CN115915114A

CN115915114A - 注册方法及装置

Info

Publication number: CN115915114A
Application number: CN202111166933.4A
Authority: CN
Inventors: 郭龙华; 吴�荣
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-09-30
Filing date: 2021-09-30
Publication date: 2023-04-04

Abstract

本申请提供了一种注册方法及装置，该方法可以包括：初始移动管理网元接收来自终端设备的注册请求消息，该注册请求消息包括该终端设备的标识；该初始移动管理网元根据该注册请求消息，确定需要进行水平密钥推演；该初始移动管理网元利用推演参数进行水平密钥推演得到安全密钥；该初始移动管理网元向目标移动管理网元发送该注册请求消息和该安全密钥，该安全密钥用于保护该目标移动管理网元和该终端设备之间的通信。基于以上方案，初始移动管理网元可以根据推演参数得到安全密钥，以用于保护目标移动管理网元和终端设备之间的通信。

Description

注册方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种注册方法及装置。

背景技术

在第五代(the 5^th generation)通信系统中，当用户设备(user equipment，UE)位置改变导致UE接入的接入与移动性管理功能(access and mobility managementfunction，AMF)实体发生变化时(这里指UE在空闲态下发生位置变化)，为了实现后向安全性，源AMF支持进行水平K_AMF推演以得到新的安全密钥。并且，随着标准的推进和相关技术的进一步发展，出现了更多可能需要进行水平推演的方案。因此，如何进行水平密钥推演，是我们需要考虑的问题。

发明内容

本申请提供了一种注册方法及装置，以便初始移动管理网元能够通过水平密钥推演得到用于保护目标移动管理网元和终端设备之间的通信的安全密钥。

第一方面，提供了一种注册方法，该方法包括：初始移动管理网元接收来自终端设备的注册请求消息，所述注册请求消息包括所述终端设备的标识；所述初始移动管理网元根据所述注册请求消息，确定需要进行水平密钥推演；所述初始移动管理网元利用推演参数进行水平密钥推演得到安全密钥；所述初始移动管理网元向目标移动管理网元发送所述注册请求消息和所述安全密钥，所述安全密钥用于保护所述目标移动管理网元和所述终端设备之间的通信。

基于上述方案，初始移动管理网元在接收到注册请求消息，且确定进行水平密钥推演的情况下，利用推演参数进行水平密钥推演得到安全密钥，或者说将推演参数作为输入参数进行水平密钥推演得到安全密钥，以用于保护目标移动管理网元和终端设备之间的通信，以保证目标移动管理网元和终端设备之间的通信安全。

该目标移动管理网元可以是初始移动管理网元通过非接入层重定向确定的为终端设备服务的移动管理网元。

结合第一方面，在第一方面的某些实现方式中，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

基于上述方案，初始移动管理网元利用当前上行非接入层计数值，或当前下行非接入层计数值进行水平密钥推演得到安全密钥。该方案不需要额外的信令开销，将当前上行非接入层计数值，或当前下行非接入层计数值作为推演参数，可以节省资源。

结合第一方面，在第一方面的某些实现方式中，所述推演参数为所述初始移动管理网元生成的。

基于上述方案，初始移动管理网元可以生成推演参数。其中，初始移动管理网元可以随机确定一个数作为推演参数，或者，初始移动管理网元根据某种算法确定一个数作为推演参数。因此，初始移动管理网元可以根据生成的推演参数进行水平密钥推导得到安全密钥，以用于保护终端设备和目标移动管理网元之间的通信。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述初始移动管理网元通过所述目标移动管理网元或直接向所述终端设备发送所述非接入层计数值。

基于上述方案，初始移动管理网元可以自行确定或选择推演参数，并将确定的推演参数发送给终端设备，在这种情况下，初始移动管理网元和终端设备可以采用相同的推演参数进行水平密钥推演，从而使得终端设备和初始移动管理网元通过水平密钥推演可以得到相同的密钥，避免后续终端设备和目标移动管理网元通信过程安全验证无法通过。

结合第一方面，在第一方面的某些实现方式中，所述推演参数为预配置的特定值，所述特定值预配置在所述初始移动管理网元以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

在该方案中，该一个或多个终端设备包括上述注册请求消息中携带的标识所对应的终端设备。也就是说，初始移动管理网元和终端设备预配置了特定值作为推演参数，以用于初始移动管理网元和终端设备进行水平密钥推演。

结合第一方面，在第一方面的某些实现方式中，在所述初始移动管理网元根据所述注册请求消息，确定进行水平密钥推演之前，所述方法还包括：所述初始移动管理网元向所述终端设备发送安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；所述初始移动管理网元接收来自所述终端设备的安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，所述推演参数与所述下行非接入层顺序值关联，或者与所述上行非接入层顺序值关联。

其中，所述推演参数与所述下行非接入层顺序值关联，表示推演参数与下行非接入层顺序值相同，或者推演参数由下行非接入层顺序值经过进一步推导得到的。所述推演参数与所述上行非接入层顺序值关联，表示推演参数与上行非接入层顺序值相同，或者推演参数由上行非接入层顺序值经过进一步推导得到的。

基于上述方案，初始移动管理网元利用安全模式命令消息中携带的下行非接入层顺序值，或安全模式完成消息中携带的上行非接入层顺序值确定推演参数，这种情况不需要额外的信息交互，可以节省信令开销。

结合第一方面，在第一方面的某些实现方式中，所述初始移动管理网元利用所述推演参数进行水平推演得到安全密钥，包括：所述初始移动管理网元利用所述推演出桉树和方向值进行水平推演得到所述安全密钥。

基于上述方案，初始移动管理网元和终端设备利用推演参数和方向值进行水平密钥推演，或者说，初始移动管理网元和终端设备使用推演参数和方向值作为输入参数进行水平密钥推演得到安全密钥。该方向值可以用于区分不同的场景，使得不同场景下推演得到的密钥不同，从而提高密钥的安全性。

结合第一方面，在第一方面的某些实现方式中，所述方向值为所述初始移动管理网元生成的。

基于上述方案，初始移动管理网元可以生成方向值。其中，初始移动管理网元可以随机确定一个数作为该方向值，或者，初始移动管理网元根据某种算法确定一个数作为该方向值。因此，初始移动管理网元可以根据生成的方向值进行水平密钥推导得到安全密钥，以用于保护终端设备和目标移动管理网元之间的通信。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述初始移动管理网元通过所述目标移动管理网元或者直接向所述终端设备发送所述方向值。

基于上述方案，初始移动管理网元可以自行确定或选择方向值，并将确定的方向值发送给终端设备，在这种情况下，初始移动管理网元和终端设备可以采用相同的方向值进行水平密钥推演。

结合第一方面，在第一方面的某些实现方式中，所述方向值为预配置的特定值，所述特定值预配置在所述初始移动管理网元以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

在该方案中，该一个或多个终端设备包括上述注册请求消息中携带的标识所对应的终端设备。也就是说，初始移动管理网元和终端设备预配置了特定值作为方向值，以用于初始移动管理网元和终端设备进行水平密钥推演。

结合第一方面，在第一方面的某些实现方式中，所述终端设备的标识为所述终端设备的用户隐藏标识或所述终端设备的全球唯一临时标识。

当该终端设备的标识为用户隐藏标识时，表示该方案应用于终端设备初始接入的场景；

当该终端设备的标识为该终端设备的全球唯一临时标识时，表示该方案应用于空闲态的终端设备进行移动的场景。

结合第一方面，在第一方面的某些实现方式中，在所述终端设备的标识为所述终端设备的用户隐藏标识的情况下，所述初始移动管理网元根据所述注册请求消息，确定需要进行水平密钥推演，包括：所述初始移动管理网元向所述终端设备发送安全模式命令消息；所述初始移动管理网元接收来自所述终端设备的安全模式完成消息，所述安全模式完成消息包括所述终端设备的网络切片选择辅助信息；所述初始移动管理网元根据所述网络切片选择辅助信息和本地策略确定需要进行水平密钥推演。

基于以上方案，在初始注册场景，初始移动管理网元从安全模式完成消息获取网络切片选择辅助信息，该网络切片选择辅助信息可以包括终端设备请求的网络切片的信息，从而使得初始移动管理网元可以根据网络切片选择辅助信息和本地策略确定进行水平密钥推演。

结合第一方面，在第一方面的某些实现方式中，所述注册请求消息包括所述终端设备的网络切片选择辅助信息；在所述终端设备的标识为所述终端设备的全球唯一临时标识的情况下，所述初始移动管理网元根据所述注册请求消息，确定需要进行水平密钥推演，包括：所述初始移动管理网元根据所述终端设备的标识获取所述终端设备的上下文；所述初始移动管理网元根据所述终端设备的上下文校验所述网络切片选择辅助信息是否被篡改；在所述网络切片选择辅助信息没有被篡改的情况下，所述初始移动管理网元根据所述网络切片选择辅助信息和本地策略确定是否需要进行水平密钥推演。

基于以上方案，在初始注册场景，初始移动管理网元根据终端设备的上下文校验终端设备发送的选择辅助信息是否被篡改，在没有被篡改的情况下，初始移动管理网元根据所述网络切片选择辅助信息和本地策略确定是否需要进行水平密钥推演。第二方面，提供了一种注册方法，包括：终端设备向初始移动管理网元发送注册请求消息，所述注册请求消息包括所述终端设备的标识；所述终端设备接收来自目标移动管理网元的安全模式命令消息，所述安全模式命令消息包括水平推演指示信息；根据所述水平推演指示信息，所述终端设备利用推演参数进行水平密钥推演得到安全密钥，所述安全密钥用于保护所述终端设备和所述目标移动管理网元之间的通信。

基于上述方案，终端设备在发送了注册请求消息，且确定进行水平密钥推演的情况下，利用推演参数进行水平密钥推演得到安全密钥，或者说将推演参数作为输入参数进行水平密钥推演得到安全密钥，以用于保护目标移动管理网元和终端设备之间的通信。

结合第二方面，在第二方面的某些实现方式中，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

基于上述方案，初始移动管理网元利用当前上行非接入层计数值，或当前下行非接入层计数值进行水平密钥推演得到安全密钥。该方案不需要额外的信令开销，可以节省资源。

结合第二方面，在第二方面的某些实现方式中，所述推演参数为预配置的特定值，所述特定值预配置在所述终端设备以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

在该方案中，初始移动管理网元和终端设备预配置了特定值作为推演参数，以用于初始移动管理网元和终端设备进行水平密钥推演。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述终端设备接收来自初始移动管理网元的安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；所述终端设备向所述初始移动管理网元发送安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，所述推演参数与所述下行非接入层顺序值关联，或者与所述上行非接入层顺序值关联。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述终端设备通过所述目标移动管理网元或者直接从所述初始移动管理网元接收来自所述初始移动管理网元的所述推演参数。

基于上述方案，终端设备利用从初始移动管理网元接收到的推演参数进行水平密钥推演，在这种情况下，初始移动管理网元和终端设备可以采用相同的推演参数进行水平密钥推演，从而使得终端设备和初始移动管理网元通过水平密钥推演可以得到相同的密钥，避免后续终端设备和目标移动管理网元通信过程安全验证无法通过。

结合第二方面，在第二方面的某些实现方式中，所述终端设备利用推演参数进行水平密钥推演得到安全密钥，包括：所述终端设备利用所述推演参数和方向值进行水平密钥推演得到所述安全密钥。

该方向值可以用于区分不同场景，以便不同场景下生成的安全密钥不同，提高密钥的安全性。

结合第二方面，在第二方面的某些实现方式中，所述方向值为预配置的特定值，所述特定值预配置在所述终端设备以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

基于上述方案，初始移动管理网元和终端设备预配置了特定值作为方向值，以用于初始移动管理网元和终端设备进行水平密钥推演。

结合第二方面，在第二方面的某些实现方式中，所述方法还包括：所述终端设备通过所述目标移动管理网元或者直接从所述初始移动管理网元接收来自所述初始移动管理网元的所述方向值。

基于上述方案，终端设备利用从初始移动管理网元接收到的方向值进行水平密钥推演，在这种情况下，初始移动管理网元和终端设备可以采用相同的方向值进行水平密钥推演，从而使得终端设备和初始移动管理网元通过水平密钥推演可以得到相同的密钥，避免后续终端设备和目标移动管理网元通信过程安全验证无法通过。

结合第二方面，在第二方面的某些实现方式中，所述终端设备的标识为所述终端设备的用户隐藏标识或所述终端设备的全球唯一临时标识。

第三方面，提供了一种注册方法，该方法包括：目标移动管理网元接收来自初始移动管理网元的注册请求消息和推演参数和/或方向值，所述注册请求消息包括终端设备的标识；所述目标移动管理网元将所述推演参数和/或方向值发送给所述终端设备。

基于上述方案，目标移动管理网元将初始移动管理网元发送的推演参数和/或方向值，转发给终端设备，使得初始移动管理网元和终端设备可以采用相同的推演参数和/或方向值进行水平密钥推演，从而使得终端设备和初始移动管理网元通过水平密钥推演可以得到相同的密钥，避免后续终端设备和目标移动管理网元通信过程安全验证无法通过。

第四方面，提供了一种注册装置，该装置包括：收发模块，用于接收来自终端设备的注册请求消息，所述注册请求消息包括所述终端设备的标识；处理模块，用于根据所述注册请求消息，确定需要进行水平密钥推演；所述处理模块，还用于利用推演参数进行水平密钥推演得到安全密钥；所述收发模块还用于向目标移动管理网元发送所述注册请求消息和所述安全密钥，所述安全密钥用于保护所述目标移动管理网元和所述终端设备之间的通信。

结合第四方面，在第四方面的某些实现方式中，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

结合第四方面，在第四方面的某些实现方式中，所述推演参数为所述处理模块生成的。

结合第四方面，在第四方面的某些实现方式中，所述收发模块还用于通过所述目标移动管理网元或直接向所述终端设备发送所述非接入层计数值。

结合第四方面，在第四方面的某些实现方式中，所述推演参数为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

结合第四方面，在第四方面的某些实现方式中，所述收发模块还用于：向所述终端设备发送安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；接收来自所述终端设备的安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，所述推演参数与所述下行非接入层顺序值关联，或者与所述上行非接入层顺序值关联。

结合第四方面，在第四方面的某些实现方式中，所述处理模块具体用于利用所述非接入层计数值和方向值进行水平推演得到所述安全密钥。

结合第四方面，在第四方面的某些实现方式中，所述方向值为所述处理模块生成的。

结合第四方面，在第四方面的某些实现方式中，所述收发模块还用于通过所述目标移动管理网元或者直接向所述终端设备发送所述方向值。

结合第四方面，在第四方面的某些实现方式中，所述方向值为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

结合第四方面，在第四方面的某些实现方式中，所述终端设备的标识为所述终端设备的用户隐藏标识或所述终端设备的全球唯一临时标识。

结合第四方面，在第四方面的某些实现方式中，所述。。。

第五方面，提供了一种注册装置，该装置包括：收发模块，用于向初始移动管理网元发送注册请求消息，所述注册请求消息包括所述注册装置的标识；所述收发模块还用于接收来自目标移动管理网元的安全模式命令消息，所述安全模式命令消息包括水平推演指示信息；处理模块，用于根据所述水平推演指示信息，利用推演参数进行水平密钥推演得到安全密钥，所述安全密钥用于保护所述注册装置和所述目标移动管理网元之间的通信。

结合第五方面，在第五方面的某些实现方式中，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

结合第五方面，在第五方面的某些实现方式中，所述推演参数为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

结合第五方面，在第五方面的某些实现方式中，所述收发模块还用于：接收来自初始移动管理网元的安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；向所述初始移动管理网元发送安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，所述推演参数与所述下行非接入层顺序值关联，或者与所述上行非接入层顺序值关联。

结合第五方面，在第五方面的某些实现方式中，所述收发模块还用于：所述终端设备通过所述目标移动管理网元或者直接从所述初始移动管理网元接收来自所述初始移动管理网元的所述推演参数。

结合第五方面，在第五方面的某些实现方式中，所述处理模块具体用于：利用所述推演参数和方向值进行水平密钥推演得到所述安全密钥。

结合第五方面，在第五方面的某些实现方式中，所述方向值为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

结合第五方面，在第五方面的某些实现方式中，所述收发模块还用于：通过所述目标移动管理网元或者直接从所述初始移动管理网元接收来自所述初始移动管理网元的所述推演参数。

结合第五方面，在第五方面的某些实现方式中，所述注册装置的标识为所述注册装置的用户隐藏标识或所述注册装置的全球唯一临时标识。

第六方面，提供了一种注册装置，该装置包括：收发模块，用于接收来自初始移动管理网元的注册请求消息和非接入层计数值，所述注册请求消息包括终端设备的标识；处理模块，用于将所述非接入层计数值发送给所述终端设备。

第七方面，提供一种通信装置，该装置用于执行上述第一方面至第五方面提供的方法。具体地，该装置可以包括用于执行第一方面至第三方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

在一种实现方式中，该装置为网络设备，例如该装置为初始移动管理网元，或目标移动管理网元。当该装置为网络设备时，通信单元可以是收发器，或，输入/输出接口；处理单元可以是处理器。

在另一种实现方式中，该装置为用于网络设备中的芯片、芯片系统或电路。当该装置为用于通信设备中的芯片、芯片系统或电路时，通信单元可以是该芯片、芯片系统或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等；处理单元可以是处理器、处理电路或逻辑电路等。

一种可能情况，该装置为初始移动管理网元或初始移动管理网元中的芯片、芯片系统或电路。在该情况下，该装置可以包括用于执行第一方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

又一种可能情况，该装置为目标移动管理网元中的芯片、芯片系统或电路。在该情况下，该装置可以包括用于执行第三方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

在另一种实现方式中，该装置为终端设备。当该装置为终端设备时，通信单元可以是收发器，或，输入/输出接口；处理单元可以是处理器。

一种可能情况，该装置为终端设备(10)或终端设备(10)中的芯片、芯片系统或电路。在该情况下，该装置可以包括用于执行第三方面至第五方面中任一方面提供的方法的单元和/或模块，如处理单元和/或通信单元。

可选地，上述收发器可以为收发电路。可选地，上述输入/输出接口可以为输入/输出电路。

第八方面，提供一种通信装置，该装置包括：存储器，用于存储程序；处理器，用于执行存储器存储的程序，当存储器存储的程序被执行时，处理器用于执行上述第一方面至第三方面提供的方法。

第九方面，本申请提供一种处理器，用于执行上述各方面提供的方法。在执行这些方法的过程中，上述方法中有关发送上述信息和获取/接收上述信息的过程，可以理解为由处理器输出上述信息的过程，以及处理器接收输入的上述信息的过程。在输出上述信息时，处理器将该上述信息输出给收发器，以便由收发器进行发射。该上述信息在由处理器输出之后，还可能需要进行其他的处理，然后才到达收发器。类似的，处理器接收输入的上述信息时，收发器获取/接收该上述信息，并将其输入处理器。更进一步的，在收发器收到该上述信息之后，该上述信息可能需要进行其他的处理，然后才输入处理器。

基于上述原理，举例来说，前述方法中提及的接收请求消息可以理解为处理器接收输入的信息。

对于处理器所涉及的发射、发送和获取/接收等操作，如果没有特殊说明，或者，如果未与其在相关描述中的实际作用或者内在逻辑相抵触，则均可以更加一般性的理解为处理器输出和接收、输入等操作，而不是直接由射频电路和天线所进行的发射、发送和接收操作。

在实现过程中，上述处理器可以是专门用于执行这些方法的处理器，也可以是执行存储器中的计算机指令来执行这些方法的处理器，例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

第十方面，提供一种计算机可读存储介质，该计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行上述第一方面至第三方面提供的方法。

第十一方面，提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述第一方面至第三方面提供的方法。

第十二方面，提供一种芯片，该芯片包括处理器与通信接口，该处理器通过该通信接口读取存储器上存储的指令，执行上述第一方面至第三方面提供的方法。

可选地，作为一种实现方式，该芯片还可以包括存储器，该存储器中存储有指令，该处理器用于执行该存储器上存储的指令，当该指令被执行时，该处理器用于执行上述第一方面至第三方面提供的方法。

附图说明

图1是一种适用于本申请实施例的网络结构的示意图。

图2是一种终端设备进行注册的方法的示意性流程图。

图3是一种终端设备进行注册的另一种方法的示意性流程图。

图4是本申请实施例提供的一种注册方法的示例性流程图。

图5是本申请实施例提供的另一种注册方法的示例性流程图。

图6是本申请实施例提供的又一种注册方法的示例性流程图。

图7是本申请实施例提供的又一种注册方法的示例性流程图。

图8是本申请实施例提供的又一种注册方法的示例性流程图。

图9是本申请一个实施例提供的注册装置的示意性框图。

图10是本申请另一个实施例提供的注册装置的示意性框图。

图11是本申请又一个实施例提供的注册装置的示意性框图。

图12是本申请又一个实施例提供的注册装置的示意性框图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图，对本申请中的技术方案进行描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中，在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本申请的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。

可以理解的是，在本申请中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的范围。上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定。

为了解决背景技术提及的问题，如图1(a)所示，本申请提供了一种通信系统，该通信系统包括终端设备(10)、初始移动管理网元(20)、目标移动管理网元(30)。其中该初始移动管理网元(20)用于接收来自终端设备(10)的注册请求消息，该注册请求消息包括该终端设备(10)的标识；根据该注册请求消息，确定需要进行水平密钥推演；利用推演参数进行水平密钥推演得到安全密钥；向目标移动管理网元(30)发送该注册请求消息和该安全密钥；该安全密钥用于保护该目标移动管理网元(30)和该终端设备(10)之间的通信。其中，终端设备(10)用于向初始移动管理网元(20)发送注册请求消息，该注册请求消息包括该终端设备(10)的标识；接收来自目标移动管理网元(30)的安全模式命令消息，该安全模式命令消息包括水平推演指示信息；根据该水平推演指示信息，利用推演参数进行水平密钥推演得到安全密钥，该安全密钥用于保护该终端设备(10)和该目标移动管理网元(30)之间的通信。

应理解，上述通信系统中的各网元的名称仅作为一种示例，不造成任何限定作用。在上述系统中，初始移动管理网元(20)可以是直接从终端设备接收到注册请求消息的移动管理网元，目标移动管理网元(30)可以是初始移动管理网元(20)通过重定向确定的为终端设备(10)服务的移动管理网元，上述网元名称只是为了区分该两个网元，在不同的场景或者示例中，它们还可以有其他名称，本申请不做限定。

应理解，图1中的(a)中各网元之间的具体交互过程可以参照图4中的方法流程，具体实现的方案见方法400中的详细说明。

本申请提供的技术方案可以应用于各种通信系统，例如：第五代(5thgeneration，5G)或新无线(new radio，NR)系统、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time divisionduplex，TDD)系统等。本申请提供的技术方案还可以应用于未来的通信系统，如第六代移动通信系统。本申请提供的技术方案还可以应用于设备到设备(device to device，D2D)通信，车到万物(vehicle-to-everything，V2X)通信，机器到机器(machine to machine，M2M)通信，机器类型通信(machine type communication，MTC)，以及物联网(internet ofthings，IoT)通信系统或者其他通信系统。

如图1的(b)所示，为基于服务化架构的第五代(5th generation，5G)网络架构示意图。

图1的(b)所示的5G网络架构中可包括三部分，分别是终端设备部分、数据网络(data network，DN)和运营商网络部分。下面对其中的部分网元的功能进行简单介绍说明。

其中，运营商网络可包括以下网元中的一个或多个：鉴权服务器功能(authentication server function，AUSF)网元、网络开放功能(network exposurefunction，NEF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据库(unified data repository，UDR)、网络存储功能(network repository function，NRF)网元、应用功能(applicationfunction，AF)网元、接入与移动性管理功能(access and mobility managementfunction，AMF)网元、会话管理功能(session management function，SMF)网元、无线接入网(radioaccess network，RAN)以及用户面功能(user plane function，UPF)网元等。上述运营商网络中，除无线接入网部分之外的部分可以称为核心网络部分。

1、终端设备(terminal device)：也可以成为用户设备(user equipment，UE)，是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrialcontrol)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。这里的终端设备，指的是第三代合作伙伴计划(3rd generation partnershipproject，3GPP)终端。为便于说明，本申请后续以UE代指终端设备为例进行说明。

上述终端设备可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。终端设备还可通过运营商网络访问DN，使用DN上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为运营商网络和终端设备之外的服务方，可为终端设备提供他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可根据实际应用场景确定，在此不做限制。

2、无线接入网络(radio access network，RAN)网元：在下文中简称为RAN，对应接入网设备。

RAN是运营商网络的子网络，是运营商网络中业务节点与终端设备之间的实施系统。终端设备要接入运营商网络，首先是经过RAN，进而可通过RAN与运营商网络的业务节点连接。本申请中的RAN设备，是一种为终端设备提供无线通信功能的设备，RAN设备也称为接入网设备。本申请中的RAN设备包括但不限于：5G中的下一代基站(g nodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(basetransceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseBand unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等。3、用户面功能(user plane function，UPF)：用于分组路由和转发以及用户面数据的服务质量(quality of service，QoS)处理等。

在5G通信系统中，该用户面网元可以是用户面功能(user plane function，UPF)网元。在未来通信系统中，用户面网元仍可以是UPF网元，或者，还可以有其它的名称，本申请不做限定。

4、多播/广播用户面功能(multicast/broadcast-user plane function，MB-UPF)

MB-UPF主要负责将多播广播流传送到RAN(或者UPF)，可以进行多播广播流的包过滤、分发，实现多播广播服务的QoS增强以及计数/上报等。本申请中的MB-UPF和UPF不做严格区分，使用(MB-)UPF表示MB-UPF或者UPF。

5、数据网络(data network，DN)：用于提供传输数据的网络。

在5G通信系统中，该数据网络网元可以是数据网络网元。在未来通信系统中，数据网络网元仍可以是DN网元，或者，还可以有其它的名称，本申请不做限定。

6、接入和移动管理网元

接入和移动管理网元主要用于移动性管理和接入管理等，可以用于实现MME功能中除会话管理之外的其它功能，例如，合法监听以及接入授权/鉴权等功能。

在5G通信系统中，该接入和移动管理网元可以是接入和移动管理功能(accessand mobility management function，AMF)。在未来通信系统中，接入和移动管理设备仍可以是AMF，或者，还可以有其它的名称，本申请不做限定。

7、会话管理功能(session management function，SMF)：主要用于会话管理、用户设备的网络互连协议(internet protocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。

在5G通信系统中，该会话管理网元可以是会话管理功能网元。在未来通信系统中，会话管理网元仍可以是SMF网元，或者，还可以有其它的名称，本申请不做限定。

8、多播/广播会话管理功能(multicast/broadcast-session managementfunction，MB-SMF)

MB-SMF主要负责多播广播会话管理，控制多播广播传输，根据PCF提供或本地配置的多播广播服务是策略规则对MB-UPF和RAN进行相应的配置，以完成多播广播流的传输。本申请中的MB-SMF和SMF不做严格区分，使用(MB-)SMF表示MB-SMF或者SMF。

9、策略控制功能(policy control function，PCF)：用于指导网络行为的统一策略框架，为控制面功能网元(例如AMF，SMF等)提供策略规则信息等。

在4G通信系统中，该策略控制网元可以是策略和计费规则功能(policy andcharging rules function，PCRF)网元。在5G通信系统中，该策略控制网元可以是策略控制功能PCF网元。在未来通信系统中，策略控制网元仍可以是PCF网元，或者，还可以有其它的名称，本申请不做限定。

10、应用功能(application function，AF)：用于进行应用影响的数据路由，无线接入网络开放功能网元，与策略框架交互进行策略控制等。

在5G通信系统中，该应用网元可以是应用功能网元。在未来通信系统中，应用网元仍可以是AF网元，或者，还可以有其它的名称，本申请不做限定。

11、统一数据管理(unified data management，UDM)：用于处理UE标识，接入鉴权，注册以及移动性管理等。

在5G通信系统中，该数据管理网元可以是统一数据管理网元；在4G通信系统中，该数据管理网元可以是归属用户服务器(home subscriber server，HSS)网元在未来通信系统中，统一数据管理仍可以是UDM网元，或者，还可以有其它的名称，本申请不做限定。

12、统一数据存储(unified data repository，UDR)：主要包括以下功能：签约数据、策略数据、应用数据等类型数据的存取功能。

13、认证服务器(authentication server function，AUSF)：用于鉴权服务、产生密钥实现对用户设备的双向鉴权，支持统一的鉴权框架。

在5G通信系统中，该认证服务器可以是认证服务器功能网元。在未来通信系统中，认证服务器功能网元仍可以是AUSF网元，或者，还可以有其它的名称，本申请不做限定。

14、数据网络(data network，DN)：DN是位于运营商网络之外的网络，运营商网络可以接入多个DN，DN上可部署多种业务，可为终端设备提供数据和/或语音等服务。例如，DN是某智能工厂的私有网络，智能工厂安装在车间的传感器可为终端设备，DN中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，根据指令将采集的传感器数据传送给控制服务器等。又例如，DN是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备，员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。

图1的(b)中Nausf、Nnef、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义，在此不做限制。

在图1的(b)所示的网络架构中，各网元之间可以通过图中所示的接口通信。如图所示，UE和AMF之间可以通过N1接口进行交互，交互消息例如可以称为N1消息(N1Message)。RAN和AMF之间可以通过N2接口进行交互，N2接口可以用于非接入层(non-access stratum，NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互，N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互，N4接口可以用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互，N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如图1中所示，为了简洁，这里不一一详述。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

还应理解，图1中所示的AMF、SMF、UPF、网络切片选择功能网元(networksliceselection function，NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对于上述网元的具体形态不作限定。

还应理解，上述命名仅为便于区分不同的功能而定义，不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

可以理解的是，上述网元或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。为方便说明，本申请后续，以网络设备为接入和移动管理网元AMF，基站为无线接入网络RAN为例进行说明。

本申请中的终端设备(10)、初始移动管理网元(20)、目标移动管理网元(30)可以是5G系统中的UE和AMF，也可以是未来通信如第六代(6th generation，6G)网络中具有上述UE和AMF的功能的网元，本申请对此不限定。

应理解，上述应用于本申请实施例的网络架构仅是一种举例说明，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

例如，在某些网络架构中，AMF、SMF网元、PCF网元、BSF网元以及UDM网元等网络功能网元实体都称为网络功能(network function，NF)网元；或者，在另一些网络架构中，AMF，SMF网元，PCF网元，BSF网元，UDM网元等网元的集合都可以称为控制面功能网元。

本申请实施例的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括，但不限于：磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compact disc，CD)、数字通用盘(digital versatiledisc，DVD)等)，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammable read-only memory，EPROM)、卡、棒或钥匙驱动器等)。另外，本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于，无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

为了便于理解本申请实施例提供的方案，首先对本申请涉及的一些术语进行解释和说明：

非接入层(non access stratum，NAS)计数值(COUNT)：

NAS count(NAS计数值)是5G系统中安全上下文的一部分。NAS count可作为密钥的生命周期，使密钥具有新鲜性；同时，NAS count可以保证用户设备(user equipment，UE)与网络侧密钥的同步，具有抗重放攻击的作用。每一套安全上下文包含两个独立的NAS计数值：上行NAS计数值(UL NAS count)和下行NAS计数值(DL NAS count)。

NAS count有24位，主要由两个部分组成：NAS序列号(SQN)与NAS溢出值(OVERFLOW)。NAS序列号承载于每条NAS消息中，当每一个新的或是重传的受到安全保护的NAS消息发出后，发送端将会将NAS序列号的值增加1；当NAS序列号增加到最大值，即将翻转时，NAS溢出值增加1。

下面，图2示出了一种注册方法200的示例性流程图，图2所示的方法流程为UE在初始接入场景下的注册流程。从图2中可以看出，方法200包括：

201，UE向初始AMF发送注册请求消息。

示例性地，UE向初始AMF(initial AMF)注册请求(registration request，RR)消息，该注册请求消息中携带用户隐藏标识符(subscriber concealed identifier，SUCI)。

该注册请求消息中还包括明文的IEs。由于UE请求的网络切片选择辅助信息(requested network slice selection assitance information，Requested NSSAI)可能泄露用户隐私，明文IEs中可能不包括UE的Requested NSSAI。

应理解，携带SUCI的注册请求消息中不包括NAS count值。

应理解，本申请实施例中所涉及的UE向初始AMF发送注册请求消息，表示的是UE向(R)AN发送注册请求消息，(R)AN再将注册请求消息发送给初始AMF，由于该步骤中(R)AN起到透传的作用，为了描述的简洁，在本申请实施例中和/或附图中可直接描述为UE想初始AMF发送注册请求消息。

202，初始AMF发起主认证流程。

示例性地，发起主认证(Primary authentication)流程，以认证UE和进行密钥协商。

203，初始AMF发送非接入层安全模式命令(non access stratum security modecommand,NAS SMC)消息给UE，该消息用于建立UE和初始AMF之间的NAS安全上下文。

204，初始AMF向UE发送NAS SMP消息。

示例性地，UE向Initial AMF发送的非接入层安全模式命令完成消息(Non AccessStratum Security Mode Command Complete,NAS SMP)，该NAS SMP中携带完整的注册请求消息，其中包括Requested NSSAI。

205，初始AMF确定是否进行重定向。

示例性地，初始AMF可以调用UDM提供的Numd_SDM_Get服务操作，以请求UE的网络切片选择订阅信息。UDM发送Numd_SDM_Get Response，以响应初始AMF的请求，该响应消息中携带UE的网络切片选择订阅信息。

初始AMF可以根据UE的网络切片选择订阅信息来决定是否进行重定向(reroute)。例如，当初始AMF不能服务Requested NSSAI中某些或者全部S-NSSAI(s)时，初始AMF决定进行重定向。

206，初始AMF进行水平K_AMF推演。

示例性地，初始AMF可以根据本地策略决定是否进行水平K_AMF推演，包括生成新的UE安全上下文。如果需要的话，初始AMF将当前的K_AMF水平推演为K_AMF’，并分配新的ngKSI，水平推演的输入密钥为当前的K_AMF，输入参数为方向值(DIRECTION)和非接入层计数值(NAScount)。

应理解，UE安全上下文包括以下一项或多项：

AMF密钥(K_AMF)，5G中的密钥集标识符(ngKSI)；

下行NAS计数(downlink NAS count)、上行NAS计数(downlink NAS count)；

安全算法：该安全算法包括完整性保护算法和加密算法；

UE安全能力(UE security capacity)，即UE上实现的加密算法和完整性保护算法的标识符集。

207，初始AMF根据本地策略和订阅信息，决定将NAS消息(即注册请求消息)直接转发给目标AMF(Target AMF，即direct NAS reroute)。示例性地：

初始AMF选择目标AMF，并获取目标AMF的地址。例如，如果需要进行切片选择(即初始AMF不能服务Requested NSSAI中某些或者全部S-NSSAI(s))，则初始AMF调用NSSF提供的Nnssf_NSSelection_Get服务操作，用于获取可服务Requested NSSAI(s)的AMF的信息。NSSF发送Nnssf_NSSelection_Get Response，以响应初始AMF的请求，并在响应消息中携带可服务Requested NSSAI(s)的AMF set或者AMF的地址列表；又例如，初始AMF调用NRF的Nnrf_NFDiscovery_Request服务操作，来获取目标AMF的地址。

初始AMF调用目标AMF提供的信息通知(Namf_Communication_N1MessgeNotify)服务操作，并在该服务操作中携带完整的注册请求消息和UE移动管理上下文,UE安全上下文。在未发生水平推演的情况下，UE安全上下文为旧的UE安全上下文。在发生水平推演的情况下，UE安全上下文为新的UE安全上下文。消息中还包括水平推演指示(keyAmfHDerivationInd指示)，该keyAmfHDerivationInd指示用于指示消息中携带UE安全上下文是经过水平推演而生成的。

应理解，本申请实施例中，调用某个网络功能提供的某个服务操作，也可以理解为请求该网络功能提供的该某个服务操作。接收到该某个服务操作的调用，也可以理解为接收到该某个服务操作的请求。

208，目标AMF向UE发送NAS SMC消息。

示例性地，目标AMF接收来自初始AMF的Namf_Communication_N1MessgeNotify消息，如果该消息中携带了keyAmfHDerivationInd指示，则目标AMF向UE发送NAS SMC消息。消息中携带值为1的K_AMF_change_flag，新的ngKSI，选择的NAS算法等。值为1的K_AMF_change_flag用来指示UE推演新的UE安全上下文，新的ngKSI用来标识新的安全上下文中的密钥。

目标AMF将上下行NAS count重置为0，并推演新的NAS层密钥，并对NAS SMC消息进行完整性保护。

209，UE推演新的安全上下文。

示例性地，UE接收来自目标AMF的NAS SMC消息，如果该消息中携带了值为1的K_AMF_change_flag，则UE推演新的安全上下文，即将K_AMF推演为K_AMF’，并推演新的NAS层密钥，并对NAS SMC消息进行完整性校验。UE将上下行NAS count重置为0。

210，UE向目标AMF发送NAS SMP。

示例性地，如果NAS SMC消息的完整性校验成功，UE向AMF回复NAS SMP消息。

然而，在上述场景中，initial AMF和UE进行Kamf水平推演使用NAS计数器值可能不同，从而导致UE侧和AMF侧的密钥推演结果可能不同，从而导致安全校检失败。

图3示出了本申请实施例提供的注册方法300的示例性流程图，图3所示的方法流程为UE在空闲态移动场景下的注册流程。从图3中可以看出，方法300包括：

301，UE向初始AMF发送注册请求消息。

示例性地，UE向初始AMF(initial AMF)发送注册请求(registration request，RR)消息，该注册请求消息中携带UE的5G全球唯一临时用户设备标识(5G generationglobally unique temporary user equipment identity，5G-GUTI)。

UE中有NAS安全上下文，则UE可以在注册请求消息中携带5G-GUTI、明文的IEs和NAS容器(NAS container)，以及上行NAS count值。该NAS container中是加密的完整的注册请求消息，且该NAS container中包括Requested NSSAI。

应理解，该NAS安全上下文为UE上一次注册到网络时，和原AMF(Old AMF，也可以称为老AMF)之间建立的NAS安全上下文。

UE对该注册请求消息进行完整性保护。

302，初始AMF调用原AMF提供的UE上下文传输服务(Namf_Communication_UEContextTransfer)操作，以请求UE上下文。该Namf_Communication_UEContextTransfer中包括初始AMF接收到的注册请求消息，即初始AMF在Namf_Communication_UEContextTransfer中发送接收到的注册请求消息。

303，原AMF确定是否推演新的安全上下文。

示例性地，原AMF在接收到UE上下文的请求之后，根据本地策略，决定是否推演新的UE安全上下文。如果原AMF决定进行推演新的UE安全上下文，则原AMF将当前的K_AMF推演为K_AMF’，并分配新的ngKSI，本次推演记为K_AMF水平推演#1。

另外，原AMF验证接收到的注册请求消息的完整性。验证成功之后，进一步地：

304，原AMF发送UE上下文传输响应(Namf_Communication_UEContextTransferResponse)消息，该消息中携带UE上下文。该UE上下文中包括UE安全上下文。

如果原AMF根据本地策略没有进行水平K_AMF推演，则该UE上下文应当为UE和原AMF之间使用的安全上下文，此处记为UE安全上下文#1。

如果原AMF根据本地策略进行了水平K_AMF推演，则该UE上下文应当为原AMF推演的新的UE安全上下文，此处记为UE安全上下文#2。此时，原AMF在该响应消息中还携带水平推演指示(keyAmfHDerivationInd指示)。

应理解，原AMF向初始AMF发送的UE上下文中，包括但不限于以下参数：K_AMF，ngKSI(如果进行了水平推演，则此处应为推演生成的K_AMF’，和新分配的ngKSI)；可选的DownlinkNAS Count和Uplink NAS Count；选择的完保和加密算法(如果有的话)；UE安全能力(UEsecurity capabilities，即UE上实现的加密和完保算法)；以及可选的KeyAMFHDerivationInd指示(当原AMF进行了水平K_AMF推演，则包括该指示)。

305，初始AMF向UE发送NAS SMC消息。

示例性地，初始AMF可能发起非接入层安全模式命令(non access stratumsecurity mode command,NAS SMC)给UE，用于建立UE和初始AMF之间的NAS安全上下文。该消息有完整性保护。

初始AMF发起NAS SMC的可能的情况有：

a)原AMF发生了水平K_AMF推演，初始AMF使用从原AMF处接收到keyAmfHDerivationInd指示和通过水平推演得到的K_AMF；

b)原AMF没有发生了水平K_AMF推演，初始AMF决定使用从原AMF处接收到的旧的KAMF，但是决定选择新的安全算法；

c)原AMF没有发生了水平K_AMF推演，初始AMF决定进行重鉴权，UE和网络侧完成了鉴权。

初始AMF可能在NAS SMC中携带用于指示UE发送完整的初始NAS消息的指示信息。

在初始AMF从原AMF处接收到keyAmfHDerivationInd指示的情况下，初始AMF可在NAS SMC消息中携带值为1的K_AMF_change_flag指示。初始AMF将上下行NAScount重置为0，并推演新的NAS层密钥，并对NAS SMC消息进行完整性保护。

如果Initial AMF决定使用从Old AMF处接收到的旧的KAMF，但是决定选择新的安全算法，NAS SMC将导致上下行NAS count发生变化

如果Initial AMF未接收到keyAmfHDerivationInd指示，则初始AMF触发了UE的重鉴权。初始AMF将上下行NAS count重置为0，并推演新的NAS层密钥，并对NAS SMC消息进行完整性保护。

306，UE确定是否推演新的安全上下文。

示例性地，如果UE在NAS SMC中接收到值为1的K_AMF_change_flag，则UE进行水平KAMF推演，生成K_AMF’和NAS keys，即UE安全上下文#2。

307，UE向初始AMF发送NAS SMP消息。

示例性地，UE在接收到NAS SMC消息之后，验证NAS SMC消息的完整性。如果验证成功，则发送NAS SMP消息。

如果UE在NAS SMC中接收到发送完整的初始NAS消息的指示，则UE在NAS SMP中携带完整的初始NAS消息(即注册请求消息)，完整的注册请求消息中包括Requested NSSAI。

308，初始AMF确定是否进行重定向。

309，初始AMF确定是否推演新的安全上下文。

示例性地，初始AMF可以根据本地策略决定是否需要推演新的UE安全上下文。如果需要的话，初始AMF将当前的K_AMF’推演为K_AMF”，并分配新的ngKSI。将此处推演得到的新的安全上下文记为UE安全上下文#3，将此次推演记为水平KAMF推演#2。

310，初始AMF向原AMF发送注册状态更新消息。

示例性地，初始AMF根据本地策略和订阅信息，决定将NAS消息(即注册请求消息)直接转发给目标AMF(Target AMF，即direct NAS reroute)，则初始AMF调用Old AMF的Namf_Communication_RegistrationStatusUpdate服务操作，以通知原AMF，UE在初始AMF处的注册失败。原AMF应当作从未接收到初始AMF在步骤302中发送的UE上下文请求消息。

311，初始AMF向目标AMF发送信息通知服务。

初始AMF调用目标AMF提供的信息通知(Namf_Communication_N1MessgeNotify)服务操作，并在该服务操作中携带完整的注册请求消息和UE移动管理上下文,UE安全上下文。在未发生水平推演的情况下，UE安全上下文为UE安全上下文#2。在发生水平推演的情况下，UE安全上下文为UE安全上下文#3。消息中还包括水平推演指示(keyAmfHDerivationInd指示)，该keyAmfHDerivationInd指示用于指示消息中携带UE安全上下文是经过水平推演而生成的。

312，目标AMF向UE发送NAS SMC消息。

示例性地，目标AMF接收来自初始AMF的Namf_Communication_N1MessgeNotify消息，如果该消息中携带了keyAmfHDerivationInd指示，则目标AMF向UE发送NAS SMC消息。消息中携带值为1的K_AMF_change_flag，新的ngKSI，选择的NAS算法等。值为1的K_AMF_change_flag用来指示UE推演UE安全上下文#3，新的ngKSI用来标识安全上下文#3中的密钥。

313，UE推演安全上下文#3。

示例性地，UE接收来自目标AMF的NAS SMC消息，如果该消息中携带了值为1的K_AMF_change_flag，则UE推演新的安全上下文，即将K_AMF’推演为K_AMF”，并推演新的NAS层密钥，并对NAS SMC消息进行完整性校验。UE将上下行NAS count重置为0。

314，UE向目标AMF发送NAS SMP。

然而，在上述场景中，initial AMF在收到注册请求消息后，可能会触发NAS SMC流程，将UL NAS count重置或者变化，从而可能导致initial AMF和UE进行水平推演使用的NAS计数器值可能不同，从而导致UE侧和AMF侧的密钥推演结果可能不同，从而导致安全校检失败。

图4示出了本申请实施例提供的注册方法400的示例性流程图。该方法400包括：

401，终端设备10向初始移动管理网元20发送注册请求消息。

示例性地，该注册请求消息报包括该终端设备的标识。在5G系统中，该终端设备10的标识可以是该终端设备的用户隐藏标识(subscription concealed identitifier，SPCI)或者该终端设备10的全球唯一临时标识(globally unique temporary identify，GUTI)。例如，本次注册是该终端设备10的初始注册流程，则该终端设备10的标识为该终端设备10的SUCI；又例如，终端设备10由于位置移动(这里指终端设备10在空闲态下发生位置变化)，从一个移动管理网元的区域移动到了该初始移动管理网元20的区域，本次注册是该终端设备10移动到该初始移动管理网元20的区域后发起的注册流程，此时该终端设备10的标识为该终端设备的GUTI。

402，可选地，初始移动管理网元20向终端设备10发送安全模式命令消息。

403，可选地，终端设备10向初始移动管理网元20发送安全模式完成消息。

示例性地，初始移动管理网元20可以向终端设备10发起安全模式命令流程，以建立终端设备10和初始移动管理网元20之间的非接入层安全上下文。该安全模式命令消息包括下行非接入层顺序值，该安全模式完成消息包括上行非接入层计数值。

404，初始移动管理网元20确定需要进行水平密钥推演。

示例性地，初始移动管理网元20根据注册请求消息确定需要进行水平密钥推演。例如，初始移动管理网元20不能服务终端设备10请求的网络切片中的部分或全部网络切片，则初始移动管理网元20决定进行非接入层重定向，并且根据本地策略，初始移动管理网元20确定进行水平密钥推演。

405，初始移动管理网元20利用推演参数进行水平密钥推演得到安全密钥。

示例性地，在确定进行水平密钥推演之后，初始移动管理网元20利用推演参数进行水平密钥推演得到安全密钥，或者说，初始移动管理网元20使用推演参数作为输入参数进行水平密钥推演得到安全密钥，该安全密钥用于保护终端设备10和目标移动管理网元30之间的通信。

一种可能的实现方式中，该推演参数为预配置的特定值，该特定值预配置在该初始移动管理网元20和一个或多个终端设备，且适用于针对该一个或多个终端设备进行水平密钥推演。该一个或多个终端设备包括终端设备(10)。该特定值适用于该一个或多个终端设备中的任意终端设备进行水平密钥推演。或者说，该特定值预配置在一个或多个移动管理网元和一个或多个终端设备，且适用于针对该一个或多个移动管理网元以及该一个或多个终端设备进行水平密钥推演，该一个或多个移动管理网元包括初始移动管理网元20，该一个或多个终端设备包括终端设备10。在这种实现方式中，当初始移动管理网元20确定需要进行水平密钥推演，或者说当满足触发条件，初始移动管理网元20利用预配置信息中的特定值进行水平密钥推演。该触发条件例如是初始移动管理网元20接收到来自终端设备的注册请求消息，且初始移动管理网元20决定进行水平密钥推演，可选的，该触发条件还可以包括初始移动管理网元20与终端设备进行了安全模式命令流程(即执行了步骤402和步骤403)。

另一种实现方式，该推演参数为当前上行非接入层计数值，或者当前下行非接入层计数值，或者当前安全上下文中的上行非接入层计数值，或者当前安全上下文中的下行非接入层计数值。

又一种实现方式中，该推演参数可以与某一消息中携带的参数相关联。例如，该推演参数与安全模式命令消息中的下行非接入层顺序值相关联，或者该推演参数与安全模式完成消息中的上行非接入层顺序值相关联。该推演参数与安全模式命令消息中的下行非接入层顺序值相关联，可以表示该推演参数与该下行非接入层顺序值相等，也可以表示该推演参数由该下行非接入层计数值进一步推演得到，例如，推演参数可以由下行非接入层顺序值与非接入层溢出值拼接而成，非接入层溢出值为高比特位值，下行非接入层顺序值为低比特位值。其中，非接入层溢出值保存在终端设备10和初始移动管理网元的本地，下行非接入层顺序值携带在安全模式命令消息中。终端设备10在收到了非接入层下行顺序值之后，要对初始移动管理网元使用的非接入层溢出值进行估计。当终端设备10收到的非接入层顺序值大于或等于终端设备10本地保存的非接入层顺序值时，估计的非接入层溢出值为终端设备10本地保存的非接入层溢出值；当终端设备10收到的非接入层顺序值小于终端设备10本地保存的非接入层顺序值时，估计的非接入层溢出值为终端设备10本地保存的非接入层溢出值加1。该推演参数与安全模式完成消息中的上行非接入层顺序值相关联，可以表示该推演参数与该上行非接入层计数值相等，也可以表示该推演参数由该上行非接入层计数值进一步推演得到。推演的方式与通过下行非接入层计数值进行推演的方式类似，这里不再赘述。

又一种可能的实现方式，该推演参数为该初始移动管理网元20生成的。例如，初始移动管理网元20确定一个随机数作为该推演参数，或者，初始移动管理网元根据某种规律或者算法生成一个数作为该推演参数，例如，初始移动管理网元在0到0²⁴-1之间随机确定或按照某种算法确定一个数作为该推演参数。初始移动管理网元20生成该推演参数之后，通过目标移动管理网元30向终端设备10发送该推演参数，或者，初始移动管理网元20直接向终端设备10发送该推演参数。应理解，初始移动管理网元20直接向终端设备10发送该推演参数，表示初始移动管理网元20不通过目标移动管理网元30(或者其他任意网元)向终端设备10发送该推演参数，或者说初始移动管理网元20通过非接入层消息向终端设备10发送该推演参数。

可选地，在一种示例中，初始移动管理网元20利用非接入层计数值进行水平密钥推演得到安全密钥，包括：初始移动管理网元20利用非接入层计数值和方向值进行水平密钥推演得到安全密钥。该方向值可以是用于区分不同的场景的值。

一种可能的实现方式中，该方向值为预配置的特定值，该特定值预配置在该初始移动管理网元20以及一个或多个终端设备，且适用于针对该一个或多个终端设备进行水平密钥推演。该一个或多个终端设备包括终端设备(10)。该特定值适用于该一个或多个终端设备中的任意终端设备进行水平密钥推演。

另一种可能的实现方式中，该方向值为该初始移动管理网元20生成的。例如，初始移动管理网元20确定一个随机数作为该推演参数，或者，初始移动管理网元根据某种规律或者算法生成一个数作为该推演参数。初始移动管理网元20生成该方向值之后，通过目标移动管理网元30向终端设备10发送该方向值，或者，初始移动管理网元20直接向终端设备10发送该方向值。应理解，初始移动管理网元20直接向终端设备10发送该方向值，表示初始移动管理网元20不通过目标移动管理网元30(或者其他任意网元)向终端设备10发送该方向值，或者说初始移动管理网元20通过非接入层消息向终端设备10发送该方向值。应理解，如果推导参数也是该初始移动管理网元20生成的，则初始移动管理网元20可以将该推导参数和该方向值一起发送给终端设备10。

406，初始移动管理网元20向目标移动管理网元30发送注册请求消息和安全密钥。

示例性地，初始移动管理网元20利用推演参数进行水平推演得到安全密钥之后，将该安全密钥发送给目标移动管理网元30，该目标移动管理网元30为该初始移动管理网元20进行非接入层重定向确定的为终端设备10提供服务的移动管理网元。并且，初始移动管理网元20向目标移动管理网元30发送从终端设备10接收到的完整的注册请求消息。

可选的，初始移动管理网元20还向目标移动管理网元30发送指示信息以指示该安全密钥是通过水平密钥推演得到的。

407，目标移动管理网元30向终端设备10发送安全模式命令消息。

示例性地，目标移动管理网元30从初始移动管理网元20接收到终端设备10的注册请求消息之后，向终端设备10发送安全模式命令消息，该安全模式命令消息包括水平推演指示信息。

应理解，如果初始移动管理网元20向该目标移动管理网元发送了推演参数和/或方向值，则目标移动管理网元30可以通过该安全模式命令消息向终端设备10发送该推演参数和/或方向值。

408，终端设备10利用推演参数进行水平密钥推演得到安全密钥。

终端设备10接收到来自目标移动管理网元的安全模式命令消息之后，根据该安全模式命令消息中的水平推演指示信息，终端设备10确定进行水平密钥推演。

示例性地，终端设备10利用推演参数进行水平密钥推演得到安全密钥，或者说终端设备10使用推演参数作为输入参数进行水平密钥推演得到安全密钥，该安全密钥用于保护终端设备10和目标移动管理网元30之间的通信。

一种可能的实现方式中，该推演参数为预配置的特定值，该特定值预配置在终端设备10和一个或多个移动管理网元，且适用于针对该一个或多个移动管理网元进行水平密钥推演。该一个或多个移动管理网元包括该初始移动管理网元20。该特定值适用于该一个或多个移动管理网元中的任意移动管理网元进行水平密钥推演。或者说，该特定值预配置在一个或多个终端设备或一个或多个移动管理网元，且适用于针对该一个或多个终端设备以及该一个或多个移动管理网元进行水平密钥推演，该一个或多个终端设备包括终端设备10，该一个或多个移动管理网元包括初始移动管理网元20。

又一种可能的实现方式中，终端设备10通过目标移动管理网元30接收来自初始移动管理网元20的推演参数。该推演参数例如可以携带在步骤407的安全模式命令消息中。

又一种可能的实现方式中，终端设备10直接从初始移动管理网元20接收该推演参数。应理解，终端设备10直接从初始移动管理网元20接收该推演参数，表示终端设备10不通过目标移动管理网元20(或者其他任意网元)接收来自初始移动管理网元20的推演参数，或者说终端设备10通过非接入层消息直接从初始移动管理网元20接收该推演参数。

可选地，在一种示例中，终端设备10利用推演参数进行水平密钥推演得到安全密钥，包括：终端设备10利用推演参数和方向值进行水平密钥推演得到安全密钥。

一种可能的实现方式，该方向值为预配置的特定值，该特定值配置在终端设备10和一个或多个移动管理网元，且适用于针对该一个或多个移动管理网元进行水平密钥推演。该一个或多个移动管理网元包括移动管理网元20。该特定值适用于该一个或多个移动管理网元中的任意移动管理网元进行水平密钥推演。

另一种可能的实现方式，终端设备10通过目标移动管理网元30接收来自初始移动管理网元20的方向值。例如，终端设备10从目标移动管理网元30接收安全模式命令消息之后，从该安全模式命令消息中获取方向值。

409，响应于安全模式命令消息，终端设备10向目标移动管理网元30发送安全模式完成消息。

基于上述方案，初始移动管理网元在接收到注册请求消息，且确定需要进行水平密钥推演的情况下，可以利用推演参数进行水平密钥推演得到安全密钥，或者说可以将推演参数作为输入参数进行水平密钥推演得到安全密钥，以用于保护目标移动管理网元和终端设备之间的通信。

图5示出了本申请实施例提供的注册方法500的示例性流程图。该方法500包括：

应理解，步骤501至步骤505与方法200中的步骤201至步骤205类似，为了简洁，不再重复说明。

506，初始AMF使用推演参数作为输入参数进行水平K_AMF推演。

示例性地，如果在步骤505初始AMF确定进行重定向，并且根据本地策略确定需要推演新的UE安全上下文，则初始AMF使用推演参数进行水平K_AMF推演，得到K_AMF’，即初始AMF将推演参数作为输入参数进行水平K_AMF推演，得到K_AMF’。

该推演参数为初始AMF和UE提前配置或提前约定的用于进行水平K_AMF推演的输入参数。一示例，这里的推演参数为当前UL NAS count，或者当前DL NAS count。该方案利用了现有的保存的参数进行水平K_AMF推演，无需额外的改动；

另一示例，这里的推演参数为当前安全上下文中的UL NAS count或当前安全上下文中的DL NAS count。

另一示例，这里的推演参数为初始AMF和UE预配置的特定值。该特定值用于初始AMF和任意UE进行水平密钥推演。例如，该特定值为2²⁴-1，这样可以防止后续K_AMF推演与通过该NAS count推演得到一样的K_AMF’。

又一示例，这里的推演参数为某一特定消息中的NAS count。例如，该推演参数可以是NAS SMC消息(或NAS安全上下文)中的DL NAS count，或者该NAS count为NAS SMP消息(或NAS安全上下文)中的UL NAS count。基于上述方案，使用特定消息中的NAS count作为推演参数可以保证UE和AMF上使用相同的推演参数进行水平K_AMF推演，并且该NAS SMC流程为UE和初始AMF最近交互的流程，UE和初始AMF上保存有相关参数信息。

应理解，该NAS SMC消息中的DL NAS count或该NAS SMP消息中的UL NAS count可能为0，也可能不为0。例如，当初始AMF多次发送NAS SMC，或UE多次发送NAS SMP时，DL/ULNAS count不为0。

应理解，在初始注册场景下，对于初始AMF来说，利用该推演参数进行水平K_AMF推演的触发条件为：初始AMF接收到UE发送的携带SUCI的注册请求消息，并且初始AMF根据本地策略决定进行水平K_AMF推演。

可选地，在一种示例中，初始AMF使用方向值和该推演参数作为输入参数进行水平K_AMF推演。该方向值为初始AMF和UE提前配置或提前约定的用于进行水平K_AMF推演的输入参数。例如，该方向值为预配置的特定值，该特定值用于初始AMF和任意UE进行水平密钥推演。一种可能的实现方式中，该方向值可以用于区分不同的场景。例如，在初始接入场景，该预配置的特定值为0x02；在空闲态UE移动场景，该预配置的特定值为0x00。

507，初始AMF向目标AMF发送信息通知服务。

508，目标AMF向UE发送NAS SMC消息。

应理解，步骤507～508与方法200中的207～208类似，为了简洁，不再重复说明。

509，UE使用推演参数作为输入参数进行水平K_AMF推演。

如果UE接收到的NAS SMC消息中携带值为1的K_AMF_change_flag，则UE通过推演参数进行水平K_AMF推演。

该特定NAS count既可以是UE和初始AMF预先约定或预先配置的，也可以是初始AMF确定进行重定向之后，与UE协商确定的，本申请不做限定。

一示例，该推演参数为当前UL NAS count，或者当前DL NAS count。

另一示例，这里的推演参数为初始AMF和UE预配置的特定值。该特定值用于初始AMF和任意UE进行水平密钥推演。

又一示例，这里的推演参数为某一特定消息中的NAS count。例如，该推演参数可以是NAS SMC消息(或NAS安全上下文)中的DL NAS count，或者该NAS count为NASSMP消息(或NAS安全上下文)中的UL NAS count。

应理解，UE在509进行水平K_AMF推演所使用的推演参数应当与506中初始AMF进行水平K_AMF推演所使用的推演参数一致。

应理解，在初始注册场景下，对于UE来说，利用该推演参数进行水平K_AMF推演的触发条件为：UE向初始AMF发送携带SUCI的注册请求消息，且UE确定进行水平K_AMF推演，例如UE接收到携带值为1的K_AMF_change_flag的NAS SMC消息。

可选地，在一种示例中，UE使用方向值和该推演参数作为输入参数进行水平K_AMF推演。该方向值为初始AMF和UE提前配置或提前约定的用于进行水平K_AMF推演的输入参数。例如，该方向值为预配置的特定值，该特定值用于初始AMF和任意UE进行水平密钥推演。一种可能的实现方式中，该方向值可以用于区分不同的场景。例如，在初始接入场景，该预配置的特定值为0x02；在空闲态UE移动场景，该预配置的特定值为0x00。

该特定方向值为初始AMF和UE提前约定或者协商确定的用于进行水平K_AMF推演的输入参数。该方向值可以是0到2⁸-1之间的任意整数。应理解，该特定方向值与506中初始AMF进行水平K_AMF推演所使用的特定NAS count一致。

基于上述方案，在终端设备初始接入的场景下，初始AMF在满足触发条件的情况下，可以利用预配置的推演参数和/或方向值进行水平密钥推演得到安全密钥。同时，UE可以采用相同的推演参数和/或方向值进行水平密钥，从而可以得到相同的安全密钥，以便UE和目标AMF之间进行安全通信。

图6示出了注册方法600的示例性流程图。从图6中可以看出，方法600包括：

应理解，步骤601至步骤608与方法300中的步骤301至步骤308类似，为了简洁，不再重复说明。

609，初始AMF使用推演参数作为输入参数进行水平K_AMF推演。

示例性地，如果在步骤608，初始AMF确定进行重定向，并且根据本地策略确定需要推演新的UE安全上下文，则初始AMF通过推演参数进行水平K_AMF推演，得到K_AMF’，即初始AMF将推演参数作为输入参数进行水平K_AMF推演，得到K_AMF’。该推演参数为初始AMF和UE约定或协商的用于进行水平K_AMF推演的输入参数。这里的推演参数的具体示例与方法500的步骤506中的关于推演参数的具体示例类似，这里不再重复说明。

应理解，在空闲态移动场景下，对于初始AMF来说，利用该推演参数进行水平K_AMF推演的触发条件为：初始AMF接收到UE发送的携带GUTI的注册请求消息，并且初始AMF根据本地策略决定进行水平KAMF推演。

可选的，该触发条件还可以包括初始AMF和UE发生了NAS SMC。

可选地，初始AMF使用特定方向值(DIRECTION)和该特定NAS计数值作为输入参数进行水平K_AMF推演。该方向值为初始AMF和UE提前约定或者协商确定的用于进行水平K_AMF推演的输入参数。关于该方向值的具体示例与方法500中的步骤506中关于计数值的具体示例类似，这里不再重复说明。

步骤610至步骤612与方法300中的步骤310至步骤312类似，因此不再赘述。

613，UE使用特定NAS计数值作为输入参数进行水平K_AMF推演。

示例性地，如果UE接收到的NAS SMC消息中携带值为1的K_AMF_change_flag，则UE通过特定NAS计数值进行水平K_AMF推演。

应理解，UE在613进行水平K_AMF推演所使用的推演参数应当与609中初始AMF进行水平K_AMF推演所使用的推演参数一致。

该特定NAS count既可以是UE和初始AMF预先约定或预先配置的，也可以是初始AMF确定进行重定向之后，与UE协商确定的，本申请不做限定。这里的推演参数的具体示例与方法500的步骤509中的关于推演参数的具体示例类似，这里不再重复说明。

应理解，在空闲态移动场景下，对于UE来说，利用该特定NAS count值进行水平KAMF推演的触发条件为：UE向初始AMF发送携带GUTI的注册请求消息，且UE确定进行水平KAMF推演，例如UE接收到携带值为1的K_AMF_change_flag的NAS SMC消息。

可选的，该触发条件还可以包括UE在接收到携带值为1的K_AMF_change_flag的NAS SMC消息(记为第一NAS SMC)之前，接收到另一个NAS SMC消息(记为第二NAS SMC)。应理解，UE在接收到第二NAS SMC之后，会对该第二NAS SMC的完整性进行校验，如果校验成功，则UE会更新下行NAS count。

可选地，UE使用特定方向值(DIRECTION)和该特定NAS计数值作为输入参数进行水平K_AMF推演。该方向值为UE和初始AMF提前约定或者协商确定的用于进行水平K_AMF推演的输入参数。关于该方向值的具体示例与方法500中的步骤509中关于计数值的具体示例类似，这里不再重复说明。

基于上述方案，在空闲态终端设备移动的场景下，初始AMF在满足触发条件的情况下，可以利用预配置的推演参数和/或方向值进行水平密钥推演得到安全密钥。同时，UE可以采用相同的推演参数和/或方向值进行水平密钥，从而可以得到相同的安全密钥，以便UE和目标AMF之间进行安全通信。

图7示出了本申请实施例提供的注册方法700的示例性流程图。该方法700包括：

应理解。步骤701值步骤705与方法200的步骤201至步骤205类似，为了简洁，不再重复说明。

706，初始AMF通过推演参数进行水平K_AMF推演。

示例性地，如果在步骤705初始AMF确定进行重定向，并且根据本地策略确定需要推演新的UE安全上下文，则初始AMF确定推演参数然后初始AMF通过该推演采纳数进行水平K_AMF推演，得到K_AMF’，即初始AMF将推演参数作为输入参数进行水平K_AMF推演，得到K_AMF’。也就是说，在该实施例中，该推演参数是该初始AMF确定的。该推演参数既可以是初始AMF随机确定的一个数，也可以是初始AMF按照某种规律或者算法确定的一个数。

应理解，在初始注册场景下，对于初始AMF来说，确定推演参数，并利用该推演参数进行水平K_AMF推演的触发条件为：初始AMF接收到UE发送的携带SUCI的注册请求消息，并且初始AMF根据本地策略决定进行水平K_AMF推演。

可选地，在一种示例中，初始AMF确定方向值，并使用该特定方向值和该推导参数作为输入参数进行水平K_AMF推演。该方向值可以是初始AMF自行选择或者确定的。例如，初始AMF随机在0到2⁸-1之间选择任意整数作为该特定方向值。初始AMF可以在不同场景选择不同的特定方向值，以便不同场景下生成不同的K_AMF’。例如，在初始接入场景下，初始AMF确定的方向值为0x02；在空闲态移动场景下，初始AMF确定的方向值为0x00。

707，初始AMF向目标AMF发送信息通知服务。

示例性地，初始AMF调用目标AMF提供的信息通知(Namf_Communication_N1MessgeNotify)服务操作，并在该服务操作中携带完整的注册请求消息和UE移动管理上下文,UE安全上下文。消息中还包括水平推演指示(keyAmfHDerivationInd指示)，该keyAmfHDerivationInd指示用于指示消息中携带UE安全上下文是经过水平推演而生成的。该消息中还包括初始AMF在步骤706确定的推演参数。可选地，该消息中还可以包括初始AMF确定的方向值。

708，目标AMF向UE发送NAS SMC消息。

示例性地，目标AMF接收来自初始AMF的Namf_Communication_N1MessgeNotify消息，如果该消息中携带了keyAmfHDerivationInd指示，则目标AMF向UE发送NAS SMC消息。消息中携带值为1的K_AMF_change_flag，新的ngKSI，选择的NAS算法等。值为1的K_AMF_change_flag用来指示UE推演新的UE安全上下文，新的ngKSI用来标识新的安全上下文中的密钥。该NAS SMC消息中还包括目标AMF从初始AMF接收到的特定NAS计数值。

709，UE使用推演参数作为输入参数进行水平K_AMF推演。

示例性地，UE接收来自目标AMF的NAS SMC消息，如果该消息中携带了值为1的K_AMF_change_flag，则UE推演新的安全上下文，即将K_AMF推演为K_AMF’，并推演新的NAS层密钥，并对NAS SMC消息进行完整性校验。

具体地，UE从NAS SMC消息中获取推演参数，并根据该推演参数进行水平K_AMF推演。

应理解，在初始注册场景下，对于UE来说，利用该推演参数进行水平K_AMF推演的触发条件为：UE向初始AMF发送携带SUCI的注册请求消息，且UE确定进行水平KAMF推演，例如UE接收到携带值为1的K_AMF_change_flag的NAS SMC消息。

可选地，UE从NAS SMC消息中获取方向值，并使用该方向值和该推演参数进行水平推演。

710，UE向目标AMF发送NAS SMP。

基于上述方案，在终端设备初始接入的场景下，初始AMF在满足触发条件的情况下，可以确定推演参数和/或方向值，以用于水平密钥推演得到安全密钥。同时，初始AMF将确定的推演参数和/或方向值发送给UE，因此UE可以采用相同的推演参数和/或方向值进行水平密钥，从而可以得到相同的安全密钥，以便UE和目标AMF之间进行安全通信。

图8示出了本申请实施例提供的注册方法800的示例性流程图。该方法800包括：

应理解，步骤801至步骤808与方法300中的步骤301至步骤308类似，为了简洁，不再重复说明。

809，初始AMF使用推演参数作为输入参数进行水平K_AMF推演。

示例性地，如果在步骤808，初始AMF确定进行重定向，并且根据本地策略确定需要推演新的UE安全上下文，则初始AMF确定推演参数，然后初始AMF通过该推演参数进行水平K_AMF推演，得到K_AMF’，即初始AMF将推演参数作为输入参数进行水平K_AMF推演，得到K_AMF’。也就是说，在该实施例中，该推演参数是该初始AMF确定的。该推演参数既可以是初始AMF随机确定的一个数，也可以是初始AMF按照某种规律或者算法确定的一个数。

应理解，在空闲态移动场景下，对于初始AMF来说，确定推演参数并利用该推演参数进行水平K_AMF推演的触发条件为：初始AMF接收到UE发送的携带GUTI的注册请求消息，并且初始AMF根据本地策略决定进行水平K_AMF推演。

可选的，该触发条件还可以包括初始AMF和UE发生了NAS SMC。

可选地，初始AMF确定方向值，并使用该方向值和该推演参数作为输入参数进行水平K_AMF推演。该方向值可以是初始AMF自行选择或者确定的。例如，初始AMF随机在0到2⁸-1之间选择任意整数作为该特定方向值。初始AMF可以在不同场景选择不同的方向值，以便不同场景下生成不同的K_AMF’。例如，在初始接入场景下，初始AMF确定的方向值为0x02；在空闲态移动场景下，初始AMF确定的方向值为0x00。810，初始AMF向原AMF发送注册状态更新消息。

应理解，步骤810与方法300中的步骤310类似，因此不再赘述。

811，初始AMF向目标AMF发送信息通知服务。

示例性地，初始AMF调用目标AMF提供的信息通知(Namf_Communication_N1MessgeNotify)服务操作，并在该服务操作中携带完整的注册请求消息和UE移动管理上下文,UE安全上下文。消息中还包括水平推演指示(keyAmfHDerivationInd指示)，该keyAmfHDerivationInd指示用于指示消息中携带UE安全上下文是经过水平推演而生成的。该消息中还包括初始AMF在步骤706确定的特定NAS计数值。

812，目标AMF向UE发送NAS SMC消息。

示例性地，目标AMF接收来自初始AMF的Namf_Communication_N1MessgeNotify消息，如果该消息中携带了keyAmfHDerivationInd指示，则目标AMF向UE发送NAS SMC消息。消息中携带值为1的K_AMF_change_flag，新的ngKSI，选择的NAS算法等。值为1的K_AMF_change_flag用来指示UE推演新的UE安全上下文，新的ngKSI用来标识新的安全上下文中的密钥。该NAS SMC消息中还包括目标AMF从初始AMF接收到的特定NAS计数值。可选地，该消息中还可以包括初始AMF确定的方向值。

813，UE使用特定NAS计数值作为输入参数进行水平K_AMF推演。

UE从NAS SMC消息中获取推演参数，并根据该推演采纳数进行水平K_AMF推演。

应理解，在空闲态移动场景下，对于UE来说，利用该推演参数进行水平KAMF推演的触发条件为：UE向初始AMF发送携带GUTI的注册请求消息，且UE确定进行水平KAMF推演，例如UE接收到携带值为1的K_AMF_change_flag的NAS SMC消息。

814，UE向目标AMF发送NAS SMP。

基于上述方案，在空闲态的终端设备进行移动的场景下，初始AMF在满足触发条件的情况下，可以确定推演参数和/或方向值，以用于水平密钥推演得到安全密钥。同时，初始AMF将确定的推演参数和/或方向值发送给UE，因此UE可以采用相同的推演参数和/或方向值进行水平密钥，从而可以得到相同的安全密钥，以便UE和目标AMF之间进行安全通信。以上，结合图4至图8详细说明了本申请实施例提供的方法。以下，结合图9至图12详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

图11是本申请实施例提供的用于注册的装置10的示意性框图。该装置10包括收发模块11和处理模块12。收发模块11可以实现相应的通信功能，处理模块12用于进行数据处理，或者说该收发模块11用于执行接收和发送相关的操作，该处理模块12用于执行除了接收和发送以外的其他操作。收发模块11还可以称为通信接口或通信单元。

在一种可能的设计中，该装置10可对应于上文方法实施例中的移动管理网元，例如初始移动管理网元，或者目标移动管理网元，或者初始AMF，或者目标AMF。

示例性地，该装置10可对应于本申请实施例的方法400中的初始移动管理网元20或目标移动管理网元30，或者方法500至方法800中的初始AMF或目标AMF。该装置10可以包括用于执行图4至图8中的初始移动管理网元20或目标移动管理网元30(初始AMF或目标AMF)所执行的方法的模块。并且，该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图8所示方法的相应流程。

该装置10中的该收发模块11执行上述各方法实施例中的初始移动管理网元20或目标移动管理网元30(初始AMF或目标AMF)所执行的接收和发送操作，该处理模块12则执行除了该接收和发送操作之外的操作。

在另一种可能的设计中，该装置10可对应于上文方法实施例中的终端设备(10)(或者UE)。

示例性地，该装置10可对应于本申请实施例的方法400中的终端设备(10)，或者方法500至方法800中的UE。该装置10可以包括用于执行图4至图8中的终端设备(10)(或者UE)所执行的方法的模块。并且，该装置10中的各单元和上述其他操作和/或功能分别为了实现图4至图6所示方法的相应流程。

该装置10中的该收发模块11执行上述各方法实施例中的终端设备(10)(或者UE)所执行的接收和发送操作，该处理模块12则执行除了该接收和发送操作之外的操作。

根据前述方法，图10为本申请实施例提供的用于注册的装置20的示意图。在一种可能的设计中，该装置20可对应于上文方法实施例中的初始移动管理网元20或目标移动管理网元30(初始AMF或目标AMF)；在另一种可能的设计中，该装置10可对应于上文方法实施例中的终端设备(10)(或者UE)。

该装置20可以包括处理器21(即，处理模块的一例)和存储器22。该存储器22用于存储指令，该处理器21用于执行该存储器22存储的指令，以使该装置20实现如图4至图8对应的方法中终端设备或网络设备执行的步骤，该网络设备可以是方法400至方法800中的初始移动管理网元，或者目标移动管理网元，或者初始AMF，或者目标AMF。

进一步地，该装置20还可以包括输入口23(即，收发模块的一例)和输出口24(即，收发模块的另一例)。进一步地，该处理器21、存储器22、输入口23和输出口24可以通过内部连接通路互相通信，传递控制和/或数据信号。该存储器22用于存储计算机程序，该处理器21可以用于从该存储器22中调用并运行该计算机程序，以控制输入口23接收信号，控制输出口24发送信号，完成上述方法中终端设备或网络设备的步骤。该存储器22可以集成在处理器21中，也可以与处理器21分开设置。

可选地，若该通信装置20为通信设备，该输入口23为接收器，该输出口24为发送器。其中，接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时，可以统称为收发器。

可选地，若该通信装置20为芯片或电路，该输入口23为输入接口，该输出口24为输出接口。

作为一种实现方式，输入口23和输出口24的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器21可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。

作为另一种实现方式，可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备。即将实现处理器21、输入口23和输出口24功能的程序代码存储在存储器22中，通用处理器通过执行存储器22中的代码来实现处理器21、输入口23和输出口24的功能。

该装置20所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

图11示出了一种简化的网络设备30的结构示意图。网络设备包括31部分以及32部分。31部分主要用于射频信号的收发以及射频信号与基带信号的转换；32部分主要用于基带处理，对网络设备进行控制等。31部分通常可以称为收发模块、收发机、收发电路、或者收发器等。32部分通常是网络设备的控制中心，通常可以称为处理模块，用于控制网络设备执行上述方法实施例中网络设备侧的处理操作。

31部分的收发模块，也可以称为收发机或收发器等，其包括天线和射频电路，其中射频电路主要用于进行射频处理。例如，可以将31部分中用于实现接收功能的器件视为接收模块，将用于实现发送功能的器件视为发送模块，即31部分包括接收模块和发送模块。接收模块也可以称为接收机、接收器、或接收电路等，发送模块可以称为发射机、发射器或者发射电路等。

32部分可以包括一个或多个单板，每个单板可以包括一个或多个处理器和一个或多个存储器。处理器用于读取和执行存储器中的程序以实现基带处理功能以及对网络设备的控制。若存在多个单板，各个单板之间可以互联以增强处理能力。作为一种可选的实施方式，也可以是多个单板共用一个或多个处理器，或者是多个单板共用一个或多个存储器，或者是多个单板同时共用一个或多个处理器。

例如，在一种实现方式中，图11所示的网络设备可以是图4至图8所示的方法中所示的任意网络设备，例如初始移动管理网元(20)、目标移动管理网元(30)等。

31部分的收发模块用于执行图4至图8所示的方法中任意网络设备的收发相关的步骤；32部分用于执行图4至图8所示的方法中的任意网络设备的处理相关的步骤。

应理解，图11仅为示例而非限定，上述包括收发模块和处理模块的网络设备可以不依赖于图11所示的结构。

当该装置40为芯片时，该芯片包括收发模块和处理模块。其中，收发模块可以是输入输出电路、通信接口；处理模块为该芯片上集成的处理器或者微处理器或者集成电路。

图12为本申请提供的一种终端设备40的结构示意图。为了便于说明，图12仅示出了通信装置的主要部件。如图12所示，终端设备40包括处理器、存储器、控制电路、天线以及输入输出装置。

处理器主要用于对通信协议以及通信数据进行处理，以及对整个终端设备进行控制，执行软件程序，处理软件程序的数据，例如用于支持终端设备执行上述传输预编码矩阵的指示方法实施例中所描述的动作。存储器主要用于存储软件程序和数据，例如存储上述实施例中所描述的码本。控制电路主要用于基带信号与射频信号的转换以及对射频信号的处理。控制电路和天线一起也可以叫做收发器，主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。

当通信装置开机后，处理器可以读取存储单元中的软件程序，解释并执行软件程序的指令，处理软件程序的数据。当需要通过无线发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。

本领域技术人员可以理解，为了便于说明，图12仅示出了一个存储器和处理器。在实际的终端设备中，可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等，本申请实施例对此不做限制。

作为一种可选的实现方式，处理器可以包括基带处理器和中央处理器，基带处理器主要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个终端设备进行控制，执行软件程序，处理软件程序的数据。图12中的处理器集成了基带处理器和中央处理器的功能，本领域技术人员可以理解，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。本领域技术人员可以理解，终端设备可以包括多个基带处理器以适应不同的网络制式，终端设备可以包括多个中央处理器以增强其处理能力，终端设备的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储单元中，由处理器执行软件程序以实现基带处理功能。

如图12所示，终端设备40包括收发单元41和处理单元42。收发单元也可以称为收发器、收发机、收发装置等。可选的，可以将收发单元41中用于实现接收功能的器件视为接收单元，将收发单元41中用于实现发送功能的器件视为发送单元，即收发单元41包括接收单元和发送单元。示例性的，接收单元也可以称为接收机、接收器、接收电路等，发送单元可以称为发射机、发射器或者发射电路等。

图12所示的终端设备可以执行图4至图8所示的方法中终端设所执行的各动作，这里，为了避免赘述，省略其详细说明。

本申请实施例还提供一种计算机可读存储介质，其上存储有用于实现上述方法实施例中由第网络设备执行的方法的计算机指令。

例如，该计算机程序被计算机执行时，使得该计算机可以实现上述方法实施例中由网络设备执行的方法。

本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得该计算机实现上述方法实施例中由第一设备执行的方法，或由第二设备执行的方法。

本申请实施例还提供一种通信系统，该通信系统包括上文实施例中的网络设备。

上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

在本申请实施例中，网络设备可以包括硬件层、运行在硬件层之上的操作系统层，以及运行在操作系统层上的应用层。其中，硬件层可以包括中央处理器(centralprocessing unit，CPU)、内存管理单元(memory management unit，MMU)和内存(也称为主存)等硬件。操作系统层的操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统，例如，Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。应用层可以包含浏览器、通讯录、文字处理软件、即时通信软件等应用。

本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定，只要能够通过运行记录有本申请实施例提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可。例如，本申请实施例提供的方法的执行主体可以是网络设备，或者，是网络设备中能够调用程序并执行程序的功能模块。

本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括但不限于：磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compact disc，CD)、数字通用盘(digital versatile disc，DVD)等)，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammableread-only memory，EPROM)、卡、棒或钥匙驱动器等)。

本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于：无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

应理解，本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)。例如，RAM可以用作外部高速缓存。作为示例而非限定，RAM可以包括如下多种形式：静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(doubledata rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

还需要说明的是，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的保护范围。

所属领域的技术人员可以清楚地了解到，为描述方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。此外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。

另外，在本申请各个实施例中的各功能单元可以集成在一个单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如，所述计算机可以是个人计算机，服务器，或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，(SSD))等。例如，前述的可用介质可以包括但不限于：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求和说明书的保护范围为准。

Claims

1.一种注册方法，其特征在于，包括：

初始移动管理网元接收来自终端设备的注册请求消息，所述注册请求消息包括所述终端设备的标识；

所述初始移动管理网元根据所述注册请求消息，确定需要进行水平密钥推演；

所述初始移动管理网元利用推演参数进行水平密钥推演得到安全密钥；

所述初始移动管理网元向目标移动管理网元发送所述注册请求消息和所述安全密钥，所述安全密钥用于保护所述目标移动管理网元和所述终端设备之间的通信。

2.根据权利要求1所述的方法，其特征在于，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

3.根据权利要求1所述的方法，其特征在于，所述推演参数为所述初始移动管理网元生成的。

4.根据权利要求3中所述的方法，其特征在于，所述方法还包括：

所述初始移动管理网元通过所述目标移动管理网元或直接向所述终端设备发送所述非接入层计数值。

5.根据权利要求1所述的方法，其特征在于，所述推演参数为预配置的特定值，所述特定值预配置在所述初始移动管理网元以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

6.根据权利要求1所述的方法，其特征在于，在所述初始移动管理网元根据所述注册请求消息，确定进行水平密钥推演之前，所述方法还包括：

所述初始移动管理网元向所述终端设备发送安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；

所述初始移动管理网元接收来自所述终端设备的安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，

所述推演参数与所述下行非接入层顺序值关联，或所述推演参数与所述上行非接入层顺序值关联。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述初始移动管理网元利用所述非接入层计数值进行水平推演得到安全密钥，包括：

所述初始移动管理网元利用所述非接入层计数值和方向值进行水平推演得到所述安全密钥。

8.根据权利要求7所述的方法，其特征在于，所述方向值为所述初始移动管理网元生成的。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

所述初始移动管理网元通过所述目标移动管理网元或者直接向所述终端设备发送所述方向值。

10.根据权利要求7所述的方法，其特征在于，所述方向值为预配置的特定值，所述特定值预配置在所述初始移动管理网元以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

11.根据权利要求1至10中任一项所述的方法，其特征在于，所述终端设备的标识为所述终端设备的用户隐藏标识或所述终端设备的全球唯一临时标识。

12.根据权利要求11所述的方法，其特征在于，在所述终端设备的标识为所述终端设备的用户隐藏标识的情况下，所述初始移动管理网元根据所述注册请求消息，确定需要进行水平密钥推演，包括：

所述初始移动管理网元向所述终端设备发送安全模式命令消息；所述初始移动管理网元接收来自所述终端设备的安全模式完成消息，所述安全模式完成消息包括所述终端设备的网络切片选择辅助信息；

所述初始移动管理网元根据所述网络切片选择辅助信息和本地策略确定需要进行水平密钥推演。

13.根据权利要求11所述的方法，其特征在于，所述注册请求消息包括所述终端设备的网络切片选择辅助信息；

在所述终端设备的标识为所述终端设备的全球唯一临时标识的情况下，所述初始移动管理网元根据所述注册请求消息，确定需要进行水平密钥推演，包括：

所述初始移动管理网元根据所述终端设备的标识获取所述终端设备的上下文；

所述初始移动管理网元根据所述终端设备的上下文校验所述网络切片选择辅助信息是否被篡改；

在所述网络切片选择辅助信息没有被篡改的情况下，所述初始移动管理网元根据所述网络切片选择辅助信息和本地策略确定需要进行水平密钥推演。

14.一种注册方法，其特征在于，包括：

终端设备向初始移动管理网元发送注册请求消息，所述注册请求消息包括所述终端设备的标识；

所述终端设备接收来自目标移动管理网元的安全模式命令消息，所述安全模式命令消息包括水平推演指示信息；

根据所述水平推演指示信息，所述终端设备利用推演参数进行水平密钥推演得到安全密钥，所述安全密钥用于保护所述终端设备和所述目标移动管理网元之间的通信。

15.根据权利要求14所述的方法，其特征在于，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

16.根据权利要求14所述的方法，其特征在于，所述推演参数为预配置的特定值，所述特定值预配置在所述终端设备以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

17.根据权利要求14所述的方法，其特征在于，所述方法还包括：

所述终端设备接收来自初始移动管理网元的安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；

所述终端设备向所述初始移动管理网元发送安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，

所述推演参数与所述下行非接入层顺序值关联，或者与所述上行非接入层顺序值关联。

18.根据权利要求14所述的方法，其特征在于，所述方法还包括：

所述终端设备通过所述目标移动管理网元或者直接从所述初始移动管理网元接收来自所述初始移动管理网元的所述推演参数。

19.根据权利要求14至18中任一项所述的方法，其特征在于，所述终端设备利用推演参数进行水平密钥推演得到安全密钥，包括：

所述终端设备利用所述推演参数和方向值进行水平密钥推演得到所述安全密钥。

20.根据权利要求19所述的方法，其特征在于，所述方向值为预配置的特定值，所述特定值预配置在所述终端设备以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

21.根据权利要求19所述的方法，其特征在于，所述方法还包括：

所述终端设备通过所述目标移动管理网元或者直接从所述初始移动管理网元接收来自所述初始移动管理网元的所述方向值。

22.根据权利要求14至21中任一项所述的方法，其特征在于，所述终端设备的标识为所述终端设备的用户隐藏标识或所述终端设备的全球唯一临时标识。

23.一种注册装置，其特征在于，包括：

收发模块，用于接收来自终端设备的注册请求消息，所述注册请求消息包括所述终端设备的标识；

处理模块，用于根据所述注册请求消息，确定需要进行水平密钥推演；

所述处理模块，还用于利用推演参数进行水平密钥推演得到安全密钥；

所述收发模块还用于向目标移动管理网元发送所述注册请求消息和所述安全密钥，所述安全密钥用于保护所述目标移动管理网元和所述终端设备之间的通信。

24.根据权利要求23所述的装置，其特征在于，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

25.根据权利要求23所述的装置，其特征在于，所述推演参数为所述处理模块生成的。

26.根据权利要求25中所述的装置，其特征在于，

所述收发模块还用于通过所述目标移动管理网元或直接向所述终端设备发送所述非接入层计数值。

27.根据权利要求23所述的装置，其特征在于，所述推演参数为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

28.根据权利要求23所述的装置，其特征在于，所述收发模块还用于：

向所述终端设备发送安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；

接收来自所述终端设备的安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，

29.根据权利要求23至28中任一项所述的装置，其特征在于，

所述处理模块具体用于利用所述非接入层计数值和方向值进行水平推演得到所述安全密钥。

30.根据权利要求29所述的装置，其特征在于，所述方向值为所述处理模块生成的。

31.根据权利要求30所述的装置，其特征在于，

所述收发模块还用于通过所述目标移动管理网元或者直接向所述终端设备发送所述方向值。

32.根据权利要求29所述的装置，其特征在于，所述方向值为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个终端设备，且适用于针对所述一个或多个终端设备进行水平密钥推演。

33.根据权利要求23至32中任一项所述的装置，其特征在于，所述终端设备的标识为所述终端设备的用户隐藏标识或所述终端设备的全球唯一临时标识。

34.根据权利要求33所述的装置，其特征在于，在所述终端设备的标识为所述终端设备的用户隐藏标识的情况下，所述初始移动管理网元根据所述注册请求消息，确定需要进行水平密钥推演，包括：

35.根据权利要求33所述的装置，其特征在于，所述注册请求消息包括所述终端设备的网络切片选择辅助信息；

36.一种注册装置，其特征在于，包括：

收发模块，用于向初始移动管理网元发送注册请求消息，所述注册请求消息包括所述注册装置的标识；

所述收发模块还用于接收来自目标移动管理网元的安全模式命令消息，所述安全模式命令消息包括水平推演指示信息；

处理模块，用于根据所述水平推演指示信息，利用推演参数进行水平密钥推演得到安全密钥，所述安全密钥用于保护所述注册装置和所述目标移动管理网元之间的通信。

37.根据权利要求36所述的装置，其特征在于，所述推演参数为当前上行非接入层计数值或当前下行非接入层计数值。

38.根据权利要求36所述的装置，其特征在于，所述推演参数为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

39.根据权利要求36所述的装置，其特征在于，所述收发模块还用于：

接收来自初始移动管理网元的安全模式命令消息，所述安全模式命令消息包括下行非接入层顺序值；

向所述初始移动管理网元发送安全模式完成消息，所述安全模式完成消息包括上行非接入层顺序值，

40.根据权利要求36所述的装置，其特征在于，所述收发模块还用于：

41.根据权利要求36至40中任一项所述的装置，其特征在于，所述处理模块具体用于：

利用所述推演参数和方向值进行水平密钥推演得到所述安全密钥。

42.根据权利要求41所述的装置，其特征在于，所述方向值为预配置的特定值，所述特定值预配置在所述注册装置以及一个或多个移动管理网元，且适用于针对所述一个或多个移动管理网元进行水平密钥推演。

43.根据权利要求41所述的装置，其特征在于，所述收发模块还用于：

通过所述目标移动管理网元或者直接从所述初始移动管理网元接收来自所述初始移动管理网元的所述方向值。

44.根据权利要求36至43中任一项所述的装置，其特征在于，所述注册装置的标识为所述注册装置的用户隐藏标识或所述注册装置的全球唯一临时标识。

45.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在计算机上运行时，使得计算机执行如权利要求1至22中任一项所述的方法。

46.一种计算机程序产品，其特征在于，包括计算机程序指令，所述计算机程序指令在计算机上运行时，使得计算机执行如权利要求1至22中任一项所述的方法。

47.一种通信装置，其特征在于，包括至少一个处理器，所述至少一个处理器用于执行存储在存储器中的计算机程序或指令，以执行如权利要求1至22中任一项所述的方法。