WO2018019046A1

WO2018019046A1 - 密钥的衍生方法及装置

Info

Publication number: WO2018019046A1
Application number: PCT/CN2017/088111
Authority: WO
Inventors: 游世林; 林兆骥; 彭锦; 刘红军; 赵孝武
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-07-27
Filing date: 2017-06-13
Publication date: 2018-02-01
Also published as: US11290876B2; CN107666666A; CN107666666B; US20190166493A1

Abstract

本发明提供了一种密钥的衍生方法及装置，其中，所述方法包括：获取用户终端当前附着的网络切片所对应的切片标识，其中，所述切片标识用于唯一标识所述网络切片；向指定通信设备发送所述切片标识，其中，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。采用上述技术方案，解决了相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，进而使得不同的网络切片对应不同的中间密钥，避免了相同的中间密钥分配给不同的网络切片进而导致切片功能无法正常使用的情况。

Description

密钥的衍生方法及装置

技术领域

本发明涉及通信领域，具体而言，涉及一种密钥的衍生方法及装置。

背景技术

移动通信在二十多年时间里得到了飞速发展，给人们的生活方式、工作方式以及社会政治、经济等各方面都带来了巨大的影响。人类社会进入高效的信息化时代，各个方面业务应用需求呈现爆发式增长，给未来无线移动带宽系统在频率、技术以及运营等各方面都带来了巨大的挑战。

未来的移动网络除了为人人通信提供服务外，还将为越来越多的物联网终端提供接入服务。物联网接入给移动网络带来了新的挑战和机遇。不同类型的物联网对网络的需求千差万别，有的要求网络提供高实时高可靠服务，如远程医疗，有的则要求提供有规律的小数据量传输服务，如远程抄表系统。针对不同的业务需求，移动网络可能需要适当优化才能满足业务需求。越来越多的物联网对移动网络提出了越来越多不同的优化需求，其中，有些优化需求还可能相互矛盾，因此，一张融合的核心网越来越无法满足各种不同的物联网需求。

随着网络功能虚拟化(NFV，Network Function Virtualization)的出现，核心网功能可以基于通用硬件构建，而毋须基于专用硬件平台。NFV的出现使得运营商为不同的网络业务需求构建不同的虚拟核心网络成为可能。为不同网络业务需求构建的虚拟核心网称为一个网络切片。虚拟核心网中的各网络功能可根据网络业务需求进行优化、定制。基于NFV技术的网络切片可根据需求快速部署，以快速满足不同场景的需求。

图1为相关技术中网络切片的示意图。在图1中，示例了三个网络切片(网络切片1、2、3)。一个网络切片构成一个虚拟核心网，为一组特定的用户终端(UE)提供移动网络接入服务。一个典型的网络切片包括一组虚拟化的核心网功能，如切片控制面单元，主要负责切片的移动性、会话管理以及鉴权认证相关的功能，切片用户面单元主要为用户提供切片的用户资源，切片策略控制单元负责用户策略的功能，切片计费单元负责为用户的计费功能，网络切片由运营商根据需求和运营商策略进行构建，一个网络切片包括的功能也由运营商根据需求和运营商策略决定，比如，某些网络切片除了包括控制面功能外还可以包括专用的转发面；而某些网络切片可能只包括一些基本的控制面功能，其他的核心网相关功能与其他网络切片共享。网络还包含用户数据中心/认证中心，保存用户的签约数据和认证材料。

现有移动通讯系统密钥分层衍生系统中，终端的智能认证卡和认证中心分别保存着用户的根密钥(K)，然后使用密钥产生算法衍生出加密密钥(CK)和完整性保护密钥(IK)，然后终端和用户数据中心使用密钥产生算法衍生出中间密钥(Kasme)，然后终端和移动管理实体分别使用密钥产生算法衍生出非接入层密钥：加密密钥(KNASenc)和完整性保护密钥(KNASint)，以及接入网络密钥(KAN)。最后终端和接入网络使用密钥衍生算法衍生出接入层密钥：无线资源控制的加密密钥(KRRCenc)和完整性保护密钥(KRRCint)，以及衍生出用户面加密密钥(KUPenc)和完整性保护密钥(KUPint)。

在现有技术中同一个网络产生的中间密钥是可以在不同的移动管理实体相互使用的，即在用户发生移动的时候，移动管理实体会向前一个移动管理实体请求安全上下文的，其中包含中间密钥。然而在使用虚拟化技术中不同切片可能实现的是不同的而且是独立的业务，相互之间的数据也需要隔离，因此中间密钥对于不同的切片是敏感的，是不能相互使用的。

针对相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种密钥的衍生方法及装置，以至少解决相关技术不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题。

根据本发明的一个实施例，提供了一种密钥的衍生方法，包括：

获取用户终端当前附着的网络切片所对应的切片标识，其中，所述切片标识用于唯一标识所述网络切片；向指定通信设备发送所述切片标识，其中，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。

可选地，向指定通信设备发送所述切片标识，包括：

向所述指定通信设备发送第一认证请求，其中，所述第一认证请求中携带有所述切片标识，所述指定通信设备包括以下至少之一：用户数据中心、用户认证中心。

可选地，向指定通信设备发送所述切片标识，包括：

接收所述第一认证请求的响应信息，其中，所述响应信息中携带有安全认证向量；

根据所述安全认证向量向所述指定通信设备发送第二认证请求，其中，所述第二认证请求中携带有所述切片标识，所述指定通信设备包括：用户终端。

可选地，所述方法还包括：当所述用户终端需要从当前附着的网络切片切换至第二网络切片时，接收接入网络AN转发的附着请求消息，其中，所述附着请求信息中携带有业务标识；判断所述第二网络切片的业务范围是否包括所述业务标识对应的业务；如果是，则向指定通信设备发送所述切片标识。

可选地，所述切片标识包括以下至少之一：所述网络切片的标识信息、所述网络切片为所述用户终端分配的临时标识信息。

根据本发明的一个实施例，还提供了一种密钥的衍生方法，包括：

接收网络切片发送的切片标识，其中，所述切片标识用于唯一标识所述网络切片；根据所述切片标识衍生出所述网络切片所需的中间密钥。

可选地，接收网络切片发送的切片标识，包括：接收所述网络切片发送的认证请求，其中，所述认证请求中携带有所述切片标识。

可选地，所述切片标识包括以下至少之一：所述网络切片的标识信息、所述网络切片为用户终端分配的临时标识信息。

根据本发明的另一个实施例，还提供了一种密钥的衍生装置，包括：

获取模块，设置为获取用户终端当前附着的网络切片所对应的切片标识，其中，所述切片标识用于唯一标识所述网络切片；发送模块，设置为向指定通信设备发送所述切片标识，其中，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。

可选地，所述发送模块，还设置为向所述指定通信设备发送第一认证请求，其中，所述第一认证请求中携带有所述切片标识，所述指定通信设备包括以下至少之一：用户数据中心、用户认证中心。

可选地，所述指定设备包括用户终端时，所述发送模块，包括：

接收单元，设置为接收所述第一认证请求的响应信息，其中，所述响应信息中携带有安全认证向量；

发送单元，设置为根据所述安全认证向量向所述指定通信设备发送第二认证请求，其中，所述第二认证请求中携带有所述切片标识。

可选地，所述装置还包括：第一接收模块，设置为当所述用户终端需要从当前附着的网络切片切换至第二网络切片时，接收接入网络AN转发的附着请求消息，其中，所述附着请求信息中携带有业务标识；判断模块，设置为判断所述第二网络切片的业务范围是否包括所述业务标识对应的业务；所述发送模块，在所述业务范围包括所述业务标识对应的业务时，向指定通信设备发送所述切片标识。

第二接收模块，设置为接收网络切片发送的切片标识，其中，所述切片标识用于唯一标识所述网络切片；衍生模块，设置为根据所述切片标识衍生出所述网络切片所需的中间密钥。

可选地，所述第二接收模块，还设置为接收所述网络切片发送的认证请求，其中，所述认证请求中携带有所述切片标识。

处理器；设置为存储所述处理器可执行指令的存储器；其中，所述处理器，设置为获取用户终端当前附着的网络切片所对应的切片标识，向指定通信设备发送所述切片标识，其中，所述切片标识用于唯一标识所述网络切片，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。

在本发明实施例中，还提供了一种存储介质，该计算机存储介质可以存储有执行指令，该执行指令用于执行上述实施例中的密钥的衍生方法的实现。

通过本发明实施例，能够向指定通信设备发送切片标识，进而指定通信设备能够根据接收到的切片标识衍生出网络切片对应的中间密钥的技术方案，解决了相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，进而使得不同的网络切片对应不同的中间密钥，避免了相同的中间密钥分配给不同的网络切片进而导致切片功能无法正常使用的情况。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为相关技术中网络切片的示意图；

图2是本发明实施例的一种页面内容的处理方法的计算机终端的硬件结构框图；

图3是根据本发明实施例1的密钥的衍生方法的流程图；

图4是根据本发明实施例2的密钥的衍生装置的结构框图(一)；

图5是根据本发明实施例2的密钥的衍生装置的结构框图(二)；

图6是根据本发明实施例2的密钥的衍生装置的结构框图(三)；

图7是根据本发明实施例1的密钥的衍生方法的另一流程图；

图8是根据本发明实施例3的密钥的衍生装置的结构框图(四)；

图9为根据本发明优选实施例1的密钥分层示意图；

图10为根据本发明优选实施例2的中间密钥衍生算法示意图；

图11为根据本发明优选实施例3的中间密钥产生的流程示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

根据本发明实施例，还提供了一种密钥的衍生方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例1所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图2是本发明实施例的一种密钥的衍生方法的计算机终端的硬件结构框图。如图2所示，计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解，图2所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的页面内容的处理方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

在上述运行环境下，本发明提供了如图3所示的密钥的衍生方法。图3是根据本发明实施例1的密钥的衍生方法的流程图，如图3所示，包括以下步骤：

步骤S302，获取用户终端当前附着的网络切片所对应的切片标识，其中，上述切片标识用于唯一标识所述网络切片；

步骤S304，向指定通信设备发送上述切片标识，其中，上述切片标识用于指示所述指定通信设备根据上述切片标识衍生出网络切片所需的中间密钥。

通过上述各个步骤，能够向指定通信设备发送切片标识，进而指定通信设备能够根据接收到的切片标识衍生出网络切片对应的中间密钥的技术方案，解决了相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，进而使得不同的网络切片对应不同的中间密钥，避免了相同的中间密钥分配给不同的网络切片进而导致切片功能无法正常使用的情况。

上述步骤S302至步骤S304的执行主体可以是网络切片，也可以是网络侧的其他网络设备，本发明对此不作限定。

需要说明的是，上述提到的指定通信设备包括：用户数据中心、用户认证中心、用户终端，也可以使其他能够完成步骤S304的通信设备。

在所述指定通信设备包括以下至少之一时：用户数据中心、用户认证中心，步骤S304可以通过以下方式实现：

向所述指定通信设备发送第一认证请求，其中，所述第一认证请求中携带有所述切片标识。

在所述指定通信设备包括：用户终端时，步骤S304可以通过以下方式实现：

根据所述安全认证向量向所述指定通信设备发送第二认证请求，其中，所述第二认证请求中携带有所述切片标识。

可选地，上述方法还包括：当所述用户终端需要从当前附着的网络切片切换至第二网络切片时，接收接入网络AN转发的附着请求消息，其中，所述附着请求信息中携带有业务标识；判断所述第二网络切片的业务范围是否包括所述业务标识对应的业务；如果是，则向指定通信设备发送所述切片标识。

在本发明实施例中，所述切片标识包括以下至少之一：所述网络切片的标识信息、所述网络切片为所述用户终端分配的临时标识信息。

上述中间密钥的衍生过程，可以大致概括如下：切片向用户数据中心或认证中心发送认证请求，用户数据中心或认证中心使用服务网络标识以及切片标识等参数衍生出中间密钥；切片从用户数据中心或认证中心获得安全向量后，向用户终端发起用户认证请求，用户终端认证切片成功后，使用服务网络标识以及切片标识等参数衍生出中间密钥，同时使用中间密钥衍生出接入层密钥和非接入层密钥；切片收到用户终端认证请求响应后，认证用户终端成功后，使用中间密钥衍生出接入层密钥和接入网络密钥。

本发明实施例还提供了一种切片密钥衍生终端，其中，用户终端，用于在收到切换发送的用户认证请求，用户终端认证切片成功后，使用服务网络标识以及切片标识等参数衍生出中间密钥，同时使用中间密钥衍生出接入层密钥和非接入层密钥。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例的方法。

实施例2

在本实施例中还提供了一种密钥的衍生装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图4是根据本发明实施例2的密钥的衍生装置的结构框图(一)，如图4所示，包括：

获取模块40，设置为获取用户终端当前附着的网络切片所对应的切片标识，其中，所述切片标识用于唯一标识所述网络切片；

发送模块42，设置为向指定通信设备发送所述切片标识，其中，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。

通过上述模块的综合作用，能够向指定通信设备发送切片标识，进而指定通信设备能够根据接收到的切片标识衍生出网络切片对应的中间密钥的技术方案，解决了相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，进而使得不同的网络切片对应不同的中间密钥，避免了相同的中间密钥分配给不同的网络切片进而导致切片功能无法正常使用的情况。

可选地，发送模块42，还设置为在所述指定通信设备包括以下至少之一时：用户数据中心、用户认证中心，向所述指定通信设备发送第一认证请求，其中，所述第一认证请求中携带有所述切片标识。

图5是根据本发明实施例2的密钥的衍生装置的结构框图(二)，上述发送模块42，还设置为在所述指定设备包括：用户终端时，包括：

接收单元420，设置为接收所述第一认证请求的响应信息，其中，所述响应信息中携带有安全认证向量；

发送单元422，设置为根据所述安全认证向量向所述指定通信设备发送第二认证请求，其中，所述第二认证请求中携带有所述切片标识。

在本发明实施例中，上述装置还包括：

第一接收模块44，设置为当所述用户终端需要从当前附着的网络切片切换至第二网络切片时，接收接入网络AN转发的附着请求消息，其中，所述附着请求信息中携带有业务标识；

判断模块46，设置为判断所述第二网络切片的业务范围是否包括所述业务标识对应的业务；

上述发送模块42，在所述业务范围包括所述业务标识对应的业务时，向指定通信设备发送所述切片标识。

图6是根据本发明实施例2的密钥的衍生装置的结构框图(三)，在本发明实施例中，还提供了一种密钥的衍生装置，如图6所示，包括：

处理器60；设置为存储所述处理器可执行指令的存储器62；其中，处理器60，设置为获取用户终端当前附着的网络切片所对应的切片标识，向指定通信设备发送所述切片标识，其中，所述切片标识用于唯一标识所述网络切片，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。

实施例3

在本发明实施例中，还提供了一种密钥的衍生方法。图7是根据本发明实施例1的密钥的衍生方法的另一流程图，如图7所示，包括以下步骤：

步骤S702,接收网络切片发送的切片标识，其中，上述切片标识用于唯一标识上述网络切片；

步骤S704,根据上述切片标识衍生出所述网络切片所需的中间密钥.

步骤S702可以有多种实现方式，在本发明实施例中，可以通过以下方式实现：接收所述网络切片发送的认证请求，其中，所述认证请求中携带有所述切片标识，即网络切片在认证请求中携带有切片标识发送给指定设备，具体可以使用户终端。

在本发明实施例中，切片标识包括以下至少之一：所述网络切片的标识信息、所述网络切片为用户终端分配的临时标识信息。

实施例4

图8是根据本发明实施例3的密钥的衍生装置的结构框图(四)，如图8所示，包括：

第二接收模块80，设置为接收网络切片发送的切片标识，其中，所述切片标识用于唯一标识所述网络切片；

衍生模块82，设置为根据所述切片标识衍生出所述网络切片所需的中间密钥。

通过上述各个模块的综合作用，能够向指定通信设备发送切片标识，进而指定通信设备能够根据接收到的切片标识衍生出网络切片对应的中间密钥的技术方案，解决了相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，进而使得不同的网络切片对应不同的中间密钥，避免了相同的中间密钥分配给不同的网络切片进而导致切片功能无法正常使用的情况。

可选地，第二接收模块80，还设置为接收所述网络切片发送的认证请求，其中，所述认证请求中携带有所述切片标识。

为了更好的理解上述密钥的衍生过程，以下结合优选实施例进行说明，以下优选实施例不用于限定本发明实施例的技术方案。

优选实施例1

图9为根据本发明优选实施例1的密钥分层示意图，如图9所示，如图9所示密钥分层的示意图，在切片密钥分层衍生系统中，终端的智能认证卡和认证中心分别保存着用户的根密钥(K)，然后使用密钥产生算法衍生出加密密钥(CK)和完整性保护密钥(IK)，然后终端和各切片使用密钥产生算法衍生出中间密钥(Ks1和Ks2)。

优选实施例2

图10为根据本发明优选实施例2的中间密钥衍生算法示意图，如图10所示，中间密钥衍生算法示意图：

Ks1或者Ks2＝密钥产生函数KDF(切片标识，网络服务标识，密钥序列号SQN⊕匿名密钥AK，加密密钥CK，完整性保护密钥IK)，其中匿名密钥AK是根密钥K和随机数根据密钥衍生算法f5衍生所得，用于隐藏密钥序列号SQN，⊕是异或算法，如果SQN不需要隐藏，则AK设置为全0，加密密钥CK和完整性保护密钥IK有根密钥衍生得到。

需要说明的是，切片标识中可以仅仅包括切片的标识信息，也可以包括用户临时标识信息，即切片标识也可以是切片为用户分配的切片用户临时标识，切片用户临时标识＝切片标识+用户临时标识，比如切片标识32位(bit)，用户临时标识32位(bit)。

优选实施例3

图11为根据本发明优选实施例3的中间密钥产生的流程示意图，如图11所示，本发明优选实施例中的步骤具体说明如下：

步骤S902：装有智能认证卡的用户终端向接入网络AN发起附着消息，消息携带用户标识，所述用户标识可以是用户的国际移动用户识别码(International Mobile Subscriber Identification Number，简称IMSI)，也可以是切片为用户分配的切片用户临时标识；所述消息还可以包括用户附着的业务标识；

步骤S904：接入网络AN根据切片用户临时标识或者业务标识为用户选择切片1，向切片1转发附着请求消息；

步骤S906：切片1检查业务标识，如果和切片1的业务范围不符，则拒绝该附着请求消息，如果用户标识为IMSI，则切片1为用户分配切片用户临时标识，然后向用户数据中心/认证中心发送认证数据请求消息，或者如果为切片1用户临时标识，如果切片1的业务存在切片池，即切片1可以和其他切片共同使用安全上下文，则根据切片用户临时标识中的切片标识向其他的切片(例如：切片3)获取用户安全上下文，如果获取成功，则执行步骤S912到S914，如果获取上下文失败，则向用户终端获取用户标识IMSI，再为用户分配切片1用户临时标识，然后向用户数据中心/认证中心发送认证数据请求消息，所述消息携带用户标识IMSI，网络服务标识，和切片标识1，或者切片1用户临时标识；

步骤S908：用户数据中心/认证中心使用图8密钥衍生算法衍生出中间密钥Ks1；

即Ks1＝密钥产生函数KDF(切片标识1或者切片1用户临时标识，网络服务标识，密钥序列号SQN⊕匿名密钥AK，加密密钥CK，完整性保护密钥IK)。

步骤S910：用户数据中心/认证中心向切片1回送认证数据请求响应消息，所述消息携带一组或者多组认证向量，其中认证向量包括Ks1，预期响应值，随机数和认证令牌；

步骤S912：切片1为Ks1分配对应的切片密钥索引，向用户终端发送用户认证请求消息，所述消息携带切片密钥索引，随机数，认证令牌，切片标识1，或者切片1用户临时标识；

步骤S914：用户终端认证令牌，发现切片1为认证成功网络，保存切片标识或者切片1用户临时标识，以及保存与业务标识的对应关系，然后使用图8密钥衍生算法衍生出中间密钥Ks1，然后在衍生出接入层密钥和非接入层密钥；

步骤S916：用户终端向切片1回送用户认证请求响应消息，所述消息携带验证结果；

步骤S918：切片1将消息中验证结果与认证向量中的预期响应值比较，如果相等，则切片1认证用户终端成功，切片1衍生出接入层密钥和非接入层密钥，然后向用户数据中心/认证中心发送位置更新请求消息，所述消息携带用户标识IMSI；

步骤S920：用户数据中心/认证中心向切片1回送位置更新请求响应消息，所述消息携带用户签约数据；

步骤S922：切片1保存用户签约数据，向接入网络AN回送附着成功响应；

步骤S924：接入网络AN向用户终端转发附着成功响应，至此，用户终端成功在切片1附着成功，用户终端在切片1实现业务；

步骤S926：当用户终端发生移动，或者用户终端需要实现其他业务时(比如车联网业务)，用户终端向接入网络AN附着请求消息，所述消息携带用户标识，所述用户标识可以为IMSI或者切片1用户临时标识，所述消息还携带业务标识(例如：车联网业务)；

步骤S928：接入网络AN根据业务标识选择切片2，向切片2转发附着请求消息；

步骤S930：切片2检查业务标识，如果和切片2的业务范围不符，则拒绝该附着请求消息，如果用户标识为IMSI，则切片2为用户分配切片2用户临时标识，然后向用户数据中心/认证中心发送认证数据请求消息，或者由于切片1和切片2业务不同，不能使用切片1的安全上下文，则向用户终端获取用户标识IMSI，再为用户分配切片2用户临时标识，然后向用户数据中心/认证中心发送认证数据请求消息，所述消息携带用户标识 IMSI，网络服务标识，和切片标识2，或者切片2用户临时标识；

步骤S932：用户数据中心/认证中心使用图8密钥衍生算法衍生出中间密钥Ks2；

即Ks2＝密钥产生函数KDF(切片标识2或者切片2用户临时标识，网络服务标识，密钥序列号SQN⊕匿名密钥AK，加密密钥CK，完整性保护密钥IK)。

步骤S934：按照步骤S910到S924完成后续的用户终端附着到切片2上，至此，用户终端附着到切片2上，用户终端也保存着业务标识与切片2标识或者切片2临时标识的对应关系，用户终端如果再次发生业务改变的附着过程，将根据业务标识选择不同切片标识或者切片用户临时标识进行附着。

综上所述，本发明实施例达到了以下技术效果：解决了相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，进而使得不同的网络切片对应不同的中间密钥，避免了相同的中间密钥分配给不同的网络切片进而导致切片功能无法正常使用的情况。

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的页面内容的处理方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：

S1，获取用户终端当前附着的网络切片所对应的切片标识，其中，上述切片标识用于唯一标识所述网络切片；

S2，向指定通信设备发送上述切片标识，其中，上述切片标识用于指示所述指定通信设备根据上述切片标识衍生出网络切片所需的中间密钥。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

本发明实施例提供的上述技术方案，能够向指定通信设备发送切片标识，进而指定通信设备能够根据接收到的切片标识衍生出网络切片对应的中间密钥的技术方案，解决了相关技术中，不同的网络切片有可能会使用相同的中间密钥而导致的切片功能无法正常实现的问题，进而使得不同的网络切片对应不同的中间密钥，避免了相同的中间密钥分配给不同的网络切片进而导致切片功能无法正常使用的情况。

Claims

一种密钥的衍生方法，包括：

获取用户终端当前附着的网络切片所对应的切片标识，其中，所述切片标识用于唯一标识所述网络切片；

向指定通信设备发送所述切片标识，其中，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。
根据权利要求1所述的方法，其中，向指定通信设备发送所述切片标识，包括：

向所述指定通信设备发送第一认证请求，其中，所述第一认证请求中携带有所述切片标识，所述指定通信设备包括以下至少之一：用户数据中心、用户认证中心。
根据权利要求2所述的方法，其中，向指定通信设备发送所述切片标识，包括：

接收所述第一认证请求的响应信息，其中，所述响应信息中携带有安全认证向量；

根据所述安全认证向量向所述指定通信设备发送第二认证请求，其中，所述第二认证请求中携带有所述切片标识，所述指定通信设备包括：用户终端。
根据权利要求1所述的方法，其中，所述方法还包括：

当所述用户终端需要从当前附着的网络切片切换至第二网络切片时，接收接入网络AN转发的附着请求消息，其中，所述附着请求信息中携带有业务标识；

判断所述第二网络切片的业务范围是否包括所述业务标识对应的业务；

如果是，则向指定通信设备发送所述切片标识。
根据权利要求1-4任一项所述的方法，其中，所述切片标识包括以下至少之一：所述网络切片的标识信息、所述网络切片为所述用户终端分配的临时标识信息。
一种密钥的衍生方法，包括：

接收网络切片发送的切片标识，其中，所述切片标识用于唯一标识所述网络切片；

根据所述切片标识衍生出所述网络切片所需的中间密钥。
根据权利要求6所述的方法，其中，接收网络切片发送的切片标识，包括：

接收所述网络切片发送的认证请求，其中，所述认证请求中携带有所述切片标识。
根据权利要求6或7所述的方法，其中，所述切片标识包括以下至少之一：所述网络切片的标识信息、所述网络切片为用户终端分配的临时标识信息。
一种密钥的衍生装置，包括：

获取模块，设置为获取用户终端当前附着的网络切片所对应的切片标识，其中，所述切片标识用于唯一标识所述网络切片；

发送模块，设置为向指定通信设备发送所述切片标识，其中，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。
根据权利要求9所述的装置，其中，所述发送模块，还设置为向所述指定通信设备发送第一认证请求，其中，所述第一认证请求中携带有所述切片标识，所述指定通信设备包括以下至少之一：用户数据中心、用户认证中心。
根据权利要求10所述的装置，其中，所述指定设备包括用户终端时，所述发送模块，包括：

接收单元，设置为接收所述第一认证请求的响应信息，其中，所述响应信息中携带有安全认证向量；

发送单元，设置为根据所述安全认证向量向所述指定通信设备发送第二认证请求，其中，所述第二认证请求中携带有所述切片标识。
根据权利要求9所述的装置，其中，所述装置还包括：

第一接收模块，设置为当所述用户终端需要从当前附着的网络切片切换至第二网络切片时，接收接入网络AN转发的附着请求消息，其中，所述附着请求信息中携带有业务标识；

判断模块，设置为判断所述第二网络切片的业务范围是否包括所述业务标识对应的业务；

所述发送模块，在所述业务范围包括所述业务标识对应的业务时，向指定通信设备发送所述切片标识。
一种密钥的衍生装置，包括：

第二接收模块，设置为接收网络切片发送的切片标识，其中，所述切片标识用于唯一标识所述网络切片；

衍生模块，设置为根据所述切片标识衍生出所述网络切片所需的中间密钥。
根据权利要求13所述的装置，其中，所述第二接收模块，还设置为接收所述网络切片发送的认证请求，其中，所述认证请求中携带有所述切片标识。
一种密钥的衍生装置，包括：

处理器；

设置为存储所述处理器可执行指令的存储器；

其中，所述处理器，设置为获取用户终端当前附着的网络切片所对应的切片标识，向指定通信设备发送所述切片标识，其中，所述切片标识用于唯一标识所述网络切片，所述切片标识用于指示所述指定通信设备根据所述切片标识衍生出所述网络切片所需的中间密钥。