WO2021254172A1

WO2021254172A1 - 一种通信方法以及相关装置

Info

Publication number: WO2021254172A1
Application number: PCT/CN2021/098242
Authority: WO
Inventors: 邓娟; 李飞; 何承东
Original assignee: 华为技术有限公司
Priority date: 2020-06-15
Filing date: 2021-06-04
Publication date: 2021-12-23
Also published as: EP4161113A4; EP4161113A1; CN113873492B; CN113873492A

Abstract

本申请实施例公开了一种通信方法以及相关装置，可以应用于独立非公共网络架构。网络设备中认证服务器功能AUSF生成第一标识，该第一标识用于标识终端设备。AUSF向接入与移动管理功能AMF发送第一标识，避免AUSF向AMF发送终端设备的签约永久标识。由于终端设备的签约永久标识属于隐私信息，因此避免了泄露终端设备的隐私信息，提升通信的安全性。

Description

一种通信方法以及相关装置

本申请要求于2020年06月15日提交中国专利局、申请号为202010544961.4、发明名称为“一种通信方法以及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法以及相关装置。

背景技术

在第三代合作伙伴计划(the third generation partnership protect，3GPP)标准中定义了公共陆地移动网络(public land mobile network，PLMN)与独立非公共网络(Standalone Non-Public Network，SNPN)。

在漫游架构中，终端设备，或称为用户设备(User Equipment，UE)的拜访网络，可能是SNPN或者PLMN。当UE的拜访网络为SNPN时，UE的拜访网络称为拜访SNPN(Visited SNPN，V-SNPN)；当UE的拜访网络为PLMN时，UE的拜访网络称为拜访PLMN(Visited PLMN，V-PLMN)；UE的归属网络，可能是SNPN或者PLMN。当UE的归属网络为SNPN时，UE的归属网络称为归属SNPN(Home SNPN，H-SNPN)；当UE的归属网络为PLMN时，UE的归属网络称为归属PLMN(Home PLMN，H-PLMN)。

在认证流程中，UE的归属网络向UE的拜访网络发送UE的签约永久标识(subscription permanent identifier，SUPI)。该SUPI用于地标识UE，而且SUPI属于隐私信息。若所述SUPI泄露，将给所述UE带来很大的风险。

发明内容

第一方面，本申请实施例提出一种通信方法，包括：首先，认证服务器功能AUSF接收统一数据管理功能(Unified Data Management，UDM)发送的终端设备的签约永久标识SUPI，其中，终端设备也称为用户设备(user equipment，UE)，该SUPI用于标识该UE；该AUSF基于该SUPI生成第一标识；该第一标识用于标识该UE；该AUSF向安全锚点功能(Security Anchor Function，SEAF)发送该第一标识；该SEAF向接入移动管理功能(Access and Mobility Management Function，AMF)发送该第一标识；该SEAF基于第一中间密钥K _SEAF、该第一标识以及架构间抗降维(Anti Bidding down Between Architectures，ABBA)参数生成第二中间密钥K _AMF；该SEAF向接入移动管理功能(Access and Mobility Management Function，AMF)发送该第二中间密钥K _AMF；该AMF基于该第二中间密钥K _AMF生成非接入层(Non-access stratum，NAS)密钥，其中，该NAS密钥用于对NAS消息进行保护。

其中，可以理解的是，NAS消息为UE与AMF之间的协议消息。

需要说明的是，本申请实施例中，在无特别说明的情况下，SEAF与AMF合设。对外显示为一个网络功能。SEAF和AMF之间的信息交互属于一个网络功能的内部动作。在本申请实施例中，SEAF与AMF可交替使用，示例性的：首先，AUSF接收UDM发送的UE的SUPI；该AUSF基于该SUPI生成第一标识；该第一标识用于标识该UE；该AUSF向AMF发送该第一标识；该AMF基于K _SEAF、该第一标识以及ABBA参数生成K _AMF；该AMF基于该K _AMF生成NAS密钥，其中，该NAS密钥用于对NAS消息进行保护。

在本申请实施例中，UE向SEAF发送消息或者信元，指的是UE向AMF发送该消息或信元，AMF将该消息或信元发送给SEAF。SEAF向UE发送消息或者信元，指的是SEAF向AMF发送该消息或信元，AMF将该消息或信元发送给UE。AUSF向AMF发送消息或者信元，指的是AUSF向SEAF发送该消息或信元，SEAF将该消息或信元发送给AMF。AMF向AUSF发送消息或者信元，指的是AMF向SEAF发送该消息或信元，SEAF将该消息或信元发送给AUSF。

本申请实施例中，AUSF生成第一标识，该第一标识用于标识UE。AUSF向SEAF发送第一标识，避免AUSF向SEAF发送SUPI，从而避免了向SEAF(或者UE的拜访网络)泄露UE的隐私信息。从而提升通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，该AUSF基于该SUPI生成该第一标识之后，还包括：

首先，该AUSF向该UDM发送该第一标识；其次，UDM接收来自AUSF的第一标识后，保存该第一标识与SUPI之间的对应关系。UDM中还保存了该SUPI标识的UE的签约数据，因此，UDM可选的保存该第一标识、该第一标识对应的SUPI、和该SUPI对应的UE的签约数据之间的对应关系。

可选的，该AUSF通过认证结果确认服务请求向该UDM发送该第一标识。该认证结果确认服务请求，用于通知UDM该终端设备的认证结果，示例性的，该认证结果确认服务请求为“Nudm_UEAuthentication_ResultConfirmation Request”消息。

本申请实施例中，UDM接收AUSF发送的第一标识后，UDM保存该第一标识与SUPI之间的对应关系。当UDM将来接收到来自AMF或者会话管理功能(Session Management Function，SMF)的携带所述第一标识的服务请求时，UDM根据本地存储的该第一标识与SUPI的对应关系，找到对应SUPI。可选的，UDM还找到该SUPI标识的UE的签约数据。

结合第一方面，在第一方面的一种可能的实现方式中，该AUSF生成该第一标识，还包括：

首先，该AUSF接收该SEAF发送的携带第一服务网络标识的第一认证请求消息，该第一认证请求消息用于请求调用AUSF提供的认证服务；其次，AUSF生成第一标识。

可选的，当满足第一条件时，则该AUSF生成该第一标识。该第一条件包括：

AUSF接收到的该第一服务网络标识包括PLMN ID和NID，或者，

AUSF接收到的该第一服务网络标识包括PLMN ID和NID，并且，第二服务网络标识包括PLMN ID不包括NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络为SNPN网络，并且UE的归属网络为PLMN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者,

AUSF的本地配置指示生成第一标识。

具体的，在本申请实施例中，该第一服务网络标识为UE拜访网络的标识，或者所述SEAF所在网络的标识，或所述AMF所在网络的标识，或者UE的服务网络的标识。在一种可选的实现方式中，示例性的，当UE拜访网络、或所述SEAF所在的网络、或所述AMF所在网络、或者所述UE的服务网络为PLMN网络时，该第一服务网络标识为该PLMN网络的公共陆地网络标识(PLMN ID)；当UE拜访网络、或所述SEAF所在网络、或AMF所在网络、或所述UE的服务网络为SNPN网络时，该第一服务网络标识为该SNPN网络的标识，即该第一服务网络标识除了包括PLMN ID外，还包括网络标识(network identifier，NID)。PLMN ID和NID共同地标识该SNPN网络。该第一服务网络标识也可以为UE拜访网络的网络名称，或者所述SEAF所在网络的网络名称，或AMF所在网络的网络名称，或者UE的服务网络的名称。在一种可选的实现方式中，示例性的，该第一服务网络标识为“5G：SN id”，其中，当所述UE的服务网络，或者所述UE的拜访网络，或所述SEAF所在的网络，或所述AMF所在网络为PLMN时，该SN id为该PLMN的PLMN ID；当所述UE的服务网络，或所述UE的拜访网络，或所述SEAF所在的网络，或AMF所在的网络为SNPN网络时，该SN id包括PLMN ID和NID，该PLMN ID和NID一起标识该SNPN网络。

在本申请实施例中，AMF可以称为服务UE的AMF，SEAF也可以称为服务UE的SEAF。

具体的，该第二服务网络标识为UE归属网络的网络标识，或者所述AUSF所在网络的网络标识，或UDM所在网络的网络标识。在一种可选的实现方式中，示例性的，当UE归属网络，或所述AUSF所在网络，或UDM所在网络为PLMN网络时，该第二服务网络标识为该PLMN网络的PLMN ID；当UE归属网络，或所述AUSF所在网络，或UDM所在网络为SNPN网络时，该第二服务网络标识为该SNPN网络的标识，即该第二服务网络标识包括PLMN ID和NID。PLMN ID和NID共同标识SNPN网络。该第二服务网络标识也可以为UE归属网络的网络名称，或者所述AUSF所在网络的网络名称，或UDM所在网络的网络名称。在一种可选的实现方式中，示例性的，该第二服务网络标识为“5G：SN id”，其中，当UE归属网络，或所述AUSF所在网络，或UDM所在网络为PLMN网络时，该SN id为该PLMN网络的PLMN ID；当UE归属网络，或所述UDM所在网络，或AUSF所在网络为SNPN网络时，该SN id包括PLMN ID和NID，该PLMN ID和NID一起标识该SNPN网络。

可选的，该第一服务网络标识携带在第一认证请求中，该第一认证请求用于请求调用AUSF提供的认证服务。可选的，该第一认证请求为“Nausf_UEAuthentication_Authenticate Request”消息。

本申请实施例中，AUSF接收SEAF发送的第一服务网络标识后，确定是否生成第一标识。当该第一服务网络标识包括PLMN ID和NID时，或者其他确定条件满足时，AUSF生成第一标识。AUSF将该第一标识发送给SEAF或者拜访网络，避免了泄露终端设备的隐私信息，从而提升通信的安全性。

结合第一方面，在第一方面的一种可能的实现方式中，该SEAF基于该第一中间密钥K _SEAF、该第一标识以及该ABBA生成该第二中间密钥K _AMF之前，还包括：

该UDM或者认证凭据仓库及处理功能(Authentication credential Respository and Processing Function，ARPF)基于该UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；该UDM或ARPF基于该第三中间密钥CK和该第四中间密钥IK，生成第五中间密钥K _AUSF；该UDM将该第五中间密钥K _AUSF发送至该AUSF；该AUSF基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF；该AUSF将该第一中间密钥K _SEAF发送给该SEAF。

本申请实施例中，该通信方法可以应用于认证方式：5G认证和密钥协商(5G Authentication and Key Agreement，5G AKA)，提升了方案的实现灵活性。

该UDM或ARPF基于该UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；该UDM或ARPF基于该第三中间密钥CK和该第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；该UDM将该第六中间密钥CK’和该第七中间密钥IK’发送至该AUSF；该AUSF基于该第六中间密钥CK’和该第七中间密钥IK’生成第五中间密钥K _AUSF，并基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF；该AUSF将该第一中间密钥K _SEAF发送给该SEAF。

本申请实施例中，该通信方法可以应用于认证方式：第三代认证和密钥协商的改进扩展认证协议方式(Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement，EAP-AKA')，提升了方案的实现灵活性。

结合第一方面，在第一方面的一种可能的实现方式中，该AUSF向SEAF发送该第一标识，还包括：

该AUSF向SEAF发送第三认证服务响应消息，该第三认证服务响应中包括该第一标识。示例性的，该认证服务响应为：“Nausf_UEAuthentication_Authenticate Response”消息。

结合第一方面，在第一方面的一种可能的实现方式中，该SEAF向接入移动管理功能(Access and Mobility Management Function，AMF)发送该第一标识之后，还包括：

AMF接收该第一标识。AMF向SMF发送该第一标识。比如，AMF通过会话管理上下文创建服务请求向SMF发送该第一标识，该会话管理上下文创建服务请求用于向SMF请求创建UE的会话上下文或者用于向SMF请求创建会话。示例性的，该会话管理上下文创建服务请求为“Nsmf_PDUSession_CreateSMContext Request”消息。

结合第一方面，在第一方面的一种可能的实现方式中，该AUSF生成第一标识之后，还包括：

AUSF向AMF发送第一指示，用于指示生成第一标识；

AMF根据该第一指示，向UE发送第二指示，用于指示生成第一标识；

UE基于第二指示，生成第一标识。

第二方面，本申请实施例提出了一种通信方法，包括：UE基于该UE的SUPI生成第一标识；该UE基于第一中间密钥K _SEAF、该第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；该UE基于该第二中间密钥K _AMF生成NAS密钥，其中，该NAS密钥用于对NAS消息进行保护。

本申请实施例中，UE基于UE的SUPI生成第一标识，该第一标识用于标识该UE。该UE基于该第一标识生成一系列密钥，并最终生成NAS密钥，该NAS密钥用于对NAS消息进行保护。UE与网络侧采用相同的方法生成第一标识，以及生成NAS密钥，并使用该NAS密钥对NAS消息进行保护。保障了终端设备与网络设备之间的正常通信。

结合第二方面，在第二方面的一种可能的实现方式中，该UE基于该SUPI生成该第一标识之前，还包括：

该UE向AMF发送注册请求消息；

该UE基于该SUPI生成该第一标识，包括：UE确定第二条件满足时，则UE基于该SUPI生成第一标识；否则UE不生成第一标识。第二条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

第一服务网络标识包括PLMN ID和NID，并且，第二服务网络标识包括PLMN ID但不包括NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

UE接收来自AMF的第二指示，第二指示用于指示UE生成第一标识。

本申请实施例中，UE在发送注册请求之前，UE选择服务网络，获取第一网络标识。UE和网络侧采用相同的方法生成第一标识，将第一标识用于密钥推衍，保证网络侧与UE之间正常通信。

结合第二方面，在第二方面的一种可能的实现方式中，该UE基于该第一中间密钥K _SEAF、该第一标识以及该架构间抗降维参数ABBA生成该第二中间密钥K _AMF之前，还包括：

该UE获取第三中间密钥CK和第四中间密钥IK；该UE基于该第三中间密钥CK和该第四中间密钥IK，生成第五中间密钥K _AUSF；该UE基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF。

在本申请实施例中，该UE获取第三中间密钥CK和第四中间密钥IK，包括：

该UE上的全球签约用户身份模块(Universal Subscriber Identity Module，USIM)基于UE的长期密钥生成第三中间密钥CK和第四中间密钥IK。该USIM将该第三中间密钥CK和第四中间密钥IK发送给UE。

本申请实施例中，该通信方法可以应用于认证方式5G AKA，提升了方案的实现灵活性。

结合第二方面，在第二方面的一种可能的实现方式中，该UE基于该第一中间密钥K _SEAF、该第一标识以及该架构间抗降维参数ABBA生成第二中间密钥K _AMF之前，还包括：

该UE获取第三中间密钥CK和第四中间密钥IK；该UE基于该第三中间密钥CK和该第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；该UE基于该第六中间密钥CK’和该第七中间密钥IK’生成第五中间密钥K _AUSF；该UE基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF。

本申请实施例中，该通信方法可以应用于认证方式EAP-AKA’，提升了方案的实现灵活性。

结合第二方面，在第二方面的一种可能的实现方式中，该UE基于该第一中间密钥K _SEAF、该第一标识以及该架构间抗降维参数ABBA生成该第二中间密钥K _AMF，包括：

该UE基于该第一中间密钥K _SEAF、该第一标识、该第一标识的长度、该ABBA以及该ABBA的长度生成该第二中间密钥K _AMF。

UE接收到AMF发送的第二指示，用于指示生成第一标识；

UE根据该第二指示，生成第一标识。

第三方面，本申请实施例提出了一种通信方法，包括：

UDM基于终端设备UE的SUPI生成第一标识；

该UDM向AUSF发送该第一标识；

该AUSF向SEAF发送该第一标识；

该SEAF向该AMF发送该第一标识；

该SEAF基于第一中间密钥K _SEAF、该第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

该SEAF向AMF发送该第二中间密钥K _AMF；

该AMF基于该第二中间密钥生成NAS密钥，其中，该NAS密钥用于对NAS消息进行保护。

本申请实施例中，UDM生成第一标识，该第一标识用于标识该UE。该UE的归属网络(UDM通过AUSF)向该UE的拜访网络(AMF或SEAF)发送该第一标识，避免归该UE的属网络(UDM通过AUSF)向该UE的拜访网络(AMF或SEAF)发送UE的SUPI。由于该SUPI属于该UE的隐私信息，从而避免了泄露该UE的隐私信息，提升了通信的安全性。

结合第三方面，在第三方面的一种可能的实现方式中，该UDM基于该UE的SUPI生成该第一标识，包括：

该AUSF接收该AMF发送的第一认证请求消息，该第一认证请求消息携带第一服务网络标识，该第一认证请求消息用于请求调用AUSF提供的认证服务；

该AUSF向该UDM发送认证向量请求消息，该认证向量请求消息携带该第一服务网络标识，该认证向量请求消息用于请求调用UDM提供的认证向量服务，或者用于请求调用UDM提供的认证服务；

该UDM生成该第一标识。

结合第三方面，在第三方面的一种可能的实现方式中，包括：该第三条件满足时，UDM基于该UE的SUPI生成该第一标识。

该第三条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UDM本地配置指示生成第一标识。

在本申请实施例中，UE的拜访网络和UE的归属网络为两个不同的网络，表示，UE的拜访网络是SNPN，UE的归属网络是PLMN，或者，UE的拜访网络是PLMN，UE的归属网络是SNPN。

结合第三方面，在第三方面的一种可能的实现方式中，UDM生成该第一标识之后，还包括：

该UDM保存该第一标识与该SUPI的对应关系。

结合第三方面，在第三方面的一种可能的实现方式中，该SEAF基于该第一中间密钥K _SEAF、该第一标识以及该ABBA生成该第二中间密钥K _AMF之前，还包括：

该UDM或ARPF基于该UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

该UDM基于该第三中间密钥CK和该第四中间密钥IK，生成第五中间密钥K _AUSF；

该UDM将该第五中间密钥K _AUSF发送至该AUSF；

该AUSF基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF；

该AUSF将该第一中间密钥K _SEAF发送给该SEAF。

该UDM基于该UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

该UDM基于该第三中间密钥CK和该第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

该UDM将该第六中间密钥CK’和该第七中间密钥IK’发送至该AUSF；

该AUSF基于该第六中间密钥CK’和该第七中间密钥IK’生成第五中间密钥K _AUSF，并基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF；

该AUSF将该第一中间密钥K _SEAF发送给该SEAF。

UDM接收到AMF或者SMF的携带第一标识的服务请求；

UDM根据该第一标识，找到对应的SUPI。可选的，UDM找到该SUPI标识的UE的签约数据。

第四方面，本申请实施例提出一种通信方法，包括：

UDM被配置第一协议网络支持的认证方式；

该UDM接收AUSF发送的第一服务网络标识；

该UDM基于该第一服务网络标识以及本地配置的第一协议网络支持的认证方式，选择使用的认证方式；

该UDM向该AUSF发送该选择使用的认证方式。

需要说明的是，在本申请实施例中，该第一协议网络指与UDM所在的网络可互通的任何网络，比如UE的拜访网络，或者UE的服务网络，或者服务UE的AMF所在的网络，或者服务UE的SEAF所在的网络。该第一协议网络支持的认证方式也称为服务UE的AMF或SEAF支持的认证方式，或者UE的拜访网络支持的认证方式，或者UE的服务网络支持的认证方式。

结合第四方面，在第四方面的一种可能的实现方式中，该UDM接收AUSF发送的第一服务网络标识，包括：

AUSF向UDM发送的携带第一服务网络标识的认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务。

结合第四方面，在第四方面的一种可能的实现方式中，该UDM向该AUSF发送该选择使用的认证方式，包括：

UDM向AUSF发送认证向量响应消息，在该认证向量响应消息中携带选择的认证方式。该认证向量响应消息，用于响应接收到的认证向量请求消息。

本申请实施例中，UDM预先被配置了第一协议网络支持的认证方式。当UDM接收到来自AUSF的第一服务网络标识后，UDM可以基于该第一服务网络标识和本地被配置的第一协议网络支持的认证方式，选择使用的认证方式，避免了归属网络(或UDM)选择拜访网络(或AMF，或SEAF)不支持的认证方法，导致认证失败的结果。

第五方面，本申请实施例提出一种通信方法，包括：

UDM接收AUSF发送的第一认证方式；

该UDM根据接收到的第一认证方式选择使用的认证方式；

该UDM向该AUSF发送该选择使用的认证方式。

结合第五方面，在第五方面的一种可能的实现方式中，该UDM接收AUSF发送的第一认证方式，包括：

AUSF向UDM发送认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务，该认证向量请求消息中携带第一认证方式。

结合第五方面，在第五方面的一种可能的实现方式中，该UDM向该AUSF发送该选择使用的认证方式，包括：

结合第五方面，在第五方面的一种可能的实现方式中，该UDM接收AUSF发送的第一认证方式之前，包括：

AUSF接收到SEAF发送的第一认证方式。

示例性的，AUSF接收SEAF发送的第一认证请求消息，该第一认证请求消息用于请求调用AUSF提供的认证服务，该第一认证请消息中携带第一认证方式。第一认证方式指的是SEAF支持的认证方式，或者UE的服务网络支持的认证方式，或者UE的拜访网络支持的认证方式。

第六方面，本申请实施例提出一种通信装置，包括：

收发模块，用于接收统一数据管理UDM发送的终端设备的签约永久标识SUPI，其中，SUPI用于标识UE；

处理模块，用于基于SUPI生成第一标识；

收发模块，还用于向安全锚点功能SEAF发送第一标识；

处理模块，还用于基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

收发模块，还用于向接入移动管理功能AMF发送第二中间密钥K _AMF；

处理模块，还用于基于第二中间密钥K _AMF生成非接入层NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

结合第六方面，在第六方面的一种可能的实现方式中，收发模块，还用于向UDM发送第一标识；

收发模块，还用于接收第一标识，并保存第一标识与SUPI之间的对应关系。

结合第六方面，在第六方面的一种可能的实现方式中，

收发模块，还用于接收AMF发送的第一服务网络标识；

处理模块，用于生成第一标识，具体包括：

当第一服务网络标识包括公共陆地移动网络标识PLMN ID和网络标识NID时，

或者，当第一服务网络标识包括PLMN ID和NID，并且，认证服务模块功能AUSF所在网络的标识包括PLMN ID但不包括NID时，处理模块用于生成第一标识。

结合第六方面，在第六方面的一种可能的实现方式中，

处理模块，还用于基于UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

处理模块，还用于基于第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF；

收发模块，还用于将第五中间密钥K _AUSF发送至AUSF；

处理模块，还用于基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

处理模块，还用于将第一中间密钥K _SEAF发送给SEAF。

结合第六方面，在第六方面的一种可能的实现方式中，

处理模块，还用于基于第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

收发模块，还用于将第六中间密钥CK’和第七中间密钥IK’发送至AUSF；

处理模块，还用于基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF，并基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

收发模块，还用于将第一中间密钥K _SEAF发送给SEAF。

结合第六方面，在第六方面的一种可能的实现方式中，

收发模块，还用于接收AMF发送的AMF支持的认证方式；

收发模块，还用于向UDM发送接收到的AMF支持的认证方式；

处理模块，还用于基于AMF支持的认证方式选择使用的认证方式；

收发模块，还用于向AUSF发送选择使用的认证方式；

收发模块，还用于基于选择使用的认证方式向AMF发送认证响应。

第七方面，本申请实施例提出一种通信装置，包括：

处理模块，用于基于终端设备的签约永久标识SUPI生成第一标识；

处理模块，还用于基于第二中间密钥K _AMF生成NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

结合第七方面，在第七方面的一种可能的实现方式中，

收发模块，用于向接入移动管理功能AMF发送注册请求，注册请求中携带第一服务网络标识；

处理模块，用于基于SUPI生成第一标识，具体包括：

处理模块确定第二条件满足时，则处理模块基于该SUPI生成第一标识；否则UE不生成第一标识。第二条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

结合第七方面，在第七方面的一种可能的实现方式中，

收发模块，还用于获取第三中间密钥CK和第四中间密钥IK；

处理模块，还用于基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF。

结合第七方面，在第七方面的一种可能的实现方式中，

收发模块，还用于获取第三中间密钥CK和第四中间密钥IK；

处理模块，还用于基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF；

结合第七方面，在第七方面的一种可能的实现方式中，

处理模块，还用于基于第一中间密钥K _SEAF、第一标识、第一标识的长度、ABBA以及ABBA的长度生成第二中间密钥K _AMF。

第八方面，本申请实施例提出一种通信装置，包括：

处理模块，用于基于SUPI生成第一标识；

收发模块，用于向认证服务器功能网元AUSF发送该第一标识；

收发模块，还用于向安全锚点功能网元SEAF发送该第一标识；

收发模块，还用于向移动管理功能网元AMF发送该第一标识；

处理模块，还用于基于第一中间密钥K _SEAF、该第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

收发模块，还用于向移动管理功能网元AMF发送该第二中间密钥；

处理模块，还用于基于该第二中间密钥生成非接入层NAS密钥，其中，该NAS密钥用于对NAS消息进行保护。

结合第八方面，在第八方面的一种可能的实现方式中，

收发模块，还用于接收该AMF发送的第一服务网络标识；

收发模块，还用于向UDM发送第一服务网络标识；

处理模块，用于生成第一标识，具体包括：

该第三条件满足时，处理模块，用于基于该UE的SUPI生成该第一标识，该第三条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UDM本地配置指示生成第一标识。

结合第八方面，在第八方面的一种可能的实现方式中，

处理模块，还用于保存第一标识与SUPI的对应关系。

结合第八方面，在第八方面的一种可能的实现方式中，

收发模块，还用于将第五中间密钥K _AUSF发送至AUSF；

收发模块，还用于将第一中间密钥K _SEAF发送给SEAF。

结合第八方面，在第八方面的一种可能的实现方式中，

收发模块，还用于将第一中间密钥K _SEAF发送给SEAF。

第九方面，本申请实施例提出一种通信装置，包括：

收发模块，用于被配置第一协议网络支持的认证方式；

收发模块，还用于接收认证服务器功能网元AUSF发送的第一服务网络标识；

处理模块，用于基于该第一服务网络标识以及本地配置的第一协议网络支持的认证方式，选择使用的认证方式；

收发模块，还用于向AUSF发送选择使用的认证方式。

结合第九方面，在第九方面的一种可能的实现方式中，

收发模块，还用于向UDM发送的携带第一服务网络标识的认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务。

结合第九方面，在第九方面的一种可能的实现方式中，

收发模块，还用于向AUSF发送认证向量响应消息，在该认证向量响应消息中携带选择的认证方式。该认证向量响应消息，用于响应接收到的认证向量请求消息。

第十方面，本申请实施例提出一种通信装置，包括：

收发模块，用于接收AUSF发送的第一认证方式；

处理模块，用于根据接收到的第一认证方式选择使用的认证方式；

收发模块，还用于向该AUSF发送该选择使用的认证方式。

结合第十方面，在第十方面的一种可能的实现方式中，可以包括：

收发模块，还用于向UDM发送认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务，该认证向量请求消息中携带第一认证方式。

收发模块，还用于接收到SEAF发送的第一认证方式。

第十一方面，本申请实施例提供了一种网络设备，包括：

收发器，还用于接收统一数据管理UDM发送的终端设备的签约永久标识SUPI，其中，SUPI用于标识UE；

处理器，还用于基于SUPI生成第一标识；

收发器，还用于向安全锚点功能SEAF发送第一标识；

处理器，还用于基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

收发器，还用于向接入移动管理功能AMF发送第二中间密钥K _AMF；

处理器，还用于基于第二中间密钥K _AMF生成非接入层NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

结合第十一方面，在第十一方面的一种可能的实现方式中，

收发器，还用于向UDM发送第一标识；

收发器，还用于接收第一标识，并保存第一标识与SUPI之间的对应关系。

结合第十一方面，在第十一方面的一种可能的实现方式中，

收发器，还用于接收AMF发送的第一服务网络标识；

处理器，用于生成第一标识，具体包括：

或者，当第一服务网络标识包括PLMN ID和NID，并且，认证服务器功能AUSF所在网络的标识包括PLMN ID但不包括NID时，处理器，用于生成第一标识。

结合第十一方面，在第十一方面的一种可能的实现方式中，

处理器，还用于基于UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

处理器，还用于基于第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF；

收发器，还用于将第五中间密钥K _AUSF发送至AUSF；

处理器，还用于基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

处理器，还用于将第一中间密钥K _SEAF发送给SEAF。

结合第十一方面，在第十一方面的一种可能的实现方式中，

处理器，还用于基于第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

收发器，还用于将第六中间密钥CK’和第七中间密钥IK’发送至AUSF；

处理器，还用于基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF，并基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

收发器，还用于将第一中间密钥K _SEAF发送给SEAF。

结合第十一方面，在第十一方面的一种可能的实现方式中，

收发器，还用于接收AMF发送的AMF支持的认证方式；

收发器，还用于向UDM发送接收到的AMF支持的认证方式；

处理器，还用于基于AMF支持的认证方式选择使用的认证方式；

收发器，还用于向AUSF发送选择使用的认证方式；

收发器，还用于基于选择使用的认证方式向AMF发送认证响应。

第十二方面，本申请实施例提供了一种终端设备，包括：

处理器，还用于基于终端设备的签约永久标识SUPI生成第一标识；

处理器，还用于基于第二中间密钥K _AMF生成NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

结合第十二方面，在第十二方面的一种可能的实现方式中，终端设备还包括收发器；

收发器，还用于向接入移动管理功能AMF发送注册请求，注册请求中携带第一服务网络标识；

处理器，用于基于SUPI生成第一标识，具体包括：

处理器确定第二条件满足时，则处理器基于该SUPI生成第一标识；否则处理器不生成第一标识，第二条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

结合第十二方面，在第十二方面的一种可能的实现方式中，

收发器，还用于获取第三中间密钥CK和第四中间密钥IK；

处理器，还用于基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF。

结合第十二方面，在第十二方面的一种可能的实现方式中，

收发器，还用于获取第三中间密钥CK和第四中间密钥IK；

处理器，还用于基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF；

结合第十二方面，在第十二方面的一种可能的实现方式中，

处理器，还用于基于第一中间密钥K _SEAF、第一标识、第一标识的长度、ABBA以及ABBA的长度生成第二中间密钥K _AMF。

第十三方面，本申请实施例提供了一种网络设备，包括：

处理器，用于基于SUPI生成第一标识；

收发器，用于向认证服务器功能网元AUSF发送该第一标识；

收发器，还用于向安全锚点功能网元SEAF发送该第一标识；

处理器，还用于基于第一中间密钥K _SEAF、该第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

收发器，还用于向移动管理功能网元AMF发送该第二中间密钥；

处理器，还用于基于该第二中间密钥生成非接入层NAS密钥，其中，该NAS密钥用于对NAS消息进行保护。

结合第十三方面，在第十三方面的一种可能的实现方式中，

收发器，还用于接收该AMF发送的第一服务网络标识；

收发器，还用于向UDM发送第一服务网络标识；

处理器，用于生成第一标识，具体包括：

该第三条件满足时，处理器，用于基于该UE的SUPI生成该第一标识，该第三条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UDM本地配置指示生成第一标识。

结合第十三方面，在第十三方面的一种可能的实现方式中，

处理器，还用于保存第一标识与SUPI的对应关系。

结合第十三方面，在第十三方面的一种可能的实现方式中，

收发器，还用于将第五中间密钥K _AUSF发送至AUSF；

收发器，还用于将第一中间密钥K _SEAF发送给SEAF。

结合第十三方面，在第十三方面的一种可能的实现方式中，

收发器，还用于将第一中间密钥K _SEAF发送给SEAF。

第十四方面，本申请实施例提供了一种网络设备，包括：

收发器，用于被配置第一协议网络支持的认证方式；

收发器，还用于接收认证服务器功能网元AUSF发送的第一服务网络标识；

处理器，用于基于该第一服务网络标识以及本地配置的第一协议网络支持的认证方式，选择使用的认证方式；

收发器，还用于向AUSF发送选择使用的认证方式。

结合第十四方面，在第十四方面的一种可能的实现方式中，

收发器，还用于向UDM发送的携带第一服务网络标识的认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务。

结合第十四方面，在第十四方面的一种可能的实现方式中，

收发器，还用于向AUSF发送认证向量响应消息，在该认证向量响应消息中携带选择的认证方式。该认证向量响应消息，用于响应接收到的认证向量请求消息。

第十五方面，本申请实施例提供了一种网络设备，包括：

收发模块，用于接收AUSF发送的第一认证方式；

收发模块，还用于向该AUSF发送该选择使用的认证方式。

结合第十五方面，在第十五方面的一种可能的实现方式中，可以包括：

收发器，还用于向UDM发送认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务，该认证向量请求消息中携带第一认证方式。

收发器，还用于接收到SEAF发送的第一认证方式。

第十六方面，本申请实施例提供了一种通信装置，该通信装置可以实现上述第一、第二、第三、第四、第五方面所涉及方法中AUSF、UDM、AMF(或SEAF)或终端设备所执行的功能。该通信装置包括处理器、存储器以及与该处理器连接的收发器；该存储器用于存储程序代码，并将该程序代码传输给该处理器；该处理器用于基于该程序代码中的指令驱动该收发器执行如上述第一、二、三、四或五方面的方法；接收器和发射器分别与该处理器连接，以执行上述各个方面的该的方法中AUSF、UDM、AMF(或SEAF)或终端设备的操作。具体地，收发器可以是射频电路，该射频电路通过天线实现接收与发送消息；该收发器还可以是通信接口，处理器与该通信接口通过总线连接，该处理器通过该通信接口实现接收或发送消息。

第十七方面，本申请实施例提供一种通信装置，该通信装置可以包括网络设备或终端设备或者芯片等实体，该通信装置包括：处理器，存储器；该存储器用于存储指令；该处理器用于执行该存储器中的该指令，使得该通信装置执行如前述第一方面或第二方面或第三方面或第四方面或第五方面中任一项可能的实现方法。

第十八方面，本申请实施例提供了一种存储一个或多个计算机执行指令的计算机可读存储介质，当该计算机执行指令被处理器执行时，该处理器执行如前述第一方面或第二方面或第三方面或第四方面中任意一种可能的实现方式。

第十九方面，本申请实施例提供一种存储一个或多个计算机执行指令的计算机程序产品(或称计算机程序)，当该计算机执行指令被该处理器执行时，该处理器执行前述第一方面或第二方面或第三方面或第四方面或第五方面中任一项可能的实现方法。

第二十方面，本申请提供了一种芯片系统，该芯片系统包括处理器，用于支持计算机设备实现上述方面中所涉及的功能。在一种可能的设计中，该芯片系统还包括存储器，该存储器，用于保存计算机设备必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第二十一方面，本申请提供了一种通信系统，该通信系统包括如上述第十方面、第十二方面、第十三方面、或第十四方面中的网络设备，和/或，上述第十一方面的终端设备。

附图说明

图1a为本申请实施例提供的5G通信系统示意图；

图1b为第五代移动通信系统的密钥架构示意图；

图1c为本申请实施例中5G认证的流程示意图；

图2为本申请实施例中通信装置的硬件结构示意图；

图3为本申请实施例提供的一种通信方法的实施例示意图；

图4为本申请实施例中又一种通信方法的实施例示意图；

图5为本申请实施例中又一种通信方法的实施例示意图；

图6为本申请实施例中又一种通信方法的实施例示意图；

图7为本申请实施例中通信装置的一种实施例示意图；

图8为本申请实施例中通信装置的又一种实施例示意图；

图9为本申请实施例中通信装置的一种实施例示意图；

图10为本申请实施例中通信装置的一种实施例示意图；

图11为本申请实施例中通信装置的一种实施例示意图。

具体实施方式

本申请的说明书和权利要求书及上述附图中的术语“第一”、第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚地描述。在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的对应关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请的描述中，“至少一项”是指一项或者多项，“多项”是指两项或两项以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。

在本申请中，网络功能(例如：接入和移动管理功能，安全锚点功能，统一数据管理功能，或认证服务器功能等等)或者终端设备UE基于A生成B，可以表示网络功能接收到A之后生成B，或者网络功能使用A作为参数生成B。网络功能接收到A之后生成B，可以是网络功能接收到A之后任意时刻生成B。当网络功能使用A作为参数生成B时，指网络功能生成B时使用的参数包括A，也可能包括除了A之外的其他参数。在本申请中，网络功能根据A生成B，指网络功能生成B使用的参数包括A，也可能包括除了A之外的其他参数。

图1a示出了本申请实施例提供的5G通信系统示意图。在5G移动网络架构中，移动网关的控制面功能和转发面功能解耦，其分离出来的控制面功能与第三代合作伙伴计划(third generation partnership project，3GPP)传统的控制网元移动性管理实体(mobility management entity，MME)等合并成统一的控制面(control plane)功能。用户面功能(User plane function，UPF)能实现服务网关(serving gateway，SGW)和分组数据网络网关(packet data network gateway，PGW)的用户面功能(SGW-U和PGW-U)。进一步的，统一的控制面功能可以分解成接入和移动管理功能(access and mobility management function，AMF)和会话管理功能(session management function，SMF)。

如图1a所示，该通信系统至少包括终端设备，也称为用户设备(user equipment，UE)、接入与移动管理功能AMF、认证服务器功能(authentication server function，AUSF)，统一数据管理(unified data management，UDM)功能，无线接入网(Radio Access Network，RAN)网元，和会话管理功能(Session Management Function，SMF)。

需要说明的是，UE与AMF之间的交互都是通过RAN，即本申请实施例中，UE向AMF发送的消息，指的是UE向RAN发送该消息，RAN将该消息发送给AMF；AMF向UE发送的消息，指的是AMF向RAN发送该消息，RAN将该消息发送给UE。

具体的，UE过N1接口与AMF通信；AMF通过N12接口与AUSF通信；AMF通过N8接口与UDM通信；AUSF通过N13接口与UDM通信；AMF通过N11接口与SMF通信。

其中，本系统中所涉及到的终端设备不受限于5G网络，包括：手机、物联网设备、智能家居设备、工业控制设备、车辆设备等等。本申请实施例中，终端设备为各种具有线通信功能的终端设备或装置，例如：移动电话(或称为“蜂窝”电话)和具有移动终端的计算机，还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)等设备。通信设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、用户设备(user device)、或用户装备(user equipment，UE)。例如车辆、车载设备、车载模块或单元、路测基础设备、手持设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，例如车辆用户设备(vehicle user equipment，VUE)或空调用户设备等等。

RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲，它驻留某个设备之间(如移动电话、一台计算机，或任何远程控制机)，并提供与其核心网的连接。RAN设备包括但不限于：5G中的(gnodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(Base Band Unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等，此外，还可以包括无线保真(wireless fidelity，wifi)接入点(access point，AP)等。

本系统中所涉及到的AMF网元可负责终端设备的注册、移动性管理、跟踪区更新流程等。AMF网元也可称为AMF设备或AMF实体。

本系统中所涉及到的AUSF网元能够提供对用户设备的鉴权控制。

本系统中所涉及到的UDM网元能够存储用户的签约数据。例如，用户的签约数据包括移动性管理相关的签约数据以及会话管理相关的签约数据。所述UDM网元也可称为UDM设备或UDM实体。

本系统中所涉及到的还包括SMF，可负责终端设备的会话管理。例如，会话管理包括用户面设备的选择、用户面设备的重选、IP地址分配、服务质量(quality of service，QoS)控制，以及会话的建立、修改或释放等。

可选的，上述5G通信系统中还包括无线接入网(radio access network，RAN)设备。RAN设备是一种用于为终端设备提供无线通信功能的装置。RAN设备可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如，在LTE系统中，称为演进的节点B(evolved NodeB，eNB或者eNodeB)，在第三代(3rd generation，3G)系统中，称为节点B(NodeB)等。在新一代系统中，称为gNB(gNodeB)。

可选的，上述5G通信系统中还包括UPF网元，可以实现用户报文的转发、统计和检测等功能。UPF网元也可称为UPF设备或UPF实体。

可选的，上述5G通信系统中还包括策略控制功能(policy control function，PCF)网元。该网元包括策略控制和基于流计费控制的功能。例如，PCF网元可实现用户签约数据管理功能、策略控制功能、计费策略控制功能、QoS控制等。PCF网元可也称为PCF实体或PCF设备。

可选的，图1a所示的网元中，还可以包括安全锚点功能(security anchor function，SEAF)网元，其中，SEAF网元与AMF网元合设。

需要说明的是，在图1a中，还可包括其它的网元(或称为功能实体)，例如：SMF网元：负责终端会话；例如有，建立用户面传输路径、释放和更改等会话管理功能、选择UPF网元分配、互联网协议(internet protocol，IP)地址、会话的服务质量(quality of service，QoS)管理、从PCF网元获取策略控制和计费(policy control and charging，PCC)策略等。NEF网元：负责连接SMF网元与外部DN网络，可以包括第三方认证网元。UPF网元：作为PDU网元会话连接的锚定点，负责对终端的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。PCF网元：为网络网元分配参考信息，例如，为SMF网元或NEF网元分配参考信息。网络切片选择功能(network slice selection function，NSSF)：用于为UE选择合适的网络切片。数据网络(data network，DN)：提供外部数据网络服务。应用功能(application function，AF)：应用功能，用于为外部应用与核心网的PCF网元之间进行交互，主要用于对应用所对应的IP连接访问网络(IP-connectivity access network，IP-CAN)进行策略和计费控制。在这里仅重点描述本申请涉及的几个网元(功能实体)。各网元之间通过Nx接口连接(例如图中的N1、N8等)。

对于现有技术中的网络切片架构，UPF网元和SMF网元是每个网络切片独有的网元，而AMF网元、PCF网元、AUSF网元和UDM网元是多个网络切片共享的网元。所以在现有架构中，AUSF网元和UDM网元中的终端设备的安全和隐私信息(例如：用户的标识、签约数据、策略、通信数据安全等)还是由运营商公网进行控制管理。

上述各网元既可以是在专用硬件上实现的网络元件，也可以是在专用硬件上运行的软件实例，或者是在适当平台上虚拟化功能的实例，例如，上述虚拟化平台可以为云平台。

此外，本申请实施例还可以适用于面向未来的其他通信技术，例如6G等。本申请描述的网络架构以及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对本申请提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

作为一种新的应用场景，3GPP提出了一种可支持服务提供商(Service Provider，SP)的独立非公共网络(Standalone Non-Public Network，SNPN)架构。在该架构中，SP承担归属网络(home network)的角色，SNPN承担了拜访网络(Visited Network)的角色，其中，SP拥有终端设备的签约数据(Subscription)和凭据(Credential)。示例性的，智能手机选择智能手机的服务网络，获取第一服务网络标识。智能手机通过基站接入拜访网络(Visited Network)时，该智能手机向拜访网络中AMF发送注册请求。

在UE侧，该智能手机基于向AMF发送的注册请求消息。

在网络侧，该AMF发起认证流程，该AMF向AUSF发送第一认证请求消息，第一认证请求消息用于请求调用AUSF提供的认证服务，该第一认证请求消息中携带第一服务网络标识。该AUSF属于UE的归属网络(home network)。第一认证请求消息中还携带AMF支持的认证方式。

该AUSF向UDM发送认证向量请求消息，该认证向量请求消息中携带第一服务网络标识和接收到到AMF支持的认证方式。UDM根据接收到的AMF支持的认证方式，选择使用的认证方式。UDM基于该选择使用的认证方式，生成认证向量。UDM向AUSF发送认证向量响应消息，该认证向量响应消息中携带该选择使用的认证方式和UDM生成的认证向量。该认证向量响应消息中还包括UE的SUPI。该认证向量中可以包括认证令牌(authentication token，AUTN)，随机数(RAND)，以及预期响应(eXpected response，XRES或XRES*)。该认证向量中还可以包括第五中间密钥K _AUSF，或者，第六中间密钥CK’和第七中间密钥IK’。

AUSF接收该认证向量响应消息后，向AMF发送认第一认证响应消息，该认证响应中携带AUTN和RAND。当AUSF接收到第六中间密钥CK’和第七中间密钥IK’后，AUSF计算第五中间密钥K _AUSF。

收到携带认证令牌AUTN和RAND的第一认证响应消息后，AMF向该智能手机发送第二认证请求消息，该第二认证请求消息中携带AUTN和RAND。

在UE侧，该智能手机根据接收到的第二认证请求消息，计算响应(Response，RES或RES*)。该智能手机向AMF发送第二认证响应消息，该第二认证响应消息中携带计算的响应(RES或RES*)。UE还确定是否要生成第一标识。如果第二条件满足，则UE生成第一标识。第二条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

UE还生成密钥。具体的，UE(或者全球签约用户身份模块(universal subscriber identity module，USIM))基于接收到的RAND和长期密钥K，生成第三中间密钥CK和第四中间密钥IK。UE生成第五中间密钥K _AUSF。UE生成第五中间密钥K _AUSF，可以包括：UE基于第三中间密钥CK，第四中间密钥IK生成第五中间密钥K _AUSF，或者，UE基于第三中间密钥CK，第四中间密钥IK生成第六中间密钥CK’和第七中间密钥IK’，然后UE基于第六中间密钥CK’和第七中间密钥IK’，生成第五中间密钥K _AUSF。UE根据第五中间密钥K _AUSF生成第一中间密钥K _SEAF。UE基于第一中间密钥K _SEAF，第一标识，和ABBA参数，生成第二中间密钥K _AMF。该智能手机基于该第二中间密钥K _AMF生成非接入层(Non-Access Stratum，NAS)密钥，该NAS密钥用于对NAS层信息进行保护。

在网络侧，AMF接收到来自该智能手机的第二认证响应消息后，AMF向AUSF发送第三认证请求消息给AUSF，该第三认证请求消息中携带接收到的RES或RES*。AUSF验证接收到的RES或RES*，具体的，验证接收到的RES或RES*与从UDM获取到的预期响应(XRES或XRES*)是否相同。校验成功后，AUSF确定是否生成第一标识，具体的，如果第一条件满足时，AUSF生成第一标识。第一条件包括：

AUSF接收到的该第一服务网络标识包括PLMN ID和NID，或者，

AUSF接收到的该第一服务网络标识包括PLMN ID和NID，并且，第二服务网络标识包括PLMN ID但不包括NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

AUSF本地配置指示生成第一标识。

AUSF基于该智能手机的SUPI生成第一标识。AUSF生成该第一标识后，向SEAF发送第一标识。SEAF基于第一中间密钥K _SEAF、ABBA参数和第一标识生成第二中间密钥K _AMF；SEAF向AMF发送第二中间密钥K _AMF；AMF基于第二中间密钥K _AMF生成非接入层NAS密钥，其中，NAS密钥用于对NAS消息进行保护。AUSF生成第一标识后，向UDM发送该第一标识。UDM接收第一标识，并保存第一标识与SUPI之间的对应关系。在本应用场景中，AUSF生成第一标识，该第一标识用于标识UE，AUSF向SEAF发送该第一标识，避免了向SEAF发送SUPI，从而避免了泄露UE的隐私信息，提升了通信的安全性。

接下来，介绍第五代移动通信系统的密钥架构，请参阅图1b，图1b为第五代移动通信系统的密钥架构示意图。

UE(或USIM)和UDM(或ARPF或统一数据存储(Unified Data Repoitory，UDR))上保存UE的长期密钥K。

在网络设备侧，UDM或者ARPF基于UE的长期密钥K，生成第三中间密钥CK和第四中间密钥IK。UDM选择的认证方式不同，生成第五中间密钥K _AUSF的方式存在差异。当UDM选择使用的认证方式为5G AKA时，UDM或者ARPF根据第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF。UDM将生成的第五中间密钥K _AUSF发送给AUSF。当UDM选择使用的认证方式为EAP-AKA’时，UDM或者ARPF根据第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’。UDM将生成的第六中间密钥CK’和第七中间密钥IK’发送给AUSF。AUSF根据第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF。

AUSF根据第五中间密钥K _AUSF生成第一中间密钥K _SEAF，并将第一中间密钥K _SEAF发送给SEAF。SEAF根据第一中间密钥K _SEAF生成第二中间密钥K _AMF并将第二中间密钥K _AMF发送给AMF。AMF根据第二中间密钥K _AMF生成NAS密钥。

在终端设备侧，首先，USIM基于UE的长期密钥K，生成第三中间密钥CK和第四中间密钥IK。USIM将第三中间密钥CK和第四中间密钥IK发送给UE。其次，与网络侧类似，不同认证方式下生成第五中间密钥K _AUSF的方式存在差异。当使用的认证方式为5G AKA时，UE根据第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF。当使用的认证方式为EAP-AKA’时，UE根据第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’。UE根据第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF。

UE根据第五中间密钥K _AUSF生成第一中间密钥K _SEAF。UE根据第一中间密钥K _SEAF生成第二中间密钥K _AMF。UE根据第二中间密钥K _AMF生成NAS密钥。

其次，介绍本申请实施例涉及的认证流程，请参阅图1c，图1c为本申请实施例中5G认证的流程示意图。该认证流程中涉及到的密钥生成请见图1b描述。

S1、SEAF向AUSF发送第一认证请求消息。

步骤S1中，SEAF决定发起主认证，主认证用于网络侧和UE进行双向认证并生成密钥。

具体的，SEAF向AUSF发送第一认证请求消息，该第一认证请求消息用于请求调用AUSF提供的认证服务。该第一认证请求消息中携带UE的标识和第一服务网络标识。

第一认证请求中携带的UE标识可能为签约隐藏标识符(subscription concealed identifier，SUCI)或者SUPI。

S2、AUSF向UDM发送认证向量请求消息。

步骤S2中，AUSF根据接收到第一认证请求消息向UDM发送认证向量请求消息，其中，该认证向量请求消息用于请求调用UDM提供的认证向量服务，或用于请求认证向量。第一认证请求消息中携带接收到的第一服务网络标识和UE的标识。

S3、UDM选择使用的认证方式。

步骤S3中，如果UDM接收到SUCI，则UDM根据SUCI获取UE的SUPI。UDM选择使用的认证方式，并根据选择的认证方式，生成认证向量。

如果UDM选择的认证方式是5G AKA，则UDM生成的认证向量，称为第一认证向量；如果UDM选择的认证方式是EAP-AKA'，则UDM生成的认证向量，称为第二认证向量。具体的，第二认证向量，包括：随机数(RAND)，认证令牌(Authentication Token，AUTN)，第二预期响应(XRES)，第六中间密钥(CK’)和第七中间密钥(IK’)。第一认证向量，包括：随机数(RAND)、认证令牌(Authentication Token，AUTN)，第一预期响应(XRES*)，第五中间密钥(K _AUSF)。其中，AUTN包括认证管理字段(Authentication Management Field)，序列号(Sequence number，SQN)与匿名密钥AK的异或，和消息认证码MAC。AK为UDM或ARPF根据UE的长期密钥K和RAND生成。MAC为UDM或ARPF根据UE的长期密钥K，认证管理字段，RAND，SQN生成。XRES为UDM或ARPF根据UE的长期密钥K和RAND生成。XRES*为UDM或ARPF根据第三中间密钥CK和第四中间密钥IK，第一服务网络标识，RAND，和XRES生成。

在本申请实施例中，认证向量的一部分为以下中的任意一项或者多项：RAND，AUTN，CK、IK、CK’、IK’、XRES、AK、认证管理字段、K、SQN以及MAC。认证向量的一部分还可以为，对RAND，AUTN，CK、IK、CK’、IK’、XRES、AK、认证管理字段、K、SQN以及MAC中的任意一项或者多项进行任意运算的结果。运算包括但不限于，异或运算、串联运算、哈希运算等。认证向量的一部分还可以为以下中的任意一项或者多项：RAND，AUTN，K _AUSF、XRES*、XRES、CK、IK、AK、AMF、K、SQN以及MAC。认证向量的一部分还可以为，对RAND，AUTN，K _AUSF、XRES*、XRES、CK、IK、AK、AMF、K、SQN以及MAC中的任意一项或者多项进行任意运算的结果。运算包括但不限于，异或运算、串联运算、以及哈希运算等。

S4、UDM向AUSF发送生成的认证向量、选择使用的认证方式、和SUPI的认证向量响应消息。

步骤S4中，认证向量响应消息是UDM对接收到的认证向量请求消息的响应。

S5、AUSF在接收到认证向量响应消息之后，向SEAF发送携带RAND，AUTN的第一认证响应消息。

步骤S5中，第一认证响应消息是AUSF对第一认证请求消息的响应。

如果选择使用的认证方式为5G AKA，则AUSF在向SEAF发送第一认证响应之前，AUSF还生成第一中间密钥K _SEAF。

S6、SEAF向UE发送第二认证请求消息。

步骤S6中，SEAF向UE发送第二认证请求消息，该第二认证请求消息用于请求UE进行主认证。第二认证请求消息携带RAND和AUTN。

S7、UE校验第二认证请求消息。

步骤S7中，UE接收到第二认证消息之后，对第二认证请求消息进行校验，校验AUTN是否可接受。

如果可以接受，则UE生成响应RES或RES*。具体的，UE根据第二认证请求消息，确定网络侧使用的认证方式：

如果网络侧使用的认证方式为5G AKA，则UE生成RES*。UE采用与UDM生成XRES*相同的方法生成RES*，即UE根据第三中间密钥CK和第四中间密钥IK，第一服务网络标识，RAND，和RES生成。RES为UE根据UE长期密钥K和RAND生成。

如果网络侧使用的认证方式为EAP-AKA’则UE生成RES。UE采用与UDM生成XRES相同的方法生成RES，即UE根据UE长期密钥K和RAND生成RES。

UE生成RES或RES*之前，生成第三中间密钥CK和第四中间密钥IK。

S8、UE向SEAF发送第二认证响应消息。第二认证响应消息中包括RES或RES*。

S9、SEAF向AUSF发送第三认证请求消息。第三认证请求消息中包括接收到的RES或RES*。

S10、AUSF验证接收到的RES或者RES*。

步骤S10中，当接收到RES与XRES相同，或接收到的RES*与XRES*相同时，则AUSF验证RES或RES*成功。如果AUSF验证成功，则进行步骤S11；如果AUSF验证失败，则向SEAF返回错误。

S11、AUSF向SEAF发送第三认证响应消息。

步骤S11中，第三认证响应消息中携带第一中间密钥K _SEAF。

如果选择使用的认证方式是EAP-AKA’，则AUSF在发送第三认证响应消息之前，AUSF生成第一中间密钥K _SEAF。

S12、AUSF向UDM发送认证结果确认服务请求消息。

步骤S12中，AUSF在验证RES或RES*之后，向UDM发送认证结果确认服务请求消息。该认证结果确认服务请求消息用于向UDM通知认证结果。

S13、SEAF生成第二中间密钥K _AMF。

步骤S13中，SEAF在接收到第三认证响应消息之后，生成第二中间密钥K _AMF，并将第二中间密钥K _AMF发送给AMF。

在本申请实施例中，UE的SUPI用于标识UE。SUPI的定义为：SUPI类型和SUPI值。SUPI类型可能是国际移动用户识别码(International Mobile Subscriber Identity，IMSI)，或者网络特定标识(Network specific identifier)。当SUPI类型为IMSI时，SUPI的值为IMSI。当SUPI类型为网络特定标识时，则SUPI值采用网络接入标识(Network Access Identifier，NAI)格式，即为username@realm。其中username为用户名，realm为用户名对应的领域。

上述IMSI也用于标识UE。IMSI包括移动国际代码(Mobile Country Code，MCC)，移动网络代码(Mobile Network Code)和移动签约识别号码(Mobile Subscriber Identification Number，MSIN)。MSIN用于标识一个PLMN或者SNPN中的移动签约。SUPI的一部分是指以下信息中的一项或者多项：IMSI，MCC，MNC，MSIN，username，或realm。

在本申请实施例中，PLMN ID用于标识一个PLMN网络。PLMN ID包括MCC和MNC。

在本申请实施例中，一个SNPN网络使用PLMN ID和NID标识。NID包括分配模式(assignment mode)和NID值。分配模式可以是自分配(self-assignment)，即在部署时由各SNPN自行分配，或者，协作分配(Coordinated assignment)。

图2为本申请实施例中通信装置的硬件结构示意图。该通信装置可以是本申请实施例中AUSF、UDM、AMF(或SEAF)或终端设备的一种可能的实现方式。如图2所示，通信装置至少包括处理器204，存储器203，和收发器202，存储器203进一步用于存储指令2032和数据2032。可选的，该通信装置还可以包括天线206，I/O(输入/输出，Input/Output)接口210和总线212。收发器202进一步包括发射器2022和接收器2022。此外，处理器204，收发器202，存储器203和I/O接口210通过总线212彼此通信连接，天线206与收发器202相连。

处理器204可以是通用处理器，例如但不限于，中央处理器(Central Processing Unit，CPU)，也可以是专用处理器，例如但不限于，数字信号处理器(Digital Signal Processor，DSP)，应用专用集成电路(Application Specific Integrated Circuit，ASIC)和现场可编程门阵列(Field Programmable Gate Array，FPGA)等。此外，处理器204还可以是多个处理器的组合。特别的，在本申请实施例提供的技术方案中，处理器204可以用于执行，后续方法实施例中通信方法的相关步骤。处理器204可以是专门设计用于执行上述步骤和/或操作的处理器，也可以是通过读取并执行存储器203中存储的指令2032来执行上述步骤和/或操作的处理器，处理器204在执行上述步骤和/或操作的过程中可能需要用到数据2032。

收发器202包括发射器2022和接收器2022，在一种可选的实现方式中，发射器2022用于通过天线206发送信号。接收器2022用于通过天线206之中的至少一根天线接收信号。特别的，在本申请实施例提供的技术方案中，发射器2022具体可以用于通过天线206之中的至少一根天线执行，例如，后续方法实施例中通信方法应用于AUSF、UDM、AMF(或SEAF)或终端设备时，AUSF、UDM、AMF(或SEAF)或终端设备中接收模块或发送模块所执行的操作。

在本申请实施例中，收发器202用于支持通信装置执行前述的接收功能和发送功能。将具有处理功能的处理器视为处理器204。接收器2022也可以称为接收机、输入口、接收电路等，发射器2022可以称为发射机、发射器或者发射电路等。

处理器204可用于执行该存储器203存储的指令，以控制收发器202接收消息和/或发送消息，完成本申请方法实施例中通信装置的功能。作为一种实现方式，收发器202的功能可以考虑通过收发电路或者收发的专用芯片实现。

存储器203可以是各种类型的存储介质，例如随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，非易失性RAM(Non-Volatile RAM，NVRAM)，可编程ROM(Programmable ROM，PROM)，可擦除PROM(Erasable PROM，EPROM)，电可擦除PROM(Electrically Erasable PROM，EEPROM)，闪存，光存储器和寄存器等。存储器203具体用于存储指令2032和数据2032，处理器204可以通过读取并执行存储器203中存储的指令2032，来执行本申请方法实施例中所述的步骤和/或操作，在执行本申请方法实施例中操作和/或步骤的过程中可能需要用到数据2032。

可选的，该通信装置还可以包括I/O接口210，该I/O接口210用于接收来自外围设备的指令和/或数据，以及向外围设备输出指令和/或数据。

下面介绍本申请实施例的方法部分，在前述图1a-图1c的基础上，请参阅图3，图3为本申请实施例提供的一种通信方法的实施例示意图。图1b中的所示的密钥生成流程，和图1c中所示的密钥传递流程，适用于图3。本申请实施例提出的一种通信方法包括：

301、UE向AMF发送注册请求消息。

本实施例中，该注册请求消息中携带UE的标识，比如可能是签约隐藏标识

(Subscription Concealed Identifier，SUCI)。

302、SEAF向AUSF发送第一认证请求消息，第一认证请求消息中携带第一服务网络标识。

本实施例中，AMF接收到UE的注册请求消息之后，通知SEAF该注册请求消息。具体的，SEAF响应于该注册请求消息，SEAF发起主认证。首先，SEAF向AUSF发送第一认证请求消息。第一认证请求消息用于请求调用AUSF提供的认证服务。主认证用于实现和UE和网络侧的双向认证并生成密钥。该第一认证请求消息中还携带UE标识，比如接收到的SUCI。

示例的，该第一认证请求消息为Nausf_UEAuthentication_Authenticate Request消息。

该AMF或SEAF所在的网络，为UE的服务网络。在漫游场景中，该UE的服务网络，也称为UE的拜访网络。

在本申请实施例中，第一服务网络标识为UE的服务网络的标识，用于标识该UE的服务网络。当UE的服务网络为SNPN，第一服务网络标识包括PLMN ID和NID，该PLMN ID和NID一起用于标识该服务网络。当UE的服务网络为PLMN时，第一服务网络标识包括PLMN ID但不包括NID，该PLMN ID可以标识该服务网络。

AUSF所在的网络称为UE的归属网络。该归属网络可以是PLMN或SNPN。

在本申请实施例中，第二服务网络标识，用于标识该UE的归属网络。当UE的归属网络为SNPN，第二服务网络标识包括PLMN ID和NID，该PLMN ID和NID一起用于标识该归属网络。当UE的归属网络为PLMN时，第二服务网络标识包括PLMN ID但不包括NID，该PLMN ID可以标识该归属网络。

在一种可选的实现方式中，第一认证请求消息中携带第一认证方式，第一认证方式为AMF支持的认证方式，或者SEAF支持的认证方式，或者UE的拜访网络支持的认证方式，或者UE的服务网络支持的认证方式。

在另一种可选的实现方式中，该第一认证请求消息中，也可以不携带第一认证方式。在这种情况下，该第一认证方式可以通过其它消息发送至AUSF中，例如是新定义的消息。

303、AUSF向UDM发送认证向量请求消息，该认证向量请求消息中携带第一服务网络标识。

本实施例中，该认证向量请求消息用于请求调用UDM提供的认证服务(或者认证向量服务，或者用于请求认证向量)。示例地的，该认证向量请求消息为Nudm_UEAuthentication_Get Request消息。该认证向量请求消息还可以携带UE的标识。

在一种可选的实现方式中，该认证向量请求消息中携带AUSF接收到的第一认证方式。

在一种可选的实现方式中，该认证向量请求消息中也可以不携带第一认证方式。在这种情况下，该第一认证方式可以通过其它消息发送至UDM中，例如是新定义的消息。

304、UDM选择使用的认证方式。

本实施例中，UDM根据接收到的第一认证方式，选择使用的认证方式。例如：EAP-AKA’或5G AKA。

305、UDM向AUSF发送认证向量响应消息，该认证向量响应消息中携带该选择使用的认证方式。

本实施例中，在UDM向AUSF发送认证向量响应消息之前，UDM生成认证向量。具体的，UDM根据该选择使用的认证方式，生成对应的认证向量。具体生成认证向量的流程，请参阅前述图1c相关描述，此处不再赘述。

可选的，在UDM生成认证向量之前，如果UDM接收到的UE标识是SUCI，则UDM根据 SUCI获取UE的SUPI，以及UE的签约数据，包括UE的长期密钥K。

该认证向量响应消息中携带该生成的认证向量。

该认证向量响应消息中还携带该UE的SUPI。

示例的，该认证向量响应消息为Nudm_UEAuthentication_Get Response消息。

306、AUSF向SEAF发送第一认证响应消息。

本实施例中，示例的，该第一认证响应消息为Nausf_UEAuthentication_Authenticate Response消息。该第一认证响应消息中携带AUSF接收到的认证向量中的RAND和AUTN。

307、AMF向UE发送第二认证请求消息。

本实施例中，首先，SEAF通知AMF，SEAF接收到来自AUSF的第一认证响应消息。其次，AMF响应于该第一认证响应消息，AMF向UE发送第二认证请求消息，该第二认证请求消息中携带接收到的RAND和AUTN。

示例的，该第二认证请求消息为Authenticate Request消息。

308、UE向AMF发送第二认证响应消息。

本实施例中，首先，UE在接收到RAND和AUTN之后，验证AUTN是否可接受，并生成响应(RES或RES*)。具体生成响应的步骤，请参阅前述图1c的相关描述，此处不再赘述。

其次，UE向AMF发送生成的响应(RES或RES*)，具体的，通过第二认证响应消息向AMF发送该响应。该第二认证响应消息中包括RES或RES*。该响应用于网络侧验证UE。示例的，该第二认证响应消息为Authenticate Response消息。

309、SEAF向AUSF发送第三认证请求消息，第三认证请求消息携带RES或RES*。

本实施例中，AMF在接收到来自UE的第二认证响应消息之后，通知SEAF该第二认证响应消息。SEAF响应于该第二认证响应消息，SEAF向AUSF发送第三认证请求消息，该第三认证请求消息携带AMF接收到的RES或RES*。

示例的，该第三认证请求消息为Nausf_UEAuthentication_Authenticate Request消息。

310、AUSF校验接收到的响应。

本实施例中，AUSF校验来自UE的响应(携带于第三认证请求消息中)，该响应即RES或RES*。若AUSF校验响应成功，则AUSF认证UE成功。

如果选择使用的认证方式为EAP-AKA’，则AUSF校验响应成功之后，AUSF生成第一中间密钥K _SEAF。

如果选择使用的认证方式为5G-AKA，则AUSF在步骤305(即AUSF接收到认证向量)之后，生成第一中间密钥K _SEAF。

311、AUSF生成第一标识。

本实施例中，AUSF校验响应成功后，AUSF生成第一标识。该第一标识，用于标识UE。在本申请实施例中，该第一标识称为SUPI*。

可选的，在AUSF生成第一标识之前，AUSF确定当满足第一条件时，则该AUSF生成该第一标识。该第一条件包括：

AUSF接收到的该第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

AUSF本地配置指示生成第一标识。

在一种可选的实现方式中，在步骤310后，当AUSF校验响应成功后，无需上述确定是否生成第一标识的确定，AUSF直接生成第一标识。

具体的，AUSF可以基于多种参数或字段生成第一标识，具体包括以下中的任意一种或者多种：

(A)、SUPI或者SUPI的一部分；

(B)、UE和AUSF之间的共享密钥；

(C)、网络标识：包括第一服务网络标识，和/或，第二服务网络标识；

(D)、路由信息：包括路由指示(Routing Indicator，RI)，和/或，AUSF组标识符(AUSF Group ID)，和/或，AUSF实例标识(AUSF Instance ID)；

(E)、认证向量或者认证向量中的一部分。

其中，关于SUPI以及SUPI的一部分，请参阅前述图1c的相关描述，这里不再赘述。该UE和AUSF之间的共享密钥，包括但不限于第五中间密钥K _AUSF，和/或，第六中间密钥CK’，和/或，以及第七中间密钥IK’。关于认证向量以及认证向量的一部分，请参阅前述图1c的相关描述，这里不再赘述。

该第一标识具体可以有多种实现方式，包括但不限于：第一标识中携带某个参数、字段或比特位。该参数、字段或比特位指示该第一标识与特定的SUPI关联。示例性的，如表1所示：

表1

在一种可选的实现方式中，该第一标识按照预设的预设规则生成，该预设规则预先配置于AUSF中和UE中，AUSF和UE按照相同的预设规则生成第一标识。

需要说明的是，步骤311：AUSF生成第一标识可以发生在步骤305之后、步骤312或步骤313之前的任意时刻，本申请实施例不做限制。

312、AUSF向SEAF发送第一标识。

本实施例中，AUSF向SEAF发送第一标识。具体的，AUSF通过第三认证服务响应消息向SEAF发送该第一标识。示例性的，该认证服务响应为：Nausf_UEAuthentication_Authenticate Response消息。

可选的，该第三认证服务响应消息中携带K _SEAF。

可选的，该第三认证服务响应消息中携带用于指示生成第一标识的第一指示。

313、AUSF向UDM发送第一标识。

本实施例中，AUSF向UDM发送第一标识。

在一种可选的实现方式中，该AUSF通过认证结果确认服务请求消息向该UDM发送该第一标识。该认证结果确认服务请求消息，用于通知UDM终端设备的认证结果，示例性的，该认证结果确认服务请求消息为Nudm_UEAuthentication_ResultConfirmation Request消息。

需要说明的是，此处不对步骤312与313之间的执行顺序进行限定，既可以先执行步骤312再执行步骤313，也可以先执行步骤313再执行步骤312，还可以同时执行步骤312和步骤313。

314、UDM保存第一标识与SUPI之间的对应关系。

本实施例中，UDM接收来自AUSF的第一标识后，保存该第一标识与该第一标识对应的SUPI之间的对应关系。SUPI与第一标识均用于标识UE。

UDM中保存了该SUPI标识的UE的签约数据，因此，UDM保存该第一标识、第一标识对应的SUPI、和该SUPI对应的UE的签约数据之间的对应关系。

示例性的，该对应关系如表2所示：

表2

315、SEAF基于第一标识，生成第二中间密钥K _AMF。

本实施例中，首先，SEAF基于第一标识，生成第二中间密钥K _AMF，即SEAF基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；其次，SEAF将该K _AMF发送给AMF。AMF根据该K _AMF生成NAS密钥；再次，SEAF向AMF发送该第一标识。

如果SEAF接收到第一指示，则SEAF向UE发送用于指示生成第一标识的第二指示。

在本申请实施例中，第一指示和第二指示可以是同一个指示或者不同的指示，此处不做限制。

316、UE生成第一标识。

本实施例中，UE生成第一标识，采用与AUSF生成第一标识相同的参数和相同的方法。AUSF生成第一标识采用的参数请参阅步骤311中的描述。本申请实施例中对AUSF和UE生成第一标识使用的方法不做限定。

可选的，如果第二条件满足，则UE生成第一标识。第二条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

第一服务网络标识包括PLMN ID和NID，并且，第二服务网络标识包括PLMN ID不包括NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

需要说明的是，步骤316可以执行于步骤301后的任意时刻，此处不做限制。

317、UE基于第一标识，生成第二中间密钥K _AMF。

本实施例中，UE基于第一标识，生成第二中间密钥K _AMF，即UE基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF，或者，UE基于第一中间密钥K _SEAF、第一标识、第一标识的长度、ABBA以及ABBA的长度生成第二中间密钥K _AMF。

UE基于第二中间密钥生成NAS密钥，用于保护UE和AMF之间的NAS通信消息。

UE生成第一中间密钥K _SEAF，请参阅前述图1b-图1c的相关描述，此处不再赘述。

可选的，UE还可以采用与网络侧相同的方式，根据接收到的RAND，生成该认证中使用的认证向量或者该认证向量的一部分。

需要说明的是，步骤317可以执行于步骤307后的任意时刻。

在一种可选的实现方式中，步骤315后，AMF可能向UDM发送服务请求，携带第一标识。具体的，AMF向UDM请求的服务包括：

(A)、签约数据管理服务(示例地Nudm_SubscriberDataManagement服务)，用于AMF向UDM请求获取UE的签约数据、用于AMF向UDM请求订阅UE数据改变时的通知、用于AMF向UDM取消订阅UE数据改变时的通知、以及用于AMF向UDM请求订阅数据改变时的通知等；

(B)、UE上下文管理服务(示例地Nudm_UEContextManagement服务)，用于请求3GPP接入的AMF注册、用于请求非3GPP接入的AMF注册、用于请求3GPP接入的AMF去注册、用于请求非3GPP接入的AMF去注册、用于请求更新AMF注册参数、以及请求去注册AMF等。

当UDM接收到AMF发送的携带第一标识的服务请求之后，UDM根据第一标识，找到对应的SUPI，可选的，找到该SUPI对应的UE的签约数据。

在一种可选的实现方式中，步骤315后，SMF可能向UDM发送服务请求，携带第一标识。具体的，SMF向UDM请求的服务包括：

(A)、签约数据管理服务(示例地Nudm_SubscriberDataManagement服务)，用于SMF向UDM请求获取UE的签约数据、用于SMF向UDM请求订阅UE数据改变时的通知、用于SMF向UDM取消订阅UE数据改变时的通知、以及用于SMF向UDM请求订阅数据改变时的通知等；

(B)、UE上下文管理服务(示例地Nudm_UEContextManagement服务)，用于请求创建一个新的注册或SMF注册、以及用于请求SMF去注册等。

当UDM接收到SMF发送的携带第一标识的服务请求之后，UDM根据第一标识，找到对应的SUPI，可选的，找到该SUPI对应的UE的签约数据。

在一种可选的实现方式中，步骤315后，SEAF可能决定发起主认证，SEAF向AUSF发送第一认证请求信息，该第一认证请求消息中携带第一标识；AUSF接收到该携带第一标识的第一认证请求消息后,向UDM发送认证向量请求消息，该认证向量请求消息中携带接收到的第一标识。UDM根据该第一标识，找到对应的SUPI，以及SUPI对应的UE的长期密钥，进行认证向量的生成。然后，UDM向AUSF发送该SUPI。

本申请实施例中，首先，归属网络与拜访网络之间通过消息交互，确定双方的认证方法。避免了归属网络选择拜访网络不支持的认证方法，导致认证失败的结果。其次，AUSF生成第一标识，该第一标识用于标识标识终端设备的SUPI。归属网络(AUSF)向拜访网络(AMF)发送该第一标识，避免归属网络(AUSF)向拜访网络(AMF)发送UE的SUPI。由于SUPI属于隐私信息，从而避免了泄露终端设备的隐私信息。从而提升通信的安全性。

需要说明的是，图3所示实施例中，拜访网络与归属网络之间确定认证方式的相关步骤(步骤302-306)，与，网络侧和终端侧分别生成第一标识并基于第一标识进行交互(步骤311-317)，这两部分内容之间是相互独立的。即：首先，拜访网络与归属网络之间确定认证方式(与图3中步骤302-306类似)，其次，UDM通过AUSF向AMF发送该UE的SUPI。或者，拜访网络与归属网络之间不确定认证方式(类似步骤302-306，但是相关请求与响应不携带认证方式)，其次，网络侧和终端侧分别生成第一标识并基于第一标识进行交互(类似步骤310-317)。

除了如图3所示实施例中描述的：AUSF生成第一标识，本申请实施例还提出了一种通信方法，由UDM生成第一标识。具体的，在前述图1a-图1c的基础上，请参阅图4，图4为本申请实施例中又一种通信方法的实施例示意图。图1b中的所示的密钥生成流程，和图1c中所示的密钥传递流程，适用于图4。本申请实施例提出的又一种通信方法包括：

401、UE向AMF发送注册请求消息。

本实施例中，该注册请求消息中携带UE的标识，比如可能是签约隐藏标识(Subscriber Concealed Identifier，SUCI)。具体的，与前述步骤301类似，此处不再赘述。

402、SEAF向AUSF发送第一认证请求消息。

本实施例中，第一认证请求消息中携带第一服务网络标识。第一认证请求消息用于请求调用AUSF提供的认证服务。

具体的，AMF收到注册请求消息后，通知SEAF。SEAF发起主认证，SEAF向AUSF发送第一认证请求消息。第一服务网络标识请参阅前述图3的相关描述，此处不再赘述。

可选的，该第一认证请求消息中还携带UE标识，例如接收到的SUCI。

403、AUSF向UDM发送认证向量请求消息，该认证向量请求中携带接收到的第一服务网络标识。

本实施例中，该认证向量请求消息用于请求调用UDM提供的认证服务，或者认证消息服务，或者用于请求认证向量。

示例的，该认证向量请求为“Nudm_UEAuthentication_Get Request”消息。

该认证向量请求消息携带接收到的UE标识。

404、UDM生成第一标识。

本实施例中，该第一标识，用于标识UE。在本申请实施例中，该第一标识称为SUPI*。

可选的，如果UDM接收到SUCI，在UDM生成第一标识之前，UDM根据接收到的SUCI，获取UE的SUPI以及UE的签约数据。

可选的，在UDM生成第一标识之前，UDM确定当满足第三条件时，则该UDM生成该第一标识。该第三条件包括：

UDM接收到的该第一服务网络标识包括PLMN ID和NID，或者，

UDM接收到的该第一服务网络标识包括PLMN ID和NID，并且，第二服务网络标识包括PLMN ID不包括NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UDM本地配置指示生成第一标识。

在一种可选的实现方式中，在步骤403后，无需上述确定是否生成第一标识的流程，UDM直接生成第一标识。

具体的，UDM可以基于多种参数或字段生成第一标识，具体包括以下中的任意一种或者多种：

(A)、SUPI或者SUPI的一部分；

(B)、UE和AUSF之间的共享密钥；

(E)、认证向量或者认证向量中的一部分。

其中，关于SUPI以及SUPI的一部分，请参阅前述图1b-图1c的相关描述，这里不再赘述。该UE和AUSF之间的共享密钥，包括但不限于第五中间密钥K _AUSF，和/或，第六中间密钥CK’，和/或，以及第七中间密钥IK’。关于认证向量以及认证向量的一部分，请参阅前述图1b-图1c的相关描述，这里不再赘述。

该第一标识具体可以有多种实现方式，包括但不限于：第一标识中携带某个参数、字段或比特位。该参数、字段或比特位指示该第一标识与特定的SUPI关联。示例性的，如前述表1所示。

405、UDM保存第一标识与SUPI之间的对应关系。

本实施例中，UDM生成第一标识后，保存该第一标识与该第一标识对应的SUPI之间的对应关系。

UDM中保存了该SUPI对应的UE的签约数据，因此，UDM保存该第一标识、第一标识对应的SUPI、和该SUPI对应的UE的签约数据的对应关系。

406、UDM向AUSF发送认证向量响应消息，该认证向量响应中携带第一标识。

本实施例中，UDM向AUSF发送认证向量响应消息，该认证向量响应消息中携带第一标识。

在UDM向AUSF发送认证向量响应消息之前，UDM生成认证向量。具体的，UDM根据该选择使用的认证方式，生成对应的认证向量。具体生成认证向量的流程，请参阅前述图1c的相关描述，此处不再赘述。

示例的，该认证向量响应为“Nudm_UEAuthentication_Get Response”消息。

可选的，UDM在认证向量响应消息中携带用于指示生成第一标识的第三指示。

407、AUSF向SEAF发送第一认证响应消息。

本实施例中，AUSF向SEAF发送第一认证响应消息。该第一认证响应消息中携带接收到的认证向量中的RAND和AUTN。

示例的，该第一认证响应为“Nausf_UEAuthentication_Authenticate Response”消息。

如果AUSF接收到第三指示，则AUSF在第一认证响应消息中携带用于指示生成第一标识的第一指示。

408、AMF向UE发送第二认证请求消息。

本实施例中，SEAF在接受到第一认证响应消息之后，通知AMF该第一认证响应消息。响应于该第一认证响应消息，AMF向UE发送第二认证请求消息。该第二认证请求消息携带接收到的AUTN和RAND。

可选的，该第二认证请求为Authenticate Request消息。

如果SEAF接收到第一指示，则SEAF通知AMF该第一指示，AMF根据该第一指示，向UE发送用于指示生成第一标识的第二指示。

本实施例中，第一指示、第二指示和第三指示，可以为同一个指示，或者不同的指示。

409、UE向AMF发送第二认证响应消息。

本实施例中，首先，UE在接收到RAND和AUTN之后，验证AUTN，并生成响应(RES或RES*)。具体生成响应的步骤，请参阅前述图1c的相关描述，此处不再赘述。

410、SEAF向AUSF发送第三认证请求消息，第三认证请求携带接收到的RES或RES*。

本实施例中，AMF在接收到来自UE的第二认证响应消息之后，通知SEAF该第二认证响应消息。SEAF响应于该第二认证响应消息，SEAF向AUSF发送第三认证请求消息，该第三认证请求消息携带接收到的响应。

411、AUSF验证接收到的RES或者RES*。

本实施例中，若AUSF校验响应成功，则AUSF与UE之间实现了双向认证。

AUSF校验响应RES或RES*成功之后，AUSF生成第一中间密钥K _SEAF。可能地，AUSF在接受到认证向量之后(即步骤406之后)，生成第一中间密钥K _SEAF。

412、AUSF向AMF发送第一标识。

本实施例中，AUSF向AMF发送该第一标识。可选的，AUSF通过认第三证服务响应消息向AMF发送第一标识，该第三认证服务响应消息中包括该第一标识。示例性的，该认证服务响应为：Nausf_UEAuthentication_Authenticate Response消息。该第三认证服务响应消息中包括第一中间密钥K _SEAF。

413、SEAF基于第一标识，生成第二中间密钥K _AMF。

本实施例中，SEAF基于第一标识，生成第二中间密钥K _AMF，即SEAF基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

SEAF将该第二中间密钥K _AMF发送给AMF。AMF根据该第二中间密钥K _AMF生成NAS密钥。

414、UE生成第一标识。

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

UE接收来自AMF的第二指示，第二指示用于指示生成第一标识。

需要说明的是，步骤414可以执行于步骤401后的任意时刻。

415、UE基于第一标识，生成第二中间密钥K _AMF。

需要说明的是，步骤415可以执行于步骤408后的任意时刻。

在一种可选的实现方式中，步骤413后，AMF可能向UDM发送服务请求，携带第一标识。具体的，AMF向UDM请求的服务包括：

在一种可选的实现方式中，步骤413后，SMF可能向UDM发送服务请求，携带第一标识。具体的，SMF向UDM请求的服务包括：

在一种可选的实现方式中，步骤413后，SEAF可能决定发起主认证，SEAF向AUSF发送第一认证请求信息，该第一认证请求消息中携带第一标识；AUSF接收到该携带第一标识的第一认证请求消息后,向UDM发送认证向量请求消息，该认证向量请求消息中携带接收到的第一标识。UDM根据该第一标识，找到对应的SUPI，以及SUPI对应的UE的签约数据，进行认证向量的生成。然后，UDM向AUSF发送该SUPI。

本申请实施例中，UDM生成第一标识，用于标识标识终端设备。归属网络(UDM通过AUSF)向拜访网络(AMF或SEAF)发送该第一标识，避免归属网络(UDM通过AUSF)向拜访网络(AMF或SEAF)发送UE的SUPI。由于SUPI为UE隐私信息，避免了泄露终端设备的隐私信息。从而提升通信的安全性。

上述图3和图4所示的实施例，分别描述了AUSF或UDM如何生成第一标识，并使用第一标识替代原有SUPI进行通信的相关步骤。并且，还描述了归属网络与拜访网络之间通过消息交互，确定双方的认证方法。除了图3与图4实施例中描述的通信方法外，本申请实施例还提出了一种通信方法，在预先向AMF或UDM配置网络支持的认证方式的基础上，通过消息交互，确定归属网络与拜访网络之间的认证方法。下面结合附图进行说明，需要说明的是，该方法可以与前述图3或图4实施例中描述的AUSF或UDM如何生成第一标识，并使用第一标识替代原有SUPI进行通信的相关步骤进行结合，此时，该方法替换前述图3或图4实施例中描述的归属网络与拜访网络之间通过消息交互，确定双方的认证方法(如前述步骤302-306)。

请参阅图5，图5为本申请实施例提出的又一种通信方法的实施例示意图。本申请实施例提出的又一种通信方法包括：

501、UDM被配置第一协议网络支持的认证方式。

本实施例中，第一协议网络指与UDM所在的网络可以互通的任何网络，比如UE的拜访网络。在本申请实施例中，第一协议网络支持的认证方式也称为AMF或SEAF支持的认证方式、或UE的拜访网络支持的认证方式、或UE的服务网络支持的认证方式。

当该第一协议网络为PLMN时，该第一协议网络的标识包括PLMN ID但不包括NID，该PLMN ID标识该第一协议网络。

当该第一协议网络为SNPN时，该第一协议网络的标识包括PLMN ID和NID。该PLMN ID和NID标识该第一协议网络。

具体的，该第一协议网络支持的认证方式以对应关系列表的形式被配置于UDM中，该对应关系列表包括：第一协议网络的标识与该第一协议网络支持的认证方式之间的对应关系。可选的，该对应关系列表可以预配置于UDM中。

示例性的，该对应关系列表如表3所示：

第一协议网络的标识	第一协议网络支持的认证方式
PLMN ID1	5G AKA
(PLMN ID2，NID2)	EAP-AKA’
(PLMN ID2，NID3)	5G AKA和EAP-AKA’

表3

502、UE向AMF发送注册请求。

本实施例中，该步骤与前述步骤401类似，此处不再赘述。

503、SEAF发送第一认证请求消息，第一认证请求消息中携带第一服务网络标识。

本实施例中，该步骤与前述步骤402相同，此处不再赘述。

504、AUSF向UDM发送认证向量请求消息，该认证向量请求消息中携带第一服务网络标识。

本实施例中，该步骤与前述步骤403相同，此处不再赘述。

505、UDM基于该第一服务网络标识、和本地被配置的第一协议网络支持的认证方式，选择使用的认证方式。

本实施例中，UDM接收第一服务网络标识后，基于该第一服务网络标识、本地被配置的第一协议网络的标识、和该第一协议网络支持的认证方式，选择使用的认证方式。具体的，基于该第一服务网络标识，从被配置的对应关系列表中，确定与该第一服务网络标识一致的第一协议网络的标识，进而确定该第一协议网络支持的认证方式。该对应关系列表包括：第一协议网络的标识与该第一协议网络支持的认证方式之间的对应关系。该第一协议网络支持的认证方式可以是UE的服务网络支持的认证方式，或者AMF支持的认证方式，或者SEAF支持的认证方式。UDM基于该第一协议网络支持的认证方式选择使用的认证方式。

506、UDM向AUSF发送认证向量响应消息，该认证向量响应消息中携带选择使用的认证方式。

本申请实施例中，UDM预先被配置了第一协议网络支持的认证方式。当UDM接收到来自AMF或SEAF的第一服务网络标识后，UDM可以基于本地被配置的第一协议网络支持的认证方式，选择使用的认证方式。归属网络与拜访网络之间通过消息交互，确定双方的认证方法。避免了归属网络选择拜访网络不支持的认证方法，导致认证失败的结果。

图6为本申请实施例提出的又一种通信方法的实施例示意图。本申请实施例提出的又一种通信方法包括：

601、AMF或SEAF上被配置第二协议网络支持的认证方式。

本实施例中，第二协议网络指与AMF或SEAF可以互通的任何网络，比如UE的归属网络。在本申请实施例中，第二协议网络支持的认证方式也称为AUSF支持的认证方式，或UDM支持的认证方式，或归属网络支持的认证方式。

当该第二协议网络为PLMN时，该协议网络的标识包括PLMN ID不包括NID，该PLMN ID标识该第二协议网络。

当第二该协议网络为SNPN时，该协议网络的标识包括PLMN ID和NID。该PLMN ID和NID一起标识该第二协议网络。

具体地，第二协议网络支持的认证方式以对应关系列表的形式被配置于AMF或SEAF中，该对应关系列表包括：第二协议网络的标识与该第二协议网络支持的认证方式之间的对应关系。可选的，该对应关系列表可以预配置于AMF或SEAF中。

示例性的，该对应关系列表如表4所示：

第二协议网络的标识	第二协议网络支持的认证方式
PLMN ID1	5G AKA
(PLMN ID2，NID2)	EAP-AKA’
(PLMN ID2，NID3)	5G AKA和EAP-AKA’

表4

602、UE向AMF发送注册请求消息。

本实施例中，与前述步骤401类似，此处不再赘述。

603、AMF或SEAF根据本地配置的第二协议网络支持的认证方式，选择使用的认证方式。

本实施例中，首先，AMF接收到该注册请求消息之后，AMF通知SEAF该注册请求消息。其次，AMF或SEAF确定UE的归属网络的标识。如果AMF或SEAF处接收到SUCI，则AMF或SEAF从SUCI中获取UE的归属网络的标识。AMF或SEAF还可以从UE的上下文中获取UE的归属网络的标识。比如UE的上下文中包括UE的标识(比如SUPI)，UE的标识中包括UE的归属网络的标识。

AMF或SEAF基于本地被配置的第二协议网络支持的认证方式，选择使用的认证方式，具体的，AMF或SEAF基于对应关系列表(该对应关系列表包括第二协议网络的标识和第二协议网络支持的认证方式)，确定与该与UE的归属网络标识一致的第二协议网络的标识，进而确定该第二协议网络支持的认证方式。该第二协议网络支持的认证方式，为该UE的归属网络支持的认证方式，或AUSF支持的认证方式，或UDM支持的认证方式。

604、SEAF向AUSF发送第一认证请求消息，第一认证请求消息中携带第一服务网络标识，和该选择使用的认证方式。

本实施例中，AMF或SEAF收到注册请求后，向该UE的归属网络发起认证流程。该归属网络可以是PLMN或SNPN。

具体的，AMF向AUSF发送第一认证请求，该第一认证请求中携带第一服务网络标识。第一认证请求消息用于调用AUSF提供的认证请求服务。该第一认证请求消息中还携带该选择使用的认证方式。

示例的，该第一认证请求为Nausf_UEAuthentication_Authenticate Request消息。

在另一种可选的实现方式中，该选择使用的认证方式还可以携带于其它独立消息中。

605、AUSF向UDM发送认证向量请求消息，该认证向量请求中携带第一服务网络标识，和接收到的该选择使用的认证方式。

本实施例中，AUSF向UDM发送认证向量(authentication vector，AV)请求消息，该认证向量消息请求用于请求认证向量，或调用UDM提供的认证服务，或者调用UDM提供的认证向量服务。具体的，该认证向量请求消息中携带接收到的该选择使用的认证方式，和第一服务网络标识。

可选的，该认证向量请求为Nudm_UEAuthentication_Get Request消息。

606、UDM使用接收的该选择使用的认证方式。

本实施例中，UDM使用接收的该选择使用的认证方式，生成认证向量。例如：当接收的该选择使用的认证方式为：5G AKA时，UDM生成第一认证向量；当当接收的该选择使用的认证方式为：EAP-AKA’时，UDM生成第二认证向量。第一认证向量和第二认证向量请参阅前述图1c的相关描述，此处不再赘述。

步骤606后，继续通信流程，例如前述步骤306-317，或，前述步骤407-415，或，现有技术方案中使用SUPI进行通信的相关步骤，此处不作限制。

本申请实施例中，AMF预先被配置了网络标识和网络标识关联的认证方式，或认证方式。AMF可以基于该第一服务网络标识、本地被配置的网络标识、和该网络标识关联的认证方式，选择使用的认证方式。或者，AMF基于被配置的认证方式，选择使用的认证方式。AMF向AUSF发送该选择使用的认证方式。归属网络与拜访网络之间通过消息交互，确定双方的认证方法。避免了归属网络选择拜访网络不支持的认证方法，导致认证失败的结果。

上述主要以方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是，通信装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以基于上述方法示例对通信装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

下面对本申请中的通信装置进行详细描述，请参阅图7，图7为本申请实施例中通信装置的一种实施例示意图。通信装置700可以部署于网络设备中，通信装置700包括：

收发模块701，用于接收统一数据管理UDM发送的终端设备的签约永久标识SUPI，其中，SUPI用于标识UE；

处理模块702，用于基于SUPI生成第一标识；

收发模块701，还用于向安全锚点功能SEAF发送第一标识；

处理模块702，还用于基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

收发模块701，还用于向接入移动管理功能AMF发送第二中间密钥K _AMF；

处理模块702，还用于基于第二中间密钥K _AMF生成非接入层NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

在本申请的一些可选实施例中，

收发模块701，还用于向UDM发送第一标识；

收发模块701，还用于接收第一标识，并保存第一标识与SUPI之间的对应关系。

在本申请的一些可选实施例中，

收发模块701，还用于接收AMF发送的第一服务网络标识；

处理模块702，用于生成第一标识，具体包括：

或者，当第一服务网络标识包括PLMN ID和NID，并且，认证服务模块功能AUSF所在网络的标识包括PLMN ID但不包括NID时，处理模块702，用于生成第一标识。

在本申请的一些可选实施例中，

处理模块702，还用于基于UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

处理模块702，还用于基于第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF；

收发模块701，还用于将第五中间密钥K _AUSF发送至AUSF；

处理模块702，还用于基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

处理模块702，还用于将第一中间密钥K _SEAF发送给SEAF。

在本申请的一些可选实施例中，

处理模块702，还用于基于第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

收发模块701，还用于将第六中间密钥CK’和第七中间密钥IK’发送至AUSF；

处理模块702，还用于基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF，并基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

收发模块701，还用于将第一中间密钥K _SEAF发送给SEAF。

在本申请的一些可选实施例中，

收发模块701，还用于接收AMF发送的AMF支持的认证方式；

收发模块701，还用于向UDM发送接收到的AMF支持的认证方式；

处理模块702，还用于基于AMF支持的认证方式选择使用的认证方式；

收发模块701，还用于向AUSF发送选择使用的认证方式；

收发模块701，还用于基于选择使用的认证方式向AMF发送认证响应。

请参阅图8，图8为本申请实施例中通信装置的又一种实施例示意图。通信装置800可以部署于终端设备中，通信装置800包括：

处理模块801，用于基于终端设备的签约永久标识SUPI生成第一标识；

处理模块801，还用于基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

处理模块801，还用于基于第二中间密钥K _AMF生成NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

在本申请的一些可选实施例中，

收发模块802，用于向接入移动管理功能AMF发送注册请求，注册请求中携带第一服务网络标识；

处理模块801，用于基于SUPI生成第一标识，具体包括：

处理模块801确定第二条件满足时，则处理模块801基于该SUPI生成第一标识；否则UE不生成第一标识。第二条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

在本申请的一些可选实施例中，

收发模块802，还用于获取第三中间密钥CK和第四中间密钥IK；

处理模块801，还用于基于第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF；

处理模块801，还用于基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF。

在本申请的一些可选实施例中，

收发模块802，还用于获取第三中间密钥CK和第四中间密钥IK；

处理模块801，还用于基于第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

处理模块801，还用于基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF；

在本申请的一些可选实施例中，

处理模块801，还用于基于第一中间密钥K _SEAF、第一标识、第一标识的长度、ABBA以及ABBA的长度生成第二中间密钥K _AMF。

请参阅图9，图9为本申请实施例中通信装置的一种实施例示意图。通信装置900可以部署于网络设备中，通信装置900包括：

处理模块901，用于基于SUPI生成第一标识；

收发模块902，用于向认证服务器功能网元AUSF发送所述第一标识；

收发模块902，还用于向安全锚点功能网元SEAF发送所述第一标识；

处理模块901，还用于基于第一中间密钥K _SEAF、所述第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

收发模块902，还用于向移动管理功能网元AMF发送所述第二中间密钥；

处理模块901，还用于基于所述第二中间密钥生成非接入层NAS密钥，其中，所述NAS密钥用于对NAS消息进行保护。

在本申请的一些可选实施例中，

收发模块902，还用于接收所述AMF发送的第一服务网络标识；

收发模块902，还用于向UDM发送第一服务网络标识；

处理模块901，用于生成第一标识，具体包括：

该第三条件满足时，处理模块901，用于基于该UE的SUPI生成该第一标识，该第三条件包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UDM本地配置指示生成第一标识。

在本申请的一些可选实施例中，

处理模块901，还用于保存第一标识与SUPI的对应关系。

在本申请的一些可选实施例中，

处理模块901，还用于基于UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

处理模块901，还用于基于第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF；

收发模块902，还用于将第五中间密钥K _AUSF发送至AUSF；

处理模块901，还用于基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

收发模块902，还用于将第一中间密钥K _SEAF发送给SEAF。

在本申请的一些可选实施例中，

处理模块901，还用于基于第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

收发模块902，还用于将第六中间密钥CK’和第七中间密钥IK’发送至AUSF；

处理模块901，还用于基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF，并基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

收发模块902，还用于将第一中间密钥K _SEAF发送给SEAF。

请参阅图10，图10为本申请实施例中通信装置的一种实施例示意图。通信装置1000可以部署于网络设备中，通信装置1000包括：

收发模块1001，用于被配置第一协议网络支持的认证方式；

收发模块1001，还用于接收认证服务器功能网元AUSF发送的第一服务网络标识；

处理模块1002，用于基于该第一服务网络标识以及本地配置的第一协议网络支持的认证方式，选择使用的认证方式；

收发模块1001，还用于向AUSF发送选择使用的认证方式。

收发模块1001，还用于向UDM发送的携带第一服务网络标识的认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务。

在本申请的一些可选实施例中，

收发模块1001，还用于向AUSF发送认证向量响应消息，在该认证向量响应消息中携带选择的认证方式。该认证向量响应消息，用于响应接收到的认证向量请求消息。

请参阅图11，图11为本申请实施例中通信装置的一种实施例示意图。通信装置1100可以部署于网络设备中，通信装置1100包括：

收发模块1101，用于接收AUSF发送的第一认证方式；

处理模块1102，用于根据接收到的第一认证方式选择使用的认证方式；

收发模块1101，还用于向该AUSF发送该选择使用的认证方式。

在本申请的一些可选实施例中，可以包括：

收发模块1101，还用于向UDM发送认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务，该认证向量请求消息中携带第一认证方式。

在本申请的一些可选实施例中，可以包括：

收发模块1101，还用于向AUSF发送认证向量响应消息，在该认证向量响应消息中携带选择的认证方式。该认证向量响应消息，用于响应接收到的认证向量请求消息。

在本申请的一些可选实施例中，可以包括：

收发模块1101，还用于接收到SEAF发送的第一认证方式。

上述实施例中的通信装置，可以是网络设备，也可以是应用于网络设备中的芯片或者其他可实现上述网络设备功能的组合器件、部件等。还可以是终端设备，也可以是应用于终端设备中的芯片或者其他可实现上述终端设备功能的组合器件、部件等。当通信装置是网络设备时，接收模块与发送模块可以是收发器，该收发器可以包括天线和射频电路等，处理模块可以是处理器，例如基带芯片等。当通信装置是具有上述网络设备功能的部件时，接收模块与发送模块可以是射频单元，处理模块可以是处理器。当通信装置是终端设备时，接收模块与发送模块可以是收发器，该收发器可以包括天线和射频电路等，处理模块可以是处理器，例如基带芯片等。当通信装置是具有上述终端设备功能的部件时，接收模块与发送模块可以是射频单元，处理模块可以是处理器。当通信装置是芯片系统时，接收模块可以是芯片系统的输入端口，发送模块可以是芯片系统的输出接口、处理模块可以是芯片系统的处理器，例如：中央处理器(central processing unit，CPU)。

在本申请实施例中，网络设备所包括的存储器主要用于存储软件程序和数据，例如存储上述实施例中所描述的第一标识等。该网络设备还具有以下功能：

该网络设备，包括：

处理器，还用于基于SUPI生成第一标识；

收发器，还用于向安全锚点功能SEAF发送第一标识；

在本申请的一些可选实施例中，

收发器，还用于向UDM发送第一标识；

在本申请的一些可选实施例中，

收发器，还用于接收AMF发送的第一服务网络标识；

处理器，用于生成第一标识，具体包括：

在本申请的一些可选实施例中，

收发器，还用于将第五中间密钥K _AUSF发送至AUSF；

处理器，还用于将第一中间密钥K _SEAF发送给SEAF。

在本申请的一些可选实施例中，

收发器，还用于将第一中间密钥K _SEAF发送给SEAF。

在本申请的一些可选实施例中，

收发器，还用于接收AMF发送的AMF支持的认证方式；

收发器，还用于向UDM发送接收到的AMF支持的认证方式；

收发器，还用于向AUSF发送选择使用的认证方式；

本申请实施例提供的一种终端设备，包括：

在本申请的一些可选实施例中，该终端设备还包括收发器；

处理器，用于基于SUPI生成第一标识，具体包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UE本地配置指示生成第一标识，或者，

在本申请的一些可选实施例中，

收发器，还用于获取第三中间密钥CK和第四中间密钥IK；

在本申请的一些可选实施例中，

收发器，还用于获取第三中间密钥CK和第四中间密钥IK；

在本申请的一些可选实施例中，

本申请实施例提供的一种网络设备，包括：

处理器，用于基于SUPI生成第一标识；

收发器，用于向认证服务器功能网元AUSF发送该第一标识；

收发器，还用于向安全锚点功能网元SEAF发送该第一标识；

在本申请的一些可选实施例中，

收发器，还用于接收该AMF发送的第一服务网络标识；

收发器，还用于向UDM发送第一服务网络标识；

处理器，用于生成第一标识，具体包括：

第一服务网络标识包括PLMN ID和NID，或者，

UE的拜访网络为SNPN网络，或者，

UE的拜访网络和UE的归属网络为两个不同的网络，或者，

UDM本地配置指示生成第一标识。

在本申请的一些可选实施例中，

处理器，还用于保存第一标识与SUPI的对应关系。

在本申请的一些可选实施例中，

收发器，还用于将第五中间密钥K _AUSF发送至AUSF；

收发器，还用于将第一中间密钥K _SEAF发送给SEAF。

在本申请的一些可选实施例中，

收发器，还用于将第一中间密钥K _SEAF发送给SEAF。

本申请实施例提供的一种网络设备，包括：

收发器，用于被配置第一协议网络支持的认证方式；

收发器，还用于向AUSF发送选择使用的认证方式。

在本申请的一些可选实施例中，

本申请实施例提供的一种网络设备，包括：

收发器，用于接收AUSF发送的第一认证方式；

处理器，用于根据接收到的第一认证方式选择使用的认证方式；

收发器，还用于向该AUSF发送该选择使用的认证方式。

在本申请的一些可选实施例中，该UDM接收AUSF发送的第一认证方式，可以包括：

在本申请的一些可选实施例中，该UDM向该AUSF发送该选择使用的认证方式，可以包括：

在本申请的一些可选实施例中，该UDM接收AUSF发送的第一认证方式之前，可以包括：

收发器，还用于接收到SEAF发送的第一认证方式。

本申请实施例还提供了一种处理装置，包括处理器和接口；所述处理器，用于执行上述任一方法实施例所述的通信方法。

应理解，上述处理装置可以是一个芯片，所述处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于所述处理器之外，独立存在。

本申请还提供一种通信系统，其包括网络设备和终端设备。

本申请实施例还提供的一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行：

步骤A：接收统一数据管理UDM发送的终端设备的签约永久标识SUPI，其中，SUPI用于标识UE；

步骤B：基于SUPI生成第一标识；

步骤C：向安全锚点功能SEAF发送第一标识；

步骤D：基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

步骤E：向接入移动管理功能AMF发送第二中间密钥K _AMF；

步骤F：基于第二中间密钥K _AMF生成非接入层NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

步骤G：向UDM发送第一标识；

步骤H：接收第一标识，并保存第一标识与SUPI之间的对应关系。

步骤I：接收AMF发送的第一服务网络标识；

步骤J：用于生成第一标识，具体包括：当第一服务网络标识包括公共陆地移动网络标识PLMN ID和网络标识NID时，或者，当第一服务网络标识包括PLMN ID和NID，并且，认证服务器功能AUSF所在网络的标识包括PLMN ID但不包括NID时，生成第一标识。

步骤K：基于UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

步骤L：基于第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF；

步骤M：将第五中间密钥K _AUSF发送至AUSF；

步骤N：基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

步骤O：将第一中间密钥K _SEAF发送给SEAF。

步骤P：基于UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

步骤Q：基于第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

步骤R：将第六中间密钥CK’和第七中间密钥IK’发送至AUSF；

步骤S：基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF，并基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF；

步骤T：将第一中间密钥K _SEAF发送给SEAF。

步骤U：接收AMF发送的AMF支持的认证方式；

步骤V：向UDM发送接收到的AMF支持的认证方式；

步骤W：基于AMF支持的认证方式选择使用的认证方式；

步骤X：向AUSF发送选择使用的认证方式；

步骤Y：基于选择使用的认证方式向AMF发送认证响应。

和/或，

步骤Z：基于终端设备的签约永久标识SUPI生成第一标识；

步骤AA：基于第一中间密钥K _SEAF、第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

步骤AB：基于第二中间密钥K _AMF生成NAS密钥，其中，NAS密钥用于对NAS消息进行保护。

步骤AC：向接入移动管理功能AMF发送注册请求，注册请求中携带第一服务网络标识；

步骤AD：基于SUPI生成第一标识，具体包括：

或者，当第一服务网络标识包括PLMN ID和NID，并且，AUSF所在网络的标识包括PLMN ID但不包括NID时，基于SUPI生成第一标识。

步骤AE：获取第三中间密钥CK和第四中间密钥IK；

步骤AF：基于第三中间密钥CK和第四中间密钥IK，生成第五中间密钥K _AUSF；

步骤AG：基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF。

步骤AH：获取第三中间密钥CK和第四中间密钥IK；

步骤AI：基于第三中间密钥CK和第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

步骤AJ：基于第六中间密钥CK’和第七中间密钥IK’生成第五中间密钥K _AUSF；

步骤AK：基于第五中间密钥K _AUSF生成第一中间密钥K _SEAF。

步骤AL：基于第一中间密钥K _SEAF、第一标识、第一标识的长度、ABBA以及ABBA的长度生成第二中间密钥K _AMF。

步骤AM：基于SUPI生成第一标识；

步骤AN：向认证服务器功能网元AUSF发送所述第一标识；

步骤AO：向安全锚点功能网元SEAF发送所述第一标识；

步骤AP：基于第一中间密钥K _SEAF、所述第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

步骤AQ：向移动管理功能网元AMF发送所述第二中间密钥；

步骤AR：基于所述第二中间密钥生成非接入层NAS密钥，其中，所述NAS密钥用于对NAS消息进行保护。

在本申请的一些可选实施例中，

步骤AS：基于终端设备UE的SUPI生成第一标识；

步骤AT：向AUSF发送该第一标识；

步骤AU：向SEAF发送该第一标识；

步骤AV：向该AMF发送该第一标识；

步骤AW：基于第一中间密钥K _SEAF、该第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

步骤AX：向AMF发送该第二中间密钥K _AMF；

步骤AY：基于该第二中间密钥生成NAS密钥，其中，该NAS密钥用于对NAS消息进行保护。

步骤AZ：接收该AMF发送的第一认证请求消息，该第一认证请求消息携带第一服务网络标识，该第一认证请求消息用于请求调用AUSF提供的认证服务；

步骤BA：向该UDM发送认证向量请求消息，该认证向量请求消息携带该第一服务网络标识，该认证向量请求消息用于请求调用UDM提供的认证向量服务，或者用于请求调用UDM提供的认证服务；

步骤BB：生成该第一标识。

步骤BC：该第三条件满足时，基于该UE的SUPI生成该第一标识。

步骤BD：保存该第一标识与该SUPI的对应关系。

步骤BE：基于该UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

步骤BF：基于该第三中间密钥CK和该第四中间密钥IK，生成第五中间密钥K _AUSF；

步骤BG：将该第五中间密钥K _AUSF发送至该AUSF；

步骤BH：基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF；

步骤BI：将该第一中间密钥K _SEAF发送给该SEAF。

步骤BJ：基于该UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

步骤BK：基于该第三中间密钥CK和该第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

步骤BL：将该第六中间密钥CK’和该第七中间密钥IK’发送至该AUSF；

步骤BM：基于该第六中间密钥CK’和该第七中间密钥IK’生成第五中间密钥K _AUSF，并基于该第五中间密钥K _AUSF生成该第一中间密钥K _SEAF；

步骤BN：将该第一中间密钥K _SEAF发送给该SEAF。

步骤BO：接收到AMF或者SMF的携带第一标识的服务请求。

在本申请的一些可选实施例中，

步骤BP：被配置第一协议网络支持的认证方式；

步骤BQ：接收AUSF发送的第一服务网络标识；

步骤BR：基于该第一服务网络标识以及本地配置的第一协议网络支持的认证方式，选择使用的认证方式；

步骤BS：向该AUSF发送该选择使用的认证方式。

步骤BT：向UDM发送的携带第一服务网络标识的认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务。

步骤BU：向AUSF发送认证向量响应消息，在该认证向量响应消息中携带选择的认证方式。该认证向量响应消息，用于响应接收到的认证向量请求消息。

在本申请的一些可选实施例中，

步骤BV：接收AUSF发送的第一认证方式；

步骤BW：根据接收到的第一认证方式选择使用的认证方式；

步骤BX：向该AUSF发送该选择使用的认证方式。

步骤BY：向UDM发送认证向量请求消息，该认证向量请求消息用于请求调用UDM提供的认证向量服务或者认证服务，该认证向量请求消息中携带第一认证方式。

步骤BZ：向AUSF发送认证向量响应消息，在该认证向量响应消息中携带选择的认证方式。该认证向量响应消息，用于响应接收到的认证向量请求消息。

步骤CA：接收到SEAF发送的第一认证方式。

本申请实施例还提供的一种计算机程序产品，所述计算机程序产品包括计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述步骤A-步骤Y，和/或，步骤Z-步骤AR，和/或，步骤AS-步骤BO，和/或，步骤BP-步骤BU，和/或，步骤BV-步骤CA。

本申请实施例还提供一种芯片，包括存储器和处理器，所述存储器用于存储计算机程序，所述处理器用于从所述存储器中调用并运行所述计算机程序，使得芯片执行上述步骤A-步骤Y，和/或，步骤Z-步骤AR，和/或，步骤AS-步骤BO，和/或，步骤BP-步骤BU，和/或，步骤BV-步骤CA。

本申请实施例还提供一种芯片，包括处理器，所述处理器用于调用并运行计算机程序，使得芯片执行上述步骤A-步骤Y，和/或，步骤Z-步骤AR，和/或，步骤AS-步骤BO，和/或，步骤BP-步骤BU，和/或，步骤BV-步骤CA。

另外需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以基于实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本申请提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现，当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下，凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现，而且，用来实现同一功能的具体硬件结构也可以是多种多样的，例如模拟电路、数字电路或专用电路等。但是，对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等，包括若干指令用以使得一台计算机设备执行本申请各个实施例所述的方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、通信装置、计算设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、通信装置、计算设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的通信装置、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

另外，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的对应关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本申请实施例中，“与A相应的B”表示B与A相关联，基于A可以确定B。但还应理解，基于A确定B并不意味着仅仅基于A确定B，还可以基于A和/或其它信息确定B。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以基于实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。

总之，以上所述仅为本申请技术方案的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种通信方法，其特征在于，包括：

认证服务器功能AUSF接收统一数据管理功能UDM发送的终端设备UE的签约永久标识SUPI，其中，所述SUPI用于标识所述UE；

所述AUSF基于所述SUPI生成第一标识；

所述AUSF向安全锚点功能SEAF发送所述第一标识；

所述SEAF基于第一中间密钥K _SEAF、所述第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

所述SEAF向接入移动管理功能AMF发送所述第二中间密钥K _AMF；

所述AMF基于所述第二中间密钥K _AMF生成非接入层NAS密钥，其中，所述NAS密钥用于对NAS消息进行保护。
根据权利要求1所述的方法，其特征在于，所述AUSF基于所述SUPI生成所述第一标识之后，所述方法还包括：

所述AUSF向所述UDM发送所述第一标识；

所述UDM接收所述第一标识，并保存所述第一标识与所述SUPI之间的对应关系。
根据权利要求1至2中任一项所述的方法，其特征在于，所述AUSF生成所述第一标识之前，所述方法还包括：

所述AUSF接收所述AMF发送的第一服务网络标识；

所述AUSF生成所述第一标识，包括：

当所述第一服务网络标识包括公共陆地移动网络标识PLMN ID和网络标识NID时，

或者，当所述第一服务网络标识包括PLMN ID和NID，并且，所述AUSF所在网络的标识包括PLMN ID但不包括NID时，所述AUSF生成所述第一标识。
根据权利要求1-3中任一项所述的方法，其特征在于，所述SEAF基于所述第一中间密钥K _SEAF、所述第一标识以及所述ABBA生成所述第二中间密钥K _AMF之前，所述方法还包括：

所述UDM基于所述UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

所述UDM基于所述第三中间密钥CK和所述第四中间密钥IK，生成第五中间密钥K _AUSF；

所述UDM将所述第五中间密钥K _AUSF发送至所述AUSF；

所述AUSF基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF；

所述AUSF将所述第一中间密钥K _SEAF发送给所述SEAF。
根据权利要求1-3中任一项所述的方法，其特征在于，所述SEAF基于所述第一中间密钥K _SEAF、所述第一标识以及所述ABBA生成所述第二中间密钥K _AMF之前，所述方法还包括：

所述UDM基于所述UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

所述UDM基于所述第三中间密钥CK和所述第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

所述UDM将所述第六中间密钥CK’和所述第七中间密钥IK’发送至所述AUSF；

所述AUSF基于所述第六中间密钥CK’和所述第七中间密钥IK’生成第五中间密钥K _AUSF，并基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF；

所述AUSF将所述第一中间密钥K _SEAF发送给所述SEAF。
根据权利要求1-5中任一项所述的方法，其特征在于，所述AUSF接收所述UDM发送的所述UE的所述SUPI之前，所述方法还包括：

所述AUSF接收所述AMF发送的所述AMF支持的认证方式；

所述AUSF向所述UDM发送接收到的所述AMF支持的认证方式；

所述UDM基于所述AMF支持的认证方式选择使用的认证方式；

所述UDM向所述AUSF发送所述选择使用的认证方式；

所述AUSF基于所述选择使用的认证方式向所述AMF发送认证响应。
一种通信方法，其特征在于，包括：

终端设备UE基于所述UE的签约永久标识SUPI生成第一标识；

所述UE基于第一中间密钥K _SEAF、所述第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

所述UE基于所述第二中间密钥K _AMF生成非接入层NAS密钥，其中，所述NAS密钥用于对NAS消息进行保护。
根据权利要求7所述的方法，其特征在于，所述UE基于所述SUPI生成所述第一标识之前，所述方法还包括：

所述UE向接入移动管理功能AMF发送注册请求，所述注册请求中携带第一服务网络标识；

所述UE基于所述SUPI生成所述第一标识，包括：

当所述第一服务网络标识包括公共陆地移动网络标识PLMN ID和网络标识NID时，

或者，当所述第一服务网络标识包括PLMN ID和NID，并且，所述AUSF所在网络的标识包括PLMN ID但不包括NID时，所述UE基于所述SUPI生成所述第一标识。
根据权利要求7或8所述的方法，其特征在于，所述UE基于所述第一中间密钥K _SEAF、所述第一标识以及所述架构间抗降维参数ABBA生成所述第二中间密钥K _AMF之前，所述方法还包括：

所述UE获取第三中间密钥CK和第四中间密钥IK；

所述UE基于所述第三中间密钥CK和所述第四中间密钥IK，生成第五中间密钥K _AUSF；

所述UE基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF。
根据权利要求7或8所述的方法，其特征在于，所述UE基于所述第一中间密钥K _SEAF、所述第一标识以及所述架构间抗降维参数ABBA生成第二中间密钥K _AMF之前，所述方法还包括：

所述UE获取第三中间密钥CK和第四中间密钥IK；

所述UE基于所述第三中间密钥CK和所述第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

所述UE基于所述第六中间密钥CK’和所述第七中间密钥IK’生成第五中间密钥K _AUSF；

所述UE基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF。
根据权利要求7-10中任一项所述的方法，其特征在于，所述UE基于所述第一中间密钥K _SEAF、所述第一标识以及所述架构间抗降维参数ABBA生成所述第二中间密钥K _AMF，包括：

所述UE基于所述第一中间密钥K _SEAF、所述第一标识、所述第一标识的长度、所述ABBA以及所述ABBA的长度生成所述第二中间密钥K _AMF。
一种网络设备，其特征在于，包括：

收发器，用于接收统一数据管理UDM发送的终端设备的签约永久标识SUPI，其中，所述SUPI用于标识所述UE；

处理器，用于基于所述SUPI生成第一标识；

所述收发器，还用于向安全锚点功能SEAF发送所述第一标识；

所述处理器，还用于基于第一中间密钥K _SEAF、所述第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

所述收发器，还用于向接入移动管理功能AMF发送所述第二中间密钥K _AMF；

所述处理器，还用于基于所述第二中间密钥K _AMF生成非接入层NAS密钥，其中，所述NAS密钥用于对NAS消息进行保护。
根据权利要求12所述的网络设备，其特征在于，

所述收发器，还用于向所述UDM发送所述第一标识；

所述收发器，还用于接收所述第一标识，并保存所述第一标识与所述SUPI之间的对应关系。
根据权利要求12至13中任一项所述的网络设备，其特征在于，

所述收发器，还用于接收所述AMF发送的第一服务网络标识；

所述处理器，用于生成所述第一标识，具体包括：

当所述第一服务网络标识包括公共陆地移动网络标识PLMN ID和网络标识NID时，

或者，当所述第一服务网络标识包括PLMN ID和NID，并且，认证服务器功能AUSF所在网络的标识包括PLMN ID但不包括NID时，生成所述第一标识。
根据权利要求12-14中任一项所述的网络设备，其特征在于，

所述处理器，还用于基于所述UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

所述处理器，还用于基于所述第三中间密钥CK和所述第四中间密钥IK，生成第五中间密钥K _AUSF；

所述收发器，还用于将所述第五中间密钥K _AUSF发送至所述AUSF；

所述处理器，还用于基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF；

所述处理器，还用于将所述第一中间密钥K _SEAF发送给所述SEAF。
根据权利要求12-14中任一项所述的网络设备，其特征在于，

所述处理器，还用于基于所述UE的长期密钥K生成第三中间密钥CK和第四中间密钥IK；

所述处理器，还用于基于所述第三中间密钥CK和所述第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

所述收发器，还用于将所述第六中间密钥CK’和所述第七中间密钥IK’发送至所述AUSF；

所述处理器，还用于基于所述第六中间密钥CK’和所述第七中间密钥IK’生成第五中间密钥K _AUSF，并基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF；

所述收发器，还用于将所述第一中间密钥K _SEAF发送给所述SEAF。
根据权利要求12-16中任一项所述的网络设备，其特征在于，

所述收发器，还用于接收所述AMF发送的所述AMF支持的认证方式；

所述收发器，还用于向所述UDM发送接收到的所述AMF支持的认证方式；

所述处理器，还用于基于所述AMF支持的认证方式选择使用的认证方式；

所述收发器，还用于向所述AUSF发送所述选择使用的认证方式；

所述收发器，还用于基于所述选择使用的认证方式向所述AMF发送认证响应。
一种终端设备，其特征在于，包括：

处理器，用于基于终端设备的签约永久标识SUPI生成第一标识；

所述处理器，还用于基于第一中间密钥K _SEAF、所述第一标识以及架构间抗降维参数ABBA生成第二中间密钥K _AMF；

所述处理器，还用于基于所述第二中间密钥K _AMF生成非接入层NAS密钥，其中，所述NAS密钥用于对NAS消息进行保护。
根据权利要求18所述的终端设备，其特征在于，所述终端设备还包括收发器；

所述收发器，还用于向接入移动管理功能AMF发送注册请求，所述注册请求中携带第一服务网络标识；

所述处理器，用于基于所述SUPI生成所述第一标识，具体包括：

当所述第一服务网络标识包括公共陆地移动网络标识PLMN ID和网络标识NID时，

或者，当所述第一服务网络标识包括PLMN ID和NID，并且，所述AUSF所在网络的标识包括PLMN ID但不包括NID时，基于所述SUPI生成所述第一标识。
根据权利要求18或19所述的终端设备，其特征在于，

所述收发器，还用于获取第三中间密钥CK和第四中间密钥IK；

所述处理器，还用于基于所述第三中间密钥CK和所述第四中间密钥IK，生成第五中间密钥K _AUSF；

所述处理器，还用于基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF。
根据权利要求18或19所述的终端设备，其特征在于，

所述收发器，还用于获取第三中间密钥CK和第四中间密钥IK；

所述处理器，还用于基于所述第三中间密钥CK和所述第四中间密钥IK，生成第六中间密钥CK’和第七中间密钥IK’；

所述处理器，还用于基于所述第六中间密钥CK’和所述第七中间密钥IK’生成第五中间密钥K _AUSF；

所述处理器，还用于基于所述第五中间密钥K _AUSF生成所述第一中间密钥K _SEAF。
根据权利要求18-21中任一项所述的终端设备，其特征在于，

所述处理器，还用于基于所述第一中间密钥K _SEAF、所述第一标识、所述第一标识的长度、所述ABBA以及所述ABBA的长度生成所述第二中间密钥K _AMF。
一种计算机程序存储介质，其特征在于，所述计算机程序存储介质具有程序指令，当所述程序指令被直接或者间接执行时，使得如权利要求1-6或7-11中任一所述的方法被执行。
一种芯片系统，其特征在于，所述芯片系统包括至少一个处理器，当程序指令在所述至少一个处理器中执行时，使得如权利要求1-6或7-11中任一所述的方法被执行。