AF向UE发送第二激活请求消息，该第二激活请求消息携带A-KID#2，该第二激活请求消息指示AF生成新的Kaf。

当AF收到新的Kaf(即Kaf#2)后，AF发起该Kaf#2的激活流程。具体的，AF向UE发送第二激活请求消息，该第二激活请求消息携带A-KID#2，该激活请求消息指示UE生成Kaf#2。

可选的，步骤922与步骤919之间的时间间隔可以尽可能的小，以保证AF的正常运行。

示例性的，第二激活请求消息可以是“application session reestablishmentrequest”消息。

923、UE基于Kausf#2生成Kakma#2和A-KID#2，若UE本地生成的A-KID#2与来自AF的A-KID#2相同，则该AF的标识信息对应的密钥更新为Kaf#2。

924、AF向UE发送第二激活响应消息。

当AF激活Kaf#2成功后，AF向UE发送第二激活响应消息。

上述主要以方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是，通信装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对通信装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个收发模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

下面对本申请中的通信装置进行详细描述，请参阅图10，图10为本申请实施例中通信装置的一种实施例示意图。通信装置可以部署于网络设备或芯片或芯片系统中，通信装置1000包括：

处理模块1001，用于生成第二安全上下文，所述第二安全上下文与第一安全上下文不一致，所述第一安全上下文为接入和移动性管理功能当前使用的安全上下文；

所述处理模块1001，还用于确定是否激活所述第二安全上下文。

在一种可能的实现方式中，

收发模块1002，用于向所述终端设备发送包含第二密钥标识符的第二鉴权请求消息，所述第二鉴权请求消息用于触发所述终端设备和网络之间的第二鉴权；

所述处理模块1001，还用于在所述第二鉴权成功之后，确定是否需要激活所述第二鉴权过程中生成的第二安全上下文；

所述收发模块1002，还用于在不需要激活所述第二安全上下文的情况下，向所述终端设备发送第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息包括第一密钥标识符；其中，所述第一密钥标识符为所述接入和移动性管理功能当前使用的所述第一安全上下文的密钥标识符。

在一种可能的实现方式中，

所述收发模块1002，还用于向所述终端设备发送包含所述第一密钥标识符的第一鉴权请求消息，所述第一鉴权请求消息用于触发所述终端设备和网络之间的第一鉴权；

所述收发模块1002，还用于在所述第一鉴权成功之后，向所述终端设备发送第一NAS SMC消息以激活在所述第一鉴权过程中生成的所述第一安全上下文，所述第一NAS SMC消息包括所述第一密钥标识符。

在一种可能的实现方式中，

所述收发模块1002，还用于接收来自所述终端设备的注册请求消息。

在一种可能的实现方式中，

所述处理模块1001，还用于当确定不更新非接入层NAS密钥和/或接入层AS密钥时，确定不激活所述第二安全上下文，

或者，

所述处理模块1001，还用于当确定非接入层NAS计数器翻转时，确定激活所述第二安全上下文，

或者，

所述处理模块1001，还用于当确定更新所述终端设备的非接入层NAS密钥上下文和/或接入层AS密钥上下文时，确定激活所述第二安全上下文；

或者，

所述处理模块1001，还用于当确定所述第二鉴权由第一网元触发，则不激活所述第二安全上下文，所述第一网元包括以下任一个：鉴权管理功能AUSF、网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF；

或者，

所述处理模块1001，还用于当确定所述第二鉴权仅需要对所述终端设备进行鉴权，则不激活所述第二安全上下文；

或者，

所述处理模块1001，还用于当确定所述第二鉴权由所述终端设备触发，则不激活所述第二安全上下文。

在一种可能的实现方式中，

所述收发模块1002，还用于当确定激活所述第二安全上下文后，向所述终端设备发送所述第二密钥标识符。

在一种可能的实现方式中，

所述收发模块1002，还用于当确定激活所述第二安全上下文后，向所述终端设备发送第一指示信息，所述第一指示信息与第二网元关联，所述第一指示信息指示所述终端设备更新所述终端设备与所述第二网元之间的通信密钥；

在一种可能的实现方式中，

所述收发模块1002，还用于当确定激活所述第二安全上下文后，所述接入和移动性管理功能激活第二中间密钥的非接入层NAS密钥，所述第二安全上下文对应所述第二中间密钥；

在一种可能的实现方式中，

所述收发模块1002，还用于接收第一网元发送的第三鉴权请求消息，其中，所述第三鉴权请求消息携带所述终端设备的永久标识信息，所述第三鉴权请求消息用于触发所述终端设备与网络之间的所述第二鉴权；

所述第一网元包括以下任一个：AUSF、NEF、AAnF、ECS、EES或AF。

在一种可能的实现方式中，

所述处理模块1001，还用于选择安全算法对所述接入和移动性管理功能向所述终端设备发送的第二NAS SMC消息进行完整性保护和机密性保护；

所述处理模块1001，还用于当所述接入和移动性管理功能选择的安全算法与所述第一安全上下文对应的安全算法相同，则确定不激活所述第二安全上下文；

所述收发模块1002，还用于向所述终端设备发送所述第二NAS SMC消息，所述第二NAS SMC消息包括所述第一密钥标识符。

在一种可能的实现方式中，

所述收发模块1002，还用于向所述终端设备发送第二非接入层安全模式命令NASSMC消息，所述第二NAS SMC消息包括第二指示信息，所述第二指示信息指示所述终端设备生成Kamf#2，并激活Kamf#2对应的所述第二安全上下文，所述Kamf#2为更新的Kamf。

在一种可能的实现方式中，

请参阅图11，图11为本申请实施例中通信装置的一种实施例示意图。通信装置可以部署于终端设备或芯片或芯片系统中，通信装置1100包括：

收发模块1101，用于接收来自接入和移动性管理功能AMF的第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息携带来自所述来自AMF的密钥标识符；

处理模块1102，用于当所述密钥标识符与所述终端设备正在使用的第一安全上下文的第一密钥标识符相同时，确定不激活第二安全上下文，所述第二安全上下文与所述第一安全上下文不一致。

在一种可能的实现方式中，

所述处理模块1102，还用于确定不激活所述第二安全上下文中的NAS安全上下文和/或所述第二安全上下文中的AS安全上下文。

在一种可能的实现方式中，

所述处理模块1102，还用于验证所述来自AMF的密钥标识符对应的安全算法，与所述第一安全上下文对应的安全算法是否相同，所述来自AMF的密钥标识符对应的安全算法为所述接入和移动性管理功能选择的安全算法；

所述处理模块1102，还用于当所述来自AMF的密钥标识符对应的安全算法与所述第一安全上下文对应的安全算法相同，确定不更新第一安全上下文。

在一种可能的实现方式中，

所述收发模块1101，还用于接收所述接入和移动性管理功能发送的第一指示信息，所述第一指示信息与第二网元关联，所述第一指示信息指示所述终端设备更新所述终端设备与所述第二网元之间的通信密钥；

上述实施例中的通信装置，可以是网络设备，也可以是应用于网络设备中的芯片或者其他可实现上述网络设备功能的组合器件、部件等。当通信装置是网络设备时，收发模块可以是收发器，该收发器可以包括天线和射频电路等，处理模块可以是处理器，例如基带芯片等。当通信装置是具有上述网络设备功能的部件时，收发模块可以是射频单元，处理模块可以是处理器。当通信装置是芯片系统时，收发模块可以是芯片系统的输入端口，收发模块可以是芯片系统的输出接口、处理模块可以是芯片系统的处理器，例如：中央处理器(central processing unit，CPU)。

上述实施例中的通信装置，可以是终端设备，也可以是应用于终端设备中的芯片或者其他可实现上述终端设备功能的组合器件、部件等。当通信装置是终端设备时，收发模块可以是收发器，该收发器可以包括天线和射频电路等，处理模块可以是处理器，例如基带芯片等。当通信装置是具有上述终端设备功能的部件时，收发模块可以是射频单元，处理模块可以是处理器。当通信装置是芯片系统时，收发模块可以是芯片系统的输入端口，收发模块可以是芯片系统的输出接口、处理模块可以是芯片系统的处理器，例如：中央处理器。

需要说明的是，通信装置各模块/或元器件之间的信息交互、执行过程等内容，与本申请中图6-图9对应的方法实施例基于同一构思，具体内容可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

需要说明的是，对于通信装置的具体实现方式以及带来的有益效果，均可以参考图6-图9对应的各个方法实施例中的叙述，此处不再一一赘述。

本申请实施例还提供了一种处理装置，处理装置包括处理器和接口；该处理器，用于执行上述任一方法实施例的有限域的编码或译码方法。

应理解，上述处理装置可以是一个芯片，该处理器可以通过硬件实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。

其中，“通过硬件实现”是指通过不具有程序指令处理功能的硬件处理电路来实现上述模块或者单元的功能，该硬件处理电路可以通过分立的硬件元器件组成，也可以是集成电路。为了减少功耗、降低尺寸，通常会采用集成电路的形式来实现。硬件处理电路可以包括ASIC(application-specific integrated circuit，专用集成电路)，或者PLD(programmable logic device，可编程逻辑器件)；其中，PLD又可包括FPGA(fieldprogrammable gate array，现场可编程门阵列)、CPLD(complex programmable logicdevice，复杂可编程逻辑器件)等等。这些硬件处理电路可以是单独封装的一块半导体芯片(如封装成一个ASIC)；也可以跟其他电路(如CPU、DSP)集成在一起后封装成一个半导体芯片，例如，可以在一个硅基上形成多种硬件电路以及CPU，并单独封装成一个芯片，这种芯片也称为SoC，或者也可以在硅基上形成用于实现FPGA功能的电路以及CPU，并单独封闭成一个芯片，这种芯片也称为SoPC(system on a programmable chip，可编程片上系统)。

本申请还提供一种通信系统，其包括发送端、接收端和中间节点中的至少一种或多种。

本申请实施例还提供的一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机控制网络装置执行如前述方法实施例所示任一项实现方式。

本申请实施例还提供的一种计算机程序产品，计算机程序产品包括计算机程序代码，当计算机程序代码在计算机上运行时，使得计算机执行如前述方法实施例所示任一项实现方式。

本申请实施例还提供一种芯片系统，包括存储器和处理器，存储器用于存储计算机程序，处理器用于从存储器中调用并运行计算机程序，使得芯片执行如前述方法实施例所示任一项实现方式。

本申请实施例还提供一种芯片系统，包括处理器，处理器用于调用并运行计算机程序，使得芯片执行如前述方法实施例所示任一项实现方式。

另外需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本申请提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现，当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下，凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现，而且，用来实现同一功能的具体硬件结构也可以是多种多样的，例如模拟电路、数字电路或专用电路等。但是，对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等，包括若干指令用以使得一台计算机设备执行本申请各个实施例所述的方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、通信装置、计算设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、通信装置、计算设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的通信装置、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。

Claims

1.一种通信方法，其特征在于，包括：

接入和移动性管理功能向终端设备发送包含第二密钥标识符的第二鉴权请求消息，所述第二鉴权请求消息用于触发所述终端设备和网络之间的第二鉴权；

在所述第二鉴权成功之后，所述接入和移动性管理功能确定是否需要激活所述第二鉴权过程中生成的第二安全上下文；

在不需要激活所述第二安全上下文的情况下，所述接入和移动性管理功能向所述终端设备发送第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息包括第一密钥标识符；其中，所述第一密钥标识符为所述接入和移动性管理功能当前使用的述第一安全上下文的密钥标识符。

2.根据权利要求1所述的方法，其特征在于，在所述接入和移动性管理功能向所述终端设备发送包含所述第二密钥标识符的所述第二鉴权请求消息之前，所述方法还包括：

所述接入和移动性管理功能向所述终端设备发送包含所述第一密钥标识符的第一鉴权请求消息，所述第一鉴权请求消息用于触发所述终端设备和网络之间的第一鉴权；

在所述第一鉴权成功之后，向所述终端设备发送第一NAS SMC消息以激活在所述第一鉴权过程中生成的所述第一安全上下文，所述第一NAS SMC消息包括所述第一密钥标识符。

3.根据权利要求2所述的方法，其特征在于，所述接入和移动性管理功能向所述终端设备发送包含所述第一密钥标识符的所述第一鉴权请求消息之前，所述方法还包括：

所述接入和移动性管理功能接收来自所述终端设备的注册请求消息。

4.根据权利要求1-3中任一项所述的方法，其特征在于，所述接入和移动性管理功能确定是否需要激活所述第二鉴权过程中生成的所述第二安全上下文，包括：

所述接入和移动性管理功能确定不需要更新非接入层NAS密钥和/或接入层AS密钥时，所述接入和移动性管理功能确定不激活所述第二安全上下文，

或者，

所述接入和移动性管理功能确定非接入层NAS计数器翻转时，所述接入和移动性管理功能确定激活所述第二安全上下文，

或者，

所述接入和移动性管理功能确定需要更新所述终端设备的非接入层NAS密钥上下文和/或接入层AS密钥上下文时，所述接入和移动性管理功能确定激活所述第二安全上下文；

或者，

所述接入和移动性管理功能确定所述第二鉴权由第一网元触发，则所述接入和移动性管理功能确定不激活所述第二安全上下文，所述第一网元包括以下任一个：鉴权管理功能AUSF、网络开放功能NEF、认证和密钥管理锚点功能AAnF、边缘配置服务器ECS、边缘使能服务器EES、移动边缘计算MEC或应用功能AF；

或者，

所述接入和移动性管理功能确定所述第二鉴权仅需要对所述终端设备进行鉴权，则所述接入和移动性管理功能确定不激活所述第二安全上下文；

或者，

所述接入和移动性管理功能确定所述第二鉴权由所述终端设备触发，则所述接入和移动性管理功能确定不激活所述第二安全上下文。

5.根据权利要求1-4中任一项所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1-5中任一项所述的方法，其特征在于，所述方法还包括：

7.根据权利要求1-6中任一项所述的方法，其特征在于，

8.一种通信方法，其特征在于，所述方法应用于终端设备，所述方法包括：

所述终端设备接收来自接入和移动性管理功能AMF的第二非接入层安全模式命令NASSMC消息，所述第二NAS SMC消息携带来自所述来自AMF的密钥标识符；

当所述密钥标识符与所述终端设备正在使用的第一安全上下文的第一密钥标识符相同时，所述终端设备确定不激活第二安全上下文，所述第二安全上下文与所述第一安全上下文不一致。

9.根据权利要求8所述的方法，其特征在于，所述终端设备确定不激活所述第二安全上下文，包括：

所述终端设备确定不激活所述第二安全上下文中的NAS安全上下文和/或所述第二安全上下文中的AS安全上下文。

10.根据权利要求8-9中任一项所述的方法，其特征在于，所述终端设备确定不激活所述第二安全上下文之前，所述方法还包括：

所述终端设备验证所述来自AMF的密钥标识符对应的安全算法，与所述第一安全上下文对应的安全算法是否相同，所述来自AMF的密钥标识符对应的安全算法为所述接入和移动性管理功能选择的安全算法；

当所述来自AMF的密钥标识符对应的安全算法与所述第一安全上下文对应的安全算法相同，所述终端设备确定不更新第一安全上下文。

11.根据权利要求8-10中任一项所述的方法，其特征在于，所述方法还包括：

所述终端设备接收所述接入和移动性管理功能发送的发送第一指示信息，所述第一指示信息与第二网元关联，所述第一指示信息指示所述终端设备更新所述终端设备与所述第二网元之间的通信密钥；

12.一种通信装置，其特征在于，包括：

收发模块，用于向终端设备发送包含第二密钥标识符的第二鉴权请求消息，所述第二鉴权请求消息用于触发所述终端设备和网络之间的第二鉴权；

处理模块，用于在所述第二鉴权成功之后，确定是否需要激活所述第二鉴权过程中生成的第二安全上下文；

13.根据权利要求12所述的通信装置，其特征在于，

所述收发模块，还用于在所述第一鉴权成功之后，向所述终端设备发送第一NAS SMC消息以激活在所述第一鉴权过程中生成的所述第一安全上下文，所述第一NAS SMC消息包括所述第一密钥标识符。

14.根据权利要求13所述的通信装置，其特征在于，

15.根据权利要求12-14中任一项所述的通信装置，

所述处理模块，还用于当确定不需要更新非接入层NAS密钥和/或接入层AS密钥时，确定不激活所述第二安全上下文，

或者，

所述处理模块，还用于当确定需要更新所述终端设备的非接入层NAS密钥上下文和/或接入层AS密钥上下文时，确定激活所述第二安全上下文；

或者，

16.根据权利要求12-15中任一项所述的通信装置，

17.根据权利要求12-16中任一项所述的通信装置，

18.根据权利要求12-17中任一项所述的通信装置，其特征在于，

所述收发模块，还用于向所述终端设备发送所述第二NAS SMC消息，所述第二NAS SMC消息包括所述第一密钥标识符。

19.根据权利要求12所述的通信装置，其特征在于，

20.根据权利要求19所述的通信装置，其特征在于，所述第二NAS SMC消息还包括第三指示信息，所述第三指示信息指示所述终端设备继续使用所述第一安全上下文中的NAS安全上下文和所述第一安全上下文中的AS安全上下文。

21.根据权利要求12-20中任一项所述的通信装置，其特征在于，

22.一种通信装置，其特征在于，

收发模块，用于接收来自接入和移动性管理功能AMF的第二非接入层安全模式命令NASSMC消息，所述第二NAS SMC消息携带来自所述来自AMF的密钥标识符；

23.根据权利要求22所述的通信装置，其特征在于，

24.根据权利要求22-23中任一项所述的通信装置，其特征在于，

25.根据权利要求22-24中任一项所述的通信装置，其特征在于，

26.一种通信装置，其特征在于，所述通信装置包括：存储器和处理器；

所述处理器，用于执行所述存储器中存储的计算机程序或指令，以使所述通信装置执行如权利要求1-7、或权利要求8-11中任一项所述的方法。

27.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质具有程序指令，当所述程序指令被直接或者间接执行时，使得如权利要求1-7、或权利要求8-11中任一所述的方法被实现。

28.一种芯片系统，其特征在于，所述芯片系统包括至少一个处理器，所述处理器用于执行存储器中存储的计算机程序或指令，当所述计算机程序或所述指令在所述至少一个处理器中执行时，使得如权利要求1-7、或权利要求8-11中任一所述的方法被实现。

29.一种通信系统，其特征在于，所述通信系统包括终端设备、网络设备；

所述网络设备用于实现权利要求1-7中任一项所述的方法；

所述终端设备用于实现权利要求8-11中任一项所述的方法。