WO2023178529A1

WO2023178529A1 - 生成密钥的方法及装置

Info

Publication number: WO2023178529A1
Application number: PCT/CN2022/082354
Authority: WO
Inventors: 甘露; 熊丽晖; 曹进; 李晟; 马如慧; 熊一清; 李晖
Original assignee: Oppo广东移动通信有限公司
Priority date: 2022-03-22
Filing date: 2022-03-22
Publication date: 2023-09-28

Abstract

本申请提供了一种生成密钥的方法及装置，能够解决K AF被重复使用的问题。该方法包括：第一设备基于随机数，生成第一K AF，所述第一K AF用于终端设备与AF之间的通信，所述第一设备为终端设备或AAnF。

Description

生成密钥的方法及装置

技术领域

本申请涉及通信技术领域，并且更为具体地，涉及一种生成密钥的方法及装置。

背景技术

应用功能(application function，AF)网元和终端设备之间可以使用K _AF进行加密通信，以保证通信的安全性。K _AF通常具有有效期，在K _AF的有效期到期后，需要对K _AF进行更新。目前，K _AF的更新需要终端设备重新进行主认证，这种更新方式比较复杂。如果不进行新的主认证，则重新生成K _AF与更新之前的K _AF相同，会导致K _AF被重复使用的问题。

发明内容

本申请提供一种生成密钥的方法及装置，能够解决K _AF被重复使用的问题。

第一方面，提供了一种生成密钥的方法，包括：第一设备基于随机数，生成第一K _AF，所述第一K _AF用于终端设备与AF之间的通信，所述第一设备为终端设备或AAnF。

第二方面，提供了一种生成密钥的方法，包括：第二设备接收第一设备发送的随机数，所述第一设备为终端设备和AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个；所述第二设备基于所述随机数，生成第一K _AF，所述第一K _AF用于所述终端设备与AF之间的通信。

第三方面，提供了一种生成密钥的方法，包括：AF接收AAnF发送的第一K _AF，所述第一K _AF是所述AAnF基于随机数生成的，所述第一K _AF用于所述AF与终端设备之间的通信。

第四方面，提供了一种生成密钥的装置，所述装置为第一设备，所述第一设备为终端设备或AAnF，所述装置包括：生成单元，用于基于随机数，生成第一K _AF，所述第一K _AF用于终端设备与AF之间的通信。

第五方面，提供了一种生成密钥的装置，所述装置为第二设备，所述装置包括：接收单元，用于接收第一设备发送的随机数，所述第一设备为终端设备和AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个；生成单元，用于基于所述随机数，生成第一K _AF，所述第一K _AF用于所述终端设备与AF之间的通信。

第六方面，提供了一种生成密钥的装置，所述装置为AF，所述装置包括：接收单元，用于接收AAnF发送的第一K _AF，所述第一K _AF是所述AAnF基于随机数生成的，所述第一K _AF用于所述AF与终端设备之间的通信。

第七方面，提供一种生成密钥的装置，包括存储器和处理器，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，以执行如第一方面至第三方面中任一方面所述的方法。

第八方面，提供一种装置，包括处理器，用于从存储器中调用程序，以执行如第一方面至第三方面中任一方面所述的方法。

第九方面，提供一种芯片，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如第一方面至第三方面中任一方面所述的方法。

第十方面，提供一种计算机可读存储介质，其上存储有程序，所述程序使得计算机执行如第一方面至第三方面中任一方面所述的方法。

第十一方面，提供一种计算机程序产品，包括程序，所述程序使得计算机执行如第一方面至第三方面中任一方面所述的方法。

第十二方面，提供一种计算机程序，所述计算机程序使得计算机执行如第一方面至第三方面中任一方面所述的方法。

本申请在生成密钥K _AF的过程中，通过引入随机数，从而生成不同的K _AF。由于随机数是变化的，在每次需要生成K _AF时，可以生成不同的随机数。进一步地，基于不同的随机数，可以生成不同的K _AF，从而可以避免重新生成的K _AF与更新之前的K _AF相同的问题。另外，由于在生成K _AF的过程中引入了随机数，从而也可以在终端设备没有进行新的主认证的情况下实现对K _AF的更新，从而可以降低K _AF更新的复杂性。

附图说明

图1A-图1C是可应用本申请实施例的通信系统的示例图。

图2为基于主认证生成K _AKMA的流程示意图。

图3为基于K _AKMA生成K _AF的流程示意图。

图4是本申请实施例提供的一种生成密钥的方法的流程示意图。

图5是本申请实施例提供的另一种生成密钥的方法的流程示意图。

图6是本申请实施例提供的另一种生成密钥的方法的流程示意图。

图7是本申请实施例提供的另一种生成密钥的方法的流程示意图。

图8是本申请实施例提供的另一种生成密钥的方法的流程示意图。

图9是本申请实施例提供的一种生成密钥的装置的示意性结构图。

图10是本申请实施例提供的另一种生成密钥的装置的示意性结构图。

图11是本申请实施例提供的另一种生成密钥的装置的示意性结构图。

图12是本申请实施例提供的装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。针对本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(global system of mobile communication，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long term evolution，LTE)系统、先进的长期演进(advanced long term evolution，LTE-A)系统、新无线(new radio，NR)系统、NR系统的演进系统、非授权频谱上的LTE(LTE-based access to unlicensed spectrum，LTE-U)系统、非授权频谱上的NR(NR-based access to unlicensed spectrum，NR-U)系统、NTN系统、通用移动通信系统(universal mobile telecommunication system，UMTS)、无线局域网(wireless local area networks，WLAN)、无线保真(wireless fidelity，WiFi)、第五代通信(5th-generation，5G)系统或其他通信系统，例如未来的通信系统，如第六代移动通信系统，又如卫星通信系统等。

通常来说，传统的通信系统支持的连接数有限，也易于实现，然而，随着通信技术的发展，移动通信系统将不仅支持传统的通信，还将支持例如，设备到设备(device to device，D2D)通信，机器到机器(machine to machine，M2M)通信，机器类型通信(machine type communication，MTC)，车辆间(vehicle to vehicle，V2V)通信，或车联网(vehicle to everything，V2X)通信等，本申请实施例也可以应用于这些通信系统。

本申请实施例中的通信系统可以应用于载波聚合(carrier aggregation，CA)场景，也可以应用于双连接(dual connectivity，DC)场景，还可以应用于独立(standalone，SA)布网场景。

本申请实施例中的通信系统可以应用于非授权频谱，其中，非授权频谱也可以认为是共享频谱；或者，本申请实施例中的通信系统也可以应用于授权频谱，其中，授权频谱也可以认为是专用频谱。

本申请实施例可应用于NTN系统，也可应用于地面通信网络(terrestrial networks，TN)系统。作为示例而非限定，NTN系统包括基于NR的NTN系统和基于IoT的NTN系统。

本申请实施例结合网络设备和终端设备描述了各个实施例，其中，终端设备也可以称为用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台(mobile station，MS)、移动终端(mobile Terminal，MT)、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。

在本申请实施例中，终端设备可以是WLAN中的站点(STATION，ST)，可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、下一代通信系统例如NR网络中的终端设备，或者未来演进的公共陆地移动网络(public land mobile network，PLMN)网络中的终端设备等。

在本申请实施例中，终端设备可以是指向用户提供语音和/或数据连通性的设备，可以用于连接人、物和机，例如具有无线连接功能的手持式设备、车载设备等。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(Pad)、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety) 中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。可选地，UE可以用于充当基站。例如，UE可以充当调度实体，其在V2X或D2D等中的UE之间提供侧行链路信号。比如，蜂窝电话和汽车利用侧行链路信号彼此通信。蜂窝电话和智能家居设备之间通信，而无需通过基站中继通信信号。

在本申请实施例中，终端设备可以部署在陆地上，包括室内或室外、手持、穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。

在本申请实施例中，终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self driving)中的无线终端设备、远程医疗(remote medical)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备或智慧家庭(smart home)中的无线终端设备等。本申请实施例所涉及的终端设备还可以称为终端、用户设备(user equipment，UE)、接入终端设备、车载终端、工业控制终端、UE单元、UE站、移动站、移动台、远方站、远程终端设备、移动设备、UE终端设备、无线通信设备、UE代理或UE装置等。终端设备也可以是固定的或者移动的。

作为示例而非限定，在本申请实施例中，该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

本申请实施例中的网络设备可以是用于与终端设备通信的设备，该网络设备也可以称为接入网设备或无线接入网设备，如网络设备可以是基站。本申请实施例中的网络设备可以是指将终端设备接入到无线网络的无线接入网(radio access network，RAN)节点(或设备)。基站可以广义的覆盖如下中的各种名称，或与如下名称进行替换，比如：节点B(NodeB)、演进型基站(evolved NodeB，eNB)、下一代基站(next generation NodeB，gNB)、中继站、接入点、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、主站MeNB、辅站SeNB、多制式无线(MSR)节点、家庭基站、网络控制器、接入节点、无线节点、接入点(access piont，AP)、传输节点、收发节点、基带单元(base band unit，BBU)、射频拉远单元(remote radio unit，RRU)、有源天线单元(active antenna unit，AAU)、射频头(remote radio head，RRH)、中心单元(central unit，CU)、分布式单元(distributed unit，DU)、定位节点等。基站可以是宏基站、微基站、中继节点、施主节点或类似物，或其组合。基站还可以指用于设置于前述设备或装置内的通信模块、调制解调器或芯片。基站还可以是移动交换中心以及设备到设备D2D、车辆外联(vehicle-to-everything，V2X)、机器到机器(machine-to-machine，M2M)通信中承担基站功能的设备、6G网络中的网络侧设备、未来的通信系统中承担基站功能的设备等。基站可以支持相同或不同接入技术的网络。本申请的实施例对网络设备所采用的具体技术和具体设备形态不做限定。

基站可以是固定的，也可以是移动的。例如，直升机或无人机可以被配置成充当移动基站，一个或多个小区可以根据该移动基站的位置移动。在其他示例中，直升机或无人机可以被配置成用作与另一基站通信的设备。

在一些部署中，本申请实施例中的网络设备可以是指CU或者DU，或者，网络设备包括CU和DU。gNB还可以包括AAU。

网络设备和终端设备可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上；还可以部署在空中的飞机、气球和卫星上。本申请实施例中对网络设备和终端设备所处的场景不做限定。

作为示例而非限定，在本申请实施例中，网络设备可以具有移动特性，例如网络设备可以为移动的设备。在本申请一些实施例中，网络设备可以为卫星、气球站。例如，卫星可以为低地球轨道(low earth orbit，LEO)卫星、中地球轨道(medium earth orbit，MEO)卫星、地球同步轨道(geostationary earth orbit，GEO)卫星、高椭圆轨道(High Elliptical Orbit，HEO)卫星等。在本申请一些实施例中，网络设备还可以为设置在陆地、水域等位置的基站。

在本申请实施例中，网络设备可以为小区提供服务，终端设备通过该小区使用的传输资源(例如，频域资源，或者说，频谱资源)与网络设备进行通信，该小区可以是网络设备(例如基站)对应的小区，小区可以属于宏基站，也可以属于小小区(small cell)对应的基站，这里的小小区可以包括：城市小区(metro cell)、微小区(micro cell)、微微小区(pico cell)、毫微微小区(femto cell)等，这些小小区具有覆盖范围小、发射功率低的特点，适用于提供高速率的数据传输服务。

示例性的，图1A为本申请实施例提供的一种通信系统的架构示意图。如图1A所示，通信系统100可以包括网络设备110，网络设备110可以是与终端设备120(或称为通信终端、终端)通信的设备。网络设备110可以为特定的地理区域提供通信覆盖，并且可以与位于该覆盖区域内的终端设备进行通信。

图1A示例性地示出了一个网络设备和两个终端设备，在本申请一些实施例中，该通信系统100可以包括多个网络设备并且每个网络设备的覆盖范围内可以包括其它数量的终端设备，本申请实施例对此不做限定。

示例性的，图1B为本申请实施例提供的另一种通信系统的架构示意图。请参见图1B，包括终端设备1101和卫星1102，终端设备1101和卫星1102之间可以进行无线通信。终端设备1101和卫星1102之间所形成的网络还可以称为NTN。在图1B所示的通信系统的架构中，卫星1102可以具有基站的功能，终端设备1101和卫星1102之间可以直接通信。在系统架构下，可以将卫星1102称为网络设备。在本申请一些实施例中，通信系统中可以包括多个网络设备1102，并且每个网络设备1102的覆盖范围内可以包括其它数量的终端设备，本申请实施例对此不做限定。

示例性的，图1C为本申请实施例提供的另一种通信系统的架构示意图。请参见图1C，包括终端设备1201、卫星1202和基站1203，终端设备1201和卫星1202之间可以进行无线通信，卫星1202与基站1203之间可以通信。终端设备1201、卫星1202和基站1203之间所形成的网络还可以称为NTN。在图1C所示的通信系统的架构中，卫星1202可以不具有基站的功能，终端设备1201和基站1203之间的通信需要通过卫星1202的中转。在该种系统架构下，可以将基站1203称为网络设备。在本申请一些实施例中，通信系统中可以包括多个网络设备1203，并且每个网络设备1203的覆盖范围内可以包括其它数量的终端设备，本申请实施例对此不做限定。

需要说明的是，图1A-图1C只是以示例的形式示意本申请所适用的系统，当然，本申请实施例所示的方法还可以适用于其它系统，例如，5G通信系统、LTE通信系统等，本申请实施例对此不作具体限定。

在本申请一些实施例中，图1A-图1C所示的无线通信系统还可以包括移动性管理实体(mobility management entity，MME)、接入与移动性管理功能(access and mobility management function，AMF)、应用程序的身份验证和密钥管理(authentication and key management for applications，AKMA)、身份验证服务器功能(authentication server function，AUSF)、UDM、AKMA锚点功能(AKMA anchor function，AAnF)、AF等其他网络实体，本申请实施例对此不作限定。

应理解，本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。以图1A示出的通信系统100为例，通信设备可包括具有通信功能的网络设备110和终端设备120，网络设备110和终端设备120可以为上文所述的具体设备，此处不再赘述；通信设备还可包括通信系统100中的其他设备，例如网络控制器、移动管理实体等其他网络实体，本申请实施例中对此不做限定。

应理解，在本申请的实施例中提到的“指示”可以是直接指示，也可以是间接指示，还可以是表示具有关联关系。举例说明，A指示B，可以表示A直接指示B，例如B可以通过A获取；也可以表示A间接指示B，例如A指示C，B可以通过C获取；还可以表示A和B之间具有关联关系。

在本申请实施例的描述中，术语“对应”可表示两者之间具有直接对应或间接对应的关系，也可以表示两者之间具有关联关系，也可以是指示与被指示、配置与被配置等关系。

本申请实施例中的“配置”可以包括通过系统消息、无线资源控制(radio resource control，RRC)信令和媒体接入控制单元(media access control control element，MAC CE)中的至少一种来配置。

在本申请一些实施例中，"预定义的"或"预设的"可以通过在设备(例如，包括终端设备和网络设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本申请对于其具体的实现方式不做限定。比如预定义的可以是指协议中定义的。

在本申请一些实施例中，所述"协议"可以指通信领域的标准协议，例如可以包括LTE协议、NR协议以及应用于未来的通信系统中的相关协议，本申请对此不做限定。

为了便于理解，先对本申请实施例涉及的一些相关技术知识进行介绍。以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合，其均属于本申请实施例的保护范围。本申请实施例包括以下内容中的至少部分内容。

AKMA密钥架构

UE与AF之间可以使用K _AF密钥进行通信，K _AF可用于对通信进行安全保护。K _AF密钥的生成过程涉及到多个功能网元，如AMF、AUSF、UDM、AAnF、AF等，下面对这些功能网元进行介绍。

AMF主要用于移动性管理和接入管理等，可以用于实现MME功能中除会话管理之外的其他功能，例如，合法监听以及接入授权/鉴权等功能。

AUSF用于鉴权服务、产生密钥、实现对UE的双向鉴权，支持统一的鉴权框架。在本申请实施例中，AUSF主要用于在UE和网络之间进行相互认证，并生成安全密钥以便在后续的流程中使用。

UDM可用于处理UE标识，接入鉴权，注册以及移动性管理等。

AF用于进行应用层的数据路由，接入网络开放功能，与策略框架交互进行策略控制等。

AAnF用于生成AKMA锚点密钥K _AKMA，以及应用密钥K _AF。AAnF和UE可以采用相同的方式生成K _AF。在生成K _AF后，AAnF可以将生成的K _AF发送至AF。由此，AF和UE可以基于相同的密钥K _AF进行通信，以保证通信的安全性。

下面结合图2和图3，对K _AF的生成过程进行介绍。K _AF的生成过程可以分为两个阶段，第一阶段为基于主认证生成K _AKMA的阶段，如图2所示；第二阶段为基于K _AKMA生成K _AF的阶段，如图3所示。这两个阶段在后文有时也称为密钥协商过程。下面对这两个阶段分别进行介绍。

参见图2，在步骤S201、UE和AUSF执行主认证流程。

主认证，可以理解为UE在向核心网注册的过程中，UE对AMF和/或AUSF进行鉴权，AUSF对UE进行鉴权的过程。该过程也称为双向鉴权。该过程具体可以是在注册过程中，核心网设备和UE通过消息交互，UE和核心网设备分别将对方提供的待验证参数，与自己生成的另一个参数进行对比。若对方提供的待验证参数与自身生成的参数相同，则UE和核心网设备之间的认证通过AUSF和UDM进行交互，获取认证信息(参见步骤S202和步骤S203)。例如，认证凭证(AKA认证向量(authentication vector，AV))，认证方法使用Nudm_UEAuthentication_Get Request服务操作。

在步骤S202，AUSF向UDM发送UE认证请求。该UE认证请求中可以包括UE的标识信息。UE的标识信息可以为订阅永久标识符(subscription permanent identifier，SUPI)或订阅隐藏标识符(subscription concealed identifier，SUCI)、通用公共订阅标识符(generic public subscription identifier，GPSI)中的一种或多种。

在步骤S203，UDM向AUSF发送UE认证响应。该UE认证响应中可以包括AV。在一些实施例中，该UE认证响应中还可以包括AKMA Ind和/或RID。在一些实施例中，UDM还可以向AUSF指示是否需要为UE生成AKMA密钥。

在步骤S204，在完成主认证后，UE与AUSF获得共有密钥K _AUSF。如果AUSF收到UDM的指示信息，且该指示信息指示AUSF需要为UE生成AKMA密钥，则AUSF存储K _AUSF，并在主认证成功后，基于K _AUSF生成AKMA锚定密钥K _AKMA和K _AKMA的密钥标识(AKMA key identity，A-KID)。可以理解的是，K _AKMA和A-KID具有对应关系，A-KID可以唯一地标识与其对应的K _AKMA。另外，UE也可以采用与AUSF相同的计算方式，生成K _AKMA和A-KID。也就是说，UE基于K _AUSF生成K _AKMA和A-KID的方式，与AUSF基于K _AUSF生成K _AKMA和A-KID的方式相同。K _AKMA是UE粒度的密钥，即每个UE有其专有的K _AKMA。

在步骤S205，AUSF生成K _AKMA和A-KID后，使用Naanf_AKMA_AnchorKey_Regfister将最新的密钥材料发送至AAnF，最新的密钥材料例如可以包括UE的标识信息(如SUPI)、A-KID以及K _AKMA。AAnF存储最新的密钥材料。

在步骤S206，AAnF使用Naanf_AKMA_AnchorKey_Regfister向AUSF发送响应消息。

参见图3，在步骤S301、在成功完成主认证以及生成K _AKMA后，UE可以向AF发送应用程序会话建立请求。该应用程序会话建立请求中可以包括A-KID。

在步骤S302，AF向AAnF发送AKMA应用密钥获取请求。该AKMA应用密钥获取请求中可以包括A-KID以及AF的标识(AF identity，AF-ID)。该A-KID为应用程序会话建立请求中的A-KID。在一些实施例中，AKMA应用密钥获取请求中还可以包括对UE的标识(UE identity，UE-ID)的请求。UE-ID包括SUPI、SUCI、GPSI中的一种或多种。

在步骤S303，AAnF接收到AKMA应用密钥获取请求后，可以基于A-KID确定对应的K _AKMA，并基于K _AKMA生成密钥K _AF。

在步骤S304，AAnF向AF发送K _AF。例如，AAnF可以向AF发送AKMA应用密钥获取响应。该应用密钥获取响应中可以包括K _AF、K _AF的有效期(K _AFexpTime)，UE-ID等。在一些实施例中，如果步骤S302中的AKMA应用密钥获取请求中包括对UE-ID的请求，则AKMA应用密钥获取响应可以包括UE-ID。如果步骤S302中的AKMA应用密钥获取请求中不包括UE-ID的请求，则AKMA应用密钥获取响应可以不包括UE-ID。在接收到AKMA应用密钥获取响应后，AF便可以获得与UE进行通信的密钥K _AF。

在步骤S305，AF向UE发送应用程序会话建立响应。

可以理解的是，UE也可以采用与AAnF相同的方式生成K _AF，即，UE基于K _AKMA生成K _AF的方式与AAnF基于K _AKMA生成K _AF的方式相同。由此，UE和AF可以使用相同的密钥K _AF进行通信。

UE和AF获得对称密钥K _AF后，可以基于K _AF生成传输层安全协议(transport layer security，TLS)预主密钥(TLS premaster secret)。进一步地，UE和AF可以基于TLS预主密钥生成TLS会话密钥(TLS session key)。TLS会话密钥可用于UE和AF之间的通信。

本申请实施例对上述密钥(如K _AKMA、A-KID、K _AF等)的生成方式不做具体限定。例如，可以使用密钥派生函数(key derivation function，KDF)来生成上述密钥。KDF可以为任意一种能够满足计算安全的密钥派生函数，例如KDF可以为HMAC-SHA-256或HMAC-SM3。下面以KDF为例，对密钥的生成方式进行举例说明。

例如，从K _AUSF生成K _AKMA时，可以使用以下参数作为KDF的输入S：

-FC＝0xXX(例如0x80)；

-P0＝“AKMA”；

-L0＝“AKMA”的长度(如0x00 0x04)；

-P1＝SUPI；

-L1＝SUPI的长度；

输入的密钥(key)为K _AUSF。

又例如，从K _AKMA生成K _AF时，可以使用以下参数作为KDF的输入S：

-FC＝0xXX(例如0x82)；

-P0＝AF_ID；

-L0＝AF_ID的长度；

输入的密钥为K _AKMA。

其中，AF_ID＝AF的FQDN||Ua*安全协议标识符。

再例如，A-KID可以包括RID和A-TID两部分。其中，RID包含在SUPI中，A-TID可以基于K _AUSF生成。当从K _AUSF生成A-TID时，可以使用以下参数作为KDF的输入S：

-FC＝0xXX(例如0x81)；

-P0＝“A-TID”；

-L0＝“A-TID”的长度(如0x00 0x05)；

-P1＝SUPI；

-L1＝SUPI的长度；

输入的密钥为K _AUSF。

为了使得终端设备与AF之间的通信安全得到有效保障，通常会为K _AF设置有效期。K _AF的有效期表示K _AF可以持续不变的时长。在K _AF的有效期内，UE和AF可以使用该K _AF进行通信。在K _AF的有效期到期后，UE需要重新生成新的K _AF。

由上文描述的密钥生成过程可知，K _AF的更新取决于K _AUSF。只有对K _AUSF进行了更新，K _AF才能得到更新。如果K _AUSF没有发生变化，则K _AF不会发生变化。而K _AUSF的更新取决于主认证，只有经过了新的主认证，才能生成不同的K _AUSF。也就是说，目前，UE是通过进行新的主认证来更新K _AF。在K _AF的有效期到期后，UE可以通过进行新的主认证生成新的K _AUSF，进而使用新的K _AUSF生成新的K _AKMA，并使用新的K _AKMA生成更新后的K _AF。

但是，上述更新K _AF的方案中，UE在每次需要更新K _AF时，都需要重复执行图2和图3所示的流程，这会增加更新K _AF的复杂性。

为了降低更新K _AF的复杂性，一些通信协议，如TS 33.535的5.2中规定，在K _AF到期后，可以基于现有的K _AKMA重新生成K _AF。

但是，基于现有的生成密钥的方式，如果UE不重新进行主认证，则K _AKMA不会发生变化；K _AKMA不发生变化，则K _AF不会发生变化。也就是说，如果K _AF到期时，UE没有重新进行主认证，则UE基于现有的K _AKMA会生成与更新之前相同的K _AF，这将会导致K _AF被重复使用的问题。而UE使用过期的K _AF与AF进行通信，将会对通信的安全性产生影响。

为了解决上述问题，本申请实施例提供了一种新的生成密钥K _AF的方式，在生成密钥K _AF的过程中，通过引入随机数(Nonce)，从而生成不同的K _AF。例如，在进行K _AF更新时，可以基于随机数生成K _AF，从而使得更新前后的K _AF不同。由于随机数是变化的，在每次需要更新K _AF时，可以生成不同的随机数。进一步地，基于不同的随机数，可以生成不同的K _AF，从而实现对K _AF的更新，以增强UE与AF之间数据传输的安全性。

随机数的生成方式有多种，本申请实施例对此不做具体限定。作为一个示例，随机数可以通过随机数生成器(random number generator)生成。在每次需要生成K _AF时，由随机数生成器生成一个随机数。

作为另一个示例，随机数可以通过计数器(count)生成。随机数的取值随着更新次数的增加而逐渐增加。每增加一次更新次数，随机数的取值加1。例如，在第一次生成K _AF时，随机数的取值为0；在第二次生成K _AF时，随机数的取值为1；在第三次生成K _AF时，随机数的取值为2，以此类推。当然，第一次生成K _AF时，随机数的取值也可以为其他值，如1,2或3等。

作为再一个示例，随机数可以通过计时器(timer)生成。在对K _AF进行更新时，随机数的取值为计时器的取值。计时器可以从0开始计时。例如，在第一次生成K _AF时，随机数的取值为0，此时计时器开始计时；在之后生成K _AF时，随机数的取值为计时器的取值。随机数的取值可以为计时器的小时数、分钟数或秒数等。如果随机数的取值为计时器的小时数，则随机数的取值可以为0～24之间。例如，计时器的时间为14时10分25秒，则随机数取值为14。当然，计时器也可以仅记录小时数，而不记录分钟数和秒数，如计时器的时间为14时。如果随机数的取值为计时器的分钟数，则随机数的取值可以为0～60之间。例如，计时器的时间为14时10分25秒，则随机数的取值为10。当然，计时器也可以仅记录分钟数，而不记录小时数和秒数，如计时器的时间为10分。如果随机数的取值为计时器的秒数，则随机数的取值可以为0～60之间。例如，计时器的时间为14时10分25秒，则随机数的取值为25。当然，计时器的也可以仅记录秒数，而不记录小时数和分钟数，如计时器的时间为25秒。当然，计时器也可以从其他时间(如当前绝对时间)开始计时，本申请实施例对此不做具体限定。

下面结合图4，对本申请实施例的方案进行详细介绍。图4所示的方法可以由终端设备或AAnF执行。终端设备和AAnF可以基于相同的方式，生成第一K _AF。图4所示的方法可以包括步骤S410。

在步骤S410、第一设备基于随机数，生成第一K _AF。第一设备为终端设备或AAnF。

随机数可以是在从K _AUSF生成K _AKMA的过程中引入，也可以是在从K _AKMA生成第一K _AF的过程中引入，本申请实施例对此不做具体限定。下文主要针对从K _AKMA生成第一K _AF的过程中，引入随机数的方案进行介绍。

基于随机数，生成第一K _AF的方式有多种，本申请实施例对此不做具体限定。作为一个示例，可以仅基于随机数，生成第一K _AF。作为另一个示例，为了与现有协议具有较好的兼容性，尽量减少对现有协议的改动，可以在原有的计算方式(如方式一)中增加随机数这个参数，从而生成第一K _AF。例如，可以基于K _AKMA以及随机数，生成第一K _AF。作为又一个示例，随机数也可以结合除K _AKMA之外的其他参数，来生成第一K _AF。作为再一个示例，可以基于随机数，生成另外一个参数，然后再基于该参数，生成第一K _AF。上述多种实现方式可以单独使用，也可以相互结合使用，本申请实施例对此不做具体限定。

下面对基于K _AKMA以及随机数，生成第一K _AF的实现方式进行举例说明。在一些实施例中，终端设备或AAnF可以基于随机数、K _AKMA以及第三参数，共同生成第一K _AF。第三参数可以包括以下中的一种或多种：随机数、AF-ID、AF-ID的长度以及常量FC。

以上文描述的KDF生成第一K _AF为例，本申请实施例可以在KDF的输入参数中增加随机数，从而生成第一K _AF。在该情况下，KDF的输入S可以如下，其中，P1和L1为增加的与随机数有关的输入参数。

FC＝0xXX(例如0x82)；

P0＝AF_ID；

L0＝AF_ID的长度；

P1＝Nonce；

L1＝Nonce的长度；

输入的密钥为K _AKMA。

由上可知，终端设备或AAnF可以基于随机数、随机数的长度、AF-ID、AF-ID的长度、K _AKMA以及常量FC，共同生成第一。

可以理解的是，上述参数仅是一个示例，不对本申请实施例的方案造成限定。只要KDF的输入参数中包括随机数即可。例如，KDF的输入参数中可以仅包括上述P1和L1，而不包括P0和L0。又例如，输入的密钥可以换成K _AKMA之外的其他参数，如待更新的K _AF。

本申请实施例的第二设备也可以基于与第一设备相同的方式，生成第一K _AF，即第二设备也可以基于随机数，生成第一K _AF。第一设备为终端设备和AAnF中的一个，第二设备为终端设备和AAnF中的另一个。换句话说，如果第一设备为终端设备，则第二设备为AAnF；如果第一设备为AAnF，则第二设备为终端设备。

本申请实施例中的随机数是第一设备生成的，即随机数可以是终端设备生成的，也可以是AAnF生成的。第二设备可以接收第一设备生成的随机数，并基于该随机数，生成第一K _AF。

为了方便描述，下文以第一设备分别为终端设备和AAnF，对本申请实施例的方案进行详细描述。

示例一、第一设备为终端设备，第二设备为AAnF

下面结图5和图6，对本申请实施例的方案进行详细介绍。图6和图5的区别在于步骤S540、步骤S550以及步骤S565，下文将会详细介绍。

在步骤S510、AF向终端设备发送第一K _AF更新请求消息。该第一K _AF更新请求消息用于请求更新K _AF。在步骤S520、接收到第一K _AF更新请求消息后，终端设备可以响应于该第一K _AF更新请求消息，生成随机数。进一步地，终端设备可以基于该随机数，生成第一K _AF。

在一些实施例中，AF发送第一K _AF更新请求消息时，可能会存在以前的消息被重放的情况，这显然并不是真正的用于更新K _AF的消息。基于此，AF在发送第一K _AF更新请求消息时，可以在第一K _AF更新请求消息中携带A-KID，以使终端设备对该A-KID的合法性进行验证。接收到第一K _AF更新请求消息后，终端设备可以对第一K _AF更新请求消息中的A-KID的合法性进行验证。只有在A-KID的合法性验证通过的情况下，终端设备才生成随机数。如果A-KID的合法性验证不通过，终端设备可以拒绝生成随机数，即拒绝对K _AF进行更新。A-KID合法可以指该A-KID为终端设备上一次使用过的A-KID，或者，该A-KID为终端设备中最新的A-KID。

如果在对K _AF进行更新时，终端设备进行了新的主认证，由此，终端设备生成了一个新的A-KID。在该情况下，第一K _AF更新请求消息中的A-KID与终端设备中最新的A-KID不同，而是与终端设备上次使用过的A-KID一致。如果在对K _AF进行更新时，终端设备没有进行新的主认证，则第一K _AF更新请求消息中的A-KID与终端设备中最新的A-KID一致。

本申请实施例的方案可以适用于终端设备没有进行新的主认证的情况，也适用于终端设备进行了新的主认证的情况，也就是说，在对K _AF进行更新时，不论终端设备是否进行了新的主认证，终端设备都可以基于随机数，生成第一K _AF。

当然，在一些实施例中，如果终端设备进行了新的主认证，终端设备可以基于传统的方式(如图2和图3所示的方式)，利用新的K _AKMA，生成第一K _AF。

终端设备是否进行了新的主认证，可以基于第一K _AF更新请求消息中的A-KID进行判断。如果第一K _AF更新请求消息中的A-KID与终端设备中最新的A-KID一致，则表示终端设备没有进行新的主认证；如果第一K _AF更新请求消息中的A-KID与终端设备中最新的A-KID不一致，则表示终端设备进行了新的主认证。

为了保证第一K _AF更新请求消息的安全性，AF还可以对第一K _AF更新请求消息进行加密和/或完整性保护。AF可以使用待更新的K _AF对第一K _AF更新请求消息进行加密和/或完整性保护。例如，AF可以使用待更新的K _AF对第一K _AF更新请求消息进行加密，终端设备接收到第一K _AF更新请求消息后，可以使用待更新的K _AF对第一K _AF更新请求消息进行解密。

又例如，AF可以使用待更新的K _AF对第一K _AF更新请求消息进行完整性保护。AF可以基于待更新的K _AF和第一K _AF更新请求消息生成MAC 1。AF可以向终端设备发送第一K _AF更新请求消息以及MAC1。终端设备可以根据第一K _AF更新请求消息以及待更新的K _AF，生成MAC 1’。如果MAC 1和MAC 1’一致，则终端设备可以确认第一K _AF更新请求消息完整，未被篡改。如果MAC 1和MAC 1’不一致，则终端设备可以确认第一K _AF更新请求消息不完整，其完整性遭到破坏。其中，待更新的K _AF可以理解为生成MAC的共享密钥。

AF对第一K _AF更新请求消息进行加密和/或完整性保护的算法可以是协议中定义的，或者是AF与终端设备协商的任一种算法。该算法可以为AF支持的算法，使得AF可以使用该算法对第一K _AF更新请求消息进行加密和/或完整性保护。

在一些实施例中，第一K _AF更新请求消息中还可以包括第一算法标识。该第一算法标识可以为AF支持的算法标识。该第一算法标识可以包括加密算法标识和/或完整性保护算法标识。第一算法标识可以指对第一K _AF更新请求消息进行加密的算法标识和/或完整性保护的算法标识。在接收到第一K _AF更新请求消息后，终端设备可以使用第一算法标识对应的算法对第一K _AF更新请求消息进行解密和/或完整性检验。

本申请实施例对加密算法的类型不做具体限定。例如，该加密算法可以是5G中使用的加密算法，如128-NEAI、128-NEA2、128-NEA3。又例如，该加密算法可以是4G中使用的加密算法，如128-EEAI、128-EEA2、128-EEA。

本申请实施例对完整性保护算法的类型不做具体限定。例如，该完整性保护算法可以是5G中使用的完整性保护算法，如128-NIAI、128-NIA2、128-NIA3。又例如，该完整性保护算法可以是4G中使用的完整性保护算法，如128-EIAI、128-EIA2、128-EIA3。

上述对加密算法和完整性保护算法类型的举例也同样适用于后文的描述。

为了使得AAnF生成的K _AF与终端设备生成的K _AF相同，终端设备还可以将生成的随机数发送给 AAnF。终端设备可以将随机数直接发送给AAnF，或者，终端设备也可以通过AF将随机数发送给AAnF。例如，终端设备可以将随机数先发送给AF，然后由AF将随机数转发至AAnF。

在步骤S530、终端设备向AF发送第一K _AF更新请求回复消息，该第一K _AF更新请求回复消息中包括随机数。在步骤S540、接收到第一K _AF更新请求回复消息后，AF可以向AAnF发送第二K _AF更新请求消息，该第二K _AF更新请求消息中携带随机数。

在步骤S550、AAnF可以基于与终端设备相同的方式，生成第一K _AF，即AAnF基于随机数，生成第一K _AF。进一步地，在步骤S560、AAnF可以向AF发送第二K _AF更新请求回复消息，该第二K _AF更新请求回复消息中包括第一K _AF。在一些实施例中，该第二K _AF更新请求回复消息中还可以包括第一K _AF的有效期、UE-ID等信息。UE-ID可以为SUPI、SUCI、GPSI中的一种或多种。

在步骤S570、AF接收到AAnF发送的第二K _AF更新请求回复消息后，可以向终端设备发送会话密钥建立响应，该会话密钥建立响应可以为会话密钥重建响应。由此，终端设备与AF之间的会话建立完成。

在一些实施例中，在步骤S520、终端设备在生成随机数的同时，还会生成第一MAC(也称为MAC _UE)。其中，第一MAC是对第一信息进行完整性保护得到的，第一MAC可以用于确定第一信息是否被篡改。第一信息包括随机数和A-KID中的一种或多种。其中，A-KID可以为终端设备中最新的A-KID。例如，第一信息可包括随机数，第一MAC可用于对随机数的合法性进行验证。又例如，第一信息可以包括随机数和A-KID，第一MAC可用于对随机数和A-KID的合法性进行验证。

终端设备可以基于第一密钥以及第一信息，生成第一MAC。其中，第一密钥可以为第一K _AKMA或第一K _AF。下面对第一MAC的生成方式进行举例说明。

第一MAC可以基于第一参数生成。第一参数可以包括以下中的一种或多种：随机数、随机数的长度、待更新的K _AF、待更新的K _AF的长度、第一K _AF、A-KID、A-KID的长度、K _AKMA、常量。

上述A-KID可以为最新A-KID，K _AKMA可以为最新K _AKMA。终端设备在每次进行主认证之后，都会生成一个新的K _AKMA。并且，每次主认证生成的K _AKMA都不同。最新K _AKMA可以理解为终端设备最后一次或者最近一次生成的K _AKMA。同样地，最新A-KID也可以理解为终端设备最后一次或者最近一次生成的A-KID。

在一些实施例中，AF向AAnF发送的第二更新请求消息中除了包括第一信息(随机数和/或A-KID)和第一MAC之外，还可以包括AF-ID。

第一参数中的常量可以是协议中约定的，或者也可以是终端设备与AAnF或AF提前约定的，本申请实施例对此不做具体限定。

第一MAC的生成方式有多种，本申请实施例对此不做具体限定。例如，本申请实施例可以使用KDF来生成第一MAC。

在一些实施例中，第一密钥为KAKMA，在使用KDF生成第一MAC的过程中，可以使用以下参数作为KDF的输入：

-FC＝0xXX；

-P0＝随机数；

-L0＝随机数的长度；

-P1＝待更新的K _AF；

-L1＝待更新的K _AF的长度；

-P2＝A-KID；

-L2＝A-KID的长度；

输入密钥为KAKMA。

在该情况下，第一MAC基于常量、随机数、随机数的长度、待更新的K _AF、待更新的K _AF的长度、A-KID、A-KID的长度以及KAKMA生成。

其中，FC为常量。在一些实施例中，FC的后两位可以是协议中约定的。

上述参数中，P0和L0中的随机数可用于保护消息的完整性。例如，AF可以通过第二K _AF更新请求消息发送随机数。AAnF可以基于该第二K _AF更新请求消息中的随机数生成MAC。如果随机数被攻击者篡改，将会导致AAnF生成的MAC与AF发来的MAC _UE不一致，从而能够检测出第二K _AF更新请求消息不完整。如果出现这种情况，AAnF可以拒绝对K _AF进行更新。

P1和L1中的待更新的K _AF可用于避免AF将以前的消息重放。如果AF将以前的消息重放，那么AAnF基于待更新的K _AF生成的MAC与AF发来的MAC _UE将会不同，在该情况下，AAnF可以拒绝K _AF的更新。

P2和L2中的A-KID可以为最新A-KID。P2和L2中的A-KID可用于保护消息的完整性。例如， AF可以通过第二K _AF更新请求消息发送A-KID。AAnF可以基于该第二K _AF更新请求消息中的A-KID生成MAC。如果A-KID被攻击者篡改，将会导致AAnF生成的MAC与AF发来的MAC _UE不一致，从而能够检测出第二K _AF更新请求消息不完整。在该情况下，AAnF可以拒绝对K _AF进行更新。

在另一些实施例中，第一密钥为第一KAF，在使用KDF生成MAC的过程中，可以使用以下参数作为KDF的输入：

-FC＝0xXX；

-P0＝随机数；

-L0＝随机数的长度；

-P1＝待更新的K _AF；

-L1＝待更新的K _AF的长度；

-P2＝A-KID；

-L2＝A-KID的长度；

输入密钥为第一KAF。

在该情况下，第一MAC基于常量、随机数、随机数的长度、待更新的K _AF、待更新的K _AF的长度、A-KID、A-KID的长度以及第一KAF生成。其中，FC、P0、L0、P1、L1、P2、L2的相关介绍可以参见上文的描述，为了简洁，此处不再介绍。

由上文的描述可知，P1和L1可用于抵抗重放冲击。如果将第一KAF作为输入密钥，第一KAF也具有抵抗重放冲击的作用。因此，在一些实施例中，也可以不使用P1和L1这两个参数，即可以使用以下参数作为KDF的输入：

-FC＝0xXX；

-P0＝随机数；

-L0＝随机数的长度；

-P1＝A-KID；

-L1＝A-KID的长度；

输入密钥为第一KAF。

在该情况下，第一MAC基于常量、随机数、随机数的长度、A-KID、A-KID的长度以及第一KAF生成。

第一MAC可以是由AAnF进行验证的，也可以是由AF进行验证的，或者是由AAnF和AF共同验证的，本申请实施例对此不作具体限定。

作为一个示例，第一MAC由AAnF进行验证。终端设备可以将第一信息以及第一MAC发送给AAnF。AAnF接收到第一信息以及第一MAC后，会对第一MAC进行验证。AAnF可以使用第一密钥以及第一信息，生成第一MAC’。AAnF将第一MAC’与第一MAC进行比较，如果第一MAC’与第一MAC一致，则第一MAC验证通过，第一信息未被篡改；如果第一MAC’与第一MAC不一致，则第一MAC验证不通过，第一信息被篡改。

终端设备将第一信息以及第一MAC发送给AAnF，可以指终端设备通过AF将第一信息以及第一MAC发送给AAnF。例如，参见图5，在步骤S530、终端设备向AF发送第一K _AF更新请求回复消息，该第一K _AF更新请求回复消息中包括第一信息以及第一MAC。在步骤S540、AF向AAnF发送第二K _AF更新请求消息，该第二K _AF更新请求消息包括第一信息以及第一MAC。当然，在一些实施例中，第二K _AF更新请求消息中还可以包括AF-ID。

如果第一MAC是基于K _AKMA生成的，即第一密钥为K _AKMA，则在步骤S550、AAnF可以先对第一MAC进行验证。在第一MAC验证通过的情况下，AAnF基于随机数，生成第一K _AF。如果第一MAC是基于第一K _AF生成的，即第一密钥为第一K _AF，则在步骤S550、AAnF可以先基于随机数，生成第一K _AF。然后再基于第一K _AF，对第一MAC进行验证。如果第一MAC验证通过，则AAnF向AF发送第二K _AF更新请求回复消息(参见步骤S560)；如果第一MAC验证不通过，则AAnF可以不向AF发送第二K _AF更新请求回复消息。

作为另一个示例，第一MAC由AF进行验证。如果第一MAC是基于第一K _AF生成的，即第一密钥为第一K _AF，则AF可以在接收到AAnF发送的第二K _AF更新请求回复消息(步骤S560)后，再对第一MAC进行验证。如果第一MAC由AF进行验证，则在步骤S550、AAnF可不对第一MAC进行验证，而直接基于随机数，生成第一K _AF。

参见图6，假设第一MAC是基于第一K _AF生成的，在步骤S530、AF接收终端设备发送的第一K _AF更新请求回复消息，该第一K _AF更新请求回复消息中包括第一信息以及第一MAC。在步骤S540、AF向AAnF发送第二K _AF更新请求消息，该第二K _AF更新请求消息中可以不包括第一MAC。如第二K _AF 更新请求消息包括A-KID、AF-ID和随机数。在步骤S560、AF接收AAnF发送的第二K _AF更新请求回复消息，该第二K _AF更新请求回复消息中包括第一K _AF。在步骤S565、AF对第一MAC进行检查。AF可以使用第一K _AF以及第一信息，生成第一MAC’。AF将第一MAC’与第一MAC进行比较，如果第一MAC’与第一MAC一致，则第一MAC验证通过，第一信息未被篡改；如果第一MAC’与第一MAC不一致，则第一MAC验证不通过，第一信息被篡改。

如果第一MAC验证通过，则AF可以向终端设备发送会话密钥建立响应。如果第一MAC验证未通过，则AF可以不向终端设备发送会话密钥建立响应。

为了保证会话密钥建立响应的安全性，AF还可以对会话密钥建立响应进行加密和/或完整性保护。AF可以使用第一K _AF对会话密钥建立响应进行加密和/或完整性保护。例如，AF可以使用第一K _AF对会话密钥建立响应进行加密，终端设备接收到会话建立请求后，可以使用第一K _AF对会话密钥建立响应进行解密。

又例如，AF可以使用第一K _AF对会话密钥建立响应进行完整性保护。AF可以基于第一K _AF和会话密钥建立响应生成MAC 2。AF可以向终端设备发送会话密钥建立响应以及MAC 2。终端设备可以根据会话密钥建立响应以及第一K _AF，生成MAC 2’。如果MAC 2和MAC 2’一致，则终端设备可以确认会话密钥建立响应完整，未被篡改。如果MAC 2和MAC 2’不一致，则终端设备可以确认会话密钥建立响应不完整，其完整性遭到破坏。其中，第一K _AF可以理解为生成MAC的共享密钥。

AF在向终端设备发送第一K _AF更新请求消息之前，还可以接收终端设备发送的会话建立请求，如图5中的步骤S502。该会话建立请求中可以包括第二参数，该第二参数可以包括以下中的一种或多种：UE-ID、AF-ID以及A-KID。该第二参数可用于AF查找对应的K _AF。

AF接收到会话建立请求后，还可以基于第二参数，确定与第二参数对应的K _AF。如果AF检测到该K _AF的有效期到期，则AF可以向终端设备发送会话建立响应。该会话建立响应中可以包含上述第一K _AF更新请求消息，如图5中的步骤S510。在一些实施例中，该会话建立响应中还可以包括指示信息，该指示信息可用于指示会话建立失败的原因。例如，会话建立失败的原因可以为K _AF的有效期到期，在该情况下，该指示信息可用于指示K _AF的有效期到期，或者该指示信息包含K _AF到期的K _AF更新标识。

为了保证会话建立请求的安全性，终端设备还可以对会话建立请求进行加密和/或完整性保护。终端设备可以使用待更新的K _AF对会话建立请求进行加密和/或完整性保护。例如，终端设备可以使用待更新的K _AF对会话建立请求进行加密，AF接收到会话建立请求后，可以使用待更新的K _AF对会话建立请求进行解密。

又例如，终端设备可以使用待更新的K _AF对会话建立请求进行完整性保护。终端设备可以基于待更新的K _AF和会话建立请求生成MAC 3。终端设备可以向AF发送会话建立请求以及MAC 3。AF可以根据会话建立请求以及待更新的K _AF，生成MAC 3’。如果MAC 3和MAC 3’一致，则AF可以确认会话建立请求完整，未被篡改。如果MAC 3和MAC 3’不一致，则AF可以确认会话建立请求不完整，其完整性遭到破坏。其中，待更新的K _AF可以理解为生成MAC的共享密钥。

在一些实施例中，第一K _AF的有效期到期时，终端设备和AF之间的会话还未结束，在该情况下，终端设备和AF可以不用立即更新第一K _AF，而是可以等到当前的会话结束之后再更新第一K _AF，以保证终端设备和AF之间通信的连续性。

由上文的描述可知，在终端设备和AF获得对称密钥第一K _AF后，终端设备和AF可以基于该第一K _AF，生成第一TLS会话会话密钥。也就是说，终端设备和AF可以使用第一TLS会话会话密钥对会话进行加密。

如果K _AF的有效期到期，而终端设备与AF之间的会话还未结束，为了保证终端设备和AF之间通信的安全性，终端设备和AF可以基于第一K _AF，生成第二TLS会话密钥。该第二TLS会话密钥与第一TLS会话密钥不同。终端设备与AF可以基于第一K _AF，生成不同的TLS会话密钥，使得终端设备与AF之间可以使用该不同的TLS会话密钥继续进行通信，以保证通信的安全性。

示例二、第一设备为AAnF，第二设备为终端设备

下面结合图7和图8，对本申请实施例的方案进行详细介绍。图8和图7的区别在于步骤S620、步骤S630、步骤S635，下文将会详细介绍。

在步骤S610、AF向AAnF发送第一K _AF更新请求消息。该第一K _AF更新请求消息用于请求更新K _AF。在步骤S620，接收到第一K _AF更新请求消息后，AAnF可以响应于该第一K _AF更新请求消息，生成随机数。进一步地，AAnF可以基于该随机数，生成第一K _AF。

在一些实施例中，AF发送第一K _AF更新请求消息时，可能会存在以前的消息被重放的情况，这显然并不是真正的用于更新K _AF的消息。基于此，AF在发送第一K _AF更新请求消息时，可以在第一K _AF更新请求消息中携带A-KID，以使AAnF对该A-KID的合法性进行验证。接收到第一K _AF更新请求消息后，AAnF可以对第一K _AF更新请求消息中的A-KID的合法性进行验证。只有在A-KID的合法性验证通过的情况下，AAnF才生成随机数。如果A-KID的合法性验证不通过，AAnF可以拒绝生成随机数，即拒绝对K _AF进行更新。A-KID合法可以指该A-KID为AAnF上一次使用过的A-KID，或者，该A-KID为AAnF中最新的A-KID。

如果在对K _AF进行更新时，AAnF和终端设备之间进行了新的主认证，由此，AAnF可以获得一个新的A-KID。在该情况下，第一K _AF更新请求消息中的A-KID与AAnF中最新的A-KID不同，而是与AAnF上次使用过的A-KID一致。如果在对K _AF进行更新时，AAnF和终端设备之间没有进行新的主认证，则第一K _AF更新请求消息中的A-KID与AAnF中最新的A-KID一致。

本申请实施例的方案可以适用于终端设备没有进行新的主认证的情况，也适用于终端设备进行了新的主认证的情况，也就是说，在对K _AF进行更新时，不论终端设备是否进行了新的主认证，AAnF都可以基于随机数，生成第一K _AF。

当然，在一些实施例中，如果终端设备进行了新的主认证，AAnF可以基于传统的方式(如图2和图3所示的方式)，利用新的K _AKMA，生成第一K _AF。

对于终端设备是否进行了新的主认证，AAnF可以基于第一K _AF更新请求消息中的A-KID进行判断。如果第一K _AF更新请求消息中的A-KID与AAnF中最新的A-KID一致，则表示终端设备没有进行新的主认证；如果第一K _AF更新请求消息中的A-KID与AAnF中最新的A-KID不一致，则表示终端设备进行了新的主认证。

为了使得终端设备生成的K _AF与AAnF生成的K _AF相同，AAnF还可以将生成的随机数发送给终端设备。AAnF可以将随机数直接发送给终端设备，或者，AAnF也可以通过AF将随机数发送给终端设备。例如，AAnF可以将随机数先发送给AF，然后由AF将随机数转发至终端设备。

如图6所示，在步骤S630、AAnF向AF发送第一K _AF更新请求回复消息，该第一K _AF更新请求回复消息中包括随机数。在步骤S640、接收到第一K _AF更新请求回复消息后，AF可以向终端设备发送第二K _AF更新请求消息，该第二K _AF更新请求消息中携带随机数。可选地，该第二K _AF更新请求消息也可以为会话建立消息。

在一些实施例中，该第一K _AF更新请求回复消息中还可以包括第一K _AF。该第一K _AF可用于AF与终端设备之间的通信。AF接收到该第一K _AF后，可以使用该K _AF与终端设备进行通信。

在一些实施例中，该第一K _AF更新请求回复消息中还可以包括第一K _AF的有效期。该第一K _AF的有效期可用于AF判断该第一K _AF的到期时间。在第一K _AF到期后，AF可以发起更新K _AF的流程。

在一些实施例中，该第一K _AF更新请求回复消息中还可以包括UE-ID。该UE-ID可以为SUPI、SUCI、GPSI中的一种或多种。

在一些实施例中，在步骤S640，第二K _AF更新请求消息中可以包括第一信息以及第一MAC。第一MAC是对第一信息进行完整性保护得到的，第一MAC可以用于确定第一信息是否被篡改。第一信息包括随机数和A-KID中的一种或多种。其中，A-KID可以为AF或AAnF中最新的A-KID。例如，第一信息可包括随机数，第一MAC可用于对随机数的合法性进行验证。又例如，第一信息可以包括随机数和A-KID，第一MAC可用于对随机数和A-KID的合法性进行验证。

第一MAC的生成方式可以参见示例一的描述，为了简洁，此处不再赘述。

第一MAC可以是基于第一密钥以及第一信息生成的。终端设备接收到第一信息以及第一MAC后，可以使用第一密钥以及第一信息，生成第一MAC’。终端设备将第一MAC’与第一MAC进行比较，如果第一MAC’与第一MAC一致，则第一MAC验证通过，第一信息未被篡改；如果第一MAC’与第一MAC不一致，则第一MAC验证不通过，第一信息被篡改。

第一MAC可以是由AAnF生成的，也可以是由AF生成的，本申请实施例对此不作具体限定。

作为一个示例，第一MAC由AAnF生成。AAnF可以通过AF向终端设备发送第一MAC。参见图7，在步骤S620、AAnF可以生成随机数，并基于随机数生成第一K _AF以及第一MAC(也称为MAC _AAnF)。在步骤S630、AAnF向AF发送第一K _AF更新请求回复消息，该第一K _AF更新请求回复消息中包括第一MAC。例如，第一K _AF更新请求回复消息中包括第一K _AF、第一K _AF的有效期、UE-ID、A-KID、随机数、第一MAC。

作为另一个示例，第一MAC由AF生成。参见图8，如果第一MAC由AF生成，则在步骤S620、AAnF可以不生成第一MAC，即AAnF生成随机数，以及基于随机数生成第一K _AF。在步骤S630、AAnF向AF发送第一K _AF更新请求回复消息，该第一K _AF更新请求回复消息中不包括第一MAC。例如，第一K _AF更新请求回复消息中包括第一K _AF、第一K _AF的有效期、UE-ID、A-KID、随机数。在步骤S635、在接收到第一K _AF更新请求回复消息后，AF可以生成第一MAC(也称为MAC _AF)。

在一些实施例中，AF向终端设备发送的第二K _AF更新请求消息中除了包括第一信息和第一MAC 之外，还可以包括AF-ID。在一些实施例中，第二K _AF更新请求消息中还可以包括K _AF更新指示标识(K _AFChangeInd)，用于指示终端设备对K _AF进行更新。

为了保证第二K _AF更新请求消息的安全性，AF还可以对第二K _AF更新请求消息进行加密和/或完整性保护。AF可以使用第一K _AF对第二K _AF更新请求消息进行加密和/或完整性保护。例如，AF可以使用第一K _AF对第二K _AF更新请求消息进行加密，终端设备接收到第二K _AF更新请求消息后，可以使用第一K _AF对第二K _AF更新请求消息进行解密。

又例如，AF可以使用第一K _AF对第二K _AF更新请求消息进行完整性保护。AF可以基于第一K _AF和第二K _AF更新请求消息生成MAC 4。AF可以向终端设备发送第二K _AF更新请求消息以及MAC 4。终端设备可以根据第二K _AF更新请求消息以及第一K _AF，生成MAC 4’。如果MAC 4和MAC 4’一致，则终端设备可以确认第二K _AF更新请求消息完整，未被篡改。如果MAC 4和MAC 4’不一致，则终端设备可以确认第二K _AF更新请求消息不完整，其完整性遭到破坏。其中，第一K _AF可以理解为生成MAC的共享密钥。

AF对第二K _AF更新请求消息进行加密和/或完整性保护的算法可以是协议中定义的，或者是AF与终端设备协商的任一种算法。该算法可以为AF支持的算法，使得AF可以使用该算法对第一K _AF更新请求消息进行加密和/或完整性保护。

在一些实施例中，第二K _AF更新请求消息中还可以包括第一算法标识。该第一算法标识可以为AF支持的算法标识。该第一算法标识可以包括加密算法标识和/或完整性保护算法标识。第一算法标识可以指对第二K _AF更新请求消息进行加密的算法标识和/或完整性保护的算法标识。在接收到第二K _AF更新请求消息后，终端设备可以使用第一算法标识对应的算法对第二K _AF更新请求消息进行解密和/或完整性检验。

在步骤S650、如果第一MAC基于K _AKMA生成，则终端设备可以先对第一MAC进行验证，如果第一MAC验证通过，则终端设备生成第一K _AF；如果第一MAC验证未通过，则终端设备可以拒绝生成第一K _AF。如果第一MAC基于第一K _AF生成，则终端设备可以先生成第一K _AF，然后基于第一K _AF对第一MAC进行验证。

进一步地，如果第一MAC验证通过，终端设备可以向AF发送第二K _AF更新请求回复消息，该第二K _AF更新请求回复消息可用于指示K _AF更新完成，参见步骤S660。

AF接收到终端设备发送的第二K _AF更新请求回复消息后，可以确定与终端设备之间的会话建立完成。该第二K _AF更新请求回复消息也可以称为会话建立响应消息。

为了保证第二K _AF更新请求回复消息的安全性，终端设备还可以对第二K _AF更新请求回复消息进行加密和/或完整性保护。终端设备可以使用第一K _AF对第二K _AF更新请求回复消息进行加密和/或完整性保护。例如，终端设备可以使用第一K _AF对第二K _AF更新请求回复消息进行加密，AF接收到第二K _AF更新请求回复消息后，可以使用第一K _AF对第二K _AF更新请求回复消息进行解密。

又例如，终端设备可以使用第一K _AF对第二K _AF更新请求回复消息进行完整性保护。终端设备可以基于第一K _AF和第二K _AF更新请求回复消息生成MAC 5。终端设备可以向AF发送第二K _AF更新请求回复消息以及MAC 5。AF可以根据第二K _AF更新请求回复消息以及第一K _AF，生成MAC 5’。如果MAC5和MAC 5’一致，则AF可以确认第二K _AF更新请求回复消息完整，未被篡改。如果MAC 5和MAC 5’不一致，则AF可以确认第二K _AF更新请求回复消息不完整，其完整性遭到破坏。其中，第一K _AF可以理解为生成MAC的共享密钥。

AF在向AAnF发送第一K _AF更新请求消息之前，还可以接收终端设备发送的会话建立请求，参见步骤S602。该会话建立请求中可以包括第二参数，该第二参数可以包括以下中的一种或多种：UE-ID、AF-ID以及A-KID。该第二参数可用于AF查找对应的K _AF。

AF接收到会话建立请求后，还可以基于第二参数，确定与第二参数对应的K _AF。如果AF检测到该K _AF的有效期到期，则AF可以向终端设备发送会话建立响应。该会话建立响应中可以包含上述第二K _AF更新请求消息，如图6中的步骤S640。在一些实施例中，该会话建立响应中还可以包括指示信息，该指示信息可用于指示会话建立失败的原因。例如，会话建立失败的原因可以为K _AF的有效期到期，在该情况下，该指示信息可用于指示K _AF的有效期到期，或者该指示信息包含K _AF到期的K _AF更新标识。

需要说明的是，AAnF与AF之间可以直接进行通信，也可以通过网络开放功能(network exposure function，NEF)进行通信，即AAnF与AF之间传输的消息可以经过NEF的转发。以图5和图6为例，第二K _AF更新请求消息和第二K _AF更新请求回复消息可以经过NEF的转发。以图7和图8为例，第一K _AF更新请求消息和第一K _AF更新请求回复消息可以经过NEF的转发。

上文结合图4至图8，详细描述了本申请的方法实施例，下面结合图9至图12，详细描述本申请的装置实施例。应理解，方法实施例的描述与装置实施例的描述相互对应，因此，未详细描述的部分可以参见前面方法实施例。

图9是本申请实施例提供的一种生成密钥的装置的示意性结构图。图9所示的装置900可以为上文描述的第一设备，第一设备可以为终端设备或AAnF。该装置900可以包括生成单元910。

生成单元910，用于基于随机数，生成第一K _AF，所述第一K _AF用于终端设备与应用功能AF之间的通信。

在一些实施例中，所述装置900还包括：发送单元920，用于向所述AF或第二设备发送第一信息和第一消息认证码MAC，所述第一MAC是对所述第一信息进行完整性保护得到的，所述第一信息包括K _AKMA的密钥标识和所述随机数中的一种或多种，所述第一设备为所述终端设备和所述AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个。

在一些实施例中，所述第一MAC是使用所述第一K _AF对所述第一信息进行完整性保护得到的。

在一些实施例中，所述第一MAC基于第一参数生成，所述第一参数包括以下中的一种或多种：所述随机数、所述随机数的长度、待更新的K _AF、待更新的K _AF的长度、所述第一K _AF、最新K _AKMA的密钥标识、最新K _AKMA的密钥标识的长度、最新K _AKMA、常量。

在一些实施例中，所述发送单元920用于：向所述AF发送第一K _AF更新请求回复消息，所述第一K _AF更新请求回复消息中包括所述第一信息和所述第一MAC，以使所述AF通过第二K _AF更新请求消息向所述第二设备发送所述第一信息和所述第一MAC。

在一些实施例中，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。

在一些实施例中，所述装置900还包括：接收单元，用于接收所述AF发送的第一K _AF更新请求消息；所述生成单元910，用于响应于所述第一K _AF更新请求消息，生成所述随机数。

在一些实施例中，所述第一K _AF更新请求消息中包括K _AKMA的密钥标识，所述生成单元用于：

在所述第一K _AF更新请求消息中的K _AKMA的密钥标识与所述第一设备中的历史K _AKMA的密钥标识一致的情况下，生成所述随机数。

在一些实施例中，所述第一设备为所述终端设备，所述装置900还包括：发送单元，用于向所述AF发送会话建立请求，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识；所述接收单元，用于接收所述AF发送的会话建立响应，所述会话建立响应中包括所述第一K _AF更新请求消息。

在一些实施例中，所述会话建立请求使用待更新的K _AF进行加密和/或完整性保护。

在一些实施例中，所述第一K _AF更新请求消息中包括指示信息，所述指示信息用于指示K _AF的有效期到期。

在一些实施例中，所述第一K _AF更新请求消息使用待更新的K _AF进行加密和/或完整性保护。

在一些实施例中，所述第一K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识；所述装置900还包括：解密单元，用于使用与所述第一算法标识对应的算法对所述第一K _AF更新请求消息进行解密和/或完整性验证。

在一些实施例中，所述生成单元910用于：基于所述第一设备中的最新K _AKMA和所述随机数，生成所述第一K _AF。

在一些实施例中，所述生成单元910用于：基于所述第一设备中的最新K _AKMA、所述随机数以及第三参数，生成所述第一K _AF，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。

在一些实施例中，所述第一设备为所述终端设备，所述生成单元910用于：基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；所述装置900还包括通信单元，用于基于所述第二TLS会话密钥，与所述AF进行通信。

在一些实施例中，所述AAnf与所述AF之间通过网络开放功能NEF进行通信。

图10是本申请实施例提供的一种生成密钥的装置的示意性结构图。图10所示的装置1000可以为上文描述的第二设备，第二设备可以为终端设备或AAnF。该装置1000可以包括接收单元1010和生成单元1020。

接收单元1010，用于接收第一设备发送的随机数，所述第一设备为终端设备和应用程序的身份验证和密钥管理锚点功能AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个。

生成单元1020，用于基于所述随机数，生成第一K _AF，所述K _AF用于所述终端设备与应用功能AF之间的通信。

在一些实施例中，所述接收单元1010还用于：接收所述AF发送的第一信息和第一消息认证码MAC，所述第一信息包括所述随机数和K _AKMA的密钥标识中的一种或多种，所述第一MAC是对所述第一信息进行完整性保护得到的；所述装置1000还包括验证单元，用于对所述第一MAC进行验证。

在一些实施例中，所述验证单元用于：使用所述第一K _AF对所述第一MAC进行验证。

在一些实施例中，所述生成单元1020用于：在所述第一MAC验证通过的情况下，基于所述随机数，生成所述第一K _AF。

在一些实施例中，所述第二设备为所述终端设备，所述第一MAC由所述AF生成。

在一些实施例中，所述第一MAC由所述第一设备生成，所述接收单元1010用于：接收所述AF发送的第二K _AF更新请求消息，所述第二K _AF更新请求消息中包括所述第一信息和所述第一MAC，所述第二K _AF更新请求消息中的所述第一信息和所述第一MAC由所述第一设备通过第一K _AF更新请求回复消息发送至所述AF。

在一些实施例中，所述第二设备为所述终端设备，所述第二K _AF更新请求消息使用所述第一K _AF进行加密和/或完整性保护。

在一些实施例中，所述第二K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识；所述装置1000还包括：解密单元，用于使用与所述第一算法标识对应的算法对所述第二K _AF更新请求消息进行解密和/或完整性验证。

在一些实施例中，所述随机数是所述第一设备在接收到所述AF发送的第一K _AF更新请求消息的触发下生成的。

在一些实施例中，所述第一K _AF更新请求消息中包括K _AKMA的密钥标识，所述随机数是在所述第一K _AF更新请求消息中的K _AKMA的密钥标识与所述第一设备中的历史K _AKMA的密钥标识一致的情况下生成的。

在一些实施例中，所述第二设备为终端设备，所述装置1000还包括：发送单元，用于向所述AF发送会话建立请求，以使所述AF向所述AAnF发送所述第一K _AF更新请求消息，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识。

在一些实施例中，所述生成单元1020用于：基于所述第二设备中的最新K _AKMA和所述随机数，生成所述第一K _AF。

在一些实施例中，所述生成单元1020用于：基于所述第二设备中的最新K _AKMA、所述随机数以及第三参数，生成所述第一K _AF，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。

在一些实施例中，所述第二设备为所述终端设备，所述生成单元1020用于：基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；所述装置1000还包括通信单元，用于基于所述第二TLS会话密钥，与所述AF进行通信。

图11是本申请实施例提供的一种生成密钥的装置的示意性结构图。图11所示的装置1100可以为上文描述的AF。该装置1100可以包括接收单元1110。

接收单元1110，用于接收AAnF发送的第一K _AF，所述第一K _AF是所述AAnF基于随机数生成的，所述第一K _AF用于所述AF与终端设备之间的通信。

在一些实施例中，所述接收单元1110用于：接收第一设备发送的第一信息和第一消息认证码MAC，所述第一MAC是对所述第一信息进行完整性保护得到的，所述第一信息包括K _AKMA的密钥标识、所述随机数中的一种或多种，其中，所述第一设备为所述终端设备或所述AAnF。

在一些实施例中，所述第一设备为所述终端设备，所述装置还包括验证单元1120，用于：对所述第一MAC进行验证。

在一些实施例中，所述第一信息和所述第一MAC由所述第一设备通过第一K _AF更新请求回复消息发送至所述AF。

在一些实施例中，所述接收单元1110用于接收第一设备发送的第一K _AF更新请求回复消息，所述第一K _AF更新请求回复消息包括第一信息，所述第一信息包括K _AKMA的密钥标识、所述随机数中的一种或多种，所述第一设备为所述AAnF，所述装置1100还包括保护单元，用于对所述第一信息进行完整性保护，得到所述第一MAC。

在一些实施例中，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：最新K _AKMA的密钥标识、所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。

在一些实施例中，所述第一K _AF更新请求回复消息中还包括K _AKMA的密钥标识，所述K _AKMA的密钥标识用于所述第二设备对所述随机数的合法性进行验证。

在一些实施例中，所述装置1100还包括：发送单元，用于向第二设备发送第二K _AF更新请求消息，所述第二K _AF更新请求消息包括所述第一信息和所述第一MAC；其中，所述第一设备为所述终端设备和所述AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个。

在一些实施例中，所述第二设备为终端设备，所述第二K _AF更新请求消息使用所述第一K _AF进行加密和/或完整性保护。

在一些实施例中，所述第二K _AF更新请求消息中还包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识，所述第二K _AF更新请求消息使用所述第一算法标识进行加密和/或完整性保护。

在一些实施例中，所述装置1100还包括：发送单元，用于向所述第一设备发送第一K _AF更新请求消息，所述第一K _AF更新请求消息用于触发所述第一设备生成所述随机数。

在一些实施例中，所述接收单元1110用于接收所述终端设备发送的会话建立请求，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识；所述装置1100还包括发送单元，用于向所述第一设备发送会话建立响应，所述会话建立响应中包括所述第一K _AF更新请求消息。

在一些实施例中，所述第一设备为终端设备，所述第一K _AF更新请求消息使用待更新的K _AF进行加密和/或完整性保护。

在一些实施例中，所述第一K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识，所述第一K _AF更新请求消息使用所述第一算法标识对应的算法进行加密和/或完整性保护。

在一些实施例中，所述第一K _AF是所述AAnF基于所述AAnF中的最新K _AKMA和所述随机数生成的。

在一些实施例中，所述第一K _AF是所述AAnF基于所述AAnF中的最新K _AKMA、所述随机数以及第三参数生成的，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。

在一些实施例中，所述装置1100还包括：生成单元，用于基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；通信单元，用于基于所述第二TLS会话密钥，与所述终端设备进行通信。

图12是本申请实施例的生成密钥的装置的示意性结构图。图12中的虚线表示该单元或模块为可选的。该装置1200可用于实现上述方法实施例中描述的方法。装置1200可以是芯片、终端设备、AF或AAnF。

装置1200可以包括一个或多个处理器1210。该处理器1210可支持装置1200实现前文方法实施例所描述的方法。该处理器1210可以是通用处理器或者专用处理器。例如，该处理器可以为中央处理单元(central processing unit，CPU)。或者，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

装置1200还可以包括一个或多个存储器1220。存储器1220上存储有程序，该程序可以被处理器1210执行，使得处理器1210执行前文方法实施例所描述的方法。存储器1220可以独立于处理器1210也可以集成在处理器1210中。

装置1200还可以包括收发器1230。处理器1210可以通过收发器1230与其他设备或芯片进行通信。例如，处理器1210可以通过收发器1230与其他设备或芯片进行数据收发。

本申请实施例还提供一种计算机可读存储介质，用于存储程序。该计算机可读存储介质可应用于本申请实施例提供的终端或网络设备中，并且该程序使得计算机执行本申请各个实施例中的由终端或网络设备执行的方法。

本申请实施例还提供一种计算机程序产品。该计算机程序产品包括程序。该计算机程序产品可应用于本申请实施例提供的终端或网络设备中，并且该程序使得计算机执行本申请各个实施例中的由终端或网络设备执行的方法。

本申请实施例还提供一种计算机程序。该计算机程序可应用于本申请实施例提供的终端或网络设备中，并且该计算机程序使得计算机执行本申请各个实施例中的由终端或网络设备执行的方法。

应理解，在本申请实施例中，“与A相应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种生成密钥的方法，其特征在于，包括：

第一设备基于随机数，生成第一K _AF，所述第一K _AF用于终端设备与应用功能AF之间的通信，所述第一设备为终端设备或应用程序的身份验证和密钥管理锚点功能AAnF。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一设备向所述AF或第二设备发送第一信息和第一消息认证码MAC，所述第一MAC是对所述第一信息进行完整性保护得到的，所述第一信息包括K _AKMA的密钥标识和所述随机数中的一种或多种，所述第一设备为所述终端设备和所述AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个。
根据权利要求2所述的方法，其特征在于，所述第一MAC是使用所述第一K _AF对所述第一信息进行完整性保护得到的。
根据权利要求2或3所述的方法，其特征在于，所述第一MAC基于第一参数生成，所述第一参数包括以下中的一种或多种：所述随机数、所述随机数的长度、待更新的K _AF、待更新的K _AF的长度、所述第一K _AF、最新K _AKMA的密钥标识、最新K _AKMA的密钥标识的长度、最新K _AKMA、常量。
根据权利要求2-4中任一项所述的方法，其特征在于，所述第一设备向第二设备发送第一信息和第一消息认证码MAC，包括：

所述第一设备向所述AF发送第一K _AF更新请求回复消息，所述第一K _AF更新请求回复消息中包括所述第一信息和所述第一MAC，以使所述AF通过第二K _AF更新请求消息向所述第二设备发送所述第一信息和所述第一MAC。
根据权利要求5所述的方法，其特征在于，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。
根据权利要求1-6中任一项所述的方法，其特征在于，所述方法还包括：

所述第一设备接收所述AF发送的第一K _AF更新请求消息；

所述第一设备响应于所述第一K _AF更新请求消息，生成所述随机数。
根据权利要求7所述的方法，其特征在于，所述第一K _AF更新请求消息中包括K _AKMA的密钥标识，所述第一设备生成所述随机数，包括：

所述第一设备在所述第一K _AF更新请求消息中的K _AKMA的密钥标识与所述第一设备中的历史K _AKMA的密钥标识一致的情况下，生成所述随机数。
根据权利要求7或8所述的方法，其特征在于，所述第一设备为所述终端设备，所述方法还包括：

所述终端设备向所述AF发送会话建立请求，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识；

所述终端设备接收所述AF发送的会话建立响应，所述会话建立响应中包括所述第一K _AF更新请求消息。
根据权利要求9所述的方法，其特征在于，所述会话建立请求使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求7-10中任一项所述的方法，其特征在于，所述第一K _AF更新请求消息中包括指示信息，所述指示信息用于指示K _AF的有效期到期。
根据权利要求7-11中任一项所述的方法，其特征在于，所述第一K _AF更新请求消息使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求12所述的方法，其特征在于，所述第一K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识；

所述方法还包括：

所述第一设备使用与所述第一算法标识对应的算法对所述第一K _AF更新请求消息进行解密和/或完整性验证。
根据权利要求1-13中任一项所述的方法，其特征在于，所述第一设备基于随机数，生成第一K _AF，包括：

所述第一设备基于所述第一设备中的最新K _AKMA和所述随机数，生成所述第一K _AF。
根据权利要求14所述的方法，其特征在于，所述第一设备基于所述第一设备中的最新K _AKMA和所述随机数，生成所述K _AF，包括：

所述第一设备基于所述第一设备中的最新K _AKMA、所述随机数以及第三参数，生成所述第一K _AF，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。
根据权利要求1-15中任一项所述的方法，其特征在于，所述第一设备为所述终端设备，所述方法还包括：

所述终端设备基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；

如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则所述终端设备基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；

所述终端设备基于所述第二TLS会话密钥，与所述AF进行通信。
根据权利要求1-16中任一项所述的方法，其特征在于，所述AAnf与所述AF之间通过网络开放功能NEF进行通信。
一种生成密钥的方法，其特征在于，包括：

第二设备接收第一设备发送的随机数，所述第一设备为终端设备和应用程序的身份验证和密钥管理锚点功能AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个；

所述第二设备基于所述随机数，生成第一K _AF，所述K _AF用于所述终端设备与应用功能AF之间的通信。
根据权利要求18所述的方法，其特征在于，所述方法还包括：

所述第二设备接收所述AF发送的第一信息和第一消息认证码MAC，所述第一信息包括所述随机数和K _AKMA的密钥标识中的一种或多种，所述第一MAC是对所述第一信息进行完整性保护得到的；

所述第二设备对所述第一MAC进行验证。
根据权利要求19所述的方法，其特征在于，所述第二设备对所述第一MAC进行验证，包括：

所述第二设备使用所述第一K _AF对所述第一MAC进行验证。
根据权利要求19所述的方法，其特征在于，所述第二设备基于所述随机数，生成第一K _AF，包括：

所述第二设备在所述第一MAC验证通过的情况下，基于所述随机数，生成所述第一K _AF。
根据权利要求19-21中任一项所述的方法，其特征在于，所述第一MAC基于第一参数生成，所述第一参数包括以下中的一种或多种：所述随机数、所述随机数的长度、待更新的K _AF、待更新的K _AF的长度、所述第一K _AF、最新K _AKMA的密钥标识、最新K _AKMA的密钥标识的长度、最新K _AKMA、常量。
根据权利要求19-22中任一项所述的方法，其特征在于，所述第二设备为所述终端设备，所述第一MAC由所述AF生成。
根据权利要求19-22中任一项所述的方法，其特征在于，所述第一MAC由所述第一设备生成，所述第二设备接收所述AF发送的第一信息和第一消息认证码MAC，包括：

所述第二设备接收所述AF发送的第二K _AF更新请求消息，所述第二K _AF更新请求消息中包括所述第一信息和所述第一MAC，所述第二K _AF更新请求消息中的所述第一信息和所述第一MAC由所述第一设备通过第一K _AF更新请求回复消息发送至所述AF。
根据权利要求24所述的方法，其特征在于，所述第二设备为所述终端设备，所述第二K _AF更新请求消息使用所述第一K _AF进行加密和/或完整性保护。
根据权利要求24或25所述的方法，其特征在于，所述第二K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识；

所述方法还包括：

所述第二设备使用与所述第一算法标识对应的算法对所述第二K _AF更新请求消息进行解密和/或完整性验证。
根据权利要求24-26中任一项所述的方法，其特征在于，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。
根据权利要求18-27中任一项所述的方法，其特征在于，所述随机数是所述第一设备在接收到所述AF发送的第一K _AF更新请求消息的触发下生成的。
根据权利要求28所述的方法，其特征在于，所述第一K _AF更新请求消息中包括K _AKMA的密钥标识，所述随机数是在所述第一K _AF更新请求消息中的K _AKMA的密钥标识与所述第一设备中的历史K _AKMA的密钥标识一致的情况下生成的。
根据权利要求28或29所述的方法，其特征在于，所述第二设备为终端设备，所述方法还包括：

所述终端设备向所述AF发送会话建立请求，以使所述AF向所述AAnF发送所述第一K _AF更新请求消息，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识。
根据权利要求30所述的方法，其特征在于，所述会话建立请求使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求28-31中任一项所述的方法，其特征在于，所述第一K _AF更新请求消息中包括指示信息，所述指示信息用于指示K _AF的有效期到期。
根据权利要求18-32中任一项所述的方法，其特征在于，所述第二设备基于所述随机数，生成第一K _AF，包括：

所述第二设备基于所述第二设备中的最新K _AKMA和所述随机数，生成所述第一K _AF。
根据权利要求33所述的方法，其特征在于，所述第二设备基于所述第二设备中的最新K _AKMA和所述随机数，生成所述第一K _AF，包括：

所述第二设备基于所述第二设备中的最新K _AKMA、所述随机数以及第三参数，生成所述第一K _AF，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。
根据权利要求18-34中任一项所述的方法，其特征在于，所述第二设备为所述终端设备，所述方法还包括：

所述终端设备基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；

如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则所述终端设备基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；

所述终端设备基于所述第二TLS会话密钥，与所述AF进行通信。
根据权利要求18-35中任一项所述的方法，其特征在于，所述AAnf与所述AF之间通过网络开放功能NEF进行通信。
一种生成密钥的方法，其特征在于，包括：

应用功能AF接收应用程序的身份验证和密钥管理锚点功能AAnF发送的第一K _AF，所述第一K _AF是所述AAnF基于随机数生成的，所述第一K _AF用于所述AF与终端设备之间的通信。
根据权利要求37所述的方法，其特征在于，所述方法还包括：

所述AF接收第一设备发送的第一信息和第一消息认证码MAC，所述第一MAC是对所述第一信息进行完整性保护得到的，所述第一信息包括K _AKMA的密钥标识、所述随机数中的一种或多种，其中，所述第一设备为所述终端设备或所述AAnF。
根据权利要求38所述的方法，其特征在于，所述第一设备为所述终端设备，所述方法还包括：

所述AF对所述第一MAC进行验证。
根据权利要求38或39所述的方法，其特征在于，所述第一信息和所述第一MAC由所述第一设备通过第一K _AF更新请求回复消息发送至所述AF。
根据权利要求37所述的方法，其特征在于，所述方法还包括：

所述AF接收第一设备发送的第一K _AF更新请求回复消息，所述第一K _AF更新请求回复消息包括第一信息，所述第一信息包括K _AKMA的密钥标识、所述随机数中的一种或多种，所述第一设备为所述AAnF；

所述AF对所述第一信息进行完整性保护，得到所述第一MAC。
根据权利要求40或41所述的方法，其特征在于，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：最新K _AKMA的密钥标识、所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。
根据权利要求40-42中任一项所述的方法，其特征在于，所述第一K _AF更新请求回复消息中还包括K _AKMA的密钥标识，所述K _AKMA的密钥标识用于所述第二设备对所述随机数的合法性进行验证。
根据权利要求38-43中任一项所述的方法，其特征在于，所述方法还包括：

所述AF向第二设备发送第二K _AF更新请求消息，所述第二K _AF更新请求消息包括所述第一信息和所述第一MAC；

其中，所述第一设备为所述终端设备和所述AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个。
根据权利要求44所述的方法，其特征在于，所述第二设备为终端设备，所述第二K _AF更新请求消息使用所述第一K _AF进行加密和/或完整性保护。
根据权利要求45所述的方法，其特征在于，所述第二K _AF更新请求消息中还包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识，所述第二K _AF更新请求消息使用所述第一算法标识进行加密和/或完整性保护。
根据权利要求38-46中任一项所述的方法，其特征在于，所述第一MAC是使用所述第一K _AF对所述第一信息进行完整性保护得到的。
根据权利要求38-47中任一项所述的方法，其特征在于，所述第一MAC基于第一参数生成，所述第一参数包括以下中的一种或多种：所述随机数、所述随机数的长度、待更新的K _AF、待更新的K _AF的长度、所述第一K _AF、最新K _AKMA的密钥标识、最新K _AKMA的密钥标识的长度、最新K _AKMA、常量。
根据权利要求38-48中任一项所述的方法，其特征在于，所述方法还包括：

所述AF向所述第一设备发送第一K _AF更新请求消息，所述第一K _AF更新请求消息用于触发所述第一设备生成所述随机数。
根据权利要求49所述的方法，其特征在于，所述方法还包括：

所述AF接收所述终端设备发送的会话建立请求，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识；

所述AF向所述第一设备发送会话建立响应，所述会话建立响应中包括所述第一K _AF更新请求消息。
根据权利要求50所述的方法，其特征在于，所述会话建立请求使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求50或51所述的方法，其特征在于，所述第一K _AF更新请求消息中包括指示信息，所述指示信息用于指示K _AF的有效期到期。
根据权利要求50-52中任一项所述的方法，其特征在于，所述第一设备为终端设备，所述第一K _AF更新请求消息使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求53所述的方法，其特征在于，所述第一K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识，所述第一K _AF更新请求消息使用所述第一算法标识对应的算法进行加密和/或完整性保护。
根据权利要求37-54中任一项所述的方法，其特征在于，所述第一K _AF是所述AAnF基于所述AAnF中的最新K _AKMA和所述随机数生成的。
根据权利要求55所述的方法，其特征在于，所述第一K _AF是所述AAnF基于所述AAnF中的最新K _AKMA、所述随机数以及第三参数生成的，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。
根据权利要求37-56中任一项所述的方法，其特征在于，所述方法还包括：

所述AF基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；

如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则所述AF基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；

所述AF基于所述第二TLS会话密钥，与所述终端设备进行通信。
根据权利要求37-57中任一项所述的方法，其特征在于，所述AAnf与所述AF之间通过网络开放功能NEF进行通信。
一种生成密钥的装置，其特征在于，所述装置为第一设备，所述第一设备为终端设备或应用程序的身份验证和密钥管理锚点功能AAnF，所述方法包括：

生成单元，用于基于随机数，生成第一K _AF，所述第一K _AF用于终端设备与应用功能AF之间的通信。
根据权利要求59所述的装置，其特征在于，所述装置还包括：

发送单元，用于向所述AF或第二设备发送第一信息和第一消息认证码MAC，所述第一MAC是对所述第一信息进行完整性保护得到的，所述第一信息包括K _AKMA的密钥标识和所述随机数中的一种或多种，所述第一设备为所述终端设备和所述AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个。
根据权利要求60所述的装置，其特征在于，所述第一MAC是使用所述第一K _AF对所述第一信息进行完整性保护得到的。
根据权利要求60或61所述的装置，其特征在于，所述第一MAC基于第一参数生成，所述第一参数包括以下中的一种或多种：所述随机数、所述随机数的长度、待更新的K _AF、待更新的K _AF的长度、所述第一K _AF、最新K _AKMA的密钥标识、最新K _AKMA的密钥标识的长度、最新K _AKMA、常量。
根据权利要求60-62中任一项所述的装置，其特征在于，所述发送单元用于：

向所述AF发送第一K _AF更新请求回复消息，所述第一K _AF更新请求回复消息中包括所述第一信息和所述第一MAC，以使所述AF通过第二K _AF更新请求消息向所述第二设备发送所述第一信息和所述第一MAC。
根据权利要求63所述的装置，其特征在于，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。
根据权利要求59-64中任一项所述的装置，其特征在于，所述装置还包括：

接收单元，用于接收所述AF发送的第一K _AF更新请求消息；

所述生成单元，用于响应于所述第一K _AF更新请求消息，生成所述随机数。
根据权利要求65所述的装置，其特征在于，所述第一K _AF更新请求消息中包括K _AKMA的密钥标识，所述生成单元用于：

在所述第一K _AF更新请求消息中的K _AKMA的密钥标识与所述第一设备中的历史K _AKMA的密钥标识一致的情况下，生成所述随机数。
根据权利要求65或66所述的装置，其特征在于，所述第一设备为所述终端设备，所述装置还包括：

发送单元，用于向所述AF发送会话建立请求，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识；

所述接收单元，用于接收所述AF发送的会话建立响应，所述会话建立响应中包括所述第一K _AF更新请求消息。
根据权利要求67所述的装置，其特征在于，所述会话建立请求使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求65-68中任一项所述的装置，其特征在于，所述第一K _AF更新请求消息中包括指示信息，所述指示信息用于指示K _AF的有效期到期。
根据权利要求65-69中任一项所述的装置，其特征在于，所述第一K _AF更新请求消息使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求70所述的装置，其特征在于，所述第一K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识；

所述装置还包括：

解密单元，用于使用与所述第一算法标识对应的算法对所述第一K _AF更新请求消息进行解密和/或完整性验证。
根据权利要求59-71中任一项所述的装置，其特征在于，所述生成单元用于：

基于所述第一设备中的最新K _AKMA和所述随机数，生成所述第一K _AF。
根据权利要求72所述的装置，其特征在于，所述生成单元用于：

基于所述第一设备中的最新K _AKMA、所述随机数以及第三参数，生成所述第一K _AF，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。
根据权利要求59-73中任一项所述的装置，其特征在于，所述第一设备为所述终端设备，所述生成单元用于：

基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；

如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；

所述装置还包括通信单元，用于基于所述第二TLS会话密钥，与所述AF进行通信。
根据权利要求59-74中任一项所述的装置，其特征在于，所述AAnf与所述AF之间通过网络开放功能NEF进行通信。
一种生成密钥的装置，其特征在于，所述装置为第二设备，包括：

接收单元，用于接收第一设备发送的随机数，所述第一设备为终端设备和应用程序的身份验证和密钥管理锚点功能AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个；

生成单元，用于基于所述随机数，生成第一K _AF，所述K _AF用于所述终端设备与应用功能AF之间的通信。
根据权利要求76所述的装置，其特征在于，所述接收单元还用于：

接收所述AF发送的第一信息和第一消息认证码MAC，所述第一信息包括所述随机数和K _AKMA的密钥标识中的一种或多种，所述第一MAC是对所述第一信息进行完整性保护得到的；

所述装置还包括验证单元，用于对所述第一MAC进行验证。
根据权利要求77所述的装置，其特征在于，所述验证单元用于：

使用所述第一K _AF对所述第一MAC进行验证。
根据权利要求77所述的装置，其特征在于，所述生成单元用于：

在所述第一MAC验证通过的情况下，基于所述随机数，生成所述第一K _AF。
根据权利要求77-79中任一项所述的装置，其特征在于，所述第一MAC基于第一参数生成，所述第一参数包括以下中的一种或多种：、常量。
根据权利要求77-80中任一项所述的装置，其特征在于，所述第二设备为所述终端设备，所述第一MAC由所述AF生成。
根据权利要求77-80中任一项所述的装置，其特征在于，所述第一MAC由所述第一设备生成，所述接收单元用于：

接收所述AF发送的第二K _AF更新请求消息，所述第二K _AF更新请求消息中包括所述第一信息和所述第一MAC，所述第二K _AF更新请求消息中的所述第一信息和所述第一MAC由所述第一设备通过第一K _AF更新请求回复消息发送至所述AF。
根据权利要求82所述的装置，其特征在于，所述第二设备为所述终端设备，所述第二K _AF更新请求消息使用所述第一K _AF进行加密和/或完整性保护。
根据权利要求82或83所述的装置，其特征在于，所述第二K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识；所述装置还包括：

解密单元，用于使用与所述第一算法标识对应的算法对所述第二K _AF更新请求消息进行解密和/或完整性验证。
根据权利要求82-84中任一项所述的装置，其特征在于，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。
根据权利要求76-85中任一项所述的装置，其特征在于，所述随机数是所述第一设备在接收到所述AF发送的第一K _AF更新请求消息的触发下生成的。
根据权利要求86所述的装置，其特征在于，所述第一K _AF更新请求消息中包括K _AKMA的密钥标识，所述随机数是在所述第一K _AF更新请求消息中的K _AKMA的密钥标识与所述第一设备中的历史K _AKMA的密钥标识一致的情况下生成的。
根据权利要求86或87所述的装置，其特征在于，所述第二设备为终端设备，所述装置还包括：

发送单元，用于向所述AF发送会话建立请求，以使所述AF向所述AAnF发送所述第一K _AF更新请求消息，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识。
根据权利要求88所述的装置，其特征在于，所述会话建立请求使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求86-89中任一项所述的装置，其特征在于，所述第一K _AF更新请求消息中包括指示信息，所述指示信息用于指示K _AF的有效期到期。
根据权利要求76-90中任一项所述的装置，其特征在于，所述生成单元用于：

基于所述第二设备中的最新K _AKMA和所述随机数，生成所述第一K _AF。
根据权利要求91所述的装置，其特征在于，所述生成单元用于：

基于所述第二设备中的最新K _AKMA、所述随机数以及第三参数，生成所述第一K _AF，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。
根据权利要求76-92中任一项所述的装置，其特征在于，所述第二设备为所述终端设备，所述生成单元用于：

基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；

如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；

所述装置还包括通信单元，用于基于所述第二TLS会话密钥，与所述AF进行通信。
根据权利要求76-93中任一项所述的装置，其特征在于，所述AAnf与所述AF之间通过网络开放功能NEF进行通信。
一种生成密钥的装置，其特征在于，所述装置为应用功能AF，所述装置包括：

接收单元，用于接收应用程序的身份验证和密钥管理锚点功能AAnF发送的第一K _AF，所述第一K _AF是所述AAnF基于随机数生成的，所述第一K _AF用于所述AF与终端设备之间的通信。
根据权利要求95所述的装置，其特征在于，所述接收单元用于：

接收第一设备发送的第一信息和第一消息认证码MAC，所述第一MAC是对所述第一信息进行完整性保护得到的，所述第一信息包括K _AKMA的密钥标识、所述随机数中的一种或多种，其中，所述第一设备为所述终端设备或所述AAnF。
根据权利要求96所述的装置，其特征在于，所述第一设备为所述终端设备，所述装置还包括验证单元，用于：

对所述第一MAC进行验证。
根据权利要求96或97所述的装置，其特征在于，所述第一信息和所述第一MAC由所述第一设备通过第一K _AF更新请求回复消息发送至所述AF。
根据权利要求95所述的装置，其特征在于，

所述接收单元用于接收第一设备发送的第一K _AF更新请求回复消息，所述第一K _AF更新请求回复消息包括第一信息，所述第一信息包括K _AKMA的密钥标识、所述随机数中的一种或多种，所述第一设备为所述AAnF，

所述装置还包括保护单元，用于对所述第一信息进行完整性保护，得到所述第一MAC。
根据权利要求98或99所述的装置，其特征在于，所述第一设备为所述AAnF，所述第一K _AF更新请求回复消息中还包括以下信息中的一种或多种：最新K _AKMA的密钥标识、所述第一K _AF、所述第一K _AF的有效期、终端设备的标识。
根据权利要求98-100中任一项所述的装置，其特征在于，所述第一K _AF更新请求回复消息中还包括K _AKMA的密钥标识，所述K _AKMA的密钥标识用于所述第二设备对所述随机数的合法性进行验证。
根据权利要求96-101中任一项所述的装置，其特征在于，所述装置还包括：

发送单元，用于向第二设备发送第二K _AF更新请求消息，所述第二K _AF更新请求消息包括所述第一信息和所述第一MAC；

其中，所述第一设备为所述终端设备和所述AAnF中的一个，所述第二设备为所述终端设备和所述AAnF中的另一个。
根据权利要求102所述的装置，其特征在于，所述第二设备为终端设备，所述第二K _AF更新请求消息使用所述第一K _AF进行加密和/或完整性保护。
根据权利要求103所述的装置，其特征在于，所述第二K _AF更新请求消息中还包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识，所述第二K _AF更新请求消息使用所述第一算法标识对应的算法进行加密和/或完整性保护。
根据权利要求96-104中任一项所述的装置，其特征在于，所述第一MAC是使用所述第一K _AF对所述第一信息进行完整性保护得到的。
根据权利要求96-105中任一项所述的装置，其特征在于，所述第一MAC基于第一参数生成，所述第一参数包括以下中的一种或多种：所述随机数、所述随机数的长度、待更新的K _AF、待更新的K _AF的长度、所述第一K _AF、最新K _AKMA的密钥标识、最新K _AKMA的密钥标识的长度、最新K _AKMA、常量。
根据权利要求96-106中任一项所述的装置，其特征在于，所述装置还包括：

发送单元，用于向所述第一设备发送第一K _AF更新请求消息，所述第一K _AF更新请求消息用于触发所述第一设备生成所述随机数。
根据权利要求107所述的装置，其特征在于，

所述接收单元用于接收所述终端设备发送的会话建立请求，所述会话建立请求中包括第二参数，所述第二参数包括以下中的一种或多种：终端设备的标识、AF的标识、K _AKMA的密钥标识；

所述装置还包括发送单元，用于向所述第一设备发送会话建立响应，所述会话建立响应中包括所述第一K _AF更新请求消息。
根据权利要求108所述的装置，其特征在于，所述会话建立请求使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求108或109所述的装置，其特征在于，所述第一K _AF更新请求消息中包括指示信息，所述指示信息用于指示K _AF的有效期到期。
根据权利要求108-110中任一项所述的装置，其特征在于，所述第一设备为终端设备，所述第一K _AF更新请求消息使用待更新的K _AF进行加密和/或完整性保护。
根据权利要求111所述的装置，其特征在于，所述第一K _AF更新请求消息中包括第一算法标识，所述第一算法标识包括加密算法标识和/或完整性保护算法标识，所述第一K _AF更新请求消息使用所述第一算法标识进行加密和/或完整性保护。
根据权利要求95-112中任一项所述的装置，其特征在于，所述第一K _AF是所述AAnF基于所述AAnF中的最新K _AKMA和所述随机数生成的。
根据权利要求113所述的装置，其特征在于，所述第一K _AF是所述AAnF基于所述AAnF中的最新K _AKMA、所述随机数以及第三参数生成的，其中，所述第三参数包括以下中的一种或多种：所述随机数的长度、AF的标识以及AF的标识的长度、常量。
根据权利要求95-114中任一项所述的装置，其特征在于，所述装置还包括：

生成单元，用于基于所述第一K _AF，生成第一传输层安全协议TLS会话密钥；

如果所述第一K _AF的有效期到期，而所述终端设备与所述AF之间的会话还未结束，则基于所述第一K _AF，生成第二TLS会话密钥，所述第二TLS会话密钥与所述第一TLS会话密钥不同；

通信单元，用于基于所述第二TLS会话密钥，与所述终端设备进行通信。
根据权利要求95-115中任一项所述的装置，其特征在于，所述AAnf与所述AF之间通过网络开放功能NEF进行通信。
一种生成密钥的装置，其特征在于，包括存储器、处理器和通信接口，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，使得所述装置执行如权利要求1-17中任一项所述的方法。
一种生成密钥的装置，其特征在于，包括存储器和处理器和通信接口，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，使得所述装置执行如权利要求18-36中任一项所述的方法。
一种生成密钥的装置，其特征在于，包括存储器和处理器和通信接口，所述存储器用于存储程序，所述处理器用于调用所述存储器中的程序，使得所述装置执行如权利要求37-58中任一项所述的方法。
一种装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求1-17中任一项所述的方法。
一种装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求18-36中任一项所述的方法。
一种装置，其特征在于，包括处理器，用于从存储器中调用程序，以执行如权利要求37-58中任一项所述的方法。
一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求1-17中任一项所述的方法。
一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求18-36中任一项所述的方法。
一种芯片，其特征在于，包括处理器，用于从存储器调用程序，使得安装有所述芯片的设备执行如权利要求37-58中任一项所述的方法。
一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求1-17中任一项所述的方法。
一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求18-36中任一项所述的方法。
一种计算机可读存储介质，其特征在于，其上存储有程序，所述程序使得计算机执行如权利要求37-58中任一项所述的方法。
一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求1-17中任一项所述的方法。
一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求18-36中任一项所述的方法。
一种计算机程序产品，其特征在于，包括程序，所述程序使得计算机执行如权利要求37-58中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求1-17中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求18-36中任一项所述的方法。
一种计算机程序，其特征在于，所述计算机程序使得计算机执行如权利要求37-58中任一项所述的方法。