WO2022160314A1 - 一种安全参数的获取方法、装置及系统 - Google Patents

Abstract

本申请公开了一种安全参数的获取方法、装置及系统，用于保障私网业务的安全性。本申请中分别独立生成用于推演空口控制面密钥和空口用户面密钥的安全参数，并且用于推演空口用户面密钥的安全参数使用私网根密钥进行推演，且在私网内部完成推演，防止私网根密钥以及安全参数的推演过程暴露于公网中，从而在使用空口用户面密钥对业务数据进行安全传输时，可以提高空口业务数据传输安全性。

Description

一种安全参数的获取方法、装置及系统 技术领域

本申请涉及通信技术领域，尤其设计一种安全参数的获取方法、装置及系统。

背景技术

目前，在工业场景中，为了保证安全性，要求私网的业务数据不出工业园区，还要求私网的业务数据的完整性和加密性得到严格保证。考虑到成本，一般采用私网与公网共享无线接入网以及核心网(或者核心网控制面)。在这种共享的部署架构下，私网业务的安全性得不到保障。

发明内容

本申请提供一种安全参数的获取方法、装置及系统，用于保障私网业务的安全性。

第一方面，本申请实施例提供一种安全参数的获取方法，该方法可以包括：私网网元获取终端设备的私网根密钥，终端设备与公网网元建立有控制面连接；私网网元根据私网根密钥生成终端设备的第一安全参数，第一安全参数用于推演终端设备的私网空口用户面密钥；私网网元向终端设备的接入网设备发送第一安全参数。上述方法由私网网元来生成用于推演空口用户面密钥的安全参数，由于私网网元不被公网所共享，可以保障推演安全参数的方式的安全性；并且使用私网根密钥来生成用于推演空口用户面密钥的安全参数，由于私网根密钥位于私网内部，可以保障私网根密钥不被公网所获知，进而保障私网根密钥的安全性；进一步地，在使用空口用户面密钥对业务数据进行安全传输时，可以提高空口业务数据传输安全性。

在一种可能的设计中，私网网元可以为私网会话管理网元或者私网认证网元。

在一种可能的设计中，获取终端设备的私网根密钥，包括：根据所述终端设备的标识获取所述私网根密钥；或者，根据所述终端设备的业务标识获取所述私网根密钥。上述设计中，私网根密钥可以是用户粒度的，也可以是业务粒度。例如，不同的终端设备采用不同的私网根密钥，提高根密钥的安全性。例如不同的业务采用不同的私网根密钥，提高不同业务的传输的安全性。

在一种可能的设计中，终端设备的标识可以包括如下一项或多项：用户永久标识符SUPI、通用公共用户标识GPSI或者用户隐藏标识符SUCI。

在一种可能的设计中，所述终端设备的业务标识包括如下一项或多项：数据网络名称DNN或者五元组。

在一种可能的设计中，获取终端设备的私网根密钥，包括：从本地配置信息中获取所述终端设备的私网根密钥。

在一种可能的设计中，获取所述终端设备的私网根密钥，包括：根据所述终端设备的标识获取所述私网根密钥，所述本地配置信息包括所述终端设备的标识与所述私网根密钥的对应关系；或者，根据所述终端设备的业务标识从本地配置信息获取所述私网根密钥，所述本地配置信息包括所述终端设备的业务标识与所述私网根密钥的对应关系。

在一种可能的设计中，所述私网网元为私网会话管理网元，所述获取终端设备的私网 根密钥，包括：从认证网元中获取所述终端设备的私网根密钥。

在一种可能的设计中，所述从认证网元中获取所述终端设备的私网根密钥，包括：根据所述终端设备的标识从认证网元获取所述私网根密钥，所述认证网元保存所述终端设备的标识对应的私网根密钥；或者，根据所述终端设备的业务标识从认证网元获取所述私网根密钥，所述认证网元保存所述终端设备的标识对应的私网根密钥。

在一种可能的设计中，所述方法还可以包括：接收第一参数信息，所述第一参数信息指示使用所述私网根密钥生成所述第一安全参数；则获取所述终端设备的私网根密钥，包括：根据所述第一参数信息，获取所述私网根密钥。例如，接收到第一参数信息，根据第一参数信息确定使用所述私网根密钥生成所述第一安全参数，则私网网元执行获取私网根密钥生成第一安全参数的流程。又例如，未接收到该第一参数信息，则私网网元可以不再执行获取私网根密钥生成第一安全参数的流程。

在一种可能的设计中，所述方法还包括：接收第二参数信息，所述第二参数信息用于指示所述终端设备的空口控制面密钥和用户面密钥相互隔离；所述获取所述终端设备的私网根密钥，包括：根据所述第二参数信息，获取所述私网根密钥。通过上述方案，接收到第二参数信息，则私网网元获取私网密钥。例如，未收到第二参数信息，则私网网元可以不再执行获取私网根密钥生成第一安全参数的流程。

在一种可能的设计中，根据所述第一参数信息，获取所述私网根密钥，包括：

根据第一参数信息和本地配置信息确定需要使用所述私网根密钥生成所述第一安全参数时，获取所述私网根密钥；或者，根据所述第一参数信息和所述终端设备的用户签约数据确定使用所述私网根密钥生成所述第一安全参数时，获取所述私网根密钥；或者，根据第一参数信息、本地配置信息和所述终端设备的用户签约数据确定使用所述私网根密钥生成所述第一安全参数时，获取所述私网根密钥。

其中，第一参数信息包括数据网络名称DNN、终端设备的标识或者五元组。

在一种可能的设计中，所述方法还包括：获取安全参数密钥；向所述终端设备的接入网设备发送所述第一安全参数，包括：使用所述安全参数密钥对所述第一安全参数进行加密，将经过加密后的第一安全参数发送给所述接入网设备。

上述设计中，在第一安全参数传输的过程中，采用加密的方式传输，对中转网元来说，第一安全参数不透明，无法获知该第一安全参数，从而提高第一安全参数的安全性，进而提高第一安全参数推演的空口用户面密钥的安全性。

在一种可能的设计中，所述获取隧道密钥，包括：从本地配置信息获取所述安全参数密钥；或者，从所述终端设备的用户签约数据获取所述安全参数密钥；或者，从认证网元获取所述安全参数密钥。

在一种可能的设计中，所述获取安全参数密钥，包括：根据第三参数信息获取安全参数密钥，所述第三参数信息包括接入网设备的标识、DNN或者单一网络切片选择辅助信息S-NSSAI中的一项或多项。

在一种可能的设计中，所述方法还包括：接收来自所述公网控制面网元的所述第三参数信息。

在一种可能的设计中，所述获取安全参数密钥，包括：建立与所述接入网设备之间的安全隧道，所述安全参数密钥为所述安全隧道的密钥；所述使用所述隧道密钥对所述第一安全参数进行加密，将经过加密后的第一安全参数发送给所述接入网设备，包括：通过所 述安全隧道向所述接入网设备发送所述第一安全参数。

例如，安全隧道为IPsec隧道。通过建立安全隧道，来保证第一安全参数传输的安全性，从而提高使用第一安全参数推演的空口用户面网元的安全性。

在一种可能的设计中，建立与所述接入网设备之间的安全隧道，包括：通过所述公网控制面网元向所述接入网设备请求建立与所述接入网设备之间的安全隧道。上述设计，通过公网控制面作为安全隧道的中转网元，提供一种可行的安全隧道的建立方案。

在一种可能的设计中，通过所述公网控制面网元向所述接入网设备请求建立与所述接入网设备之间的安全隧道，包括：向所述公网控制面网元发送请求消息，所述请求消息用于请求建立与所述接入网设备之间的安全隧道；接收公网控制面网元发送的响应消息，所述响应消息用于响应完成建立所述安全隧道；通过所述安全隧道向所述接入网设备发送所述第一安全参数，包括：向所述公网控制面网元发送所述第一安全参数。

在一种可能的设计中，所述方法还包括：向所述公网控制面网元发送第一指示，所述第一指示用于指示所述公网控制面网元向所述接入网设备转发所述请求消息。

在一种可能的设计中，所述建立与所述接入网设备之间的安全隧道，包括：向所述接入网设备发送所述私网网元的地址信息，所述私网网元的地址信息使得所述接入网设备请求建立所述安全隧道。上述设计中，私网网元将自身的地址信息发送至接入网设备，从而接入网设备可以基于私网网元的地址信息来请求建立安全隧道。

私网网元的地址信息可以包括私网网元的IP地址和/或者私网网元的端口号。

在一种可能的设计中，向所述接入网设备发送所述私网网元的地址信息，包括：在会话建立或者修改流程中，向所述接入网设备发送所述私网网元的地址信息。

在一种可能的设计中，私网网元可以通过私网用户面网元建立与接入网设备之间的安全隧道。

第二方面，本申请实施例提供另一种安全参数的获取方法，包括：接入网设备获取来自私网网元的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；所述接入网设备获取来自公网网元的第二安全参数，所述第二安全参数用于推演终端设备的空口控制面密钥；所述接入网设备根据所述第一安全参数推演所述空口用户面密钥以及根据所述第二安全参数推演所述空口控制面密钥。

本申请提供的上述方案中，由公网网元生成用于推演空口控制面密钥的安全参数，以及由私网网元空口用户面密钥的安全参数，由于私网网元不被公网所共享，可以保障推演空口用户面密钥的安全参数的安全性；并且使用私网根密钥生成用于推演空口用户面密钥的安全参数，由于私网根密钥位于私网内部，可以保障私网根密钥不被公网所获知，进而保障私网根密钥的安全性；进一步地，在使用空口用户面密钥对业务数据进行安全传输时，可以提高空口业务数据传输安全性。

在一种可能的设计中，所述第一安全参数是使用安全参数密钥加密的；根据所述第一安全参数推演所述空口用户面密钥，包括：使用所述安全参数密钥对所述第一安全参数进行解密；使用解密后的所述第一安全参数推演所述空口用户面密钥。上述设计中，在第一安全参数传输过程中采用加密方式传输，从而负责中转的其它网元无法获知该加密后的第一安全参数的内容，提高第一安全参数传输的安全性，进而提高使用第一安全参数推演的空口用户面密钥的安全性。

例如，私网网元可以是私网会话管理网元或者私网认证网元。

在一种可能的设计中，所述接入网设备解密使用的安全参数密钥预配置在所述接入网设备中，或者是所述接入网设备从网络管理网元获得的。

在一种可能的设计中，获取来自私网网元的第一安全参数，包括：通过所述私网网元与接入网设备之间的建立的安全隧道接收来自所述私网网元的所述第一安全参数。上述方法，通过建立安全隧道来传输第一安全参数，提高第一安全参数传输的安全性，进而提高使用第一安全参数推演的空口用户面密钥的安全性。

例如，私网网元可以是私网会话管理网元。

在一种可能的设计中，所述方法还包括：所述接入网设备通过所述私网用户面网元向所述私网网元请求建立所述安全隧道。

在一种可能的设计中，通过所述私网用户面网元向所述私网网元请求建立所述安全隧道，包括：获取所述私网网元的地址信息；根据所述私网网元的地址信息向所述私网用户面网元请求建立所述安全隧道。

例如，私网网元可以是私网会话管理网元。

在一种可能的设计中，所述私网网元的地址信息包括所述私网网元的因特网协议IP地址和/或端口号。

在一种可能的设计中，通过所述私网用户面网元向所述私网网元请求建立所述安全隧道，包括：向所述私网用户面网元发送请求消息，所述请求消息用于请求建立与所述私网网元之间的安全隧道；接收所述私网用户面网元发送的响应消息，所述响应消息用于指示完成建立所述安全隧道；获取来自私网网元的第一安全参数，包括：接收所述私网网元通过所述私网用户面网元发送的所述第一安全参数。

在一种可能的设计中，所述方法还包括：向所述私网用户面网元发送第一指示，所述第一指示用于指示所述私网用户面网元向所述私网网元转发所述请求消息。

在一种可能的设计中，所述方法还包括：所述接入网设备通过所述公网网元向所述私网网元请求建立所述安全隧道。

在一种可能的设计中，通过所述公网网元向所述私网网元请求建立所述安全隧道，包括：向所述公网网元发送请求消息，所述请求消息用于请求建立与所述私网网元之间的安全隧道；接收所述公网网元发送的响应消息，所述响应消息用于指示完成建立所述安全隧道；获取来自私网网元的第一安全参数，包括：

接收所述私网网元通过所述公网网元发送的所述第一安全参数。

第三方面，本申请实施例提供又一种安全参数的获取方法，包括：公网网元接收来自终端设备的第一参数信息，所述第一参数信息用于指示使用所述终端设备对应的私网根密钥进行所述终端设备的空口用户面密钥的推演；公网网元根据所述第一参数信息选择私网会话管理网元；公网网元向所述私网会话管理网元发送所述第一参数信息。

上述方法中，由于私网会话管理网元不被公网所共享，可以保障推演安全参数的方式的安全性；并且由于私网根密钥位于私网内部，可以保障私网根密钥不被公网所获知，进而保障私网根密钥的安全性；进一步地，在使用空口用户面密钥对业务数据进行安全传输时，可以提高空口业务数据传输安全性。

在一种可能的设计中，还包括：接收来自终端设备的第二参数信息，所述第二参数信息用于指示所述终端设备的空口控制面密钥和用户面密钥相互隔离。

在一种可能的设计中，还包括：接收来自所述私网网元的请求消息，所述请求消息用 于请求与接入网设备之间建立安全隧道；向所述接入网设备发送所述请求消息。

在一种可能的设计中，所述方法还包括：接收来自所述私网网元的第一指示，所述第一指示用于指示所述公网网元向所述接入网设备转发所述请求消息；向所述接入网设备发送所述请求消息，包括：根据所述第一指示向所述接入网设备发送所述请求消息。

在一种可能的设计中，还包括：接收来自所述私网网元的第一安全参数，所述第一安全参数用于推演所述终端设备的空口用户面密钥；向所述接入网设备转发所述第一安全参数。

第四方面，本申请实施例提供又一种安全参数的获取方法，包括：私网用户面网元接收来自接入网设备的请求消息，所述请求消息用于请求与私网网元之间建立安全隧道，所述安全隧道用于传输所述私网网元向所述接入网设备发送的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；所述私网用户面网元向所述私网网元发送所述请求消息。

上述方法中，使用安全隧道传递安全参数，保障了私网根密钥和安全参数不被公网所获知；进一步地，在使用空口用户面密钥对业务数据进行安全传输时，可以提高空口业务数据传输安全性。

在一种可能的设计中，还包括：接收来自接入网设备的第一指示，所述第一指示用于指示所述私网用户面网元向所述私网网元转发所述请求消息；向所述私网网元发送所述请求消息，包括：根据所述第一指示，向所述私网网元发送所述请求消息。

在一种可能的设计中，所述请求消息携带所述私网网元的地址信息；向所述私网网元发送所述请求消息，包括：根据所述地址信息对应的转发规则向所述私网网元转发所述请求消息。

在一种可能的设计中，根据所述地址信息对应的转发规则向所述私网网元转发所述请求消息，包括：根据所述地址信息对应的转发规则通过N4接口向所述私网网元发送所述请求消息。

在一种可能的设计中，还包括：接收来自私网网元的所述第一安全参数；

向所述接入网设备发送所述第一安全参数。

第五方面，本申请实施例提供又一种安全参数的获取方法，包括：终端设备接收来自私网网元的第一辅助参数，所述第一辅助参数用于推演终端设备的空口用户面密钥；所述终端设备接收来自公网网元的第二辅助参数，所述第二辅助参数用于推演终端设备的空口控制面密钥；所述终端设备根据所述第一辅助参数推演所述空口用户面密钥以及根据所述第二辅助参数推演所述空口控制面密钥。

上述方法中，由于私网网元不被公网所共享，可以保障推演安全参数的方式的安全性；并且由于私网根密钥位于私网内部，可以保障私网根密钥不被公网所获知，进而保障私网根密钥的安全性；进一步地，在使用空口用户面密钥对业务数据进行安全传输时，可以提高空口业务数据传输安全性。

在一种可能的设计中，终端设备接收来自私网网元的第一安全参数之前，还包括：终端设备向公网网元发送第一参数信息，所述第一参数信息指示使用私网根密钥推演所述第一安全参数。

在一种可能的设计中，还包括：向所述公网网元发送第二参数信息，所述第二参数信息用于指示所述终端设备的空口控制面密钥和用户面密钥相互隔离。

第六方面，提供了一种通信装置，例如该通信装置为如前所述的私网网元，例如私网会话管理网元、或者私网认证网元。该通信装置具有实现上述第一方面方法实施例中的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述通信装置例如包括相互耦合的收发模块和处理模块，其中：处理模块，用于获取终端设备的私网根密钥，终端设备与公网网元建立有控制面连接；处理模块，还用于根据私网根密钥生成终端设备的第一安全参数，第一安全参数用于推演终端设备的私网空口用户面密钥；收发模块，用于向终端设备的接入网设备发送第一安全参数。这些模块可以执行上述第一方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不再赘述。

关于第六方面或第六方面的各种可能的设计所带来的技术效果，可以参考对第一方面或第一方面的各种可能的设计的技术效果的介绍。

第七方面，提供了一种通信装置，例如该通信装置为如前所述的接入网设备。该通信装置具有实现上述第二方面方法实施例中的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述通信装置例如包括相互耦合的收发模块和处理模块，其中：收发模块，用于获取来自私网网元的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；收发模块，还用于获取来自公网网元的第二安全参数，所述第二安全参数用于推演终端设备的空口控制面密钥；处理模块，用于根据所述第一安全参数推演所述空口用户面密钥以及根据所述第二安全参数推演所述空口控制面密钥。这些模块可以执行上述第二方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不再赘述。

关于第七方面或第七方面的各种可能的设计所带来的技术效果，可以参考对第二方面或第二方面的各种可能的实施方式的技术效果的介绍。

第八方面，提供了一种通信装置，例如该通信装置为如前所述的公网网元。该通信装置具有实现上述第三方面方法实施例中的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述通信装置例如包括相互耦合的收发模块和处理模块，其中：收发模块，用于接收来自终端设备的第一参数信息，所述第一参数信息用于指示使用所述终端设备对应的私网根密钥进行所述终端设备的空口用户面密钥的推演；处理模块，用于根据所述第一参数信息选择私网会话管理网元；收发模块，还用于向所述私网会话管理网元发送所述第一参数信息。这些模块可以执行上述第三方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不再赘述。

关于第八方面或第八方面的各种可能的设计所带来的技术效果，可以参考对第三方面或第三方面的各种可能的实施方式的技术效果的介绍。

第九方面，提供了一种通信装置，例如该通信装置为如前所述的私网用户面网元。该通信装置具有实现上述第四方面方法实施例中的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述通信装置例如包括相互耦合的接收模块和发送模块，其中：接收模块，用于接收来自接入网设备的请求消息，所述请求消息用于请求与私网网元之间建立安全隧道，所述安全隧道用于传输所述私网网元向所述接入网设备发送的第一 安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；发送模块，用于向所述私网网元发送所述请求消息。这些模块可以执行上述第四方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不再赘述。

关于第九方面或第九方面的各种可能的设计所带来的技术效果，可以参考对第四方面或第四方面的各种可能的实施方式的技术效果的介绍。

第十方面，提供了一种通信装置，例如该通信装置为如前所述的终端设备。该通信装置具有实现上述第五方面方法实施例中的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，所述通信装置例如包括相互耦合的收发模块和处理模块，其中：收发模块，用于接收来自私网网元的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；收发模块，还用于接收来自公网网元的第二安全参数，所述第二安全参数用于推演终端设备的空口控制面密钥；处理模块，用于根据所述第一安全参数推演所述空口用户面密钥以及根据所述第二安全参数推演所述空口控制面密钥。这些模块可以执行上述第五方面方法示例中的相应功能，具体参见方法示例中的详细描述，此处不再赘述。

关于第十方面或第十方面的各种可能的设计所带来的技术效果，可以参考对第五方面五或第四方面的各种可能的实施方式的技术效果的介绍。

第十一方面，提供了一种通信装置。该通信装置可以为上述方法设计中的私网网元或者设置在私网网元中的芯片。该通信装置包括通信接口以及处理器，可选地，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器与存储器、通信接口耦合，当处理器执行所述计算机程序或指令时，使通信装置执行上述方法实施例中由私网网元所执行的方法。

第十二方面，提供了一种通信装置。该通信装置可以为上述方法设计中的接入网设备或者设置在接入网设备中的芯片。该通信装置包括通信接口以及处理器，可选地，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器与存储器、通信接口耦合，当处理器执行所述计算机程序或指令时，使通信装置执行上述方法实施例中由接入网设备所执行的方法。

第十三方面，提供了一种通信装置。该通信装置可以为上述方法设计中的公网网元或者设置在公网网元的芯片。该通信装置包括通信接口以及处理器，可选地，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器与存储器、通信接口耦合，当处理器执行所述计算机程序或指令时，使通信装置执行上述方法实施例中由公网网元所执行的方法。

第十四方面，提供了一种通信装置。该通信装置可以为上述方法设计中的私网用户面网元或者设置在私网用户面网元的芯片。该通信装置包括通信接口以及处理器，可选地，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器与存储器、通信接口耦合，当处理器执行所述计算机程序或指令时，使通信装置执行上述方法实施例中由私网用户面网元所执行的方法。

第十五方面，提供了一种通信装置。该通信装置可以为上述方法设计中的终端设备或者设置在终端设备的芯片。该通信装置包括通信接口以及处理器，可选地，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器与存储器、通信接口耦合，当处理器执行所述计算机程序或指令时，使通信装置执行上述方法实施例中由终端设备所执行的方 法。

其中，第十方面-第十五方面的通信装置中的通信接口可以是通信装置中的收发器，例如通过所述通信装置中的天线、馈线和编解码器等实现，或者，如果通信装置为设置在通信装置中的芯片，则通信接口可以是该芯片的输入/输出接口，例如输入/输出管脚等。

第十六方面，提供了一种通信系统，所述通信系统包括私网网元和公网网元。私网网元用于执行第一方面或者第一方面任一设计所述的方法。例如：

所述私网网元，用于向接入网设备发送第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；

所述公网网元，用于向所述接入网设备发送第二安全参数，所述第二安全参数用于推演所述终端设备的空口控制面密钥。

在一种可能的设计中，所述私网网元包括私网会话管理网元或者私网认证网元。

在一种可能的设计中，所述系统还包括所述接入网设备，用于：

接收来自所述私网网元的所述第一安全参数和来自所述公网网元和所述第二安全参数；

根据所述第一安全参数推演所述终端设备的空口用户面密钥；

根据所述第二安全参数推演所述终端设备的空口控制面密钥。

第十七方面，本申请提供了一种芯片系统，该芯片系统包括处理器，用于实现上述各方面的方法中私网网元或接入网设备或公网网元或者私网用户面网元或终端设备的功能。在一种可能的设计中，所述芯片系统还包括存储器，用于保存程序指令和/或数据。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十八方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码并运行时，使得上述各方面中由私网网元或接入网设备或公网网元或者私网用户面网元或终端设备执行的方法被执行。

第十九方面，本申请提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，当该计算机程序被运行时，实现上述各方面中由私网网元或接入网设备或公网网元或者私网用户面网元或终端设备执行的方法。

附图说明

图1为本申请实施例中一种可能的通信网络架构的示意图；

图2为本申请实施例中另一种可能的通信网络架构的示意图；

图3为本申请实施例中又一种可能的通信网络架构的示意图；

图4为本申请实施例中一种可能的通信系统架构示意图；

图5为本申请实施例中一种可能的安全参数的获取方法流程示意图；

图6为本申请实施例中另一种可能的安全参数的获取方法流程示意图；

图7A为本申请实施例中又一种可能的安全参数的获取方法流程示意图；

图7B为本申请实施例中又一种可能的安全参数的获取方法流程示意图；

图7C为本申请实施例中又一种可能的安全参数的获取方法流程示意图；

图8为本申请实施例中另一种可能的通信系统架构示意图；

图9为本申请示例1提供的一种可能的安全参数的获取方法流程示意图；

图10为本申请示例2提供的一种可能的安全参数的获取方法流程示意图；

图11为本申请示例3提供的一种可能的安全参数的获取方法流程示意图；

图12为本申请示例4提供的一种可能的安全参数的获取方法流程示意图；

图13为本申请实施例中又一种可能的通信系统架构示意图；

图14为本申请示例5提供的一种可能的安全参数的获取方法流程示意图；

图15为本申请实施例提供的通信装置1500示意图；

图16为本申请实施例提供的通信装置1600示意图。

具体实施方式

本申请实施例可以应用于第四代移动通信技术(the 4th Generation mobile communication technology，4G)网络架构，例如长期演进(long term evolution，LTE)系统，也可以应用于第五代移动通信技术(the 5th Generation mobile communication technology，5G)网络架构中，例如NR系统，或者5G网络架构之后的第六代移动通信技术网络架构或其他类似的通信系统，具体的不做限制。

以下先对本申请实施例中涉及到的技术术语进行说明。

1)接入网(access network，AN)设备，包括无线接入网(radio access network，RAN)设备，例如基站(例如，接入点)，可以是指接入网中在空口通过一个或多个小区与无线终端设备通信的设备，或者例如，一种车到一切(vehicle-to-everything，V2X)技术中的接入网设备为路侧单元(road side unit，RSU)。基站可用于将收到的空中帧与IP分组进行相互转换，作为终端设备与接入网的其余部分之间的路由器，其中接入网的其余部分可包括IP网络。RSU可以是支持V2X应用的固定基础设施实体，可以与支持V2X应用的其他实体交换消息。接入网设备还可协调对空口的属性管理。例如，接入网设备可以包括LTE系统或高级长期演进(long term evolution-advanced，LTE-A)中的演进型基站(NodeB或eNB或e-NodeB，evolutional Node B)，或者也可以包括第五代移动通信技术(the 5th generation，5G)NR系统(也简称为NR系统)中的下一代节点B(next generation node B，gNB)或者也可以包括云接入网(cloud radio access network，Cloud RAN)系统中的集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)，本申请实施例并不限定。

本申请实施例中，用于实现接入网设备的功能的装置可以是接入网设备，也可以是能够支持接入网设备实现该功能的装置，例如芯片或者芯片系统，该装置可以被安装在接入网设备中。在本申请实施例提供的技术方案中，以用于实现接入网设备的功能的装置是接入网设备为例，描述本申请实施例提供的技术方案。

2)终端设备，包括向用户提供语音和/或数据连通性的设备，具体的，包括向用户提供语音的设备，或包括向用户提供数据连通性的设备，或包括向用户提供语音和数据连通性的设备。例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经RAN与核心网进行通信，与RAN交换语音或数据，或与RAN交互语音和数据。该终端设备可以包括用户设备(user equipment，UE)、无线终端设备、移动终端设备、设备到设备通信(device-to-device，D2D)终端设备、车到一切(vehicle to everything，V2X)终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications，M2M/MTC)终端设备、物联网(internet of things，IoT)终端设备、签约单元(subscriber unit)、签约站(subscriber station)，移动站(mobile station)、远程站(remote  station)、接入点(access point，AP)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如，可以包括移动电话(或称为“蜂窝”电话)，具有移动终端设备的计算机，便携式、袖珍式、手持式、计算机内置的移动装置等。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiation protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、等设备。还包括受限设备，例如功耗较低的设备，或存储能力有限的设备，或计算能力有限的设备等。例如包括条码、射频识别(radio frequency identification，RFID)、传感器、全球定位系统(global positioning system，GPS)、激光扫描器等信息传感设备。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能头盔、智能首饰等。

而如上介绍的各种终端设备，如果位于车辆上(例如放置在车辆内或安装在车辆内)，都可以认为是车载终端设备，车载终端设备例如也称为车载单元(on-board unit，OBU)。

本申请实施例中，终端设备还可以包括中继(relay)。或者理解为，能够与基站进行数据通信的都可以看作终端设备。

本申请实施例中，用于实现终端设备的功能的装置可以是终端设备，也可以是能够支持终端设备实现该功能的装置，例如芯片或芯片系统，该装置可以被安装在终端设备中。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例提供的技术方案中，以用于实现终端的功能的装置是终端设备为例，描述本申请实施例提供的技术方案。

3)本申请实施例中涉及的网元可以是硬件，也可以是从功能上划分的软件或者以上二者结合后的结构。网元可以包括核心网网元，接入网网元(或者称为接入网设备)等。核心网网元，比如包括移动性管理网元、认证网元或数据管理网元等。

移动性管理网元负责移动网络中终端设备的接入与移动性管理。移动性管理网元可以包括是5G中的接入与移动性管理实体(access and mobility management function，AMF)、或者是4G中移动性管理实体(mobility management entity，MME)，或者是以上网元融合后形成的控制功能的全部或部分。在未来通信(例如6G或者其他的网络中)，移动性管理网元可以是AMF网元，或有其它的名称，本申请不做限定。本申请后续在描述时，以移动性管理网元为AMF网元为例。

数据管理网元用于帮助运营商实现对与用户相关的数据的统一管理。数据管理网元比如可以包括用户数据管理(subscriber data management，SDM)网元，或者统一数据管理(unified data management，UDM)网元或者归属签约用户服务器(home subscriber server，HSS)网元。

会话管理网元负责管理用户业务，比如可以是5G中的会话管理功能(session  management function，SMF)网元。在未来通信(例如6G或者其他的网络中)，会话管理网元可以是SMF网元，或有其它的名称，本申请不做限定。

认证网元，比如可以为AAA服务器(AAA Service，AAA-S)，或者是其它能够实现用户鉴权或终端设备鉴权或网络切片鉴权的网元。AAA是指认证(Authentication)、授权(Authorization)和统计(Accounting)。AAA-S的主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，以及如何对正在使用网络资源的用户进行计费处理等。本申请后续描述时，以认证网元为AAA服务器为例。

4)本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。本申请涉及的术语“至少一个”，是指一个，或一个以上，即包括一个、两个、三个及以上；“多个”，是指两个，或两个以上，即包括两个、三个及以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。应理解，在本申请实施例中，“与A相应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。以及，除非有相反的说明，本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或者重要程度。此外，本申请实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如，包括了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块，还可以包括没有列出的步骤或模块。

以5G通信网络架构为例，参见图1、图2和图3所示，为本申请实施例中示例性地提供三种可能的5G通信网络架构的示意图。通信网络架构中可以包括终端设备、数据网络(data network，DN)。通信网络架构中还可以包括以下网元中的一个或多个：鉴权服务器功能(authentication server function，AUSF)网元、网络开放功能(network exposure function，NEF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、统一数据库(unified data repository，UDR)、网络存储功能(network repository function，NRF)网元、应用功能(application function，AF)网元、接入与移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(session management function，SMF)网元、RAN网元以及用户面功能(user plane function，UPF)网元、统一的数据存储库功能(unified data repository，UDR)网元等。上述网元中，除无线接入网部分之外的部分也可以称为核心网部分。

下面针对上述各个网元的功能进行简要说明。

AMF网元，负责用户的移动性管理，包括移动状态管理，分配用户临时身份标识，认证和授权用户。

SMF网元，负责UPF网元选择，UPF网元重选，网络协议(Internet Protocol，IP)地址分配，负责承载的建立、修改和释放，QoS控制。

PCF网元，包含策略控制决策和基于流计费控制的功能，包含用户签约数据管理功能，策略控制功能，计费策略控制功能，QoS控制等等。

UDM网元，负责管理签约数据，当签约数据修改的时候，负责通知相应的网元。

UDR网元，负责存储和检索签约数据、策略数据和公共架构数据等；供UDM、PCF和NEF获取相关数据。UDR要能够针对不同类型的数据如签约数据、策略数据有不同的数据接入鉴权机制，以保证数据接入的安全性；UDR对于非法的服务化操作或者数据接入请求要能够返回携带合适原因值的失败响应。

AF网元，用于向UE提供某种应用层服务，AF在向UE提供服务时，对服务质量QoS策略(Policy)和计费(Charging)策略有要求，且需要通知网络。同时，AF也需要核心网其它网元反馈的应用相关的信息。

NEF网元，主要支持网络能力开放功能，对外开放网络能力和服务；第三代合作伙伴计划(3rd generation partnership project 3GPP)网络功能(network function，NF)通过NEF向其他NF发布功能和事件。NF开放的能力和事件可以安全地开放给第三方应用。NEF使用UDR的标准化接口(Nudr)将结构化数据进行存储/检索。将AF的交换信息与内部网络功能的交换信息进行翻译。例如，将在AF-服务(Service)-指示符(Identifier)和内部5G核心信息之间进行转换。内部5G核心信息，比如可以是数据网络名称(data network name，DNN)或者单网络切片选择辅助信息(single network slice selection assistance information，S-NSSAI)。

UPF网元，支持以下全部或者部分功能：将协议数据单元(protocol data unit，PDU)会话与数据网络互连；分组路由和转发功能，例如，支持对流量进行下行分流(uplink classifier)后转发到数据网络，支持分支点(Branching point)功能以支持多宿主(multi-homed)PDU会话；数据包检测功能。

AUSF网元，负责鉴权功能或执行网络切片鉴权授权(network slice specific authentication and authorization，NSSAA)流程。

不可信的非3GPP接入网(untrusted non-3GPP access network)设备：该设备允许终端设备和3GPP核心网之间采用非3GPP技术互连互通，其中非3GPP技术例如：无线保真(wireless fidelity，Wi-Fi)、全球微波互联接入(worldwide interoperability for microwave access，WiMAX)、码分多址(code division multiple access，CDMA)网络等。接入不可信的非3GPP接入网的终端设备，需要通过与安全网关建立的安全隧道来与3GPP核心网互连互通。其中安全网关，例如可以是演进型分组数据网关(evolved packet data gateway，ePDG)或者非第三代合作伙伴(3rd generation partnership project，3GPP)交互功能(non-3GPP interworking function，N3IWF)网元。

另外，为了描述更为简洁，在后续描述时，将各个功能网元中的“网元”去掉，比如AMF网元简称为AMF，UDM网元简称为UDM，其它网元类似，不再一一例举。

图1所示为基于服务化架构的通信网络架构示意图，图1中，NEF、NRF、PCF、UDM、AUSF、UDR、AMF以及SMF之间，任意两个网元之间通信可以采用服务化通信方式，比如NEF与AUSF之间通信采用的接口Nnef或Nausf均为服务化的接口，同理，接口Nnrf、Npcf、Nudm、Naf、Nudr、Namf以及Nsmf均为服务化的接口。另外，AMF与终端设备可通过N1接口通信，AMF与(R)AN可通过N2接口通信，RAN和UPF可通过N3接口通信，SMF与UPF可通过N4接口通信，终端设备与RAN之间进行空口通信，UPF与DN可通过N6接口通信。

图2为基于点对点接口的通信网络架构示意图；图1与图2的主要区别在于：图2中 的各个网元之间的接口是点对点的接口，而不是服务化的接口。

图1和图2所示的通信网络架构为第三代合作伙伴计划(3rd generation partnership project，3GPP)系统架构。图3为非3GPP(non-3GPP)系统架构。non-3GPP系统架构相比3GPP架构来说，增加了N3IWF网元。图3中，以3GPP核心网为UE的归属公共陆地移动网络(home public land mobile network，HPLMN)为例。UE可以通过3GPP接入网(例如RAN)和不可信的非3GPP接入网中的至少一个接入3GPP核心网。

目前，在工业场景下，需要部署私网和公网。目前私网与公网的部署方式中可以采用如下任一种：

(1)、私网完全独立部署。在该部署方式下，在私网中部署了完全独立于公网的无线接入网(radio access network，RAN)设备和核心网设备(包括控制面网元和用户面网元)。私网可以通过防火墙与公网互通。

比如，控制面网元可以包括AMF，或者还包括SMF等。用户面网元可以包括UPF。

(2)私网与公网之间共享RAN设备。在该部署方式下，私网与公网共用相同的RAN设备，私网部署独立于公网的核心网设备(包括控制面网元和用户面网元)。

(3)私网与公网之间共享RAN设备和核心网控制面网元。在该部署下，私网与公网共用相同的RAN设备和核心网控制面网元，但是私网拥有独立的用户面网元。

(4)私网与公网之间共享RAN设备和核心网设备(包括控制面网元和用户面网元)。在该部署下，私网与公网共用相同的RAN设备和核心网设备。此时私网隔离依赖于公网的切片或者闭合接入组(closed access group，CAG)特性进行隔离。

在工业场景中为了减少部署成本，一般采用(3)或(4)的部署方式，但是在这种共享RAN和核心网设备(或者核心网控制面)的部署架构下，用于对私网的空口用户面密钥的推演都依赖于公网的根密钥。作为一种举例，公网的AMF根据公网的根密钥Kamf来推演用于派生空口控制面密钥和空口用户面密钥的中间密钥，比如Kgnb。然后AMF将Kgnb发送给接入网设备，然后接入网设备进一步根据Kgnb推演空口用户面密钥和空口控制面密钥。基于此，私网内使用的空口用户面密钥依赖公网的根密钥Kamf，根秘钥暴露在公网，导致无法保障私网业务的安全性。

基于此，本申请实施例提供一种通信方案，使用私网的根密钥来推演私网的空口用户面密钥，并且由私网网元执行根据私网根密钥推演中间密钥的操作，而私网网元不被公网所共享，空口用户面密钥的推演不再依赖公网的根密钥，可以实现私网用户面与公网之间的安全隔离，保障推演安全参数的方式的安全性和保障私网根密钥的安全性，进一步使得在使用空口用户面密钥对业务数据进行安全传输时，提高空口业务数据传输安全性。

下面结合附图对本申请实施例提供的方案进行详细说明。本申请实施例中，将用于执行推演私网的空口用户面密钥的网元称为私网推演网元，或者简称为私网网元。后续描述时，将用于执行推演私网的空口用户面密钥的网元称为私网推演网元为例。本申请实施例中提及的私网网元可以是部署在私网中的网元、或者私网运营商部署的网元、或者用于私网控制或者私网业务的网元。参见图4所示，为一种的可能的通信系统架构示意图，通信系统中包括终端设备、私网推演网元以及为终端设备提供接入服务的接入网设备以及公网网元。终端设备与公网网元之间建立有控制面连接，本申请实施例也可以将与终端设备建 立有控制面连接的公网网元称为公网控制面网元。本申请实施例中提及的公网控制面网元可以是部署于公网中的控制面网元、或者公网运营商部署的控制面网元、或者用于公网控制的控制面网元。

本申请中用于推演空口用户面密钥的第一安全参数与用于推演空口控制面密钥的第二安全参数通过不同的网元来生成，用于推演空口用户面密钥的第一安全参数的网元为私网推演网元，用户推演空口控制面密钥的第二安全参数的网元为公网控制面网元。用于生成第一安全参数的根密钥位于私网内，用于生成第二安全参数的根密钥位于私网外，从而实现私网空口用户面完全与公网隔离，提高用户面业务传输的安全性。作为一种可选地实施方式，本申请实施例中，空口控制面密钥也可以通过该第一安全参数来推演。

参见图5所示，为在图4所示的通信系统架构下，本申请实施例提供一种安全参数的获取方法的流程示意图。

S101a，私网推演网元获取终端设备的私网根密钥。

本申请实施例中，私网推演网元可以是私网会话管理网元，也可以是私网认证网元。

举例来说，私网根密钥可以是主会话密钥(master session key，MSK)或者扩展的主会话密钥(extended master session key，EMSK)。私网根密钥也可以是接入安全实体密钥(access security management entity key，Kasme)。

在一种可能的实施方式中，私网推演网元为私网会话管理网元时，私网会话管理网元可以通过如下示例中的任一种方式来获取终端设备的私网根密钥。

一种示例中，私网会话管理网元可以从本地配置信息中获取私网根密钥。

私网根密钥可以是终端设备粒度的，或者可以是业务粒度的。

比如，私网根密钥可以是终端设备粒度的，私网会话管理网元可以根据终端设备的标识从本地配置信息中获取私网根密钥。本地配置信息中可以包括终端设备的标识与私网根密钥的对应关系。

终端设备的标识用于标识终端设备，比如可以是用户永久标识符(subscription permanent identifier，SUPI)，或者通用公共用户标识(generic public subscription identifier，GPSI)、或者用户隐藏标识(subscription concealed identifier，SUPI)等。

再比如，私网根密钥可以是业务粒度的，私网会话管理网元可以根据终端设备的业务标识从本地配置信息获取私网根密钥。本地配置信息中可以包括业务标识与私网根密钥的对应关系。

业务标识，用于标识终端设备的业务，比如可以包括数据网络名称(data network name，DNN)，或者五元组或者其它能够标识设定业务的信息中的一项或者多项。

又比如，不同的终端设备在处理不同的业务时，可以采用不同的私网根密钥。私网会话管理网元可以根据终端设备的标识和终端设备的业务标识从本地配置信息获取私网根密钥。本地配置信息中可以包括终端设备的标识、终端设备的业务标识与私网根密钥的对应关系。

又一种示例中，私网会话管理网元可以从认证网元中获取私网根密钥。私网根密钥可以是终端设备粒度的，或者可以是业务粒度的。认证网元可以是公网认证网元或者可以是私网认证网元。

比如，私网根密钥是终端设备粒度的，私网会话管理网元可以根据终端设备的标识从 认证网元中获取私网根密钥，认证网元中保存终端设备的标识与私网根密钥的对应关系。

再比如，私网根密钥是业务粒度的，私网会话管理网元可以根据终端设备的业务标识从认证网元中获取私网根密钥，认证网元中保存业务标识与私网根密钥的对应关系。

又比如，不同的终端设备在处理不同的业务时，可以采用不同的私网根密钥。私网会话管理网元可以根据终端设备的标识和终端设备的业务标识从认证网元获取私网根密钥。认证网元保存有终端设备的标识、业务标识与私网根密钥的对应关系。

在另一种可能的实施方式中，私网推演网元为私网认证网元，私网认证网元可以通过如下示例的任一种方式来获取终端设备的私网根密钥。

一种示例中，私网认证网元可以从私网认证网元的本地配置信息中获取私网根密钥。

私网根密钥可以是终端设备粒度的，或者可以是业务粒度的。

比如，私网根密钥可以是终端设备粒度的，私网认证网元可以根据终端设备的标识从本地配置信息中获取私网根密钥。本地配置信息中可以包括终端设备的标识与私网根密钥的对应关系。

再比如，私网根密钥可以是业务粒度的，私网认证网元可以根据终端设备的业务标识从本地配置信息获取私网根密钥。本地配置信息中可以包括终端设备的业务标识与私网根密钥的对应关系。

又比如，不同的终端设备在处理不同的业务时，可以采用不同的私网根密钥。私网认证网元可以根据终端设备的标识和终端设备的业务标识从本地配置信息获取私网根密钥。本地配置信息中可以包括终端设备的标识、终端设备的业务标识与私网根密钥的对应关系。

另一种示例中，私网认证网元也可以从用户签约数据中获取私网根密钥。私网认证网元从用户签约数据中获取私网根密钥与私网会话管理网元从用户签约数据中获取私网根密钥类似，具体参见私网会话管理网元从用户签约数据中获取私网根密钥的相关描述，此处不再赘述。

S102a，私网推演网元根据私网根密钥生成第一安全参数，第一安全参数用于推演终端设备的空口用户面密钥。

例如，第一安全参数可以包含在会话安全上下文中。第一安全参数包括用于生成空口用户面密钥的中间密钥。

私网推演网元在执行S102a时，具体可以通过如下方式来实现：

私网推演网元可以根据私网根密钥以及辅助参数生成第一安全参数。第一安全参数包括中间密钥。本申请实施例中的中间密钥，指由根密钥经过一次或者多次推演产生的密钥。网元接收中间密钥后可以进一步进行密钥推演，最终获得用于完整性保护和/或加密的密钥。示例性的，接入网设备使用中间密钥推演用于空口用户面完整性保护和/或加密的密钥。例如，在4G通信系统中，中间密钥可以为k _eNodeB。

示例性地，该中间密钥也可以称为K _npn。

可以理解的是，私网推演网元根据私网根密钥和辅助参数生成第一安全参数，可以包括根据私网根密钥和辅助参数推演中间密钥。

作为一种示例，空口用户面密钥可以包括K _UPenc和/或K _UPint。K _UPenc用于通过加密算法来保护用户面业务。K _UPint用于通过特定的完整性算法来保护用户面业务。

示例性地，辅助参数可以包括S-NSSAI、DNN或者下行NAS消息计数(downlink NAS count，DL NAS Count)中的一项或多项，也可以是其它预设的辅助参数。DL NAS Count 可以由公网控制面网元发送给私网推演网元。

S103a，私网推演网元向为终端设备提供接入服务的接入网设备发送该第一安全参数。

可选地，私网推演网元还向该接入网设备发送辅助参数。

S104a，接入网设备根据第一安全参数推演所述空口用户面密钥。

S105a，私网推演网元向终端设备发送辅助参数，所述辅助参数用于终端设备推演生成空口用户面密钥的中间密钥。一种示例中，私网推演网元可以将辅助参数发送给移动性管理网元，由移动性管理网元发送给终端设备，比如移动性管理网元通过N1接口发送给终端设备。另一种示例中，私网推演网元可以将辅助参数发送给移动性管理网元，移动性管理网元发送给接入网设备，接入网设备向终端设备发送辅助参数，比如接入网设备可以通过RRC连接重配置消息向终端设备发送辅助参数。

S106a，终端设备根据私网根密钥以及辅助参数生成中间密钥，并根据中间密钥推演所述空口用户面密钥。

需要说明的是，本申请并不限定S105a与S103a的先后执行顺序。

作为一种举例，终端设备上存储有私网根密钥。作为另一种举例，终端设备还可以通过在线签约的方式获取私网根密钥，比如，终端设备可以临时接入蜂窝网络，通过临时接入蜂窝网络的控制面或者用户面通道从私网(比如私网推演网元或者私网认证网元)中获取根密钥；或者终端设备通过非3GPP网络(比如WiFi网络)建立的用户面连接从私网中获取根密钥。

在申请实施例中，接入网设备和终端设备均完成空口用户面密钥的推演后，在进行上下行业务数据传输时，可以使用空口用户面密钥进行业务数据的加解密处理。在终端设备向接入网设备发送上行业务数据时，可以使用空口用户面密钥对上行业务数据进行加密处理后再发送给接入网设备，从而在空口使用空口用户面密钥来保护上行业务数据的安全性。在接入网设备向终端设备发送下行业务数据时，可以使用空口用户面密钥对下行业务数据进行加密处理后再发送给终端设备，从而在空口使用空口用户面密钥来保护下行业务数据的安全性。

作为一种举例，下面针对空口控制面密钥的推演流程进行说明，参见图5所示。

S101b，公网控制面网元获取终端设备的公网根密钥。

S102b，公网控制面网元根据公网根密钥生成第二安全参数，第二安全参数用于推演终端设备的空口控制面密钥。

S103b，公网控制面网元向接入网设备发送该第二安全参数。

S104b，接入网设备根据第二安全参数推演空口控制面密钥。

S105b，公网控制面网元向终端设备发送用于推演空口控制面密钥的辅助参数。一种示例中，公网控制面网元可以将用于推演空口控制面密钥的辅助参数通过N1接口发送给终端设备。另一种示例中，公网控制面网元可以将辅助参数发送给接入网设备，接入网设备向终端设备发送用于推演空口控制面密钥的辅助参数，比如接入网设备可以通过RRC连接重配置消息向终端设备发送用于推演空口控制面密钥的辅助参数。

本申请实施例中用于推演空口用户面密钥的辅助参数与用于推演空口控制面密钥的辅助参数可以相同，也可以不同，本申请实施例对此不作限定。

S106b，终端设备根据公网根密钥以及辅助参数生成中间密钥，并根据中间密钥推演所述空口控制面密钥。

S101a与S101b之间的执行先后顺序，本申请并不做具体限定，S101a可以在先，S101b在后，也可以S101a在后，S101b在先。

需要说明的是，本申请并不限定S105b与S103b的先后执行顺序。

作为一种可选的实施方式，S104a中，接入网设备还可以根据第一安全参数来推演空口控制面密钥。S105a中，辅助参数还可以用于终端设备推演生成空口控制面密钥的中间密钥。S106a中，终端设备还可以根据私网根密钥和辅助参数来生成中间密钥，然后通过中间密钥来推演空口控制面密钥。在该情况下，上述S104b-S106b可以不执行。

需要说明的是，公网控制面网元仍可以向终端设备发送用于推演NAS控制面密钥的辅助参数。终端设备使用公网根密钥以及辅助参数生成中间密钥，并根据中间密钥推演NAS控制面密钥。

本申请提供的上述方案中，用于推演空口控制面密钥和空口用户面密钥的安全参数是分别独立生成的，即由公网网元生成用于推演空口控制面密钥的安全参数，以及由私网网元空口用户面密钥的安全参数，由于私网网元不被公网所共享，可以保障推演安全参数的方式的安全性，并且使用私网根密钥生成用于推演空口用户面密钥的安全参数，由于私网根密钥保存在私网，从而可以保障私网根密钥不被公网所获知，进而保障私网根密钥的安全性。进一步地，在使用空口用户面密钥对业务数据进行安全传输时，提高空口业务数据传输安全性。

在本申请的一些实施例中，步骤S103a，私网推演网元在向接入网设备发送第一安全参数时，可以通过以下任一种可能的方式实现：

第一种可能的实现方式中，私网推演网元可以通过公网控制面网元向接入网设备发送第一安全参数。例如，公网控制面网元可以包括公网移动性管理网元。

第二种可能的实现方式中，私网推演网元可以通过私网用户面网元向接入网设备发送第一安全参数。例如，私网用户面网元可以包括私网UPF。

在一种可能的实施方式中，为了提高第一安全参数的安全性，无论私网推演网元通过公网控制面网元向接入网设备中转第一安全参数，还是通过私网用户面网元向接入网设备中转第一安全参数，私网推演网元可以对第一安全参数进行加密处理，然后将加密后的第一安全参数通过公网控制面网元或者私网用户面网元发送给接入网设备。接入网设备接收到加密后的第一安全参数后，可以通过解密密钥来解密获得第一安全参数。比如，解密密钥可以是加密密钥的对称密钥。

用于对第一安全参数进行加密的密钥可以称为安全参数密钥，也可以称为隧道密钥，或者采用其它的名称，本申请对此不作具体限定。比如，解密密钥可以是加密密钥的对称密钥，则解密密钥也可以是安全参数密钥。

参见图6所示，以用于对第一安全参数进行加密的密钥称为隧道密钥为例，对本申请实施例提供的安全参数的获取方法进行说明。

S201-S202，参见S101a-S102a，此处不再赘述。

S203，私网推演网元获取隧道密钥，并使用隧道密钥对第一安全参数进行加密得到加密后的第一安全参数。

例如，私网推演网元为私网会话管理网元，隧道密钥可以包括在私网会话管理网元的本地配置信息中，从而私网会话管理网元可以从本地配置信息中获取隧道密钥。可选地，私网推演网元可以根据RAN设备的标识、DNN或者S-NSSAI中的一项或多项从本地配置 信息中来获取隧道密钥。或者，隧道密钥保存于私网认证网元中，私网会话管理网元可以从私网认证网元中获取隧道密钥。私网会话管理网元可以根据RAN设备的标识、DNN或者S-NSSAI中的一项或多项从私网认证网元中获取隧道密钥。

再例如，私网推演网元为私网认证网元，隧道密钥可以包括在私网认证网元的本地配置信息中。私网认证网元可以根据RAN设备的标识、DNN或者S-NSSAI中的一项或多项从本地配置信息中获取隧道密钥。

S204，私网推演网元将加密后的第一安全参数发送给公网控制面网元/私网用户面网元。公网控制面网元/私网用户面网元接收经过加密的第一安全参数。

例如，私网推演网元为私网会话管理网元时，公网控制面网元可以包括公网移动性管理网元，私网会话管理网元可以通过公网移动性管理网元向接入网设备发送第一安全参数。

再例如，私网推演网元为私网认证网元，公网控制面网元可以包括公网移动性管理网元和公网会话管理网元。私网认证网元通过公网会话管理网元和公网移动性管理网元向接入网设备发送第一安全参数。

S205，公网控制面网元将经过加密的第一安全参数发送给接入网设备。

可选地，私网推演网元还向该接入网设备发送辅助参数。

S206，接入网设备使用隧道密钥对经过加密的第一安全参数进行解密得到第一安全参数。

示例性地，接入网设备中可以配置有上述隧道密钥。

一种示例中，RAN设备预配置有一个隧道密钥。该隧道密钥可以是RAN粒度的，或者DNN粒度的，或者S-NSSAI粒度的。

另一种示例中，RAN设备中配置有多个隧道密钥，隧道密钥与DNN或S-NSSAI存在映射关系，从而RAN设备可以根据DNN或S-NSSAI从本地配置的多个隧道密钥中确定用于解密该第一安全参数的隧道密钥。

S207-S209，参见S104a-S106a，此处不再赘述。

上述方案中，在用于推演空口用户面密钥的第一安全参数的传输过程中，使用隧道密钥进行加密处理，对于其它网元来说，该第一安全参数的传输不透明，防止其它网元直接获得该第一安全参数，可以进一步提高空口业务数据传输的安全性。

在另一种可能的实施方式中，私网推演网元与接入网设备之间可以创建安全隧道，然后通过该安全隧道，私网推演网元将第一安全参数发送给接入网设备。私网推演网元与接入网设备之间的安全隧道中，公网控制面网元、或者通过私网用户面网元、或者通过私网用户面网元和数据网络可以作为中转网元。

可选地，安全隧道的创建可以由私网推演网元触发，或者由接入网设备触发。

作为一种举例，结合图7A，为本申请实施例提供的一种安全参数的获取方法流程示意图。图7A中，以私网推演网元为私网会话管理网元为例，安全隧道的创建由私网推演网元触发且安全隧道中公网控制面网元作为中转网元。

S301-S302，参见S101a-S102a，此处不再赘述。

S303，私网会话管理网元请求建立与接入网设备之间的安全隧道。私网会话管理网元向公网控制面网元发送请求消息1，请求消息1用于请求与接入网设备之间建立安全隧道。作为一种举例，安全隧道可以是IPsec隧道。

示例性地，请求消息1可以包含在安全消息容器中。比如，安全消息容器可以是IPsec 消息容器。请求消息1可以通过N11消息发送给公网控制面网元。后续通过安全隧道传输的信息可以承载在安全消息容器中，比如私网会话管理网元向接入网设备发送的第一安全参数，承载在安全消息容器中。

可选地，私网会话管理网元还可以向公网控制面网元发送指示1(Indication1)，指示1用于指示公网控制面网元向接入网设备中转请求消息1。指示1可以与请求消息1均包含在N11消息中发送给公网控制面网元。

比如，公网控制面网元包括公网移动性管理网元，N11消息可以是服务化接口消息Namf_Comunication_N1N2MessageTransfer，也可以是其它新定义的N11消息，本申请对此不作具体限定。

S304，公网控制面网元接收到该请求消息1后，向接入网设备转发该请求消息1。

例如，公网控制面网元可以将请求消息1包含在N2消息中发送给接入网设备。比如，N2消息可以是PDU会话资源建立请求消息(PDU session resource setup request)，或者可以其它新定义的N2消息，本申请对此不作具体限定。

可选地，N2消息中还可以包括指示2，指示2用于指示N2消息中包括来自私网会话管理网元的请求消息1。

可选地，公网控制面网元根据指示1，向接入网设备转发该请求消息1。

接入网设备接收到该请求消息1后，通过公网控制面网元向私网会话管理网元发送用于响应请求消息1的响应消息1。

S305，接入网设备向公网控制面网元发送响应消息1。

示例性的，响应消息1可以包含在接入网设备与私网会话管理网元之间的接口N2消息中。

S306，公网控制面网元将响应消息1转发给私网会话管理网元。

应理解的是，公网控制面网元与接入网设备之间在建立安全隧道的过程中，协商用于安全隧道的加密密钥，用于后续对第一安全参数进行加密传输。公网控制面网元与接入网设备之间可以通过一次或者多次交互来协商用于安全隧道的加密密钥，从而完成安全隧道的建立。例如，公网控制面网元与接入网设备之间可以通过N11接口消息和N2接口消息来创建安全隧道，协商用于安全隧道的加密密钥。图7A中仅示出一次的交互过程，还可以包括其它的交互流程，本申请实施例不作限定。

需要说明的是，安全隧道的加密密钥可以用于对安全消息容器中传输的信息进行加密，或者安全隧道的加密密钥可以用于对承载信息的安全消息容器进行加密。可以理解的是，对安全消息容器加密，也就对安全消息容器中传输的信息进行了加密。

S307，私网会话管理网元通过安全隧道向接入网设备发送第一安全参数，接入网设备通过安全隧道接收来自私网会话管理网元的第一安全参数。

私网会话管理网元使用安全隧道向接入网设备发送第一安全参数，作为一种示例，私网会话管理网元通过安全消息容器向接入网设备发送第一安全参数；作为另一种示例，私网会话管理网元将第一安全参数承载在安全消息容器中发送给接入网设备。

一种示例中，私网会话管理网元与接入网设备完成建立安全隧道后，私网会话管理网元可以主动通过安全隧道向接入网设备发送第一安全参数。

另一种示例中，私网会话管理网元与接入网元完成建立安全隧道后，接入网设备可以向私网会话管理网元请求获取第一安全参数。比如接入网设备向私网会话管理网元发送获 取请求，获取请求用于请求获取第一安全参数，从而私网会话管理网元在接入到获取请求后，通过安全隧道向接入网设备发送该第一安全参数。

可选地，私网推演网元还通过安全隧道向该接入网设备发送辅助参数。

作为另一种举例，结合图7B，为本申请实施例提供的另一种安全参数的获取方法流程示意图。图7B中，以私网推演网元为私网会话管理网元为例，第一安全隧道的创建由接入网设备触发且安全隧道中私网用户面网元作为中转网元。

在由接入网设备触发创建安全隧道时，接入网设备可以预先获取私网会话管理网元的地址信息，然后根据私网会话管理网元的地址信息来向私网会话管理网元触发安全隧道的创建。

例如，在会话建立或者修改的流程中，接入网设备获取私网会话管理网元的地址信息，接入网设备可以在会话建立或者修改的流程中，获取私网会话管理网元的IP地址和端口号。

S401-S402，参见S101a-S102a，此处不再赘述。

S403，接入网设备获取私网会话管理网元的地址信息。私网会话管理网元的地址信息可以包括私网推演网元的IP地址和/或端口号。

示例性地，在会话建立或者修改的流程中，接入网设备获取私网会话管理网元的地址信息。

接入网设备根据私网会话管理网元的地址信息请求建立与私网会话管理网元之间的安全隧道。比如，可以执行S404。

S404，接入网设备向私网用户面网元发送请求消息2，请求消息2用于请求建立与私网会话管理网元之间的安全隧道。示例性地，请求消息2可以封装为IP数据包的格式发送给私网用户面网元。IP数据包的目的IP地址为私网会话管理网元的IP地址。

S405，私网用户面网元向私网会话管理网元转发该请求消息2。

示例性的，私网用户面网元接收到该请求消息2后，根据IP数据包的目的IP地址向私网会话管理网元转发该请求消息2。

第一种示例中，私网用户面网元获取转发规则，所述转发规则用于指示私网会话管理网元的地址信息对应的下一跳为私网会话管理网元。

作为一种举例，私网用户面网元可以从私网会话管理网元获得转发规则，或者，私网用户面网元本地配置有该转发规则。私网用户面网元从私网会话管理网元获得转发规则时，可以是私网会话管理网元主动向私网用户面网元发送该转发规则，或者可以是私网用户面网元向私网会话管理网元请求该转发规则，然后私网会话管理网元根据请求向私网用户面网元发送该转发规则。

第二种示例中，私网用户面网元根据IP数据包的目的IP地址将该请求消息2发送到数据网络中，数据网络中的网络设备根据私网会话管理网元的IP地址进行寻址，将该请求消息2发送给私网会话管理网元。

S406，私网会话管理网元向私网用户面网元发送响应消息2。

在上述第一种示例下，私网会话管理网元可以直接向私网用户面网元发送该响应消息2。

在上述第二种示例下，私网会话管理网元通过数据网络向私网用户面网元发送该响应消息2。

S407，私网用户面网元将响应消息2转发给接入网设备。

应理解的是，接入网设备与私网会话管理网元之间在建立安全隧道的过程中，协商用于安全隧道的加密密钥，用于后续对第一安全参数进行加密传输。接入网设备与私网会话管理网元之间可以通过一次或者多次交互来协商用于安全隧道的加密密钥，从而完成安全隧道的建立。图7B中仅示出一次的交互过程，还可以包括其它的交互流程，本申请实施例不作限定。

S408，私网会话管理网元通过安全隧道向接入网设备发送第一安全参数，接入网设备通过安全隧道接收来自私网会话管理网元的第一安全参数。

私网会话管理网元使用安全隧道向接入网设备发送第一安全参数，可以理解为，私网会话管理网元通过安全消息容器向接入网设备发送第一安全参数，或者可以理解为，私网会话管理网元将第一安全参数承载在安全消息容器中发送给接入网设备。

一种示例中，私网会话管理网元与接入网设备完成建立第一安全隧道后，私网会话管理网元可以主动通过第一安全隧道向接入网设备发送第一安全参数。

另一种示例中，私网会话管理网元与接入网元完成建立第一安全隧道后，接入网设备可以向私网会话管理网元请求获取第一安全参数。比如接入网设备向私网会话管理网元发送获取请求，获取请求用于请求获取第一安全参数，从而私网会话管理网元在接入到获取请求后，通过第一安全隧道向接入网设备发送该第一安全参数。

可选地，私网推演网元还通过安全隧道向该接入网设备发送辅助参数。

作为又一种举例，结合图7C，为本申请实施例提供的另一种安全参数的获取方法流程示意图。图7C中，以私网推演网元为私网会话管理网元为例，第一安全隧道的创建由接入网设备触发且安全隧道中私网用户面网元作为中转网元。

S4011-S4012，参见S101a-S102a，此处不再赘述。

S4013，接入网设备向私网用户面网元发送请求消息3，请求消息3用于请求建立与私网会话管理网元之间的安全隧道。示例性地，请求消息3可以包含在安全消息容器中，比如，安全消息容器可以是IPsec消息容器。后续通过安全隧道传输的信息可以承载安全消息容器中，比如私网会话管理网元向接入网设备发送的第一安全参数，可以承载在安全消息容器中。

可选地，接入网设备还可以向私网用户面网元发送指示3(Indication3)，指示3用于指示私网用户面网元向接入网设备中转请求消息3。例如，指示3可以与请求消息3均包含在N3消息中发送给私网用户面网元。

S4014，私网用户面网元向私网会话管理网元转发该请求消息3。

可选的，私网用户面网元根据指示3向私网会话管理网元转发该请求消息3。

S4015，私网会话管理网元向私网用户面网元发送响应消息3。

S4016，私网用户面网元将响应消息3转发给接入网设备。

应理解的是，接入网设备与私网会话管理网元之间在建立安全隧道的过程中，协商用于安全隧道的加密密钥，用于后续对第一安全参数进行加密传输。接入网设备与私网会话管理网元之间可以通过一次或者多次交互来协商用于安全隧道的加密密钥，从而完成安全隧道的建立。图7B中仅示出一次的交互过程，还可以包括其它的交互流程，本申请实施例不作限定。

S4017，参见S408，此处不再赘述。

在本申请的一些实施例中，可以在终端设备的会话建立或者修改的流程中，私网推演网元确定需要根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数时，进而执行S101a。在本申请的另一些实施例中，可以在终端设备触发私网业务时，私网推演网元确定需要根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数，进而执行S101a。

一种可能的实施方式中，私网推演网元为私网会话管理网元。私网推演网元可以在终端设备的会话建立或者修改的流程获得第一参数信息，第一参数信息可以用于确定使用私网根密钥生成第一安全参数。私网推演网元根据第一参数信息，来获取私网根密钥，比如，私网推演网元根据第一参数信息确定使用私网根密钥生成第一安全参数，从而执行获取私网根密钥。

一种示例中，第一参数信息可以包括第一指示信息，第一指示信息用于指示使用私网根密钥生成第一安全参数，或者第一指示信息用于指示使用私网根密钥生成用于推演空口用户面密钥的第一安全参数。

示例性地，第一指示信息可以称为本地密钥推演指示(local credential derivative，LCDR)。LCDR用于指示使用私网根密钥来生成第一安全参数。

可选地，私网推演网元还获得第二参数信息，第二参数信息用于指示所述终端设备的空口控制面密钥和用户面密钥相互隔离。第二参数信息可以称为用户面密钥隔离指示(user plane separation request，UPSR)。UPSR用于指示空口控制面密钥和用户面密钥相互隔离。

另一种示例中，第一参数信息包括如下一项或多项：数据网络名称DNN、终端设备的标识或者五元组。

私网会话管理网元根据第一参数信息确定使用私网根密钥生成第一安全参数，可以通过如下方式实现：

私网会话管理网元根据第一参数信息和本地配置信息确定使用私网根密钥生成第一安全参数；或者，

私网会话管理网元根据第一参数信息和终端设备的用户签约数据确定使用私网根密钥生成第一安全参数；或者，

私网会话管理网元根据第一参数信息、本地配置信息和终端设备的用户签约数据确定使用私网根密钥生成第一安全参数。

以下以私网推演网元在终端设备的会话建立或者修改的流程中获取第一参数信息的流程进行说明。

A1，终端设备向公网控制面网元发送第一消息，第一消息用于请求建立或者修改终端设备的会话。可选地，第一消息可以包括第一参数信息。第一消息可以包括PDU会话建立请求或者PDU会话修改请求等。比如第一消息可以是NAS消息。

A2，公网控制面网元向私网会话管理网元请求建立会话上下文。比如公网控制面网元可以向私网会话管理网元发送第二消息，第二消息用于请求建立会话上下文，第二消息携带第一参数信息。第二消息可以为N11消息。

示例性的，该N11消息可以通过服务化接口消息Nsmf_PDUSession_CreateSMContext来实现。示例性地，Nsmf_PDUSession_CreateSMContext中携带第一参数信息(例如包括LCDR)，还可以携带第二参数信息(比如包括UPSR)。Nsmf_PDUSession_CreateSMContext 中还可以携带NSSAI、DNN。还可以携带RAN设备的标识信息。比如，RAN设备的标识信息可以包括全球无线接入网节点ID(Global RAN Node ID)和/或RAN节点名称(RAN Node Name)。示例性地，RAN设备的标识信息可以用于所述私网会话管理网元选择隧道密钥。

A3，私网会话管理网元确定是否使用私网根密钥生成第一安全参数。若确定使用私网根密钥生成第一安全参数，私网会话管理网元获取终端设备的私网根密钥。私网会话管理网元获取终端设备的私网根密钥可以参考S101a的描述。

一种示例中，私网会话管理网元获得用户签约数据，根据用户签约数据确定使用根据私网根密钥生成第一安全参数。比如，私网会话管理网元可以从UDM中获得用户签约数据。具体的，私网会话管理网元可以根据第一参数信息中包括的终端设备的标识信息从UDM获取所述终端设备的用户签约数据。

比如，用户签约数据包括用于指示根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数的信息。

再比如，用户签约数据用于指示针对终端设备的用户的设定业务(比如私网业务)来执行根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数。例如，可以根据业务标识来确定设定业务。业务标识可以为DNN，或者五元组或者其它能够标识设定业务的信息，业务标识包含在第一参数信息中。作为一种举例，用户签约数据可以包括业务标识与用于指示根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数的信息的关联关系。

另一种示例中，私网会话管理网元在A2中接收到LCDR，或者接收到UPSR和LCDR，则确定使用私网根密钥来生成第一安全参数。否则，确定不再根据私网根密钥生成第一安全参数。

又一种示例中，私网会话管理网元根据第一参数信息和本地配置信息来确定是否根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数。

比如，本地配置信息中包括私网会话管理网元针对所述终端设备的标识指示的终端设备使用私网的根密钥来推演空口用户面所需的密钥的描述。

再比如，本地配置信息中包括私网会话管理网元针对设定业务执行根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数的描述。例如，可以根据业务标识来标识设定业务。业务标识可以为DNN，或者五元组或者其它能够标识设定业务的信息，业务标识包含在第一参数信息中。作为一种举例，本地配置信息可以包括业务标识与用于指示根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数的信息的关联关系。

作为一种举例，业务标识为DNN，L-SMF可以根据DNN查询本地配置信息，确定本地配置信息中DNN与用于指示根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数的信息存在关联关系，则确定根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数。

另一种可能的实施方式中，私网推演网元为私网认证网元。私网认证网元可以在终端设备的会话建立或者修改的流程中接收到来自公网会话管理网元的获取会话上下文的请求时，私网认证网元确定需要根据私网根密钥来推演生成空口用户面密钥所需的第一安全参数时，进而执行S101a。

下面结合具体场景对本申请实施例提供的方案进行详细说明。

一种可能应用场景中，私网推演网元为私网SMF，私网SMF部署于私网。公网控制面网元可以包括AMF。参见图8所示，为一种可能的通信网络部署架构示意图，图8中以私网推演网元为私网SMF为例。需要说明的是，图8仅作为一种示例，并不对通信网络中包括的网元的数量及类型进行具体限定。在图8中将私网SMF称为L-SMF，用于负责管理私网会话的建立、修改和删除，以及负责用户面安全等。在图8中，以私网认证网元为验证、授权和记账(authentication、authorization、accounting，AAA)服务器。L-SMF与AAA服务器属于私网的本地(local)控制面(control plane)网元。可选地，L-SMF与AAA服务器可以合并部署于一个物理设备或者物理实体中；L-SMF与AAA服务器也可以分开部署，即L-SMF和AAA服务器是两个独立的物理设备或物理实体，本申请实施例对此不作具体限定。

AAA服务器可以用于保存用户面所需的根密钥，作为另一种示例，用户面根密钥也可以保存在L-SMF中。由部署于私网内部的L-SMF根据根密钥来推演第一安全参数(包括中间密钥)，并通过安全隧道将第一安全参数传输给RAN。一种方式中，安全隧道可以是：L-SMF→AMF→RAN，另一种方式中，安全隧道可以是：L-SMF→UPF→RAN。需要说明的是，安全隧道中仅首尾能够获知传递的内容，对于中间负责转发的中转网元来说是透明的，并不能感知传递的具体内容。

示例一：

通过安全参数密钥(本实施例中以称为隧道密钥为例)来保护私网会话生成的第一安全参数。参见图9所示，为一种可能的安全参数的获取方法流程示意图。图9中，以PDU会话建立流程中将第一安全参数传递给接入网设备和终端设备为例进行说明。

S501，终端设备向RAN设备发送消息1。例如，消息1可以为PDU会话建立请求。具体的，终端设备可以通过非接入层消息(non-access stratum message，NAS message)向RAN发送PDU会话建立请求。

NAS消息中包括PDU会话建立请求。可选地，还可以包含LCDR，进一步，还可以包含UPSR。

作为一种举例，NAS消息中还可以包括单一网络切片选择辅助信息(single network slice selection assistance information，NSSAI)或者数据网络名称(data network name，DNN)中的一项或多项。

S502，RAN设备接收到NAS消息，将NAS消息转发给AMF。

S503，AMF网元在执行选择SMF网元操作时，可以根据UPSR和/或LCDR选择L-SMF。具体的，在执行选择SMF时，选择条件可以包括DNN、S-NSSAI、终端设备的位置信息或者负载信息中的一项或者多项。在本申请实施例所提及的应用场景中，在执行选择SMF时，AMF还进一步结合UPSR和/或LCDR，从而满足选择条件的SMF中选择部署于私网内的L-SMF。

S504，AMF网元选择L-SMF网元后，向L-SMF网元发送N11消息，N11消息用于建立会话上下文。

该N11消息可以通过服务化接口消息Nsmf_PDUSession_CreateSMContext来实现。示例性地，Nsmf_PDUSession_CreateSMContext中携带NSSAI、DNN、UPSR或者LCDR中一项或多项。Nsmf_PDUSession_CreateSMContext中还可以携带RAN设备的标识信息。比 如，RAN设备的标识信息可以包括全球无线接入网节点ID(Global RAN Node ID)和/或RAN节点名称(RAN Node Name)。RAN设备的标识信息用于所述L-SMF选择隧道密钥。

S505，当L-SMF网元接收到AMF网元发送的用于建立会话上下文的N11消息后，确定是否使用私网根密钥生成第一安全参数。

需要说明的是，S505为可选的步骤，在一些实施例中，可以不执行确定是否使用私网的根密钥来生成第一安全参数的步骤。

一种示例中，L-SMF获得用户签约数据，根据用户签约数据确定使用私网根密钥来推演用户面所需的密钥。比如，L-SMF可以从UDM中获得用户签约数据。具体的，L-SMF可以根据终端设备的标识信息从UDM获取所述终端设备的用户签约数据。

比如，用户签约数据包括用于指示针对所述终端设备的用户使用私网根密钥来生成第一安全参数的信息。

再比如，用户签约数据用于指示针对终端设备的用户的设定业务使用私网根密钥来推演用户面所需的密钥。例如，可以根据业务标识来确定设定业务。业务标识可以为DNN，或者五元组或者其它能够标识设定业务的信息。作为一种举例，用户签约数据可以包括业务标识与用于指示使用私网根密钥生成第一安全参数的信息的关联关系。

另一种示例中，L-SMF确定N11消息中携带LCDR，或者携带UPSR和LCDR，则确定使用私网根密钥生成第一安全参数。否则，确定不再使用私网根密钥生成第一安全参数。

又一种示例中，L-SMF根据本地配置信息来确定是否使用私网的根密钥生成第一安全参数。

比如，本地配置信息中包括L-SMF使用私网根密钥生成第一安全参数的描述。

再比如，本地配置信息中包括L-SMF针对设定业务使用私网的根密钥来推演用户面所需的密钥的描述。例如，可以根据业务标识来标识设定业务。业务标识可以为DNN，或者五元组或者其它能够标识设定业务的信息。作为一种举例，本地配置信息可以包括业务标识与用于指示使用私网根密钥来推演用户面所需密钥的指示信息的关联关系。

作为一种举例，业务标识为DNN，L-SMF可以根据DNN查询本地配置信息，确定本地配置信息中DNN与用于指示根据私网根密钥生成第一安全参数的信息存在关联关系，则确定使用私网根密钥生成第一安全参数。

S505a，L-SMF获取私网根密钥。

可选地，L-SMF确定使用私网根密钥生成第一安全参数时，L-SMF获取私网根密钥。具体获取方式，可以参见图5对应的实施例中相关描述，此处不再赘述。

S505b，L-SMF获取用于对第一安全参数进行加密的隧道密钥。

L-SMF获取隧道密钥时可以采用但不仅限于如下方式1-方式3中的任一种。

方式1，L-SMF可以从本地配置信息中，根据RAN设备的标识、DNN或者S-NSSAI中的一项或多项获取隧道密钥。

一种示例中，可以根据其中一项从本地配置信息中获取隧道密钥。比如，本地配置信息包括RAN设备的标识与隧道密钥的映射关系。从而L-SMF能够根据RAN设备的标识从本地配置信息确定隧道密钥。又比如，本地配置信息中包括DNN与隧道密钥的映射关系。从而L-SMF能够根据DNN从本地配置信息中确定隧道密钥。再比如，本地配置信息中包括S-NSSAI与隧道密钥的映射关系。从而L-SMF能够根据S-NSSAI从本地配置信息中确定隧道密钥。

另一种示例中，可以根据两项从本地配置信息中确定隧道密钥。比如，本地配置信息中包括DNN、RAN设备的标识与隧道密钥的映射关系。从而L-SMF能够根据DNN和RAN设备的标识从本地配置信息中确定隧道密钥。再比如，本地配置信息中包括S-NSSAI、RAN设备的标识与隧道密钥的映射关系。

又一种示例中，本地配置信息中包括DNN、RAN设备的标识和S-NSSAI与隧道密钥的映射关系。

方式2，L-SMF可以从用户签约数据中，根据RAN设备的标识、DNN或者S-NSSAI中的一项或多项确定隧道密钥。比如，用户签约数据中包括RAN设备的标识与隧道标识的映射关系。又比如，用户签约数据中包括DNN与隧道标识的映射关系。再比如，用户签约数据中包括S-NSSAI与隧道标识的映射关系。再比如，用户签约数据中包括DNN、RAN设备的标识与隧道密钥的映射关系。再比如，用户签约数据中包括DNN、S-NSSAI与隧道密钥的映射关系。用户签约数据中包括DNN、RAN设备的标识和S-NSSAI与隧道密钥的映射关系。

方式3，L-SMF可以根据RAN设备的标识、DNN和S-NSSAI中的一项或多项向AAA服务器获取隧道密钥。

可选地，为了提高安全性，AMF向L-SMF发送的N11消息中携带用于表明RAN设备的身份的标识。L-SMF向AAA服务器发送的RAN设备的标识，可以是对表明RAN设备的身份的标识进行转换后得到的。比如，RAN设备的标识可以是对Global RAN Node ID和/或RAN Node Name进行转换(比如，匿名化处理)后得到的。

作为一种可能的实施方式，L-SMF在采用方式1或者方式2获取私网根密钥以及隧道密钥无法获取到时，比如本地配置信息或者用户签约数据中未保存该终端设备的标识与私网根密钥的对应关系，L-SMF可以向AAA服务器请求终端设备的标识对应的私网根密钥。

一种示例中，L-SMF在采用第三种方式获取私网根密钥以及采用方式3获取隧道密钥时，可以通过与AAA服务器进行消息交互获取私网根密钥和隧道密钥。比如，L-SMF可以通过一个消息向AAA服务器请求私网根密钥和隧道密钥。作为一种示例，具体执行S506。

另一种示例中，L-SMF在确定通过本地配置信息或者用户签约数据无法获取到私网根密钥以及隧道密钥时，L-SMF可以通过与AAA服务器进行消息交互获取私网根密钥和隧道密钥。比如，L-SMF可以通过一个消息向AAA服务器请求私网根密钥和隧道密钥。作为一种示例，具体执行S506。

S506，L-SMF从AAA服务器获取私网根密钥和隧道密钥。

在一些实施例中，L-SMF与AAA服务器之间没有直接接口相连，L-SMF可以通过UPF向AAA服务器获取私网根密钥和/或隧道密钥。

S507，L-SMF根据私网根密钥生成第一安全参数。会话安全上下文中可以包括如下中的一项或者多项：根据私网根密钥推演得到的中间密钥。私网根密钥可以是主会话密钥(master session key，MSK)或者扩展的主会话密钥(extended master session key，EMSK)。

作为一种举例，L-SMF可以根据私网根密钥以及辅助参数生成中间密钥Knpn。该中间密钥可以称为Knpn，该中间密钥用于推演用户面的安全密钥。例如，用户面的安全密钥包括用于终端设备与网络设备侧进行用户面的业务数据传输所使用加密密钥Kenc和/或完整性密钥Kint。

示例性地，辅助参数可以包括S-NSSAI、DNN或者下行NAS消息计数(downlink NAS  count，DL NAS Count)中的一项或多项。DL NAS Count可以由AMF发送给L-SMF。辅助参数也可以包括其它预设的参数。

S508，L-SMF向AMF发送经过隧道密钥加密的第一安全参数。具体的，L-SMF可以通过N11接口消息向AMF发送经过隧道密钥加密的第一安全参数。比如，N11接口消息可以是服务化接口消息Namf_Comunication_N1N2MessageTransfer。

可选地，L_SMF还可以向该AMF发送辅助参数。

S509，AMF接收到经过隧道密钥加密的第一安全参数后，将经过隧道密钥加密的第一安全参数转发给RAN设备。

可选地，AMF还可以向该RAN设备转发辅助参数。

S510，RAN设备接收到经过隧道密钥加密的第一安全参数后，使用预配置的隧道密钥从经过隧道密钥加密的第一安全参数中解密得到第一安全参数。

一种示例中，RAN设备预配置有一个隧道密钥。

另一种示例中，RAN设备中配置有多个隧道密钥，隧道密钥与DNN或S-NSSAI存在映射关系，从而RAN设备可以根据DNN或S-NSSAI从本地配置的多个隧道密钥中确定用于解密该第一安全参数的隧道密钥。

S511，RAN设备根据第一安全参数中的中间密钥完成RAN设备侧的空口用户面密钥的推演。

可选的，RAN设备还可以根据第一安全参数来推演空口控制面密钥。

S512，L-SMF通过AMF向终端设备发送辅助参数，所述辅助参数用于终端设备推演生成空口用户面密钥的中间密钥。一种示例中，L-SMF可以将辅助参数发送给AMF，由AMF通过NAS消息发送给终端设备。另一种示例中，L-SMF可以将辅助参数发送给AMF，AMF发送给RAN设备，RAN设备向终端设备发送辅助参数，比如RAN设备可以通过RRC连接重配置消息向终端设备发送辅助参数。

可选的，辅助参数还可以用于终端设备推演生成空口控制面密钥的中间密钥。

S513，终端设备根据私网根密钥以及辅助参数生成中间密钥，并根据中间密钥推演所述空口用户面密钥。后续，终端设备与RAN设备之间用户面的业务数据传输通过空口用户面密钥进行保护。

可选的，终端设备还可以根据私网根密钥和辅助参数来生成中间密钥，然后通过中间密钥来推演空口控制面密钥。

需要说明的是，本申请实施例中，并不限定S512与S508的先后执行顺序。在一种可能的示例中，L-SMF可以通过一个消息向AMF发送辅助参数和第一安全参数。

上述示例一中在L-SMF与RAN设备之间传输第一安全参数，通过隧道密钥来保护私网中生成的第一安全参数，从而保证第一安全参数在推演或者传输时的安全性。

示例二：

通过AMF作为中转网元在RAN设备与L-SMF之间建立安全隧道，本实施例中以安全隧道为因特网协议安全(internet protocol security，IPsec)隧道。由L-SMF触发建立IPsec隧道为例。L-SMF通过建立的IPsec隧道来向RAN设备传输第一安全参数。

参见图10所示，为本申请实施例提供的安全参数的获取方法流程示意图。

S601-S605，参见S501-S505，此处不再赘述。

S605a，参见S505a，此处不再赘述。

S606，参见S507，此处不再赘述。

S607，L-SMF向AMF发送N11消息。N11消息中包括指示1和IPsec消息容器(IPsec msg container)。N11消息可以是服务化接口消息Namf_Comunication_N1N2MessageTransfer，服务化接口消息中可以包括指示1和IPsec msg container。

IPsec msg container，用于承载(或者封装)L-SMF与RAN设备之间交互的消息。L-SMF向AMF发送的IPsec msg container中封装了用于建立IPsec隧道的请求消息1。

可选地，N11消息中还可以包括辅助参数。

S608，AMF在接收到N11消息后，向RAN设备发送N2消息。N2消息中包括IPsec msg container，承载有请求消息1。可选地，N2消息中还可以包括指示2，指示2用于指示N2消息中承载有L-SMF发来的消息。可选的，N2消息中还可以包括辅助参数。关于N2消息的相关说明，参见步骤S304中的相关描述，此处不再赘述。

S609，RAN设备与L-SMF之间完成IPsec隧道建立后，通过IPsec隧道获取L-SMF生成的第一安全参数。

通过IPsec隧道获取L-SMF生成的第一安全参数的方式可以参见图7B对应的实施例中的相关描述，此处不再赘述。

S610，RAN设备根据第一安全参数完成RAN设备侧的空口用户面密钥的推演。

可选的，RAN设备还可以根据第一安全参数来推演空口控制面密钥。

S611，L-SMF通过AMF向终端设备发送辅助参数，所述辅助参数用于终端设备推演生成空口用户面密钥的中间密钥。一种示例中，L-SMF可以将辅助参数发送给AMF，由AMF通过NAS消息发送给终端设备。另一种示例中，L-SMF可以将辅助参数发送给AMF，AMF发送给RAN设备，RAN设备向终端设备发送辅助参数，比如RAN设备可以通过RRC连接重配置消息向终端设备发送辅助参数。

可选的，辅助参数还可以用于终端设备推演生成空口控制面密钥的中间密钥。

S612，终端设备根据私网根密钥以及辅助参数生成中间密钥，并根据中间密钥推演所述空口用户面密钥。

可选的，终端设备还可以根据私网根密钥和辅助参数来生成中间密钥，然后通过中间密钥来推演空口控制面密钥。

需要说明的是，本申请实施例中，并不限定S607与S611的先后执行顺序。

上述示例二中使用通过控制面网元(AMF作为中转网元)建立的IPSec隧道保护私网中生成的第一安全参数，从而保证了第一安全参数在推演或者传输时的安全性。

示例三，通过私网UPF作为RAN设备与L-SMF之间建立因特网协议安全(internet protocol security，IPsec)隧道的中转网元。以RAN设备触发建立IPsec隧道为例。进而L-SMF通过建立的IPsec隧道来向RAN设备传输第一安全参数。

参见图11所示，为示例三提供的安全参数的获取方法流程示意图。

S701-S705，参见S501-S505，此处不再赘述。

S705a，参见S505a，此处不再赘述。

S706，参见S507，此处不再赘述。

S707，L-SMF执行UPF的选择以及N4会话建立等流程，获得核心网隧道信息(CN  Tunnel info)。

L-SMF在会话建立流程中，将自身(L-SMF)的地址信息发送给RAN设备。具体的，L-SMF在会话建立流程中，通过AMF向RAN设备发送CN Tunnel info，还包括L-SMF的地址信息。L-SMF的地址信息可以包括L-SMF的IP地址和/或端口号(port)。CN Tunnel info用于建立UPF与RAN设备之间的N3隧道。

S708，L-SMF向AMF发送N11消息发送核心网隧道信息(CN Tunnel info)和L-SMF的地址信息。

S709，AMF接收到CN Tunnel info和L-SMF的地址信息后，向RAN设备发送CN Tunnel info和L-SMF的地址信息。

S710，RAN设备将RAN tunnel info传递至UPF，则N3隧道建立完成。

RAN设备根据接收到的SMF的地址信息触发建立与L-SMF之间的IPsec隧道。

在一种可能的示例中，RAN设备与L-SMF之间建立的IPsec隧道可以经过UPF转发。UPF获取转发规则，转发规则用于指示接收到来自RAN设备的IP数据包后，目的地址指示L-SMF时，将IP数据包转发给L-SMF。转发规则可以是由L-SMF指示给UPF，或者转发规则也可以由PCF配置给UPF。

S711a，RAN设备向UPF发送用于建立IPsec隧道的请求消息2。

示例性地，请求消息2可以封装为IP数据包的格式发送给UPF。

S712a，UPF根据转发规则将请求消息2发送给L-SMF。

可选地，RAN设备与L-SMF之间经过多次消息交互，完成IPsec隧道的建立。

应理解的是，RAN设备与L-SMF之间在建立IPsec隧道的过程中，协商用于IPsec隧道的加密密钥，用于后续对第一安全参数进行加密传输。RAN设备与L-SMF之间可以通过一次或者多次交互来协商用于IPsec隧道的加密密钥，从而完成IPsec隧道的建立。图11中仅示出一次的交互过程，还可以包括其它的交互流程，本申请实施例不作限定。

S713a，IPsec隧道建立完成后，L-SMF通过IPsec隧道将第一安全参数发送给RAN设备。承载第一安全参数的IP数据包发送给RAN设备。IP数据包中承载的第一安全参数是经过加密密钥进行加密后的。

另一种可能的示例中，RAN设备与L-SMF之间建立的IPsec隧道经过UPF和数据网络(DN)转发。

可选地，L_SMF还可以向RAN设备发送辅助参数。

S711b，RAN设备向UPF发送请求消息2。请求消息2承载在IP数据包中，IP数据包指示的目的地址为L-SMF的地址信息。

S712b，UPF根据L-SMF的地址信息将承载请求消息2的IP数据包发送到数据网络DN中，在DN网络中通过寻址将承载请求消息2的IP数据包发送给L-SMF。

S713b，L-SMF将第一安全参数承载在IP数据包中通过IPsec隧道发送给RAN设备。

S714，RAN设备根据第一安全参数完成RAN设备侧的空口用户面密钥的推演。

可选的，RAN设备还可以根据第一安全参数来推演空口控制面密钥。

S715，L-SMF通过AMF将辅助参数发送给终端设备。比如，AMF接收到L-SMF发送的辅助参数后，AMF通过NAS消息将辅助参数发送给终端设备。再比如，AMF可以将辅助参数发送给RAN设备，RAN设备可以通过RRC信令消息将辅助参数发送给终端设备。

可选的，辅助参数还可以用于终端设备推演生成空口控制面密钥的中间密钥。

S716，终端设备接收到辅助参数后，根据私网根密钥和辅助参数生成中间密钥，再根据中间密钥完成终端设备侧的空口用户面密钥的推演。

可选的，终端设备还可以根据私网根密钥和辅助参数来生成中间密钥，然后通过中间密钥来推演空口控制面密钥。

需要说明的是，本申请实施例中，并不限定S712a与S715的先后执行顺序，不限定S712b与S715的先后执行顺序。

上述示例三中通过私网UPF建立的IPSec隧道保护私网中生成的第一安全参数，从而保证第一安全参数在推演或者传输时的安全性。

示例四，通过私网UPF作为RAN设备与L-SMF之间建立IPsec隧道的中转网元。以由RAN设备触发建立IPsec隧道为例。进而L-SMF通过建立的IPsec隧道来向RAN设备传输第一安全参数。

参见图12所示，为示例四提供的安全参数的获取方法流程示意图。

S801-S805，参见S501-S505，此处不再赘述。

S805a，参见S505a，此处不再赘述。

S806，参见S507，此处不再赘述。

S807，L-SMF执行UPF的选择以及N4会话建立等流程，获得CN Tunnel info。

具体的，L-SMF在会话建立流程中，通过AMF向RAN设备发送核心网隧道信息(CN Tunnel info)。CN Tunnel info用于建立UPF与RAN设备之间的N3隧道。

S808，L-SMF向AMF发送N11消息发送核心网隧道信息(CN Tunnel info)。

S809，AMF接收到CN Tunnel info后，向RAN设备发送CN Tunnel info。

S810，RAN设备将RAN tunnel info传递至UPF，则N3隧道建立完成。

S811，RAN设备请求建立IPsec隧道。例如，RAN设备通过N3消息向UPF请求消息3。示例性的，请求消息3可以承载在N3消息的IPsec msg container中。可选地，该N3消息包括指示3。请求消息3用于请求与L-SMF之间建立IPsec隧道。指示3，用于指示UPF向L-SMF中继来自RAN设备的请求消息3。

IPsec msg container，用于承载(或者封装)L-SMF与RAN设备之间交互的消息。L-SMF向UPF发送的IPsec msg container中封装了用于建立IPsec的请求消息3。

S812，UPF向L-SMF发送请求消息3。示例性的，UPF通过N4消息向L-SMF发送请求消息3。请求消息3可以承载在IPsec msg container中。N4消息中还可以携带指示4。指示4用于指示N4消息中承载有来自RAN设备的用于建立IPsec的请求消息3。

可选地，RAN设备与L-SMF之间经过多次消息交互，完成IPsec隧道的建立。

应理解的是，RAN设备与L-SMF之间在建立IPsec隧道的过程中，协商用于IPsec隧道的加密密钥，用于后续对第一安全参数进行加密传输。RAN设备与L-SMF之间可以通过一次或者多次交互来协商用于IPsec隧道的加密密钥，从而完成IPsec隧道的建立。图12中仅示出一次的交互过程，还可以包括其它的交互流程，本申请实施例不作限定。

S813，IPsec隧道完成建立后，L-SMF通过IPsec隧道将第一安全参数发送给RAN设备。

可选地，L_SMF还可以通过IPsec隧道向RAN设备发送辅助参数。

S814-S816，参见S714-S716，此处不再赘述。

上述示例四中通过UPF建立的IPSec隧道保护私网中生成的第一安全参数，从而保证第一安全参数在推演或者传输时的安全性。

参见图13所示为本申请实施例提供的另一种可能的网络部署架构示意图。需要说明的是，图13仅作为一种示例，并不对网络中包括的网元的数量及类型进行具体限定。

在图13中，私网与公网共享公网控制面网元(包括AMF和SMF)。在图13中私网会话的管理(比如建立/修改/删除等)由公网SMF执行。在图13中，以认证网元为AAA服务器为例，AAA服务器部署于私网中。AAA服务器可以用于保存私网根密钥。进一步地，AAA服务器还用于执行根据私网根密钥来推演第一安全参数等操作。

示例五，结合图13，通过用于对第一安全参数进行加密的隧道密钥来保护第一安全参数。参见图14所示，为一种可能的安全参数的获取方法流程示意图。图14中以私网推演网元为私网认证网元为例。以私网认证网元为AAA服务器为例。

S1001-S1004，参见S501-S504，此处不再赘述。

S1005，SMF接收到来自AMF的用于建立会话上下文的N11消息后，确定是否触发RAN设备与AAA服务器之间的第一安全参数的传输，若是执行S1006。

一种示例中，SMF获得用户签约数据，根据用户签约数据确定触发RAN设备与AAA服务器之间的第一安全参数的传输。比如，SMF可以从UDM中获得用户签约数据。

另一种示例中，SMF确定N11消息中携带LCDR，或者UPSR和LCDR，则确定触发RAN设备与AAA服务器之间的第一安全参数的传输。

又一种示例中，SMF根据本地配置信息，确定触发RAN设备与AAA服务器之间的第一安全参数的传输。

S1006，SMF向AAA服务器发送用于请求第一安全参数的请求消息4，请求消息4携带的参数包括如下中的一项或者多项：终端设备的标识、RAN设备的标识、DNN或者S-NSSAI等。

S1007，AAA服务器接收到来自SMF的请求消息4后，获取私网根密钥，并根据私网根密钥生成第一安全参数。例如，AAA服务器可以根据终端设备的标识对应的私网根密钥MSK/EMSK以及辅助参数(比如：NSSAI,DNN,DL count)生成中间密钥Knpn。第一安全参数包括中间密钥Knpn。

AAA服务器获取私网根密钥的方式，可以参见步骤S101a的相关描述，此处不再赘述。

AAA服务器根据RAN设备的标识、DNN或者S-NSSAI中的一项或多项确定隧道密钥，并使用隧道密钥加密第一安全参数。

一种示例中，可以根据其中一项确定隧道密钥。比如，AAA服务器能够根据RAN设备的标识确定隧道密钥。AAA服务器中保存有RAN设备的标识与隧道密钥的映射关系。又比如，AAA服务器能够根据DNN确定隧道密钥，AAA服务器中保存有DNN与隧道密钥的映射关系。再比如，AAA服务器能够根据S-NSSAI确定隧道密钥，AAA服务器中保存有S-NSSAI与隧道密钥的映射关系。

另一种示例中，AAA服务器可以根据两项确定隧道密钥。比如，AAA服务器能够根据RAN设备的标识和DNN确定隧道密钥。AAA服务器中保存有RAN设备的标识以及DNN与隧道密钥之间三者的映射关系。又比如，AAA服务器能够根据DNN和S-NSSAI确定隧道密钥，AAA服务器中保存有DNN和S-NSSAI与隧道密钥之间三者的映射关系。 再比如，AAA服务器能够根据S-NSSAI和RAN设备的标识确定隧道密钥，AAA服务器中保存有S-NSSAI和RAN设备的标识与隧道密钥之间三者的映射关系。

又一种示例中，AAA服务器中保存有DNN、RAN设备的标识和S-NSSAI与隧道密钥的映射关系。

可选地，为了提高安全性，AMF向SMF发送的N11消息中携带用于表明RAN设备的身份的标识。SMF向AAA服务器发送的RAN设备的标识可以是经过对用于表明RAN设备的身份的标识进行转换后得到的。比如，RAN设备的标识可以是对Global RAN Node ID和/或RAN Node Name进行转换(比如，匿名化处理)后得到的。

S1008，AAA服务器向SMF发送经过隧道密钥加密的第一安全参数。

S1009，SMF网元向AMF发送经过隧道密钥加密的第一安全参数。具体的，SMF可以通过N11消息向AMF发送经过隧道密钥加密的第一安全参数。可选的，N11消息中还可以包括辅助参数。

S1010，AMF向RAN设备发送经过隧道密钥加密的第一安全参数。可选的，AMF向RAN设备发送辅助参数。

S1011，RAN设备接收到经过隧道密钥加密的第一安全参数后，使用预配置的隧道密钥从经过隧道密钥加密的第一安全参数中解密得到第一安全参数。

S1012，RAN设备根据第一安全参数中的中间密钥完成RAN设备侧的用户面的安全密钥推演。

可选的，RAN设备还可以根据第一安全参数来推演空口控制面密钥。

S1013，AAA服务器将用于生成第一安全参数的辅助参数发送SMF。

S1014，SMF向AMF发送辅助参数。

S1015，AMF向终端设备发送辅助参数。

比如，AMF可以通过NAS消息向终端设备发送辅助参数。再比如，AMF向RAN设备发送辅助参数，RAN设备通过RRC连接重配置消息将辅助参数发送给终端设备。

S1016，终端设备接收到辅助参数后，根据私网根密钥和辅助参数生成中间密钥，再根据中间密钥完成终端设备侧的空口用户面密钥的推演。后续，终端设备与RAN设备之间用户面的业务数据传输通过用户面的安全密钥进行保护。

可选的，终端设备还可以根据私网根密钥和辅助参数来生成中间密钥，然后通过中间密钥来推演空口控制面密钥。

需要说明的是，本申请不限定S1013与S1008的先后时间顺序。作为一种举例，步骤S1013和步骤S1008可以通过同一条消息来实现，换句话说，AAA服务器还可以将辅助参数与第一安全参数通过一个消息发送给SMF，进一步地，SMF也可以通过一个消息将辅助参数与第一安全参数发送给AMF。

上述示例五中，由私网内的AAA服务器来完成第一安全参数的推演，并且通过加密方式发送到RAN设备，从而保证第一安全参数在推演或者传输时的安全性。

需要说明的是，示例1-示例5是结合PDU会话建立流程来说明第一安全参数的获取方法流程，第一安全参数的获取还可以应用到PDU会话修改流程中，或者PDU会话重建立流程等等，本申请实施例对此不作具体限定。

上述本申请提供的实施例中，分别从私网网元、公网网元、私网用户面网元、接入网 设备、终端设备等设备之间交互的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能，私网网元、公网网元、私网用户面网元、接入网设备、终端设备等可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

下面结合附图介绍本申请实施例中用来实现上述方法的装置。因此，上文中的内容均可以用于后续实施例中，重复的内容不再赘述。

如图15所示，为本申请所涉及的通信装置的一种可能的示例性框图，该通信装置1500可以对应实现上述各个方法实施例中由私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备、终端设备实现的功能或者步骤。该通信装置可以包括收发模块1501和处理模块1502。可选地，还可以包括存储模块，该存储模块可以用于存储指令(代码或者程序)和/或数据。收发模块1501和处理模块1502可以与该存储模块耦合，例如，处理模块1502可以读取存储模块中的指令(代码或者程序)和/或数据，以实现相应的方法。上述各个模块可以独立设置，也可以部分或者全部集成。可选地，收发模块1501可以包括发送模块和接收模块，发送模块用于执行发送操作，接收模块用于执行接收操作。

应理解，处理模块1502可以是处理器或控制器，例如可以是通用中央处理器(central processing unit，CPU)，通用处理器，数字信号处理(digital signal processing，DSP)，专用集成电路(application specific integrated circuits，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，DSP和微处理器的组合等等。收发模块1501是一种该装置的接口电路，用于从其它装置接收信号。例如，当该装置以芯片的方式实现时，该收发模块1501是该芯片用于从其它芯片或装置接收信号的接口电路，或者，是该芯片用于向其它芯片或装置发送信号的接口电路。

该通信装置1500可以为上述实施例中的私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备、终端设备，还可以为用于私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备、终端设备的芯片。例如，当通信装置1500为私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备、终端设备时，该处理模块1502例如可以是处理器，该收发模块1501例如可以是收发器。可选地，该收发器可以包括射频电路或者输入输出接口，该存储单元例如可以是存储器。例如，当通信装置1500为用于私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备、终端设备的芯片时，该处理模块1502例如可以是处理器，该收发模块1501例如可以是输入/输出接口、管脚或电路等。该处理模块1502可执行存储单元存储的计算机执行指令，可选地，该存储单元为该芯片内的存储单元，如寄存器、缓存等，该存储单元还可以是该私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备、终端设备内的位于该芯片外部的存储单元，如只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory， RAM)等。

一些可能的实施方式中，通信装置1500能够对应实现上述方法实施例中私网会话管理网元(或者L-SMF)的行为和功能。例如通信装置1500可以为私网会话管理网元，也可以为应用于私网会话管理网元中的部件(例如芯片或者电路)。收发模块1501可以用于支持私网会话管理网元与其他网络实体的通信，例如支持私网会话管理网元与图4-图14所示的公网网元、私网用户面网元、接入网设备、终端设备等之间的通信。处理模块1502用于对私网会话管理网元的动作进行控制管理，例如处理模块1502用于支持私网会话管理网元执行图4-图14中私网会话管理网元(或者私网推演网元或者L-SMF)除收发之外的操作。

在一些实施例中，处理模块1502，用于获取终端设备的私网根密钥，终端设备与公网网元建立有控制面连接；处理模块1502，还用于根据私网根密钥生成终端设备的第一安全参数，第一安全参数用于推演终端设备的私网空口用户面密钥；收发模块1501，用于向终端设备的接入网设备发送第一安全参数。

另一些可能的实施方式中，通信装置1500能够对应实现上述方法实施例中公网控制面网元的行为和功能。例如通信装置1500可以为公网控制面网元，也可以为应用于公网控制面网元中的部件(例如芯片或者电路)。收发模块1501可以用于支持公网控制面网元与其他网络实体的通信，例如支持公网控制面网元与图4-图14所示的私网网元、私网用户面网元、接入网设备、终端设备等之间的通信。处理模块1502用于对公网控制面网元的动作进行控制管理，例如处理模块1502用于支持公网控制面网元执行图4-图14中公网控制面网元(比如公网AMF)除收发之外的操作。

在一些实施例中，收发模块1501，用于接收来自终端设备的第一参数信息，所述第一参数信息用于指示使用所述终端设备对应的私网根密钥进行所述终端设备的空口用户面密钥的推演；处理模块1502，用于根据所述第一参数信息选择私网会话管理网元；收发模块1501，还用于向所述私网会话管理网元发送所述第一参数信息。

又一些可能的实施方式中，通信装置1500能够对应实现上述方法实施例中私网用户面网元的行为和功能。例如通信装置1500可以为私网用户面网元，也可以为应用于私网用户面中的部件(例如芯片或者电路)。收发模块1501可以用于支持私网用户面与其他网络实体的通信，例如支持私网用户面网元与图4-图14所示的私网网元、公网网元、接入网设备、终端设备等之间的通信。处理模块1502用于对私网用户面网元的动作进行控制管理，例如处理模块1502用于支持私网用户面执行图4-图14中私网用户面网元(比如UPF)除收发之外的操作。

在一些实施例中，接收模块，用于接收来自接入网设备的请求消息，所述请求消息用于请求与私网网元之间建立安全隧道，所述安全隧道用于传输所述私网网元向所述接入网设备发送的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；发送模块，用于向所述私网网元发送所述请求消息。

又一些可能的实施方式中，通信装置1500能够对应实现上述方法实施例中接入网设备的行为和功能。例如通信装置1500可以为接入网设备，也可以为应用于接入网设备中的部件(例如芯片或者电路)。收发模块1501可以用于支持接入网设备与其他网络实体的通信，例如支持接入网设备与图4-图14所示的私网网元、公网网元、终端设备等之间的通信。处理模块1502用于对接入网设备的动作进行控制管理，例如处理模块1502用于支 持接入网设备执行图4-图14中接入网设备(比如RAN设备)除收发之外的操作。

一些实施例中，收发模块1501，用于获取来自私网网元的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；收发模块1501，还用于获取来自公网网元的第二安全参数，所述第二安全参数用于推演终端设备的空口控制面密钥；处理模块1502，用于根据所述第一安全参数推演所述空口用户面密钥以及根据所述第二安全参数推演所述空口控制面密钥。

又一些可能的实施方式中，通信装置1500能够对应实现上述方法实施例中终端设备的行为和功能。例如通信装置1500可以为终端设备，也可以为应用于终端设备中的部件(例如芯片或者电路)。收发模块1501可以用于支持终端设备与其他网络实体的通信，例如支持终端设备与图4-图14所示的私网网元、公网网元、接入网设备、用户面网元等之间的通信。处理模块1502用于对终端设备的动作进行控制管理，例如处理模块1502用于支持终端设备执行图4-图14中终端设备除收发之外的全部操作。

如图16所示为本申请实施例提供的通信装置1600，其中，通信装置1600可以是私网推演网元(私网会话管理网元或者私网认证网元)，能够实现本申请实施例提供的方法中私网推演网元的功能，或者，通信装置1600可以是接入网设备，能够实现本申请实施例提供的方法中接入网设备的功能；或者，通信装置1600可以是公网控制面网元，能够实现本申请实施例提供的方法中公网控制面网元的功能；或者，通信装置1600也可以是能够支持私网网元(私网会话管理网元或者私网认证网元)或者公网网元或者私网用户面网元或者接入网设备或者终端设备实现本申请实施例提供的方法中对应的功能的装置。其中，该通信装置1600可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

在硬件实现上，上述收发模块1501可以为收发器，收发器集成在通信装置1600中构成通信接口1603。

通信装置1600包括至少一个处理器1602，处理器1602可以是一个CPU，微处理器，ASIC，或一个或多个用于控制本申请方案程序执行的集成电路，用于实现或用于支持通信装置1600实现本申请实施例提供的方法中私网网元(私网会话管理网元或者私网认证网元)或者公网网元或者私网用户面网元或者接入网设备或者终端设备的功能。具体参见方法示例中的详细描述，此处不做赘述。

通信装置1600还可以包括至少一个存储器1601，用于存储程序指令和/或数据。存储器1601和处理器1602耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器1602可能和存储器1601协同操作。处理器1602可能执行存储器1601中存储的程序指令和/或数据，以使得通信装置1600实现相应的方法。所述至少一个存储器中的至少一个可以包括于处理器1602中。

通信装置1600还可以包括通信接口1603，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)，有线接入网等。该通信接口1603用于通过传输介质和其它设备进行通信，从而用于通信装置1600中的装置可以和其它设备进行通信。示例性地，当该通信装置1600为私网网元时，该其它设备为公网网元或者私网用户面网元或者接入网设备或者终端设备；或者，当该通信装置为公网网元时，该其它设备为私网网元 (私网会话管理网元或者私网认证网元)或者私网用户面网元或者接入网设备或者终端设备。处理器1602可以利用通信接口1603收发数据。通信接口1603具体可以是收发器。

本申请实施例中不限定上述通信接口1603、处理器1602以及存储器1601之间的具体连接介质。本申请实施例在图16中以存储器1601、处理器1602以及通信接口1603之间通过总线1604连接，总线在图16中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图16中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器1602可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器1601可以是ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路1604与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器1601用于存储执行本申请方案的计算机执行指令，并由处理器1602来控制执行。处理器1602用于执行存储器1601中存储的计算机执行指令，从而实现本申请上述实施例提供的业务管理方法。

可选地，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

本申请实施例还提供一种通信系统，具体的，通信系统包括私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备。示例性的，通信系统包括用于实现上述图4-图14的相关功能的私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备。

所述私网网元(私网会话管理网元或者私网认证网元)用于实现上述图4-图14相关私网网元部分的功能。所述公网网元用于实现上述图4-图14相关公网网元部分的功能。所述接入网设备用于实现上述图4-图14相关接入网设备部分的功能。所述私网用户面网元用于实现上述图4-图14相关私网用户面网元部分的功能。具体请参考上述方法实施例中的相关描述，这里不再赘述。

本申请实施例中还提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行图4-图14中私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备或者终端设备执行的方法。

本申请实施例中还提供一种计算机程序产品，包括指令，当其在计算机上运行时，使得计算机执行图4-图14中私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备或者终端设备执行的方法。

本申请实施例提供了一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现前述方法中私网网元(私网会话管理网元或者私网认证网元)、公网网元、私网用户面网元、接入网设备或者终端设备的功能。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

本领域普通技术人员可以理解：本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至少一个”是指一个或者多个。至少两个是指两个或者多个。“至少一个”、“任意一个”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个、种)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。“多个”是指两个或两个以上，其它量词与之类似。此外，对于单数形式“a”，“an”和“the”出现的元素(element)，除非上下文另有明确规定，否则其不意味着“一个或仅一个”，而是意味着“一个或多于一个”。例如，“a device”意味着对一个或多个这样的device。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器，数字信号处理器，专用集成电路(ASIC)，现场可编程门阵列(FPGA)或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包括这些改动和变型在内。

Claims (47)

1. 一种通信系统，其特征在于，包括私网网元和公网网元；

   所述私网网元，用于获取终端设备的私网根密钥，根据所述私网根密钥生成所述终端设备的第一安全参数，向接入网设备发送所述第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；

   所述公网网元，用于获取终端设备的公网根密钥，根据所述公网根密钥生成所述终端设备的第二安全参数，向所述接入网设备发送第二安全参数，所述第二安全参数用于推演所述终端设备的空口控制面密钥。
2. 如权利要求1所述的系统，其特征在于，所述私网网元包括私网会话管理网元或者私网认证网元。
3. 如权利要求1所述的系统，其特征在于，所述系统还包括所述接入网设备，用于：

   接收来自所述私网网元的所述第一安全参数和来自所述公网网元和所述第二安全参数；

   根据所述第一安全参数推演所述终端设备的空口用户面密钥；

   根据所述第二安全参数推演所述终端设备的空口控制面密钥。
4. 一种安全参数的获取方法，其特征在于，包括：

   私网网元获取终端设备的私网根密钥，所述终端设备与公网网元建立有控制面连接；

   所述私网网元根据所述私网根密钥生成所述终端设备的第一安全参数，所述第一安全参数用于推演所述终端设备的私网空口用户面密钥；

   所述私网网元向所述终端设备的接入网设备发送所述第一安全参数。
5. 如权利要求4所述的方法，其特征在于，所述获取终端设备的私网根密钥，包括：

   根据所述终端设备的标识获取所述私网根密钥；或者，

   根据所述终端设备的业务标识获取所述私网根密钥。
6. 如权利要求5所述的方法，其特征在于，所述终端设备的标识包括如下一项或多项：

   用户永久标识符SUPI、通用公共用户标识GPSI或者用户隐藏标识符SUCI。
7. 如权利要求5或6所述的方法，其特征在于，所述终端设备的业务标识包括如下一项或多项：

   数据网络名称DNN或者五元组。
8. 如权利要求4-7任一项所述的方法，其特征在于，所述获取终端设备的私网根密钥，包括：

   从本地配置信息中获取所述终端设备的私网根密钥。
9. 如权利要求4-8任一项所述的方法，其特征在于，所述私网网元为私网会话管理网元，所述获取终端设备的私网根密钥，包括：

   从认证网元中获取所述终端设备的私网根密钥。
10. 如权利要求4-9任一项所述的方法，其特征在于，所述方法还包括：

    接收第一参数信息，所述第一参数信息指示使用所述私网根密钥生成所述第一安全参数；

    所述获取所述终端设备的私网根密钥，包括：

    根据所述第一参数信息，获取所述私网根密钥。
11. 如权利要求10所述的方法，其特征在于，所述第一参数信息包括数据网络名称DNN、终端设备的标识或者五元组。
12. 如权利要求4-11任一项所述的方法，其特征在于，所述方法还包括：

    接收第二参数信息，所述第二参数信息用于指示所述终端设备的空口控制面密钥和用户面密钥相互隔离；

    所述获取所述终端设备的私网根密钥，包括：

    根据所述第二参数信息，获取所述私网根密钥。
13. 如权利要求4-12任一项所述的方法，其特征在于，所述方法还包括：

    获取安全参数密钥；

    向所述终端设备的接入网设备发送所述第一安全参数，包括：

    使用所述安全参数密钥对所述第一安全参数进行加密，将经过加密后的第一安全参数发送给所述接入网设备。
14. 如权利要求13所述的方法，其特征在于，所述获取安全参数密钥，包括：

    从本地配置信息获取所述安全参数密钥；或者，

    从所述终端设备的用户签约数据获取所述安全参数密钥；或者，

    从认证网元获取所述安全参数密钥。
15. 如权利要求13或14所述的方法，其特征在于，所述获取安全参数加密密钥，包括：

    根据第三参数信息获取安全参数密钥，所述第三参数信息包括接入网设备的标识、DNN或者单一网络切片选择辅助信息S-NSSAI中的一项或多项。
16. 如权利要求15所述的方法，其特征在于，所述方法还包括：

    接收来自所述公网控制面网元的所述第三参数信息。
17. 如权利要求13所述的方法，其特征在于，所述获取安全参数密钥，包括：

    建立与所述接入网设备之间的安全隧道，所述安全参数密钥为所述安全隧道的密钥；

    所述使用所述安全参数加密密钥对所述第一安全参数进行加密，将经过加密后的第一安全参数发送给所述接入网设备，包括：

    通过所述安全隧道向所述接入网设备发送所述第一安全参数。
18. 如权利要求17所述的方法，其特征在于，建立与所述接入网设备之间的安全隧道，包括：

    通过所述公网控制面网元向所述接入网设备请求建立与所述接入网设备之间的安全隧道。
19. 如权利要求18所述的方法，其特征在于，通过所述公网控制面网元向所述接入网设备请求建立与所述接入网设备之间的安全隧道，包括：

    向所述公网控制面网元发送请求消息，所述请求消息用于请求建立与所述接入网设备之间的安全隧道；

    接收公网控制面网元发送的响应消息，所述响应消息用于响应完成建立所述安全隧道；

    通过所述安全隧道向所述接入网设备发送所述第一安全参数，包括：

    向所述公网控制面网元发送所述第一安全参数。
20. 如权利要求19所述的方法，其特征在于，所述方法还包括：

    向所述公网控制面网元发送第一指示，所述第一指示用于指示所述公网控制面网元向所述接入网设备转发所述请求消息。
21. 如权利要求17所述的方法，其特征在于，所述建立与所述接入网设备之间的安全隧道，包括：

    向所述接入网设备发送所述私网网元的地址信息，所述私网网元的地址信息使得所述接入网设备请求建立所述安全隧道。
22. 如权利要求21所述的方法，其特征在于，向所述接入网设备发送所述私网网元的地址信息，包括：

    在会话建立或者修改流程中，向所述接入网设备发送所述私网网元的地址信息。
23. 一种安全参数的获取方法，其特征在于，包括：

    接入网设备获取来自私网网元的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；

    所述接入网设备获取来自公网网元的第二安全参数，所述第二安全参数用于推演终端设备的空口控制面密钥；

    所述接入网设备根据所述第一安全参数推演所述空口用户面密钥以及根据所述第二安全参数推演所述空口控制面密钥。
24. 如权利要求23所述的方法，其特征在于，所述第一安全参数是使用安全参数密钥加密的；

    根据所述第一安全参数推演所述空口用户面密钥，包括：

    使用所述安全参数密钥对所述第一安全参数进行解密；使用解密后的所述第一安全参数推演所述空口用户面密钥。
25. 如权利要求23所述的方法，其特征在于，获取来自私网网元的第一安全参数，包括：

    通过所述私网网元与接入网设备之间的建立的安全隧道接收来自所述私网网元的所述第一安全参数。
26. 如权利要求25所述的方法，其特征在于，所述方法还包括：

    所述接入网设备通过所述私网用户面网元向所述私网网元请求建立所述安全隧道。
27. 如权利要求26所述的方法，其特征在于，通过所述私网用户面网元向所述私网网元请求建立所述安全隧道，包括：

    获取所述私网网元的地址信息；

    根据所述私网网元的地址信息向所述私网用户面网元请求建立所述安全隧道。
28. 如权利要求26所述的方法，其特征在于，通过所述私网用户面网元向所述私网网元请求建立所述安全隧道，包括：

    向所述私网用户面网元发送请求消息，所述请求消息用于请求建立与所述私网网元之间的安全隧道；

    接收所述私网用户面网元发送的响应消息，所述响应消息用于指示完成建立所述安全隧道；

    获取来自私网网元的第一安全参数，包括：

    接收所述私网网元通过所述私网用户面网元发送的所述第一安全参数。
29. 如权利要求28所述的方法，其特征在于，所述方法还包括：

    向所述私网用户面网元发送第一指示，所述第一指示用于指示所述私网用户面网元向所述私网网元转发所述请求消息。
30. 如权利要求25所述的方法，其特征在于，所述方法还包括：

    所述接入网设备通过所述公网网元向所述私网网元请求建立所述安全隧道。
31. 如权利要求30所述的方法，其特征在于，通过所述公网网元向所述私网网元请求建立所述安全隧道，包括：

    向所述公网网元发送请求消息，所述请求消息用于请求建立与所述私网网元之间的安全隧道；

    接收所述公网网元发送的响应消息，所述响应消息用于指示完成建立所述安全隧道；

    获取来自私网网元的第一安全参数，包括：

    接收所述私网网元通过所述公网网元发送的所述第一安全参数。
32. 一种安全参数的获取方法，其特征在于，包括：

    公网网元接收来自终端设备的第一参数信息，所述第一参数信息用于指示使用所述终端设备对应的私网根密钥进行所述终端设备的空口用户面密钥的推演；

    公网网元根据所述第一参数信息选择私网会话管理网元；

    公网网元向所述私网会话管理网元发送所述第一参数信息。
33. 如权利要求32所述的方法，其特征在于，还包括：

    接收来自终端设备的第二参数信息，所述第二参数信息用于指示所述终端设备的空口控制面密钥和用户面密钥相互隔离。
34. 如权利要求32或33所述的方法，其特征在于，还包括：

    接收来自所述私网网元的请求消息，所述请求消息用于请求与接入网设备之间建立安全隧道；

    向所述接入网设备发送所述请求消息。
35. 如权利要求34所述的方法，其特征在于，所述方法还包括：

    接收来自所述私网网元的第一指示，所述第一指示用于指示所述公网网元向所述接入网设备转发所述请求消息；

    向所述接入网设备发送所述请求消息，包括：

    根据所述第一指示向所述接入网设备发送所述请求消息。
36. 如权利要求34或35所述的方法，其特征在于，还包括：

    接收来自所述私网网元的第一安全参数，所述第一安全参数用于推演所述终端设备的空口用户面密钥；

    向所述接入网设备转发所述第一安全参数。
37. 一种安全参数的获取方法，其特征在于，包括：

    私网用户面网元接收来自接入网设备的请求消息，所述请求消息用于请求与私网网元之间建立安全隧道，所述安全隧道用于传输所述私网网元向所述接入网设备发送的第一安全参数，所述第一安全参数用于推演终端设备的空口用户面密钥；

    所述私网用户面网元向所述私网网元发送所述请求消息。
38. 如权利要求37所述的方法，其特征在于，还包括

    接收来自接入网设备的第一指示，所述第一指示用于指示所述私网用户面网元向所述私网网元转发所述请求消息；

    向所述私网网元发送所述请求消息，包括：

    根据所述第一指示，向所述私网网元发送所述请求消息。
39. 如权利要求37所述的方法，其特征在于，所述请求消息携带所述私网网元的地址信息；

    向所述私网网元发送所述请求消息，包括：

    根据所述地址信息对应的转发规则向所述私网网元转发所述请求消息。
40. 如权利要求39所述的方法，其特征在于，根据所述地址信息对应的转发规则向所述私网网元转发所述请求消息，包括：

    根据所述地址信息对应的转发规则通过N4接口向所述私网网元发送所述请求消息。
41. 如权利要求37-40任一项所述的方法，其特征在于，还包括：

    接收来自私网网元的所述第一安全参数；

    向所述接入网设备发送所述第一安全参数。
42. 一种安全参数的获取方法，其特征在于，包括：

    终端设备接收来自私网网元的第一辅助参数，所述第一辅助参数用于推演终端设备的空口用户面密钥；

    所述终端设备接收来自公网网元的第二辅助参数，所述第二辅助参数用于推演终端设备的空口控制面密钥；

    所述终端设备根据所述第一辅助参数推演所述空口用户面密钥以及根据所述第二辅助参数推演所述空口控制面密钥。
43. 如权利要求42所述的方法，其特征在于，终端设备接收来自私网网元的第一安全参数之前，还包括：终端设备向所述公网网元发送第一参数信息，所述第一参数信息指示使用私网根密钥推演所述第一安全参数。
44. 如权利要求42或43所述的方法，其特征在于，还包括：

    向所述公网网元发送第二参数信息，所述第二参数信息用于指示所述终端设备的空口控制面密钥和用户面密钥相互隔离。
45. 一种通信装置，其特征在于，包括用于执行如权利要求4至22或23至31或32至36或37至41或42至44中的任一项所述方法的模块。
46. 一种通信装置，其特征在于，包括处理器和接口电路，所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求4至22或23至31或32至36或37至41或42至44中任一项所述的方法。
47. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，当所述计算机指令被执行时，使得权利要求4至22或23至31或32至36或37至41或42至44中任一项所述的方法被执行。

Images