WO2019096279A1 - 一种安全通信方法和装置 - Google Patents

Abstract

本申请实施例提供一种安全通信方法和装置，涉及通信技术领域，以提高终端通过不同无线接入技术接入无线网络时的安全通信能力。该方案应用于终端中，终端具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于终端与第一网络通信，第二安全上下文用于终端与第二网络通信，且第一安全上下文和第二安全上下文包括不同的第一信息，该方法包括：终端在与目标网络通信时，根据第一信息确定目标安全上下文，其中，目标网络为第一网络，当目标安全上下文为第一安全上下文；当目标网络为第二网络，目标安全上下文为第二安全上下文；终端根据目标安全上下文与目标网络通信，本申请适用于终端通过不同网络接入的场景中。

Description

一种安全通信方法和装置

本申请要求于2017年11月17日提交中国专利局、申请号为201711147451.8、申请名称为“一种安全通信方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种安全通信方法和装置。

背景技术

目前，主要的无线接入技术包括第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)无线接入技术。该接入技术从2G逐渐演进，目前已经从长期演进(Long Term Evolution，LTE)(又称为4G)技术向新无线(New Radio，NR)(又称为5G)技术演进。

在4G及以前的接入技术中，3GPP接入技术和非(non)-3GPP接入技术是独立的。因此对通信安全的处理也是独立的，不会彼此影响。随着技术的演进，在NR技术或未来的技术中，非3GPP接入技术可能会接入3GPP的核心网，因此在通信安全的处理上需要进一步改进，以提高终端通过不同无线接入技术接入无线网络时的安全通信能力。

发明内容

本申请实施例提供一种安全通信方法和装置，以提高终端通过不同无线接入技术接入无线网络时的安全通信能力。

为了解决上述技术问题，本申请实施例提供的如下技术方案：

第一方面，本申请提供一种安全通信方法，应用于终端中，该终端具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于终端与第一网络通信，第二安全上下文用于终端与第二网络通信，且第一安全上下文和第二安全上下文包括不同的第一信息，本申请提供的方法包括：终端在与目标网络通信时，根据第一信息确定目标安全上下文，其中，当目标网络为第一网络时，目标安全上下文为第一安全上下文；或者，当目标网络为第二网络，目标安全上下文为第二安全上下文；终端根据目标安全上下文与目标网络通信。

本申请提供一种安全通信方法，当终端通过不同的接入技术接入到不同的网络时，例如，第一网络和第二网络，可能会存在如下情况：该不同的网络属于同一个运营商，或者该不同的网络属于不同的运营商。无论，不同的网络是否属于同一个运营商，现有技术中均可能存在如下问题：终端设备从不同网络处获得相同的密钥标识符，而通常密钥标识符的作用是对密钥进行标识，而网络通常可以使用密钥，结合预设算法以及NAS COUNT等参数建立安全上下文，因此，若终端从不同AMF处获得的密钥标识符相同，终端根据该密钥标识符确定的密钥可能也是相同的，当终端再次入网的时候，终端无法区分选择哪个安全上下文与需要接入的网络进行通信。基于此，本申请 中通过在终端侧具有的第一安全上下文和第二安全上下文中包括不同的第一信息，这样终端在与目标网络通信时，可以通过第一信息确定与目标网络通信时所需要的安全上下文，例如，终端可以根据第一信息确定与第一网络通信时使用第一安全上下文，与第二网络通信时使用第二安全上下文，从而可以使得终端正确的接入相应的网络。

结合第一方面，在第一方面的第一种可能的实现方式中，第一信息为密钥标识信息和终端的身份标识信息中的至少一项。具体的，终端的身份标识信息由终端所接入的网络生成，当终端接入不同网络时，不同网络为终端生成的终端的身份标识信息不同，因此，可以使用终端的身份标识信息区分第一安全上下文和第二安全上下文，另一方面，在第一网络和第二网络属于同一个运营商时，同一个运营商之间的网络可以交互，因此，不同网络与终端之间的密钥标识信息不同，因此，可以使用密钥标识信息区分第一安全上下文和第二安全上下文，又一方面，在第一网络和第二网络属于不同运营商时，在不同运营商之间的网络可能无法交互时，便可能存在不同网络生成相同的密钥标识信息，因此可以进一步结合终端的身份标识信息区分第一安全上下文和第二安全上下文。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，第一安全上下文和第二安全上下文还包括不同的第二信息，第二信息用于指示第一安全上下文和第二安全上下文针对的网络的接入技术。例如，第一安全上下文包括的第二信息可以为第一网络的接入技术，第二安全上下文包括的第二信息可以为第二网络的接入技术，通过在第一安全上下文和第二安全上下文中携带用于指示接入技术的第二信息，可以使得终端根据技术接入确定安全上下文是针对哪个网络的，从而正确的接入相应的网络中。

结合第一方面至第一方面的第二种可能的实现方式中的任一项，在第一方面的第三种可能的实现方式中，第一信息为指示信息，该指示信息用于安全上下文对应的网络的接入技术。

结合第一方面至第一方面的第三种可能的实现方式中的任一项，在第一方面的第四种可能的实现方式中，第一安全上下文不包括UP密钥，第二安全上下文包括UP密钥；或者，第一安全上下文包括UP密钥，第二安全上下文不包括UP密钥。由于终端通过3GPP接入网络时，与网络的安全上下文中通常会包括UP密钥，而终端通过Non-3GPP接入时，通常安全上下文中可能不包括UP密钥，因此，终端也可以使用UP密钥区分安全上下文针对的网络。

结合第一方面至第一方面的第四种可能的实现方式中的任一项，在第一方面的第五种可能的实现方式中，终端在与目标网络通信之前，本申请提供的还包括：终端在注册到第一网络时，终端确定第一安全上下文；终端在注册到第二网络时，终端确定第二安全上下文。

结合第一方面至第一方面的第五种可能的实现方式中的任一项，在第一方面的第六种可能的实现方式中，终端确定第一安全上下文，包括：终端接收来自第一网络设备的第一密钥标识信息；终端生成包括第一密钥标识信息的第一安全上下文，第一密钥标识信息用于标识第一安全上下文。

结合第一方面至第一方面的第六种可能的实现方式中的任一项，在第一方面的第 七种可能的实现方式中，终端确定第二安全上下文，包括：终端接收来自第二网络设备的第二密钥标识信息；终端生成包括第二密钥标识信息的第二安全上下文，第二密钥标识信息用于标识第二安全上下文。

结合第一方面至第一方面的第七种可能的实现方式中的任一项，在第一方面的第八种可能的实现方式中，终端接收来自网络设备的密钥标识信息，包括：终端接收网络设备发送的非接入层安全模式命令NAS SMC消息，该NAS SMC消息中包括第一密钥标识信息；或，终端接收网络设备发送的用于指示终端鉴权成功的消息，该用于指示终端鉴权成功的消息包括密钥标识信息；或，终端接收网络设备发送的NAS SMC消息，该NAS SMC消息包括用于指示终端鉴权成功的消息，该用于指示终端鉴权成功的消息包括密钥标识信息。

结合第一方面至第一方面的第八种可能的实现方式中的任一项，在第一方面的第九种可能的实现方式中，终端在与目标网络通信之前，本申请提供的方法还包括：终端确定第三网络的第一标识与目标网络的第一标识是否相同，第三网络为终端当前接入的网络。

第二方面，本申请提供一种安全通信方法，包括：第一网络设备获取密钥标识信息，密钥标识信息用于标识安全上下文；第一网络设备在网络侧完成对终端的鉴权时，向终端发送密钥标识信息。

结合第二方面，在第二方面的第一种可能的实现方式中，第一网络设备获取密钥标识信息，包括：第一网络设备接收到用于指示对终端鉴权成功的消息之后，生成密钥标识信息。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，第一网络设备获取密钥标识信息，包括：第一网络设备接收用于指示终端鉴权成功的消息，用于指示对终端鉴权成功的消息包括密钥标识信息。

结合第二方面至第二方面的第二种可能的实现方式中任一项，在第二方面的第三种可能的实现方式中，第一网络设备获取密钥标识信息之前，本申请提供的方法还包括：第一网络设备获取多个密钥标识子信息，多个密钥标识子信息全部来自其它网络设备，或者多个密钥标识子信息部分由第一网络设备生成，部分来自其它网络设备；第一网络设备获取密钥标识信息，包括：第一网络设备根据多个密钥标识子信息，生成密钥标识信息。

结合第二方面至第二方面的第三种可能的实现方式中任一项，在第二方面的第四种可能的实现方式中，第一网络设备为AMF或SEAF。

结合第二方面至第二方面的第四种可能的实现方式中任一项，在第二方面的第五种可能的实现方式中，第一网络设备为AMF，第一网络设备向终端发送密钥标识信息，包括：第一网络设备通过非接入层安全模式命令NAS SMC消息向终端发送密钥标识信息。

结合第二方面至第二方面的第五种可能的实现方式中任一项，在第二方面的第六种可能的实现方式中，NAS SMC消息包括用于指示终端鉴权成功的消息，用于指示终端鉴权成功的消息包括密钥标识信息。

结合第二方面至第二方面的第六种可能的实现方式中任一项，在第二方面的第七 种可能的实现方式中，第一网络设备为AUSF，第一网络设备获取密钥标识信息，并向终端发送密钥标识信息，包括：第一网络设备生成包括密钥标识信息的用于指示终端鉴权成功的消息，并向终端发送用于指示终端鉴权成功的消息。

相应的，第三方面，本申请提供一种安全通信的装置，该安全通信的装置可以实现第一方面至第一方面的任一项所描述的安全通信方法。例如，该安全通信的装置可以为终端，或者为设置在终端中的芯片。其可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。

在一种可能的设计中，安全通信的装置具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于安全通信的装置与第一网络通信，第二安全上下文用于安全通信的装置与第二网络通信，且第一安全上下文和第二安全上下文包括不同的第一信息，该终端包括：确定单元，用于在与目标网络通信时，根据第一信息确定目标安全上下文，其中，当目标网络为第一网络，目标安全上下文为第一安全上下文；或者，当目标网络为第二网络，第二安全上下文为第二安全上下文；通信单元，用于根据确定单元确定的目标安全上下文与目标网络通信。

在一种可能的设计中，第一信息为密钥标识信息和终端的身份标识信息中的至少一项。

在一种可能的设计中，第一安全上下文和第二安全上下文还包括不同的第二信息，第二信息用于指示安全上下文针对的网络的接入技术。

在一种可能的设计中，第一信息为指示信息，指示信息用于安全上下文对应的网络的接入技术。

在一种可能的设计中，第一安全上下文不包括UP密钥，第二安全上下文包括UP密钥；或者，第一安全上下文包括UP密钥，第二安全上下文不包括UP密钥。

在一种可能的设计中，确定单元，还用于在终端注册到第一网络时，确定第一安全上下文；以及用于在终端注册到第二网络时，确定第二安全上下文。

在一种可能的设计中，终端，还包括：接收单元，用于接收来自第一网络设备的第一密钥标识信息；确定单元，用于生成包括第一密钥标识信息的第一安全上下文，第一密钥标识信息用于标识第一安全上下文。

在一种可能的设计中，接收单元，还用于接收来自第二网络设备的第二密钥标识信息；确定单元，还用于生成包括第二密钥标识信息的第二安全上下文，第二密钥标识信息用于标识第二安全上下文。

在一种可能的设计中，接收单元，用于接收网络设备发送的非接入层安全模式命令NAS SMC消息，NAS SMC消息中包括第一密钥标识信息；或，接收单元，还用于接收网络设备发送的非接入层安全模式命令NAS SMC消息，NAS SMC消息中包括第一密钥标识信息；或，接收单元，用于接收网络设备发送的NAS SMC消息，NAS SMC消息包括用于指示终端鉴权成功的消息，用于指示终端鉴权成功的消息包括密钥标识信息。

在一种可能的设计中，确定单元，还用于在终端与目标网络通信之前，确定第三网络的第一标识与目标网络的第一标识是否相同，第三网络为终端当前接入的网络。

第四方面，该安全通信的装置可以包括至少一个处理器和通信接口，该处理器被 配置为支持该确定安全能力的装置执行上述第一方面至第一方面的任一项所描述的方法中在该安全通信的装置侧进行的消息处理或控制的相关操作，通信接口，用于支持该安全通信的装置与其他网元(例如，网络设备)之间的通信，通信接口可以是收发电路，收发电路用于支持该安全通信的装置执行上述第一方面至第一方面的任一项所描述的方法中在该安全通信的装置侧进行消息接收和发送的相关操作。

可选的，该安全通信的装置还可以包括存储器，存储器用于与至少一个处理器耦合，存储器中保存该安全通信的装置必要的程序(指令)和数据。其中，可选的，该安全通信的装置还可以包括总线，其中，存储器、收发电路和至少一个处理器通过总线互联。

第五方面，本申请提供一种网络设备，包括：获取单元，用于获取密钥标识信息，该密钥标识信息用于标识安全上下文；发送单元，用于在网络侧完成对终端的鉴权时，向终端发送密钥标识信息。

结合第五方面，在第五方面的第一种可能的实现方式中，获取单元，用于接收到用于指示对终端鉴权成功的消息之后，生成密钥标识信息。

结合第五方面或第五方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，装置还包括：接收单元，用于接收用于指示对终端鉴权成功的消息，用于指示对终端鉴权成功的消息包括密钥标识信息。

结合第五方面至第五方面的第二种可能的实现方式任一项，在第五方面的第三种可能的实现方式中，获取单元，用于获取多个密钥标识子信息，多个密钥标识子信息全部来自其它网络设备，或者多个密钥标识子信息部分由第一网络设备生成，部分来自其它网络设备；以及用于根据多个密钥标识子信息，生成密钥标识信息。

结合第五方面至第五方面的第三种可能的实现方式中的任一项，在第五方面的第四种可能的实现方式中，第一网络设备为AMF或SEAF。

结合第五方面至第五方面的第四种可能的实现方式中的任一项，在第五方面的第五种可能的实现方式中，第一网络设备为AMF，发送单元，具体用于通过非接入层安全模式命令NAS SMC消息向终端发送密钥标识信息。

结合第五方面至第五方面的第五种可能的实现方式中的任一项，在第五方面的第六种可能的实现方式中，NAS SMC消息包括用于指示终端鉴权成功的消息，用于指示终端鉴权成功的消息包括密钥标识信息。

结合第五方面至第五方面的第六种可能的实现方式中的任一项，在第五方面的第七种可能的实现方式中，第一网络设备为AUSF，第一网络设备获取密钥标识信息，并向终端发送密钥标识信息，包括：获取单元，用于生成包括密钥标识信息的用于指示终端鉴权成功的消息，发送单元，用于向终端发送用于指示终端鉴权成功的消息。

第六方面，该安全通信的装置可以包括至少一个处理器和通信接口，该处理器被配置为支持该确定安全能力的装置执行上述第二方面至第二方面的任一项所描述的方法中在该安全通信的装置侧进行的消息处理或控制的相关操作，通信接口，用于支持该安全通信的装置与其他网元(例如，终端)之间的通信，通信接口可以是收发器，收发器用于支持该安全通信的装置执行上述第二方面至第二方面的任一项所描述的方法中在该安全通信的装置侧进行消息接收和发送的相关操作。

可选的，该安全通信的装置还可以包括存储器，存储器用于与至少一个处理器耦合，存储器中保存该安全通信的装置必要的程序(指令)和数据。其中，其中，存储器、收发器和至少一个处理器通过线路互联。

第七方面，本申请提供一种计算机可读存储介质，当计算机可读存储介质应用于终端中，计算机可读存储介质中存储有指令，当指令被运行时，使得计算机执行上述第一方面至第一方面的任一项所描述的安全通信方法。

第八方面，本申请提供一种计算机可读存储介质，当计算机可读存储介质应用于网络设备中，计算机可读存储介质中存储有指令，当指令被运行时，使得计算机执行上述第二方面至第二方面的任一项所描述的安全通信方法。

第九方面，本申请提供一种芯片系统，应用于终端中，芯片系统包括至少一个处理器和接口电路，接口电路和至少一个处理器通过线路互联，处理器用于运行存储在芯片系统中的指令，以执行第一方面至第一方面的任一项所描述的安全通信方法。

第十方面，本申请提供一种芯片系统，应用于网络设备中，芯片系统包括至少一个处理器和接口电路，接口电路和至少一个处理器通过线路互联，处理器用于运行存储在芯片系统中的指令，以执行第二方面至第二方面的任一项的安全通信方法。

可选的，本申请中的芯片系统还包括该至少一个存储器，该至少一个存储器中存储有指令。

第十一方面，本申请提供一种包含指令的计算机程序产品，计算机程序产品中存储有指令，当该指令被运行时，使得终端执行上述第一方面或第一方面的任意一种可能的设计中所描述的安全通信方法。

第十二方面，本申请提供一种包含指令的计算机程序产品，计算机程序产品中存储有指令，当该指令被运行时，使得网络设备执行上述第二方面或第二方面的任意一种可能的设计中所描述的安全通信方法。

第十三方面，本申请提供一种通信系统，该通信系统包括至少一个如上述第三方面或第四方面所描述的终端，和至少一个如第五方面或第六方面所描述的网络设备。

在一个可能的设计中，该系统还可以包括本申请实施例提供的方案中与网络设备，或者终端进行交互的其他设备。

附图说明

图1为本申请实施例提供的一种通信系统的结构图；

图2为本申请实施例提供的终端通过不同网络接入的通信系统结构图；

图3为本申请提供一种安全通信的方法流程示意图一；

图4为本申请提供的一种安全通信的方法流程示意图二；

图5为本申请提供的一种安全通信的方法流程示意图三；

图6为本申请提供的一种安全通信的方法流程示意图四；

图7为本申请提供的一种安全通信的方法流程示意图五；

图8为本申请提供的一种终端的结构示意图一；

图9为本申请提供的一种终端的结构示意图二；

图10为本申请提供的一种终端的结构示意图三；

图11为本申请提供的一种网络设备的结构示意图一；

图12为本申请提供的一种网络设备的结构示意图二；

图13为本申请提供的一种网络设备的结构示意图三；

图14为本申请提供的一种芯片系统的结构示意图。

具体实施方式

本申请中“的(英文：of)”，相应的“(英文corresponding，relevant)”和“对应的(英文：corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

需要说明的是，本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请实施例中，至少一个指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

图1示出了本申请实施例提供的一种通信系统架构图。如图1所示，该通信系统包括：核心网101和接入网(Access network，AN)102。终端103通过接入网102接入服务网络，并通过该服务网络获取外网(例如因特网)的服务，或者通过服务网络与其它终端通信。其中，AN102可以为采用不同接入技术的接入网络。例如，接入技术包括无线接入技术以及固网接入技术，其中，无线接入技术主要包括2种类型：第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)接入技术(例如2G、3G、4G或5G系统中采用的无线接入技术)和非第三代合作伙伴计划(none 3rd Generation Partnership Project，non-3GPP)接入技术。

其中，3GPP接入技术是指符合3GPP标准规范的接入技术，采用3GPP接入技术的接入网络称为无线接入网络(Radio Access Network，RAN)，例如，终端103可以使用3GPP接入技术通过接入网设备接入无线网络中，该接入网设备可以为基站，例如，5G系统中的接入网设备称为下一代基站节点(next generation Node Basestation，gNB)、演进型节点B(evolved Node B，eNB)等。

非3GPP接入技术是指不符合3GPP标准规范的无线接入技术，例如，以无线保 真(wireless fidelity，WIFI)为代表的空口技术，其中，接入网设备可以为接入点(access point，AP)。

当终端103通过不同的接入技术接入无线网络时，终端103可以通过不同的接入网设备连接不同的核心网设备。

终端103中存储有长期密钥和相关函数。终端103在与核心网设备进行双向鉴权的时候，会使用该长期密钥和相关函数验证网络的真实性。

核心网101可以包括多个实体，例如接入和移动性管理功能(access and mobility management function，AMF)实体1011、安全锚点功能(Security Anchor Function，SEAF)实体1012以及(Authentication Server Function，AUSF)实体1013等。

其中，核心网101中的实体在物理上可以部分或全部集成在一起，也可以分开布置。例如，SEAF1012可以和AMF1011集成在一起，也可以单独布置。SEAF1012主要负责向AUSF1013发起鉴权请求，还可以在鉴权过程完成网络侧对终端103的认证。

AUSF1013在对终端103进行鉴权的时候，负责验证传递待认证参数和认证终端的真实性。例如：接收SEAF 1012发送的鉴权请求；选择鉴权方法；完成网络侧对终端103的鉴权。

此外，核心网还可以包括其它实体，例如：统一的数据管理(unified data management，UDM)实体，会话管理功能(session management function，SMF)实体，用户面功能(user plane function，UPF)实体，策略控制功能(policy control function，PCF)实体、应用功能(application function，AF)实体，以及网络能力开放功能(network exposure function，NEF)实体1019以及数据网络(data network，DN)，本申请实施例对此不作具体限定。这些实体可以部分或全部集成在一个物理设备中，也可以分开设置。

其中，UDM用于存储终端的签约信息；SMF，用于为用户面分配会话资源等；UPF为用户面数据出口，连接外部网络；PCF其内部存储有最新的服务质量(Quality of service，QoS)规则，接入网设备可以根据SMF提供的QoS规则，为用户面传输通道分配合适的资源。

AF，这个网元位于DN内部，属于部署在第三方的功能网元，此AF主要作用是通知PCF最新的第三方企业对于某个应用的业务要求。PCF可以根据要求生成相应的QoS规则，确保网络提供的服务满足第三方所提出的要求。

NEF主要用于与第三方交互，使第三方可以间接与某些3GPP网络内部的网元进行交互。

其中，终端103通过N1接口与AMF1011通信，AN通过N3接口与UPF通信，UPF通过N6接口与DN通信，UPF与SMF通过N4接口通信，需要说明的是，图1中的各个网元之间的接口名字只是一个示例，具体实现中接口名字可能为其他名字，本申请实施例对此不作具体限定。

终端也可以称为终端设备，用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备可以是无线局域网(wireless local area networks，WLAN)中的站点(station，STA)，可以是蜂窝电话、无绳电话、会话启 动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及下一代通信系统，例如，第五代(fifth-generation，5G)通信网络中的终端设备或者未来演进的公共陆地移动网络(public land mobile network，PLMN)网络中的终端设备等。

作为示例，在本申请实施例中，该终端还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

图2示出了本申请一实施例中终端使用不同的无线接入技术接入网络的架构示意图，例如，终端同时使用3GPP接入技术和non-3GPP接入技术的架构。如图2所示，终端可以同时通过3GPP接入技术和non-3GPP接入技术连接到不同的AMF或SEAF，例如，如图2所示，终端通过3GPP接入技术接入AMF/SEAF201和终端通过non-3GPP接入技术接入AMF/SEAF 202。当终端通过不同的接入技术接入不同的AMF或SEAF时，不同的AMF或SEAF通常可以对应不同的SMF，也可以对应相同的SMF，具体的，当不同的AMF属于同一个网络时，不同的AMF或SEAF通常可以对应同一个SMF，当不同的AMF属于别不同网络时，不同的AMF或SEAF通常可以对应不同的SMF，不同的SMF可以对应不同的UPF，也可以对应相同的UPF，不同的UPF可以对应不同的DN，也可以对应同一个DN。具体的，如图2所示，终端在使用non-3GPP接入技术接入AMF202时，可以通过非3GPP互通功能(non-3GPP interworking function，N3IWF)实体接入AMF202。其中，AUSF和鉴权存储功能(authetnication repository function，ARPF)/UDM构成归属公共陆地移动网(Home Public Land Mobile Network，HPLMN)，终端通过不同的接入技术接入网络时，可以具有不同的受访地公用陆地移动网(visited public land mobile network，VPLMN)，也可以具有相同的受访地公用陆地移动网，例如，如图2中以不同的受访地公用陆地移动网为例，例如，图2所示的VPLMN1和VPLMN2，具体的，图2中所示的各个网元的功能可以参见上述实施例，本申请在此不再赘述。

图3示出了本申请提供的一种安全通信方法，应用于终端中，该终端具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于终端与第一网络通信，第二安全上下文用于终端与第二网络通信，且第一安全上下文和第二安全上下文包括不同的第一信息，如图3所示，包括：

S101、终端在与目标网络通信时，根据第一信息确定目标安全上下文，其中，目标网络为第一网络，目标安全上下文为第一安全上下文；或者目标网络为第二网络，目标安全上下文为第二安全上下文。

S102、终端根据目标安全上下文与目标网络通信。

本申请提供一种安全通信方法，当终端通过不同的接入技术接入到不同的网络时，例如，第一网络和第二网络，可能会存在如下情况：该不同的网络属于同一个运营商，或者该不同的网络属于不同的运营商。无论，不同的网络是否属于同一个运营商，现有技术中均可能存在如下问题：终端设备从不同网络处获得相同的密钥标识符，而通常密钥标识符的作用是对密钥进行标识，而网络通常可以使用密钥，结合预设算法以及NAS COUNT等参数建立安全上下文，因此，若终端从不同AMF处获得的密钥标识符相同，终端根据该密钥标识符确定的密钥可能也是相同的，当终端再次入网的时候，终端无法区分选择哪个安全上下文与需要接入的网络进行通信。基于此，本申请中通过在终端侧具有的第一安全上下文和第二安全上下文中包括不同的第一信息，这样终端在与目标网络通信时，可以通过第一信息确定与目标网络通信时所需要的安全上下文，例如，终端可以根据第一信息确定与第一网络通信时使用第一安全上下文，与第二网络通信时使用第二安全上下文，从而可以使得终端正确的接入相应的网络。

其中，第一网络和第二网络使用的接入技术可以为：固网接入技术、3GPP接入技术以及非3GPP接入技术中的任意两种。

示例性的，第一网络的接入技术可以为3GPP接入技术，第二网络的接入技术可以为非3GPP接入技术。或者，第一网络的接入技术可以为非3GPP接入技术，第二网络的接入技术可以为3GPP接入技术。或者第一网络的接入技术为3GPP接入技术，第二网络的接入技术为固网接入技术。或者第一网络的接入技术为非3GPP接入技术，第二网络的接入技术为固网接入技术等。

其中，第一安全上下文为终端与第一网络通信时确定的安全上下文，第二安全上下文为终端与第二网络通信时确定的安全上下文。

其中，安全上下文是指终端和网络侧使用的，用于保护终端和网络之间传输的消息的参数。比如，安全上下文可以包括非接入层(non-access stratum，NAS)加密密钥，非接入层完整性保护密钥，加密算法，完整性保护算法，新鲜性参数、密钥标识符等参数。

可选的，第一信息可以为密钥标识信息和终端的身份标识信息中的至少一项。

示例性的，密钥标识信息为终端获得的，用于标识密钥的信息，例如，终端可以从网络侧获取密钥标识信息。比如，密钥标识信息可以为4G网络中的密钥标识符(evloved key set identifier，eKSI)。

示例性的，终端的身份标识信息可以为UE的临时身份信息，该临时身份信息至少包括核心网网元的身份信息，还可以包括运营商网络信息。比如，可以为全局唯一的临时标识(globally unique temporary identity，GUTI)。该GUTI可以为终端请求注册到网络时，由该网络中的AMF随着注册完成消息发送给终端。再比如，终端的身份标识信息还可以为4G网络临时身份信息(SAE-Temporary Mobile Subscriber Identity，S-TMSI)。例如，如图2所示，当终端请求注册到3GPP网络时，终端的GUTI可以由AMF201为终端分配。

例如，一方面，当终端与不同网络之间具有的密钥标识信息不同时，该第一信息可以为密钥标识信息。如表1所示，表1示出了安全上下文中不仅可以包括密钥标识 信息还可以包括终端的身份标识信息、NAS密钥、算法、NAS层使用的新鲜性参数、无线资源控制(radio resource control，RRC)RRC密钥、算法、接入层(Access stratum，AS)层使用的新鲜性参数等参数中的至少一个。

其中，NAS密钥用于保护NAS消息，NAS新鲜性参数用于防止NAS消息被重放攻击。RRC密钥和RRC算法用于保护空口的RRC消息。

表1 使用不同的密钥标识信息区分安全上下文

终端中的密钥标识信息通常可以从终端注册到一个网络时，该网络中的网络设备处获取，因此终端可以保存密钥标识信息和网络之间的一个关联关系，这样终端便可以根据安全上下文中的密钥标识信息确定，使用该安全上下文与哪个网络通信。如表1所示，安全上下文1包括第一密钥标识信息，第二安全上下文包括第二密钥标识信息，示例性的，这样终端再下次接入一个网络A时，若终端之前与该网络A之间的安全上下文为安全上下文1，那么终端可以便可以根据第一密钥标识信息选择安全上下文1与网络A通信。

需要说明的是，当密钥标识信息不同的时候，不同安全上下文中携带的终端的身份标识信息可以相同，也可以不同，表1以密钥标识信息不同时，不同的安全上下文中携带的终端的身份标识信息不同为例。

另一方面，例如，当终端与不同网络之间具有的身份标识信息不同时，该第一信息可以为终端的身份标识信息，如表2所示：

表2 使用不同的身份标识信息区分安全上下文

如表2所示，终端可以使用GUTI1和GUTI2来区分安全上下文1和安全上下文2，此时，该安全上下文1为终端和网络1之间具有的安全上下文，安全上下文2为终端和网络2之间具有的安全上下文，此外，终端和同一个网络之间也可以具有多套安全上下文，例如，终端和网络2之间具有安全上下文2和安全上下文3，在这种情况下，终端可以使用第一密钥标识信息和第二密钥标识信息来区分安全上下文2和安全上下文3。

此外，当使用终端的身份标识信息来区分不同的安全上下文时，不同安全上下文中的密钥标识信息可以相同，也可以不同，本申请对此不进行限定，表2以终端的身份标识信息不同时，不同安全上下文中的密钥标识信息相同为例，并不构成对本申请的限定。

需要说明的是，终端的身份标识信息可以通过终端所接入的网络中的网络设备为终端分配，当终端接入的网络设备属于同一个运营商时，该终端接入的网络设备为终端分配的终端的身份标识信息往往不同，在这种情况下，也可以使用终端的身份标识信息来区分安全上下文。

当终端接入的网络设备属于不同运营商时，在不同运营商的网络设备之间不可以交互彼此为终端分匹配的终端的身份标识信息时，可能存在不同运营商中不同网络的网络设备为终端分配的终端的身份标识信息相同，因此，在这种情况下，可以结合不同的密钥标识信息和终端的身份标识信息来区分安全上下文。当不同运营商中的网络设备之间可以交互时，且不同网络设备为终端分配的终端的身份标识信息不同时，也可以单独使用终端的身份标识信息来区分安全上下文。但是，此时的密钥标识信息，可以区分安全上下文属于哪个网络。

更进一步的，终端还可以结合密钥标识信息和终端的身份标识信息来区分不同的安全上下文，例如，当终端的身份标识信息相同时，使用密钥标识信息来区分不同的安全上下文，当密钥标识信息相同时，可以使用终端的身份标识信息来区分不同的安全上下文。

此外，更进一步的，终端还可以通过如下方式区分与不同网络之间的安全上下文：

可选的，第一安全上下文和第二安全上下文还包括不同的第二信息，该第二信息用于指示安全上下文对应的网络的接入技术。

具体的，该第二信息的内容可以有多种，例如，一方面，该第二信息可以为第一指示符或第二指示符。其中，第一指示符用于指示终端使用第一接入技术接入网络， 第二指示符用于指示终端使用第二接入技术接入网络，其中，第一接入技术和第二接入技术不同，该第一接入技术和第二接入技术为非3GPP接入技术、3GPP接入技术以及固网接入技术中的任意两个。

示例性的，指示符可以为比特位指示信息。比如，该第一指示符可以为00，表示终端使用3GPP接入技术，该第二指示符为01表示终端使用非3GPP接入技术，10表示终端使用固网接入结束，或第一指示符为01表示终端使用非3GPP接入技术，第二指示符为00使用3GPP接入技术，10表示终端使用固网接入结束，本申请对此不进行限定，具体的，终端和网络之间可以协商第一指示符和第二指示符的内容。

另一种示例，指示符可以为字符串信息。比如，“3GPP”表示3GPP接入技术，“non-3GPP”表示非3GPP接入技术，“fix”表示固网接入技术。

另一方面，每个安全上下文中还可以包括第二信息用于标识终端前次接入网络时的接入技术，也即终端在生成安全上下文时，将终端请求接入网络时的接入技术作为第二信息，例如，如表3所示：

表3 使用接入技术区分安全上下文

结合表3所示，终端可以在使用3GPP接入技术接入网络1时，将使用与网络1之间共同保存的安全上下文中包括字符串“3GPP”标识，即安全上下文1，终端在使用non-3GP接入技术接入网络2时，将使用与网络2之间共同保存的安全上下文中包括字符串“non-3GPP”标识的安全上下文3，即安全上下文中包括字符串“non-3GPP”标识，此外，终端在使用固网接入技术接入一个网络时，可以在于该网络之前的安全上下文 中使用“fix”标识。或者终端使用比特位标识01表示3GPP，10表示non-3GPP，11标识固网接入技术，本申请对此不进行限定。

需要说明的是，本申请中使用第二信息区分第一安全上下文和第二安全上下文时，第一安全上下文和第二安全上下文中的第一信息也可以相同。

此外，在表3中，当终端的身份标识信息为GUTI-1时，安全上下文2和安全上下文3的区别在于，密钥标识信息不同，以及新鲜性参数不同，其他可以是相同的。这是由于，当终端使用不同的接入技术接入同一个网络设备时，该网络设备可以为终端发送相同的密钥，例如，NAS密钥-1、以及N3IWF密钥-1，但是NAS COUNT不同。其中，NAS COUNT是新鲜性参数的一种。

可选的，由表3可以看出：当终端保存有用户面(user plane，UP)密钥时，终端通过3GPP接入技术接入网络时，终端与网络之间的安全上下文中存在UP密钥。当终端通过非3GPP接入技术接入网络时，终端与网络之间的安全上下文可以不包括UP密钥。因此本申请中还可以通过安全上下文中包括的UP密钥来区分3GPP接入技术和non-3GPP接入技术使用的安全上下文。例如，第一安全上下文不包括UP密钥，则可能为终端通过non-3GPP接入技术接入网络时保存的安全上下文。第二安全上下文包括UP密钥，则可能为终端通过3GPP接入技术接入网络时保存的安全上下文。或者，所述第一安全上下文包括UP密钥，所述第二安全上下文不包括UP密钥。

具体的，当终端确定第一安全上下文中不包括UP密钥时，终端便可以确定该第一安全上下文用于终端通过非3GPP接入技术接入网络，从而当终端再次使用非3GPP接入技术接入网络时便可以使用第一安全上下文。当终端确定第二安全上下文包括UP密钥，终端便可以确定该第二安全上下文可以用于3GPP接入时使用，从而当终端再次使用3GPP接入技术接入网络时可以使用第二安全上下文。

其中，UP密钥是指终端和网络设备通信时，保护用户面安全的密钥，包括用户面加密密钥和用户面完整性保护密钥的之一或全部。

安全上下文不包括UP密钥，是指在接入目标网络过程中，不需要生成UP密钥。但是并不排除下面这种情况：终端曾经通过3GPP接入技术接入过目标网络，并且保存的安全上下文有UP密钥。

需要说明的是，上述描述的UP密钥、终端的身份标识信息、密钥标识信息以及接入技术等标识参数可以结合起来使用以区分安全上下文，具体的组合方式，本申请对此不进行限定，只要最终终端与不同网络之间的安全上下文可以使用标识参数来区分即可。

可选的，本申请中的密钥标识信息还可以包括运营商的标识信息。具体的，终端通过广播消息收到运营商的信息或者通过其他方法得知目标网络属于哪个运营商的信息后，比如通过要使用的N3IWF属于哪个运营商的信息后，终端就可以根据运营商信息确定出与运营商相应的密钥标识信息，进而根据与运营商相应的密钥标识信息确定出使用的密钥，然后利用确定出的密钥对将要发送的消息进行完整性保护。

此外，当终端以两个不同的接入技术同时接入网络完成数据传输之后，终端通常会回到空闲(Idle)态。但是，当终端从Idle态回到连接态时，终端首先根据终端所在网络的信息，根据GUTI中的信息，确定哪个GUTI满足这个网络，确定出GUTI 之后，根据GUTI确定密钥，如表2或表3所示，于是终端可以使用密钥对将要发送的消息进行完整性保护。另一种方法是，终端首先根据带有运营商信息的密钥标识信息确定出安全上下文信息，再确定出属于这个运营商的GUTI。此时，可选地，GUTI可以是安全上下文的一部分。

如果终端确定出属于待接入网络的安全上下文后，若终端有属于不同接入技术的安全上下文，则终端还可以判断要接入的接入技术是哪类，再确定密钥。进一步地，可选地，终端可以再根据其他信息确定最终使用哪套安全上下文。比如有没有用户面密钥，有没有明确的标识说明是哪个接入技术的安全上下文，确定密钥后，就可以对将要发送的消息进行完整性保护了。

通常情况下，终端需要注册到一个网络中，才可以建立与该网络之间的安全上下文，以便将与网络的安全上下文保存在终端中，因此，作为本申请提供的另一个实施例，如图4所示，本申请提供的方法在步骤S101之前，还包括：

S103、终端在注册到第一网络时，终端确定第一安全上下文。

由于密钥标识信息通常可以作为安全上下文中的内容，而终端中的密钥标识信息通常可以在终端注册网络时，由该网络中的网络设备为终端分配，因此，具体的，本申请中的步骤S103具体可以通过以下方式实现：

S1031、终端接收来自第一网络设备的第一密钥标识信息。

可选的，终端可以接收第一网络设备发送的用于指示终端鉴权成功的消息，该用于指示终端鉴权成功的消息中包括第一密钥标识信息。当第一网络设备通过用于指示终端鉴权成功的消息向终端发送第一密钥标识信息时，这样可以由第一网络设备在确定对终端成功鉴权之后再发送密钥标识信息，避免了由于对终端未成功鉴权而发送密钥标识信息时，造成的信令浪费。

可选的，终端可以接收第一网络设备发送的非接入层(Non-access stratum，NAS)安全模式命令(Security Mode Command，SMC)消息，该NAS SMC消息中包括第一密钥标识信息。

当NAS SMC消息中包括第一密钥标识信息时，NAS SMC消息中还可以包括用于指示终端鉴权成功的消息，也即可以将用于指示终端鉴权成功的消息和第一密钥标识信息携带在NAS SMC消息中，这样可以节约信令开销。

可选的，终端可以接收第一网络设备发送的NAS SMC消息，该NAS SMC消息中包括用于指示终端鉴权成功的消息，该用于指示终端鉴权成功的消息中包括第一密钥标识信息。当第一网络设备通过NAS SMC消息向终端发送第一密钥标识信息时，且该第一密钥标识信息位于用于指示终端鉴权成功的消息中时，可以节省信令开销，可以理解的是，第一网络设备通过NAS SMC消息发送第一密钥标识信息的方式适用于5G-AKA鉴权、EAP-AKA’鉴权以及其他未来用于3GPP系统的其他鉴权方法。

其中，鉴权方式可以包括演进分组系统(Evolved Packet System，EPS)-鉴权和密钥协商(Authentication and Key Agreement，AKA)鉴权、5G-AKA鉴权、或可扩展鉴权协议(Extensible Authentication Protocol，EAP)-AKA’鉴权等，以EAP-AKA鉴权为例，该用于指示终端鉴权成功的消息例如可以称为EAP-Success消息。该名称仅为举例，并没有限制作用。

具体的，终端在向第一网络设备注册时，该第一网络设备可以通过传递鉴权向量的消息或者用于指示终端鉴权成功的消息或者鉴权向量向终端发送第一密钥标识信息。

其中，用于指示终端鉴权成功的消息可以有多种，例如，隐式的告知，即SEAF在验证终端成功后，发送某些参数给AMF，比如发送永久身份标识(subscriber permanent identifier，SUPI)，或者发送密钥Kamf。再例如，显示的告知，即SEAF直接发送鉴权成功消息给AMF，比如在5G AKA鉴权方法中，SEAF发给AMF的一条消息，或者为EAP-AKA’鉴权方法中的EAP-Success消息，当然也可以为5G-AKA鉴权中用于指示终端鉴权成功的消息。

S1032、终端生成包括第一密钥标识信息的第一安全上下文，该第一密钥标识信息用于标识第一安全上下文。

S104、终端在注册到第二网络时，终端确定第二安全上下文。

具体的，本申请中的步骤S104具体可以通过以下方式实现：

S1041、终端接收来自第二网络设备的第二密钥标识信息。

具体的，终端在向第二网络设备注册时，该第二网络设备可以通过鉴权向量或者用于指示终端鉴权成功的消息向终端发送第二密钥标识信息。

其中，用于指示终端鉴权成功的消息同以上描述，在此不再赘述。

S1042、终端生成包括第二密钥标识信息的第二安全上下文，所述第二密钥标识信息用于标识所述第二安全上下文。

具体的，终端生成第一安全上下文的过程可以如下：

当终端从所接入网络的第一网络设备出接收到第一密钥标识信息，则终端便可以结合表1、表2以及表3中的参数生成第一安全上下文。具体的，终端生成第二安全上下文的过程可以参见终端生成第一安全上下文的过程，本申请在此不再赘述。

可以理解的是，终端基于第一密钥标识信息生成第一安全上下文时，该第一安全上下文中还可以包括其他参数，具体的参数可以参考表1、表2和表3所示的部分参数，例如，第一安全上下文中还可以包括终端的身份标识信息，终端使用的接入技术等，本申请对此不进行限定。

示例性的，如图2所示，当终端使用3GPP接入技术接入第一网络时，该第一网络设备可以为如图2所示的AMF201，当终端使用非3GPP接入技术接入第二网络时，该第二网络设备可以为如图2所示的AMF202。

具体的，终端在注册到一个网络时，通常会与该网络存在鉴权的过程，具体的，终端可以在网络侧完成对终端的鉴权过程中或者网络侧完成对终端的鉴权之后，从该网络的网络设备中获取到密钥标识信息。

可以理解的是，当第一网络设备和第二网络设备属于同一个运营商时，该第一网络设备可以和第二网络设备之间交互，因此第一网络设备向终端发送的第一密钥标识信息和第二网络设备向终端发送的第二密钥标识信息通常不同，当第一网络设备和第二网络设备属于不同运营商时，在第一网络设备和第二网络设备之间无法交互彼此为终端分配的密钥标识信息的情况下，该第一密钥标识信息和第二密钥标识信息可以相同，也可以不同。

终端除了从第一网络设备接收第一密钥标识信息，从第二网络设备接收第二密钥标识信息以外，还可以从第一网络设备接收第一身份标识信息，从第二网络设备接收第二身份标识信息。其中，第一密钥标识信息用于标识第一安全上下文，第二密钥标识信息用于标识第二安全上下文。第一身份标识信息用于在第一网络中标识终端，第二身份标识用于在第二网络中标识终端。当用密钥标识信息区分第一安全上下文和第二安全上下文所用的网络时，第一密钥标识信息和第二密钥标识信息不同。当用身份标识信息区分第一安全上下文和第二安全上下文所用的网络时，第一身份标识信息和第二身份标识信息不同。

可选的，作为本申请另一种可能的实现方式，在步骤S101之前，还包括：

S105、终端确定终端已接入的网络与所述终端当前请求注册到的目标网络的第一标识是否相同。

可选的，终端接入已接入的网络与所述终端当前请求注册到的目标网络的接入技术不同。

具体的，该第一标识用于确定终端已接入的网络和终端当前请求注册到的目标网络是否属于同一个运营商。

具体的，该第一标识可以为公用陆地移动网(public land mobile network，PLMN)ID，小区ID，位置区信息等。该PLMN ID，可以是一个IP地址，可以是一个类似于email的地址信息，还可以是移动国家码(mobile country codes，MNN)+移动网络码(mobile network codes，MNC)信息，本申请对此不进行限定。

具体的，终端根据第一标识确定已接入的网络和终端当前请求注册到的目标网络是否属于同一个运营商的例子如下：终端获取已接入的网络的PLMN ID-1，以及当前请求注册到的目标网络的PLMN ID-2。终端确定已接入的网络的PLMN ID-1与当前请求注册到的目标网络的PLMN ID-2相同，终端确定已接入的网络和终端当前请求注册到的目标网络属于同一个运营商。这样，终端便可以将当前请求注册到的目标网络的请求发送给已接入的网络对应的网络设备1，由网络设备1将当前请求注册到的目标网络的请求发送给目标网络的网络设备2，此时目标网络就是已接入的网络。

如图5所示，图5示出了本申请实施例提供的一种安全通信方法的流程示意图，如图5所示，该方法包括：

S201、第一网络设备获取密钥标识信息。

具体的，该第一网络设备可以为图1或图2所示的AMF，AUSF或者SEAF。

本申请中第一网络设备可以在网络侧完成对终端的鉴权时，生成密钥标识信息，也可以在网络侧对终端鉴权的过程中，生成密钥标识信息。

S202、第一网络设备在网络侧完成对终端的鉴权后，向终端发送密钥标识信息。

具体的，第一网络设备可以通过如下方式确定网络侧完成对终端的鉴权，例如，一方面，当第一网络设备为AUSF时，该第一网络设备完成对终端的鉴权，基于此，该第一网络设备便可以确定网络侧完成对终端的鉴权。当第一网络设备为AMF，第一网络设备接收到AUSF或者SEAF发送的用于指示终端鉴权成功的消息，则第一网络设备确定网络侧完成对终端的鉴权。当第一网络设备为SEAF，第一网络设备接收到AUSF发送的用于指示终端鉴权成功的消息，则第一网络设备确定网络侧完成对终端 的鉴权。

该用于指示终端鉴权成功的消息可以参见上述实施例，本申请在此不再赘述。

可选的，本申请中的步骤S202可以通过以下方式实现：

S2021、第一网络设备可以通过用于指示终端鉴权成功的消息向终端发送密钥标识信息。

本申请中利用用于指示终端鉴权成功的消息向终端发送密钥标识信息，可以在确定对终端成功鉴权之后再发送密钥标识信息，避免了由于对终端未成功鉴权而发送密钥标识信息时，造成的信令浪费。

当然，第一网络设备可以利用向终端指示鉴权成功的过程中新定义的一个信令消息来向终端发送密钥标识信息。

其中，新定义的一个信令消息可以认为是鉴权过程中使用的一条消息，此消息属于5G AKA或EAP-AKA’鉴权中一条消息；或者也可以理解为是鉴权成功后，第一网络设备发送NAS SMC之前的消息，此消息不在5G AKA或EAP-AKA’的消息内；或者还可以是承载用于指示终端鉴权成功的消息的承载消息。比如，承载消息是通过N2接口的传递的NAS消息。

具体的，密钥标识信息可以携带在指示鉴权成功的消息内传递给终端，或者放在指示鉴权成功的消息外随着新定义的信令传递给终端。比如用于指示终端鉴权成功的消息可以通过NAS SMC消息发送，这样也即密钥标识信息携带在用于指示终端鉴权成功的消息中，用于指示终端鉴权成功的消息携带在NAS SMC消息中；也可以携带在指示鉴权成功的消息外，同时放在NAS SMC消息中。

需要说明的是，AMF通过NAS SMC消息发送密钥标识信息适用于5G AKA鉴权或EAP-AKA’鉴权或其他未来用于3GPP系统的其他鉴权过程。

可选的，本申请中的步骤S202还可以通过以下方式实现：

S2022、第一网络设备通过NAS SMC消息向终端发送密钥标识信息。

可以理解的是，第一网络设备通过NAS SMC消息向终端发送密钥标识信息时，该NAS SMC消息中还可以包括用于指示终端鉴权成功的消息。这样通过将用于指示终端鉴权成功的消息放到NAS SMC中传输一方面可以节省信令，这是由于当NAS SMC消息和用于指示终端鉴权成功的消息以两条消息的形式发送给终端时，那么终端在收到NAS SMC消息和用于指示终端鉴权成功的消息时对每个消息均要做出响应，这样势必会增加信令开销，且还增加了AMF与终端的交互过程。

当然，在网络侧对终端鉴权的过程中，第一网络设备生成密钥标识信息的时候，本申请中第一网络设备还可以在向终端发送鉴权向量的过程中，向终端发送密钥标识信息。例如，使用EAP-请求(request，REQ)/AKA’-Challenge消息向终端发送密钥标识信息。

需要说明的是，本申请中以EAP-AKA’为例的描述，也可以适用于5G AKA中。如果5G AKA中不存在EAP-AKA’中的一个流程，则在5G AKA中可以用相似的，或者相关的消息替代，当然，也可以在5G AKA中增加相应的流程用于完成相关操作。

S203、终端接收第一网络设备发送的密钥标识信息。

具体的，终端可以在NAS SMC消息中接收第一网络设备发送的密钥标识信息， 也可以在用于指示终端鉴权成功的消息中接收密钥标识信息，至于终端在哪个消息中接收到密钥标识信息可以基于第一网络设备通过哪个消息向终端发送。

由于当第一网络设备为AMF、AUSF或SEAF时，第一网络设备确定密钥标识信息的方法不同，因此下述将分别介绍：

可选的，一种可能的实现方式，当第一网络设备为AMF或SEAF时，本申请中的步骤S201可以通过如下方式实现：

S2011、第一网络设备接收到用于指示终端鉴权成功的消息，第一网络设备生成密钥标识信息。本申请中第一网络设备在接收到用于指示终端鉴权成功的消息时，便可以确定网络侧对终端鉴权成功，在这种情况下，第一网络设备才生成密钥标识信息，可以避免由于终端鉴权不成功时导致生成的密钥标识信息浪费的问题。

具体的，当第一网络设备为AMF，该AMF接收到SEAF或AUSF发送的用于指示终端鉴权成功的消息，则AMF获取密钥标识信息，在这种情况下，可选的，当用于指示终端鉴权成功的消息中包括密钥标识信息时，AMF可以直接从用于指示终端鉴权成功的消息中获取密钥标识信息。

可选地，当用于指示终端鉴权成功的消息中不包括密钥标识信息时，AMF自己生成密钥标识信息。当第一网络设备为SEAF，该SEAF接收到AUSF发送的用于指示终端鉴权成功的消息，或者SEAF自己验证UE是真实的之后，则SEAF获取密钥标识信息，在这种情况下，可选的当用于指示终端鉴权成功的消息中包括密钥标识信息时，SEAF可以直接从用于指示终端鉴权成功的消息中获取密钥标识信息。当然，也存在密钥标识信息全部由SEAF、或AMF单独生成的情况，即指示终端鉴权成功的消息中没有密钥标识信息。

由于，密钥标识信息可以由至少一个网络设备生成，若有至少两个网络设备生成了密钥标识符，则密钥标识符需要被传递给其下一级的网络设备(例如，AUSF生成密钥标识信息传递给SEAF或者AMF，或者SEAF生成密钥标识信息传递给AMF)，因此，每个下一级的网络设备可以生成密钥标识信息，也可以从其上一级网络设备出获取密钥标识信息，以确定密钥标识信息，下述将分别介绍：

可选的，本申请中的步骤S2011具体可以通过以下方式实现：第一网络设备接收到用于指示终端鉴权成功的消息，或者第一设备自己确定UE是真实的之后，将第二网络设备发送的第一密钥标识信息确定为密钥标识信息。例如，当第一网络设备为AMF时，第二网络设备可以为SEAF或者AUSF，当第一网络设备为SEAF时，第二网络设备可以为AUSF。具体的，第二网络设备向第一网络设备发送密钥标识信息的方式可以参见上述描述，本申请对此不进行限定。

可选的，本申请中的步骤S2011具体还可以通过以下方式实现：第一网络设备确定接收到用于指示终端鉴权成功的消息，或者第一设备自己确定UE是真实的之后，生成密钥标识信息。在这种情况下，当用于指示终端鉴权成功的消息中不携带第二网络设备发送的第一密钥标识信息时，第一网络设备可以自己生成密钥标识信息，当用于指示终端鉴权成功的消息中携带第二网络设备发送的第一密钥标识信息时，第一网络设备可以基于第一密钥标识信息生成密钥标识信息，也可以不基于第一密钥标识信息生成密钥标识信息，本申请对此不进行限定。

可选的，作为本申请的又一个实施例，基于图5，如图6所示，本申请提供的方法在步骤201之前，还包括：

S204、第一网络设备获取多个密钥标识子信息，所述多个密钥标识子信息中全部来自其它网络设备，或者所述多个密钥标识子信息部分由所述第一网络设备生成，部分来自其它网络设备。

此处的其他网络设备可以为SEAF或者AUSF。具体的，当第一网络设备为AMF时，其他网络设备可以为SEAF和AUSF中的至少一项。当第一网络设备为SEAF时，其他网络设备可以为AUSF。

可选的，本申请中的密钥标识信息可以为密钥标识符。

下述将以SEAF、AUSF以及AMF均生成密钥标识信息为例进行说明。AUSF生成密钥标识信息-a，SEAF生成密钥标识信息-b，AMF生成密钥标识信息-c，则AMF将密钥标识信息-a，密钥标识信息-b，以及密钥标识信息-c进行组合，以确定密钥标识信息，此时密钥标识信息为密钥标识信息-c和密钥标识信息-b和密钥标识信息-a。再比如，在网络规定密钥标识信息为9比特的情况下，AUSF可以填充最高3比特，即第9比特、第8比特和第7比特，填充之后将001000000传递给SEAF，SEAF再填充第6比特，第5比特，以及第4比特，最终SEAF发送给AMF的密钥标识信息可以为001010000，最终，AMF填充最后3比特，即第3比特，第2比特以及第1比特，最终得到密钥标识信息即001010001。

此处，AUSF或SEAF向第一网络设备发送的多个密钥标识子信息的方法可以参见上述步骤，本申请对此不进行限定，AUSF和SEAF各自生成的多个密钥标识子信息可以相同也可以不同，本申请对此不进行限定。

基于步骤S204，本申请中的步骤S202具体可以通过以下方式实现：

S2023、第一网络设备接收到用于指示终端鉴权成功的消息，生成第二密钥标识信息。

具体的，本申请中第一网络设备可以基于多个密钥标识子信息生成第二密钥标识信息，也可以基于多个密钥标识子信息之外的其余参数生成第二密钥标识信息。

S2024、第一网络设备根据多个密钥标识子信息以及第二密钥标识信息，确定所述密钥标识信息。

示例性的，AUSF在接收到用于指示对终端鉴权的消息(例如，EAP-RSP/AKA’-Challenge消息)之后，AUSF生成密钥标识信息1，然后AUSF可以通过用于指示完成对终端鉴权的消息(例如，下述将以EAP-Success消息为例，本申请对该用于指示完成对终端鉴权的消息的具体名称不进行限定)，将密钥标识信息1发送给SEAF，SEAF在接收到携带密钥标识信息1的EAP-Success消息之后，一方面可以确定网络侧完成对终端的鉴权，于是SEAF生成密钥标识信息2，然后，SEAF通过EAP-Success消息将密钥标识信息1和密钥标识信息2发送给AMF，AMF在收到携带密钥标识信息1和密钥标识信息2的EAP-Success之后，AMF生成密钥标识信息3，最终，AMF根据密钥标识信息1、密钥标识信息2以及密钥标识信息3确定密钥标识信息。

本申请对AMF根据密钥标识信息1、密钥标识信息2以及密钥标识信息3确定密 钥标识信息的方式不进行限定，AMF可以根据密钥标识信息1和密钥标识信息2以及密钥标识信息3的位置确定密钥标识信息，但是本申请对各个密钥标识信息的位置不进行限定，示例性的，该密钥标识信息＝密钥标识信息1+密钥标识信息2+密钥标识信息3，或者密钥标识信息＝密钥标识信息2+密钥标识信息3+密钥标识信息1，这样做的好处是，当AUSF或者SEAF也有保存不止1个终端的密钥时，也可以通过密钥标识信息，识别终端正在使用哪套密钥。因此，由每个网元生成一部分密钥标识信息，可以使密钥标识信息更加灵活，尤其是当除了AMF以外的网元也会有多套终端的安全上下文的时候。

可选的，一种可能的实现方式，当第一网络设备为AUSF时，本申请中的步骤S201还可以通过以下方式实现：

S2012、第一网络设备确定接收到对终端的鉴权请求，第一网络设备确定密钥标识信息。

具体的，第一网络设备确定接收到SEAF发送的对终端的鉴权请求，则第一网络设备生成密钥标识信息，以确定密钥标识信息。

下述结合图7以终端先从3GPP侧接入，但由于某种条件触发，终端开始从non-3GPP侧接入为例，详细介绍本申请提供的一种安全通信方法：

S301、终端使用non-3GPP接入技术接入网络。

具体的，步骤S301的实现可以参见现有技术，本申请对此不进行限定。

S302、在终端具有与网络之间的安全上下文的情况下，终端和N3IWF交互IKE_SA_INIT消息。

可选的，该IKE_SA_INIT消息携带密钥材料，当终端完成与N3IWF之间的交互后，终端和N3IWF之间可以生成相同的密钥，用于保护后面所有消息。

S303、终端向N3IWF发送网络密钥交换协议鉴权请求消息(Internet Key Exchange protocol authentication Request，IKE_AUTH_Request)。

该IKE_AUTH_Request消息中携带给终端的标识信息，IKE_AUTH_Request消息中可以不携带鉴权参数。

S304、N3IWF向终端发送针对IKE_AUTH_Request消息的回复消息，该针对IKE_AUTH_Request消息的回复消息用于指示终端开始5G鉴权流程。

可选的，针对IKE_AUTH_Request消息的回复消息中携带EAP-5G-Request消息/5G-Start消息。

S305、终端确定接入的N3IWF与通过3GPP接入技术接入的网络是否是同一个运营商。

具体的，终端使用通过3GPP接入技术接入的网络的PLMN ID寻找相关的N3IWF。再比如，终端得到一种反馈，反馈的内容是N3IWF的相关信息，终端可以从信息中判断N3IWF所在的PLMN ID是否与3GPP接入的PLMN ID相同。

此处，PLMN ID的具体内容可以参见上述实施例，本申请对此不进行限定。

S306、终端向N3IWF发送IKE_AUTH Request消息，该IKE_AUTH Request消息用于终端注册到AMF。

可选的，该IKE_AUTH Request消息中包括EAP-5G-ReS/5G-NAS消息。

其中，EAP-5G-ReS/5G-NAS消息中含有NAS-协议数据单元(protocol data unit，PDU)，NAS PDU中含有注册请求消息，该注册请求消息用于终端向AMF注册。

可以理解的是，当终端已通过3GPP接入技术注册到该AMF的情况下，此处的注册请求可以用于终端通过非3GPP接入技术注册到AMF。

可选的，注册请求消息携带有终端的临时身份信息，例如，GUTI，密钥标识信息ngKSI。该注册请求消息被ngKSI标识的NAS完整性密钥做完整性保护。

S307、N3IWF首先根据GUTI中信息，选择一个AMF。

具体的，当N3IWF根据GUTI找到GUTI标识的AMF-2/SEAF-2时，N3IWF将注册请求消息发送给AMF-2/SEAF-2。当N3IWF根据GUTI无法找到AMF-2/SEAF-2时，N3IWF将注册请求消息转发给AMF-1/SEAF-1。本申请实施例以N3IWF根据GUTI无法找到AMF-2/SEAF-2为例。

S308、N3IWF将注册请求消息转发给AMF-1。

S309、AMF-1根据GUTI中的信息确定AMF-2。

S310、AMF-1将注册请求消息转发给AMF-2。

S311、AMF-2根据注册请求消息中的GUTI以及ngKSI确定出密钥，验证完整性保护是否正确，在完整性保护正确的情况下，执行下述步骤S212：

S312、AMF-2根据AMF-2中现有的密钥oKamf生成一个新的密钥nKamf。

S313、AMF-2将新的nKamf发送给AMF-1。

可选的，AMF-2还可以向AMF-1发送第一指示信息，该第一指示信息用于指示终端和AMF-2之间的状态是连接态。

具体的，该第一指示信息可以是AMF-2当前使用的密钥标识符，还可以是一个比特位指示信息。

其中，AMF-2根据现有的密钥oKamf生成一个新的密钥nKamf的一种可能的实现方式为：nKamf＝KDF(oKamf，其他参数)，其他参数可以是一个或多个。比如其他参数为NAS COUNT，或者为NAS COUNT和ngKSI，或者单独为ngKSI，或者Kamf维护一个COUNT值，此COUNT值会传递给AMF-1，由AMF-1通过NAS SMC消息传递给终端。

另一种实现方式是由nKamf＝密钥衍生函数(key derivation function，KDF)(Kseaf，其他参数)，其中，Kseaf表示SEAF中的密钥。

S314、AMF-1选择安全算法。

具体的，AMF-1使用nKamf生成新的NAS密钥，以及新的密钥标识符。

具体的，一方面，AMF生成的新的密钥标识符可以与收到的密钥标识符不同，以便于终端根据密钥标识符区分出不同的安全上下文。

另一方面，AMF生成与接收到的密钥标识符相同的密钥标识符，在这种情况下终端可以使用终端的身份标识信息来区分不同的安全上下文。

S315、AMF-1发送NAS SMC消息给终端。

可选的，NAS SMC消息中携带选择的安全能力和密钥标识信息，例如，密钥标识信息可以为密钥标识符。

可选地，当NAS SMC消息中携带的密钥标识符与终端存储的密钥标识符不同时， AMF-1还可以向终端发送第二指示信息，该第二指示信息用于告知终端是否需要保留原来的密钥。可选的，当密钥标识符与之前的不同的时候，终端可以默认保留之前的密钥标识符。

S316、N3IWF转发NAS SMC消息给终端。

S317、终端收到NAS SMC消息之后，确定是否更新密钥。

具体的，终端可以通过如下方式确定是否更新密钥。

方式一、终端确定3GPP侧正在接入，如果从non-3GPP侧收到一个NAS SMC消息，则终端确定non-3GPP侧需要生成新的密钥。

方式二、终端确定接收到AMF-1发送的新的密钥标识符ngKSI，则根据新的密钥标识符ngKSI生成新的密钥。

方式三、终端根据第二指示信息确定是否更新密钥，或者终端根据NAS SMC消息中携带的COUNT值来确定是否更新密钥。

具体的，第二指示信息指示更新密钥，则终端更新密钥。

S318、终端向AMF-1回复NAS SMP消息。

可选的，NAS SMP消息使用新密钥做完整性保护。

S319、N3IWF转发NAS SMP消息至AMF-1。

S320、AMF-1在收到NAS SMP消息，向N3IWF传递N3IWF使用的密钥Kn3iwf。此外，AMF-1生成一个GUTI-1，该GUTI-1随着注册完成消息发放给终端。

终端在接收到GUTI-1，若AMF-1向终端发送的eKSI和终端在在注册请求消息中使用的eKSI相同的情况下，那么终端便可以通过GUTI-1来区分不同的安全上下文。

需要说明的是，当图7所示的方案应用于当终端通过3GPP接入运营商A的AMF，再通过non-3GPP接入运营商B的AMF，同时保持3GPP侧的接入时。基于此场景下，当终端再接入运营商B的AMF时，运营商B要触发non-3GPP侧的鉴权流程，触发方法有2种：

第一种方式：终端确定要接入的N3IWF的运营商与通过3GPP接入的运营商不同，在这种情况下，终端通过non-3GPP接入时，要在non-3GPP侧重新鉴权，在这种情况下，终端向AMF发送的注册请求消息携带的身份标识信息为SUCI。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，各个网元，例如终端和网络设备，为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对终端和网络设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以采用对应各个功能划分 各个功能模块为例进行说明：

在采用集成的单元的情况下，图8示出了上述实施例中所涉及的终端的一种可能的结构示意图。终端包括：确定单元101以及通信单元102。其中，确定单元101用于支持终端执行上述实施例中的步骤S101、S103以及S104以及S105以及S305；通信单元用于支持终端执行上述实施例中的步骤S102以及S301。可选的，终端还包括接收单元103以及生成单元104，其中，接收单元103用于支持终端执行上述实施例中的步骤S1031、S1041以及S203以及S302，生成单元104用于支持终端执行上述实施例中的步骤S1032、S1042。此外，终端还包括发送单元用于执行S303、S306。上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图9示出了上述实施例中所涉及的终端的一种可能的逻辑结构示意图。终端包括：处理模块112和通信模块113。处理模块112用于对终端的动作进行控制管理，例如，处理模块112用于支持终端执行上述实施例中的步骤S101、S103以及S104以及S105以及S305以及S1032、S1042；通信模块113用于支持终端执行上述实施例中的步骤S1031、S1041以及S203以及S302以及S303、S306。和/或用于本文所描述的技术的其他由终端执行的过程。终端还可以包括存储模块111，用于存储终端的程序代码和数据。

其中，处理模块112可以是处理器或控制器，例如可以是中央处理器单元，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请实施例公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。通信模块113可以是收发器、收发电路或通信接口等。存储模块111可以是存储器。

当处理模块112为处理器120，通信模块113为通信接口130或收发器时，存储模块111为存储器140时，本申请所涉及的终端可以为图10所示的设备。

其中，通信接口130、至少一个处理器120以及存储器140通过总线110相互连接；总线110可以是PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。其中，存储器140用于存储终端的程序代码和数据。通信接口130用于支持终端与其他设备(例如，网络设备)通信，处理器120用于支持终端执行存储器140中存储的程序代码和数据以实现本申请提供的一种安全通信方法。

在采用集成的单元的情况下，图11示出了上述实施例中所涉及的网络设备的一种可能的结构示意图。网络设备包括：获取单元201和发送单元202。其中，获取单元201用于支持网络设备执行上述实施例中的步骤S201(具体的，可以为S2011、S2012)、S204；发送单元202用于支持网络设备执行上述实施例中的步骤S202(具体的可以为S2021、S2022、S2023以及S2024)。和/或用于本文所描述的技术的其它过程。上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，图12示出了上述实施例中所涉及的网络设备的一种可能的逻辑结构示意图。网络设备，包括：处理模块212和通信模块213。处理模块212用于对网络设备的动作进行控制管理，例如，处理模块212用于支持网络设备执行上述实施例中的步骤S201(具体的，可以为S2011、S2012)、S204；通信模块213用于支持网络设备执行上述实施例中的S202(具体的可以为S2021、S2022、S2023以及S2024)。和/或用于本文所描述的技术的其他由网络设备执行的过程。网络设备还可以包括存储模块211，用于存储网络设备的程序代码和数据。

其中，处理模块212可以是处理器或控制器，例如可以是中央处理器单元，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请实施例公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。通信模块213可以是收发器、收发电路或通信接口等。存储模块211可以是存储器。

当处理模块212为处理器220，通信模块213为通信接口230或收发器时，存储模块211为存储器210时，本申请所涉及的网络设备可以为图13所示的设备。

其中，通信接口230、至少一个处理器220以及存储器210通过总线200相互连接；总线200可以是PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。其中，存储器210用于存储网络设备的程序代码和数据。通信接口230用于支持网络设备与其他设备(例如，终端)通信，处理器220用于支持网络设备执行存储器210中存储的程序代码和数据以实现本申请提供的一种安全通信方法。

需要说明的是，本申请中涉及的接收单元(或用于接收的单元)可以是一种该安全通信装置的接口电路，用于从其它装置接收信号。例如，当该安全通信装置以芯片的方式实现时，该接收单元是该芯片用于从其它芯片或装置接收信号的接口电路。以上发送单元(或用于发送的单元)是一种该安全通信装置的接口电路，用于向其它装置发送信号。例如，当该安全通信装置以芯片的方式实现时，该发送单元是该芯片用于向其它芯片或装置发送信号的接口电路。

图14是本申请实施例提供的芯片系统150的结构示意图。芯片系统150包括至少一个处理器1510和接口电路1530。

可选的，该芯片系统150还包括存储器1550，存储器1550可以包括只读存储器和随机存取存储器，并向处理器1510提供操作指令和数据。存储器1550的一部分还可以包括非易失性随机存取存储器(NVRAM)。

在一些实施方式中，存储器1550存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：

在本申请实施例中，通过调用存储器1550存储的操作指令(该操作指令可存储在操作系统中)，执行相应的操作。

一种可能的实现方式为：终端和网络设备所用的芯片系统的结构类似，不同的装置可以使用不同的芯片系统以实现各自的功能。

处理器1510控制终端和网络设备的操作，处理器1510还可以称为CPU(Central Processing Unit，中央处理单元)。存储器1550可以包括只读存储器和随机存取存储器，并向处理器1510提供指令和数据。存储器1550的一部分还可以包括非易失性随机存取存储器(NVRAM)。具体的应用中存储器1550、接口电路1530以及存储器1550通过总线系统1520耦合在一起，其中总线系统1520除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图14中将各种总线都标为总线系统1520。

上述本申请实施例揭示的方法可以应用于处理器1510中，或者由处理器1510实现。处理器1510可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1510中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1510可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1550，处理器1510读取存储器1550中的信息，结合其硬件完成上述方法的步骤。

可选地，接口电路1530用于执行图3、图4、图5所示的实施例中的终端和网络设备的接收和发送的步骤。

处理器1510用于执行图3、图4、图5所示的实施例中的终端和网络设备的处理的步骤。

在上述实施例中，存储器存储的供处理器执行的指令可以以计算机程序产品的形式实现。计算机程序产品可以是事先写入在存储器中，也可以是以软件形式下载并安装在存储器中。

计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk，SSD)等。

一方面，提供一种计算机存储介质，计算机可读存储介质中存储有指令，当指令在终端上运行时，使得终端执行实施例中的S101、S103以及S104以及S105以及S305以及S1032、S1042，S1031、S1041以及S203以及S302以及S303、S306。和/或用于 本文所描述的技术的其他由终端执行的过程。

又一方面，提供一种计算机存储介质，计算机可读存储介质中存储有指令，当指令在网络设备上运行时，使得网络设备执行实施例中的步骤S201(具体的，可以为S2011、S2012)、S204，S202(具体的可以为S2021、S2022、S2023以及S2024)。和/或用于本文所描述的技术的其他由网络设备执行的过程。

一方面，提供一种包含指令的计算机程序产品，计算机程序产品中存储有指令，当指令在终端上运行时，使得终端执行实施例中的S101、S103以及S104以及S105以及S305以及S1032、S1042，S1031、S1041以及S203以及S302以及S303、S306。和/或用于本文所描述的技术的其他由终端执行的过程。

又一方面，提供一种包含指令的计算机程序产品，计算机程序产品中存储有指令，当指令在网络设备上运行时，使得网络设备执行实施例中的S201(具体的，可以为S2011、S2012)、S204，S202(具体的可以为S2021、S2022、S2023以及S2024)。和/或用于本文所描述的技术的其他由网络设备执行的过程。

此外，本申请还提供一种通信系统，该通信系统包括如图8-10所示的终端，以及图11-图13所示的网络设备，除此之外，通信系统还可以包括与终端和网络设备通信的其他设备。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可 以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (40)

1. 一种安全通信方法，其特征在于，应用于终端中，所述终端具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于所述终端与第一网络通信，所述第二安全上下文用于所述终端与第二网络通信，且所述第一安全上下文和所述第二安全上下文包括不同的第一信息，所述方法包括：

   所述终端在与目标网络通信时，根据所述第一信息确定目标安全上下文，其中，当所述目标网络为所述第一网络时，所述目标安全上下文为所述第一安全上下文；或者，当所述目标网络为所述第二网络时，所述目标安全上下文为所述第二安全上下文；

   所述终端根据所述目标安全上下文与所述目标网络通信。
2. 根据权利要求1所述的方法，其特征在于，所述第一信息为密钥标识信息和所述终端的身份标识信息中的至少一项。
3. 根据权利要求1或2所述的方法，其特征在于，所述第一安全上下文和所述第二安全上下文还包括不同的第二信息，所述第二信息用于指示安全上下文对应的网络的接入技术。
4. 根据权利要求1或2所述的方法，其特征在于，所述第一信息为指示信息，所述指示信息用于安全上下文对应的网络的接入技术。
5. 根据权利要求1-4任一项所述的方法，其特征在于，所述第一安全上下文不包括UP密钥，所述第二安全上下文包括UP密钥；

   或者，所述第一安全上下文包括UP密钥，所述第二安全上下文不包括UP密钥。
6. 根据权利要求1-5任一项所述的方法，其特征在于，所述终端在与所述目标网络通信之前，还包括：

   所述终端在注册到第一网络时，所述终端确定所述第一安全上下文；

   所述终端在注册到第二网络时，所述终端确定所述第二安全上下文。
7. 根据权利要求6所述的方法，其特征在于，所述终端确定所述第一安全上下文，包括：

   所述终端接收来自第一网络设备的第一密钥标识信息；

   所述终端生成包括所述第一密钥标识信息的所述第一安全上下文，所述第一密钥标识信息用于标识所述第一安全上下文；

   所述终端确定所述第二安全上下文，包括：

   所述终端接收来自第二网络设备的第二密钥标识信息；

   所述终端生成包括所述第二密钥标识信息的所述第二安全上下文，所述第二密钥标识信息用于标识所述第二安全上下文。
8. 根据权利要求7所述的方法，其特征在于，终端接收来自网络设备的密钥标识信息，包括：

   所述终端接收网络设备发送的非接入层安全模式命令NAS SMC消息，所述NAS SMC消息中包括所述第一密钥标识信息；或，

   所述终端接收网络设备发送的用于指示终端鉴权成功的消息，所述用于指示终端鉴权成功的消息包括所述密钥标识信息；或，

   所述终端接收网络设备发送的NAS SMC消息，所述NAS SMC消息包括用于指 示终端鉴权成功的消息，所述用于指示终端鉴权成功的消息包括所述密钥标识信息。
9. 根据权利要求1-8任一项所述的方法，其特征在于，所述终端在与目标网络通信之前，所述方法还包括:

   所述终端确定所述终端已接入的网络与所述终端当前请求注册到的目标网络的第一标识是否相同。
10. 一种安全通信装置，其特征在于，所述安全通信装置具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于所述安全通信的装置与第一网络通信，所述第二安全上下文用于所述安全通信的装置与第二网络通信，且所述第一安全上下文和所述第二安全上下文包括不同的第一信息，所述安全通信装置包括：

    确定单元，用于在与目标网络通信时，根据所述第一信息确定目标安全上下文，其中，当所述目标网络为所述第一网络时，所述目标安全上下文为所述第一安全上下文；或者，当所述目标网络为所述第二网络时，所述目标安全上下文为所述第二安全上下文；

    通信单元，用于根据所述目标安全上下文与所述目标网络通信。
11. 根据权利要求10所述的装置，其特征在于，所述第一信息为密钥标识信息和所述终端的身份标识信息中的至少一项。
12. 根据权利要求10或11所述的装置，其特征在于，所述第一安全上下文和所述第二安全上下文还包括不同的第二信息，所述第二信息用于指示安全上下文对应的网络的接入技术。
13. 根据权利要求10或11所述的装置，其特征在于，所述第一信息为指示信息，所述指示信息用于安全上下文对应的网络的接入技术。
14. 根据权利要求10-13任一项所述的装置，其特征在于，所述第一安全上下文不包括UP密钥，所述第二安全上下文包括UP密钥；

    或者，所述第一安全上下文包括UP密钥，所述第二安全上下文不包括UP密钥。
15. 根据权利要求10-14任一项所述的装置，其特征在于，所述确定单元，还用于在所述安全通信装置注册到第一网络时，确定所述第一安全上下文；

    以及，用于在所述在安全通信装置注册到第二网络时，确定所述第二安全上下文。
16. 根据权利要求15所述的装置，其特征在于，所述安全通信装置，还包括：

    接收单元，用于接收来自第一网络设备的第一密钥标识信息；

    生成单元，用于生成包括所述第一密钥标识信息的所述第一安全上下文，所述第一密钥标识信息用于标识所述第一安全上下文。
17. 根据权利要求15或16所述的装置，其特征在于，接收单元，还用于接收来自第二网络设备的第二密钥标识信息；

    生成单元，还用于生成包括所述第二密钥标识信息的所述第二安全上下文，所述第二密钥标识信息用于标识所述第二安全上下文。
18. 根据权利要求16或17所述的装置，其特征在于，

    所述接收单元，还用于接收网络设备发送的非接入层安全模式命令NAS SMC消息，所述NAS SMC消息中包括所述第一密钥标识信息；

    或，所述接收单元用于接收网络设备发送的用于指示终端鉴权成功的消息，所述 用于指示终端鉴权成功的消息包括所述密钥标识信息；

    或，所述接收单元，用于接收网络设备发送的NAS SMC消息，所述NAS SMC消息包括用于指示终端鉴权成功的消息，所述用于指示终端鉴权成功的消息包括所述密钥标识信息。
19. 根据权利要求10-18任一项所述的装置，其特征在于，所述确定单元，还用于确定所述装置已接入的网络与所述装置当前请求注册到的目标网络的第一标识是否相同。
20. 一种安全通信方法，其特征在于，包括：

    第一网络设备获取密钥标识信息，所述密钥标识信息用于标识安全上下文；

    所述第一网络设备在网络侧完成对终端的鉴权时，向所述终端发送所述密钥标识信息。
21. 根据权利要求20所述的方法，其特征在于，所述第一网络设备获取密钥标识信息，包括：

    第一网络设备接收到用于指示对所述终端鉴权成功的消息之后，生成所述密钥标识信息。
22. 根据权利要求20或21所述的方法，其特征在于，所述第一网络设备获取密钥标识信息，包括：所述第一网络设备接收用于指示终端鉴权成功的消息，所述用于指示终端鉴权成功的消息包括所述密钥标识信息。
23. 根据权利要求20-22任一项所述的方法，其特征在于，所述第一网络设备为AMF或SEAF，所述第一网络设备获取密钥标识信息之前，所述方法还包括：

    所述第一网络设备获取多个密钥标识子信息，所述多个密钥标识子信息全部来自其它网络设备，或者所述多个密钥标识子信息部分由所述第一网络设备生成，部分来自其它网络设备；

    所述第一网络设备获取密钥标识信息，包括：

    所述第一网络设备根据所述多个密钥标识子信息，生成所述密钥标识信息。
24. 根据权利要求20-22任一项所述的方法，其特征在于，所述第一网络设备为AMF，所述第一网络设备向所述终端发送所述密钥标识信息，包括：所述第一网络设备通过非接入层安全模式命令NAS SMC消息向所述终端发送所述密钥标识信息。
25. 一种安全通信装置，其特征在于，包括：

    获取单元，用于获取密钥标识信息，所述密钥标识信息用于标识安全上下文；

    发送单元，用于在网络侧完成对终端的鉴权时，向所述终端发送所述密钥标识信息。
26. 根据权利要求25所述的装置，其特征在于，所述第一网络设备获取密钥标识信息，包括：

    第一网络设备接收到用于指示对所述终端鉴权成功的消息之后，生成所述密钥标识信息。
27. 根据权利要求25或26所述的装置，其特征在于，所述第一网络设备获取密钥标识信息，包括：所述第一网络设备接收用于指示终端鉴权成功的消息，所述用于指示终端鉴权成功的消息包括所述密钥标识信息。
28. 根据权利要求25-27任一项所述的装置，其特征在于，所述第一网络设备为AMF或SEAF，所述第一网络设备获取密钥标识信息之前，所述方法还包括：

    所述第一网络设备获取多个密钥标识子信息，所述多个密钥标识子信息全部来自其它网络设备，或者所述多个密钥标识子信息部分由所述第一网络设备生成，部分来自其它网络设备；

    所述第一网络设备获取密钥标识信息，包括：

    所述第一网络设备根据所述多个密钥标识子信息，生成所述密钥标识信息。
29. 根据权利要求25-27任一项所述的装置，其特征在于，所述第一网络设备为AMF，所述第一网络设备向所述终端发送所述密钥标识信息，包括：所述第一网络设备通过非接入层安全模式命令NAS SMC消息向所述终端发送所述密钥标识信息。
30. 一种安全通信方法，其特征在于，所述方法包括：

    终端接收来自第一网络设备的非接入层安全模式命令NAS SMC消息，所述NAS SMC消息中包括用于指示终端鉴权成功的消息和第一密钥标识信息；

    所述终端生成包括所述第一密钥标识信息的第一安全上下文，其中，所述第一安全上下文包括用于保护终端和所述第一网络之间传输的消息的参数。
31. 根据权利要求30所述的方法，所述用于指示终端鉴权成功的消息为可扩展鉴权协议成功消息EAP-Success。
32. 根据权利要求30或31所述的方法，所述第一密钥标识信息为密钥标识符。
33. 一种安全通信方法，其特征在于，包括：

    第一网络设备确定网络侧完成对终端的鉴权；

    所述第一网络设备向所述终端发送非接入层安全模式命令NAS SMC消息，所述NAS SMC消息中包括用于指示终端鉴权成功的消息和第一密钥标识信息。
34. 根据权利要求33所述的方法，其特征在于，所述第一网络设备确定网络侧完成对终端的鉴权，包括：

    第一网络设备接收鉴权服务器功能AUSF发送的用于指示终端鉴权成功的消息；

    第一网络设备在收到AUSF发送的用于指示终端鉴权成功的消息后，向所述终端发送用于指示终端鉴权成功的消息和第一密钥标识信息。
35. 根据权利要求33或34所述的方法，其特征在于，在所述第一网络设备向所述终端发送非接入层安全模式命令NAS SMC消息之前，所述方法还包括：

    所述第一网络设备获取所述第一密钥标识信息。
36. 根据权利要求35所述的方法，其特征在于，所述第一网络设备获取所述第一密钥标识信息，包括：

    所述第一网络设备接收到所述用于指示终端鉴权成功的消息之后，生成所述第一密钥标识信息。
37. 根据权利要求33-36任一项所述的方法，其特征在于，所述第一网络设备为安全锚点功能。
38. 根据权利要求33-37任一项所述的方法，其特征在于，所述第一密钥标识信息为密钥标识符。
39. 一种芯片系统，其特征在于，包括：应用于安全通信装置中，所述芯片系统 包括至少一个处理器和接口电路，所述接口电路和所述至少一个处理器通过线路互联，所述至少一个处理器用于运行所述终端中的指令，以执行权利要求1-9、权利要求20-24、权利要求30-33或者权利要求34-38任一项所述的方法。
40. 一种计算机可读存储介质，其特征在于，应用于安全通信装置中，所述计算机可读存储介质中存储有指令，当指令在计算机上运行时，使得计算机执行上述权利要求1-9、权利要求20-24、权利要求30-33或者权利要求34-38任一项所述的方法。

Images