WO2023245387A1

WO2023245387A1 - 用户设备ue漫游条件下的应用认证与密钥管理akma应用程序密钥请求方法及装置

Info

Publication number: WO2023245387A1
Application number: PCT/CN2022/099963
Authority: WO
Inventors: 梁浩然; 陆伟; 沈洋; 刘建宁
Original assignee: 北京小米移动软件有限公司
Priority date: 2022-06-20
Filing date: 2022-06-20
Publication date: 2023-12-28
Also published as: CN117616789A

Abstract

本公开提出了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法及装置，涉及移动通信技术领域，根据本公开实施例提供了的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，其中应用功能AF可根据所述AF所连接的网络是否为处于漫游状态的UE的归属网络，向所述UE对应归属网络中的第一网元或所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。本公开在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，融入漫游状态的判定，从而能够使AKMA支持漫游场景，以满足AKMA的潜在用例需求。

Description

用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法及装置

技术领域

本公开涉及移动通信技术领域，特别涉及一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法及装置。

背景技术

在移动网络通信系统中，基于第三代合作伙伴计划凭证的应用认证与密钥管理(Authentication and Key management for Applications，AKMA)特性已被用作保护用户设备(User Equipment，UE)与应用功能(Application Function，AF)之间安全通信的解决方案。考虑到当前的AKMA用例和潜在用例，在移动网络通信系统中还需要考虑漫游场景。然而，在当前移动网络通信系统中，没有相关解决方案可以使AKMA支持漫游场景。

发明内容

本公开提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法及装置，可使AKMA支持漫游场景。

本公开的第一方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，方法应用于应用功能AF，所述方法包括：

根据所述AF所连接的网络是否为处于漫游状态的UE的归属网络，向所述UE对应归属网络中的第一网元或所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。

在本公开的一些实施例中，所述服务网络为漫游状态UE与所述AF建立连接所使用的服务网络。

在本公开的一些实施例中，在根据所述AF所连接的网络是否为处于漫游状态的UE的归属网络，向所述UE对应归属网络中的第一网元或所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求之前，所述方法还包括：判断用户设备UE是否处于漫游状态；

所述判断用户设备UE是否处于漫游状态，包括：

接收UE发送的应用会话建立请求，所述应用会话建立请求中包含AKMA密钥标识；

从策略控制功能获取所述UE的UE信息，所述UE信息至少包括所述UE用于与所述AF建立连接的公共陆地移动网络的标识、所述UE使用的接入类型、所述UE使用的无线电接入技术类型；

在所述AKMA密钥标识中获取归属网络标识，并根据所述归属网络标识和所述UE用于与所述AF建立连接的公共陆地移动网络的标识，判断所述UE是否处于漫游状态。

在本公开的一些实施例中，根据所述归属网络标识和所述UE用于与所述AF建立连接的公共陆地移动网络的标识，判断所述UE是否处于漫游状态，包括：

提取所述归属网络标识中的第一移动设备国家代码和第一移动网络代码；以及，

提取所述UE用于与所述AF建立连接的公共陆地移动网络的标识中的第二移动设备国家代码和第二移动网络代码；

若判断所述第一移动设备国家代码与所述第二移动设备国家代码不相同，和/或所述第一移动网络代码与所述第二移动网络代码不相同，则确定所述UE处于漫游状态。

在本公开的一些实施例中，响应于所述UE处于漫游状态且所述AF连接到所述UE对应的归属网络，向所述UE对应归属网络中的第一网元发送AKMA应用程序密钥请求，具体包括：响应于所述AF没有与所述AKMA密钥标识关联的AKMA应用程序密钥，向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第一AKMA应用程序密钥请求；

接收所述第一网元响应发送的第一AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第一AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间。

在本公开的一些实施例中，在向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第一AKMA应用程序密钥请求之前，还包括：

判断所述当前AF是否存在于第三代合作伙伴计划运营商域中；

若否，则所述向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第一AKMA应用程序密钥请求，包括：

通过网络开放功能NEF向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息、所述AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求。

在本公开的一些实施例中，响应于所述UE处于漫游状态且所述AF连接到所述UE对应的服务网络，向所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求，具体包括：响应于所述当前AF没有与所述AKMA密钥标识关联的AKMA应用程序密钥，向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第二AKMA应用程序密钥请求；

接收所述第二网元响应发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间。

在本公开的一些实施例中，在向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第二AKMA应用程序密钥请求之前，还包括：

若否，则所述向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第二AKMA应用程序密钥请求，包括：

通过网络开放功能NEF向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息、所述AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。

在本公开的一些实施例中，所述方法还包括：

根据所述第一AKMA应用程序密钥响应、所述第二AKMA应用程序密钥响应中的一种向所述UE发送应用会话建立响应；或根据所述AKMA密钥请求失败的错误响应向所述UE发送应用会话建立失败的错误响应。

本公开的第二方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，所述方法应用于用户设备UE对应归属网络中的第一网元，所述方法包括：

响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的应用功能AF发起，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，同时向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息；

响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应服务网络的第二网元发起，向所述UE对应服务网络中的第二网元发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应。

在本公开的一些实施例中，所述第一网元为所述UE对应服务网络中的AKMA锚功能AAnF。

在本公开的一些实施例中，响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的AF发起，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，包括：

接收所述UE对应归属网络的AF发送的第一AKMA应用程序密钥请求，其中，所述第一AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第一AKMA应用程序密钥请求是所述AF在连接到所述UE对应的归属网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

判断所述第一AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥；

若是，则从所述AKMA锚密钥中导出AKMA应用程序密钥，并在所述AF连接到所述UE对应的归属网络时，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，所述第一AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述AKMA应用程序密钥和所述AKMA 应用程序密钥的到期时间；

若否，则在所述AF连接到所述UE对应的归属网络时，向所述AF发送AKMA密钥请求失败的错误响应。

在本公开的一些实施例中，在判断所述第一AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥之前，所述方法还包括：

接收所述AF发送的AKMA应用标识，其中，所述AKMA应用标识是所述AF在判断当前AF未存在于第三代合作伙伴计划运营商域中时发送的；

根据第一预设配置策略以及所述AKMA应用标识判断当前第一网元是否可以向所述AF提供服务；

若是，则判断所述第一AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥；

若否，则拒绝所述第一AKMA应用程序密钥请求。

在本公开的一些实施例中，响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的应用功能AF发起，向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息，包括：

向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息，所述AKMA应用密钥确认请求消息中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

接收所述UE对应服务网络中的第二网元发送的AKMA应用密钥确认响应。

在本公开的一些实施例中，所述响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应服务网络的第二网元发起，向所述UE对应服务网络中的第二网元发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应，包括：

接收UE对应服务网络中的第二网元所中继的第二AKMA应用程序密钥请求，其中，所述第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第二AKMA应用程序密钥请求是AF在连接到所述UE对应的服务网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

判断所述第二AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥；

若是，则从所述AKMA锚密钥中导出AKMA应用程序密钥，并将所述AKMA应用程序密钥发送至所述UE对应服务网络中的第二网元，以使所述UE对应服务网络中的第二网元在所述AF连接到所述UE对应的服务网络时，向所述AF发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

若否，则向所述UE对应服务网络中的第二网元发送AKMA密钥请求失败的错误响应。

在本公开的一些实施例中，所述方法还包括：

根据第一预设配置策略判断当前第一网元是否具备向所述第二网元提供服务。

在本公开的一些实施例中，所述方法还包括：

根据AKMA密钥标识获取UE的归属网络标识，根据UE信息获取UE用于与所述AF建立连接的公共陆地移动网络的标识，并根据所述归属网络标识和所述UE用于与所述AF建立连接的公共陆地移动网络的标识判断UE是否处于漫游状态。

本公开的第三方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，所述方法应用于用户设备UE对应访问网络中的第二网元，所述方法包括：

接收应用功能AF发送的第二AKMA应用程序密钥请求，其中，所述第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第二AKMA应用程序密钥请求是所述AF在UE处于漫游状态下，连接到所述UE对应的服务网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元；

接收所述UE对应归属网络中的第一网元发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述 AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

在所述AF连接到所述UE对应的服务网络时，将所述第二AKMA应用程序密钥响应或所述AKMA密钥请求失败的错误响应中继到所述AF。

在本公开的一些实施例中，所述第二网元为所述UE对应服务网络中的AKMA锚功能代理AAnFproxy。

在本公开的一些实施例中，在将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元之前，所述方法还包括：

根据第二预设本地配置策略以及所述AKMA应用标识判断所述UE对应归属网络中的第一网元是否可以向所述AF提供服务；

若是，则将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元；

若否，则拒绝所述第二AKMA应用程序密钥请求。

在本公开的一些实施例中，所述方法还包括：

接收所述UE对应归属网络中的第一网元发送的AKMA应用密钥确认请求消息，其中，所述AKMA应用密钥确认请求中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间，所述AKMA应用密钥确认请求是UE对应归属网络中的第一网元根据所述UE的UE信息确认所述UE在服务网络，并且所述UE与连接到所述UE对应归属网络的AF建立连接时发送的；

存储所述AKMA应用密钥确认请求消息，并向所述UE对应归属网络中的第一网元发送AKMA应用密钥确认响应。

在本公开的一些实施例中，所述方法还包括：

根据第二预设配置策略判断当前第二网元是否可以向所述AF提供服务。

本公开的第四方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，所述方法应用于网络开放功能NEF，所述方法包括：

响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求；或，

响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。

本公开的第五方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，所述装置应用于应用功能AF，所述装置包括：

发送模块，用于根据所述AF所连接的网络是否为处于漫游状态的UE的归属网络，向所述UE对应归属网络中的第一网元或所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。

本公开的第六方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，所述装置应用于用户设备UE对应归属网络中的第一网元，所述装置包括：

发送模块，用于响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的应用功能AF发起，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，同时向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息；

所述发送模块，还用于响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应服务网络的第二网元发起，向所述UE对应服务网络中的第二网元发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应。

本公开的第七方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，所述装置应用于用户设备UE对应访问网络中的第二网元，所述装置包括：

接收模块，用于接收应用功能AF发送的第二AKMA应用程序密钥请求，其中，所述第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第二AKMA应用程序密钥请求是所述 AF在UE处于漫游状态下，连接到所述UE对应的服务网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

中继模块，用于将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元；

所述接收模块，还用于接收所述UE对应归属网络中的第一网元发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

所述中继模块，还用于在所述AF连接到所述UE对应的服务网络时，将所述第二AKMA应用程序密钥响应或所述AKMA密钥请求失败的错误响应中继到所述AF。

本公开的第八方面实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，所述装置应用于网络开放功能NEF，所述装置包括：

发送模块，用于响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求；或，

发送模块，用于响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。

本公开的第九方面实施例提供了一种通信设备，该通信设备包括：收发器；存储器；处理器，分别与收发器及存储器连接，配置为通过执行存储器上的计算机可执行指令，控制收发器的无线信号收发，并能够实现如本公开第一方面实施例或第二方面实施例或第三方面实施例或第四方面实施例的方法。

本公开的第十方面实施例提供了一种计算机存储介质，其中，计算机存储介质存储有计算机可执行指令；计算机可执行指令被处理器执行后，能够实现如本公开第一方面实施例或第二方面实施例或第三方面实施例或第四方面实施例的方法。

本公开实施例提供了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法及装置，其中应用功能AF可根据AF所连接的网络是否为处于漫游状态的UE的归属网络，向UE对应归属网络中的第一网元或UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，融入漫游状态的判定，从而能够使AKMA支持漫游场景，以满足AKMA的潜在用例需求。

本公开附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本公开的实践了解到。

附图说明

本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图；

图2为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图；

图3为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图；

图4为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图；

图5为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图；

图6为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图；

图7为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图；

图8为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的时序图；

图9为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置的框图；

图10为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置的框图；

图11为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置的框图；

图12为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置的框图；

图13为根据本公开实施例的一种通信装置的结构示意图；

图14为本公开实施例提供的一种芯片的结构示意图。

具体实施方式

下面详细描述本公开的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本公开，而不能理解为对本公开的限制。

第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)第3版服务包(Service Pack3，SA3)在3GPP TS 33.535中为基于第三代合作伙伴计划凭证的应用认证与密钥管理(Authentication and Key management for Applications based on 3GPP credentials，AKMA)的应用程序指定了身份验证和密钥管理。AKMA特性已被用作在ProSe、MSGin5G等场景中用户设备(User Equipment，UE)与应用功能(Application Function，AF)之间安全通信的解决方案。考虑到当前的AKMA用例和潜在用例，必须考虑漫游方面，目前在rel-17中尚未解决。

为此，本公开提出了一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法及装置，可使AKMA支持漫游场景。

下面结合附图对本申请所提供的切换方法及装置进行详细地介绍。

图1示出了根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图。如图1所示，该方法应用于应用功能AF，且可以包括以下步骤。

步骤101、根据AF所连接的网络是否为处于漫游状态的UE的归属网络，向UE对应归属网络中的第一网元或UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。

在本公开的实施例中，第一网元可以为UE对应归属网络中的AKMA锚功能(AKMA Anchor Function，AAnF)。第二网元可以为UE对应服务网络中的AKMA锚功能代理(AKMA Anchor Function proxy，AAnFproxy)。其中，服务网络可为漫游状态UE与AF建立连接所使用的服务网络。

响应于UE处于漫游状态，可进一步判断AF所连接的网络是否为处于漫游状态的UE的归属网络，根据AF所连接的网络是否为处于漫游状态的UE的归属网络的判断结果，向UE对应归属网络中的第一网元或UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。在一种可选实施例中，若判断AF所连接的网络为处于漫游状态的UE的归属网络，则可向UE对应归属网络中的第一网元发送AKMA应用程序密钥请求；在一种可选实施例中，若判断AF所连接的网络并非为处于漫游状态的UE的归属网络，则可向UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。其中，AAnfProxy功能可以实现为服务网络中的单独网络功能，或者是服务网络中任何NF的一部分。例如，AAnFProxy可以是访问网络的AAnf，也可以是运营商在访问网络中部署的AF。

综上，根据本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，可首先根据AF所连接的网络是否为处于漫游状态的UE的归属网络，向UE对应归属网络中的第一网元或UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。可在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，融入漫游状态的判定，从而能够使AKMA支持漫游场景，以满足AKMA的潜在用例需求。

图2示出了根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图。该方法应用于应用功能AF，基于图1所示实施例，如图2所示，且可以包括以下步骤。

步骤201、判断用户设备UE是否处于漫游状态。

在本公开的实施例中，可接收用户设备UE发送的应用会话建立请求，应用会话建立请求中包含AKMA密钥标识(AKMA Key IDentifier，A-KID)，同时还可从策略控制功能(Policy Control Function，PCF)获取UE的UE信息，UE信息至少包括UE用于与AF建立连接的公共陆地移动网络(Public Land Mobile Network，PLMN)的标识、UE使用的接入类型、UE使用的无线电接入技术(Radio Access Technology，RAT)类型；在AKMA密钥标识中获取归属网络标识，并根据归属网络标识和UE用于与AF建立连接的公共陆地移动网络的标识，判断UE是否处于漫游状态。需要说明的是，UE使用的接入类型包括但不限于3GPP接入，非3GPP接入。

在一种可选实施例中，根据归属网络标识和UE用于与AF建立连接的公共陆地移动网络的标识，判断UE是否处于漫游状态时，可提取归属网络标识中的第一移动设备国家代码(Mobile country code，MCC)和第一移动网络代码(Mobile Network Code，MNC)；以及，提取UE用于与AF建立连接的公共陆地移动网络的标识中的第二移动设备国家代码(Mobile country code，MCC)和第二移动网络代码(Mobile Network Code，MNC)；若判断第一移动设备国家代码与第二移动设备国家代码不相同，和/或第一移动网络代码与第二移动网络代码不相同，则确定UE处于漫游状态。在此种可选实施下，确定UE处于漫游状态可分为三种可选情况：(1)第一移动设备国家代码与第二移动设备国家代码不相同，以及第一移动网络代码与第二移动网络代码相同；(2)第一移动设备国家代码与第二移动设备国家代码相同，以及第一移动网络代码与第二移动网络代码不相同；(3)第一移动设备国家代码与第二移动设备国家代码不相同，以及第一移动网络代码与第二移动网络代码不相同。

步骤202、响应于UE处于漫游状态且AF连接到UE对应的归属网络，向UE对应归属网络中的第一网元发送AKMA应用程序密钥请求。

在本公开的实施例中，响应于UE处于漫游状态且判断当前AF连接到UE对应的归属网络，即AF所连接的网络并非为处于漫游状态的UE的服务网络，作为第一种可选实施例，响应于当前AF没有与AKMA密钥标识关联的AKMA应用程序密钥，可向UE对应归属网络中的第一网元发送至少携带有UE信息以及AKMA密钥标识的第一AKMA应用程序密钥请求。在发送第一AKMA应用程序密钥请求后，可接收第一网元响应发送的第一AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，第一AKMA应用程序密钥响应至少包括订阅永久标识符(Subscription Permanent Identifier，SUPI)、通用公共用户标识符(Generic Public Subscription Identifier，GPSI)、AKMA应用程序密钥和AKMA应用程序密钥的到期时间。

需要说明的是，在本公开的实施例中，在向UE对应归属网络中的第一网元发送至少携带有UE信息以及AKMA密钥标识的第一AKMA应用程序密钥请求之前，还需要事先判断当前AF是否存在于第三代合作伙伴计划运营商域中；若判断当前AF存在于第三代合作伙伴计划运营商域中，则可向UE对应归属网络中的第一网元发送至少携带有UE信息以及AKMA密钥标识的第一AKMA应用程序密钥请求，即可执行上述可选实施例。

作为第二种可选实施例，若判断当前AF不存在于第三代合作伙伴计划运营商域中，则可通过网络开放功能NEF向UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识(Application funciton identity，AF_ID)的第一AKMA应用程序密钥请求。AKMA应用标识可由AF的完全限定域名(Fully Qualified Domain Name,FQDN)和用户代理(User Agent,UA)标识符组成，UA标识符用于标识AF将与UE一起使用的安全协议。

在本公开的实施例的第二种可选实施例下，UE对应归属网络中的第一网元在接收到至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求后，可根据第一预设配置策略以及AKMA应用标识判断当前第一网元是否可以向AF提供服务，若是，则可进一步接收到第一网元响应发送的第一AKMA应用程序密钥响应；若否，则可进一步接收到第一网元响应发送的AKMA密钥请求失败的错误响应。其中，第一预设配置策略为运营商配置的第一网元的服务权限，可存储在第一网元的本地存储空间。在一些可能的实施方式中，可为每个第一网元配置可提供服务的AF清单，在AF清单中可包含能够提供服务的AKMA应用标识。对于本公开实施例，第一网元可判断第一AKMA应用程序密钥请求中的AKMA应用标识是否在当前第一网元可提供服务的AF清单中，若第一AKMA应用程序密钥请求中的AKMA应用标识在当前第一网元的AF清单中，则说明当前第一网元可以为该AKMA应用标识对应的AF提供服务，进一步向AF发送第一AKMA应用程序密钥响应；若第一AKMA应用程序密钥请求中的AKMA应用标识不在当前第一网元的AF清单中，则说明当前第一网元不可以为该AKMA应用标识对应的AF提供服务，进一步向AF发送AKMA密钥请求失败的错误响应。

步骤203、根据第一AKMA应用程序密钥响应向UE发送应用会话建立响应，或，根据AKMA密钥请求失败的错误响应向UE发送应用会话建立失败的错误响应。

在本公开的实施例中，若基于实施例步骤202接收到第一网元响应发送的第一AKMA应用程序密钥响应，则可依据第一AKMA应用程序密钥响应中所至少包含的订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间，向UE发送应用会话建立响应，即与UE成功建立应用会话连接；若基于实施例步骤202接收到第一网元响应发送的AKMA密钥请求失败的错误响应，则可向UE发送应用会话建立失败的错误响应，以此拒绝应用会话建立。之后，UE可以向AF触发具有最新AKMA密钥标识的新应用会话建立请求。可以理解的是，在应用会话建立失败的错误响应中还可包含失败原因(如AKMA密钥请求失败)以及相应的提示信息(如文字提示信息、音频提示信息、视频提示信息、震动提示信息)等，对此不进行具体的限定。

综上，根据本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，可首先判断用户设备UE是否处于漫游状态，若判断UE处于漫游状态且判断当前AF连接到UE对应的归属网络，则向UE对应归属网络中的第一网元发送AKMA应用程序密钥请求。可在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，融入漫游状态的判定。进一步在UE处于漫游状态且判断当前AF连接到UE对应的归属网络的条件下，使AKMA支持漫游场景下的应用会话建立，以满足AKMA的潜在用例需求。

图3示出了根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图。该方法应用于应用功能AF，基于图1所示实施例，如图3所示，且可以包括以下步骤。

步骤301、判断用户设备UE是否处于漫游状态。

在本公开的实施例中，其实现过程与实施例步骤201相同，在此不再赘述。

步骤302、响应于UE处于漫游状态且AF连接到UE对应的服务网络，向UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。

在本公开的实施例中，若判断UE处于漫游状态且判断当前AF连接到UE对应的服务网络，即AF所连接的网络为处于漫游状态的UE的服务网络，作为第一种可选实施例，响应于当前AF没有与AKMA密钥标识关联的AKMA应用程序密钥，可向UE对应服务网络中的第二网元发送至少携带有UE信息以及AKMA密钥标识的第二AKMA应用程序密钥请求。在发送第二AKMA应用程序密钥请求后，可接收第二网元响应发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间。

需要说明的是，在本公开的实施例中，在向UE对应服务网络中的第二网元发送至少携带有UE信息以及AKMA密钥标识的第二AKMA应用程序密钥请求之前，还需要事先判断当前AF是否存在于第三代合作伙伴计划运营商域中；若判断当前AF存在于第三代合作伙伴计划运营商域中，则可向UE对应服务网络中的第二网元发送至少携带有UE信息以及AKMA密钥标识的第二AKMA应用程序密钥请求，即可执行上述可选实施例。

作为第二种可选实施例，若判断当前AF不存在于第三代合作伙伴计划运营商域中，则可通过网络开放功能NEF向UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。AKMA应用标识可由AF的完全限定域名(Fully Qualified Domain Name,FQDN)和用户代理(User Agent,UA)标识符组成，UA标识符用于标识AF将与UE一起使用的安全协议。

在本公开的实施例的第二种可选实施例下，UE对应服务网络中的第二网元在接收到至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求后，可根据第二预设配置策略以及AKMA应用标识判断当前第二网元所中继的第一网元是否可以向AF提供服务，若是，则可进一步接收到第二网元响应发送的第二AKMA应用程序密钥响应；若否，则可进一步接收到第二网元响应发送的AKMA密钥请求失败的错误响应。其中，第二预设配置策略为运营商配置的第一网元的服务权限，可存储在第二网元的本地存储空间。在一些可能的实施方式中，可为每个第一网元配置可提供服务的AF清单，在AF清单中可包含能够提供服务的AKMA应用标识。对于本公开实施例，第二网元可判断第二AKMA应用程序密钥请求中的AKMA应用标识是否在所中继的第一网元可提供服务的AF清单中，若第二AKMA应用程序密钥请求中的AKMA应用标识在所中继的第一网元的AF清单中，则说明所中继的第一网元可以为该AKMA应用标识对应的AF提供服务，进一步向AF发送第二AKMA应用程序密钥响应；若第二AKMA应用程序密钥请求中的AKMA应用标识不在所中继的第一网元的AF清单中，则说明所中继的第一网元不可以为该AKMA应用标识对应的AF提供服务，进一步向AF发送AKMA密钥请求失败的错误响应。

步骤303、根据第二AKMA应用程序密钥响应向UE发送应用会话建立响应，或，根据AKMA密钥请求失败的错误响应向UE发送应用会话建立失败的错误响应。

在本公开的实施例中，若基于实施例步骤302接收到第二网元响应发送的第二AKMA应用程序密钥响应，则可依据第二AKMA应用程序密钥响应中所至少包含的订阅永久标识符、通用公共用户标识符、 AKMA应用程序密钥和AKMA应用程序密钥的到期时间，向UE发送应用会话建立响应，即与UE成功建立应用会话连接；若基于实施例步骤302接收到第二网元响应发送的AKMA密钥请求失败的错误响应，则可向UE发送应用会话建立失败的错误响应，以此拒绝应用会话建立。之后，UE可以向AF触发具有最新AKMA密钥标识的新应用会话建立请求。可以理解的是，在应用会话建立失败的错误响应中还可包含失败原因(如AKMA密钥请求失败)以及相应的提示信息(如文字提示信息、音频提示信息、视频提示信息、震动提示信息)等，对此不进行具体的限定。

综上，根据本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，可首先判断用户设备UE是否处于漫游状态，若判断UE处于漫游状态且判断当前AF连接到UE对应的服务网络，向UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。可在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，融入漫游状态的判定。进一步在UE处于漫游状态且判断当前AF连接到UE对应的服务网络的条件下，使AKMA支持漫游场景下的应用会话建立，以满足AKMA的潜在用例需求。

图4为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图。该方法应用于UE对应归属网络中的第一网元，且该方法可以包括以下步骤。

步骤401、根据AKMA密钥标识获取UE的归属网络标识，根据UE信息获取UE用于与AF建立连接的公共陆地移动网络的标识，并根据归属网络标识和UE用于与AF建立连接的公共陆地移动网络的标识判断UE是否处于漫游状态。

在本公开的实施例中，UE对应归属网络中的第一网元在接收到AF发送的第一AKMA应用程序密钥请求后，可根据第一AKMA应用程序密钥请求中携带的AKMA密钥标识提取UE的归属网络标识，根据第一AKMA应用程序密钥请求中携带的UE信息获取UE用于与AF建立连接的公共陆地移动网络的标识，并根据归属网络标识和UE用于与AF建立连接的公共陆地移动网络的标识判断UE是否处于漫游状态。

在本公开的一些可选实施例中，在根据归属网络标识和UE用于与AF建立连接的公共陆地移动网络的标识判断UE是否处于漫游状态时，可提取归属网络标识中的第一移动设备国家代码和第一移动网络代码；以及，提取UE用于与AF建立连接的公共陆地移动网络的标识中的第二移动设备国家代码和第二移动网络代码；若判断第一移动设备国家代码与第二移动设备国家代码不相同，和/或第一移动网络代码与第二移动网络代码不相同，则确定UE处于漫游状态。在此种可选实施下，确定UE处于漫游状态可分为三种可选情况：(1)第一移动设备国家代码与第二移动设备国家代码不相同，以及第一移动网络代码与第二移动网络代码相同；(2)第一移动设备国家代码与第二移动设备国家代码相同，以及第一移动网络代码与第二移动网络代码不相同；(3)第一移动设备国家代码与第二移动设备国家代码不相同，以及第一移动网络代码与第二移动网络代码不相同。

在本公开的一些可选实施例中，还可直接接收AF发送的UE是否处于漫游状态的判断结果，其具体判断过程，可参见实施例步骤101中的相关描述，在此不在赘述。在此种情况下，可直接跳过本公开的实施例步骤401，直接执行实施例步骤402。

步骤402、响应于UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的应用功能AF发起，向AF发送关于AKMA应用程序密钥的第一AKMA应用程序密钥响应，同时向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息。

在本公开的实施例中，若判断UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的AF发起，即UE处于漫游状态且AF连接到UE对应的归属网络，此时可接收UE对应归属网络的AF发送的第一AKMA应用程序密钥请求。其中，第一AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA 密钥标识，第一AKMA应用程序密钥请求是AF在连接到UE对应的归属网络，且没有与AKMA密钥标识关联的AKMA应用程序密钥时发送的；进一步可判断第一AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥(K _AKMA)；若判断第一AKMA应用程序密钥请求中携带的AKMA密钥标识存在AKMA锚密钥，则从AKMA锚密钥中导出AKMA应用程序密钥，并在AF连接到UE对应的归属网络时，向AF发送关于AKMA应用程序密钥的第一AKMA应用程序密钥响应，第一AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间；若判断第一AKMA应用程序密钥请求中携带的AKMA密钥标识不存在AKMA锚密钥，则在AF连接到UE对应的归属网络时，向AF发送AKMA密钥请求失败的错误响应。

需要说明的是，在本公开的实施例中，在所接收的第一AKMA应用程序密钥请求中还可携带AF发送的AKMA应用标识，其中，AKMA应用标识是AF在判断当前AF未存在于第三代合作伙伴计划运营商域中时发送的，AKMA应用标识可由AF的完全限定域名(Fully Qualified Domain Name,FQDN)和用户代理(User Agent,UA)标识符组成，UA标识符用于标识AF将与UE一起使用的安全协议。在接收到的第一AKMA应用程序密钥请求中还携带AKMA应用标识的情况下，在上述判断第一AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥之前，需要先根据第一预设配置策略以及AKMA应用标识判断当前第一网元是否可以向AF提供服务，若是，则判断第一AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥；若否，则拒绝第一AKMA应用程序密钥请求。其中，第一预设配置策略为运营商配置的第一网元的服务权限，可存储在第一网元的本地存储空间。在一些可能的实施方式中，可为每个第一网元配置可提供服务的AF清单，在AF清单中可包含能够提供服务的AKMA应用标识。对于本公开实施例，第一网元可判断第一AKMA应用程序密钥请求中的AKMA应用标识是否在当前第一网元可提供服务的AF清单中，若第一AKMA应用程序密钥请求中的AKMA应用标识在当前第一网元的AF清单中，则说明当前第一网元可以为该AKMA应用标识对应的AF提供服务，则可进一步执行上述对第一AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥的判断；若第一AKMA应用程序密钥请求中的AKMA应用标识不在当前第一网元的AF清单中，则说明当前第一网元不可以为该AKMA应用标识对应的AF提供服务，则可进一步拒绝AF发送的第一AKMA应用程序密钥请求。

在本公开的实施例中，若判断UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的AF发起，即UE处于漫游状态且AF连接到UE对应的归属网络，此时在可同时向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息，AKMA应用密钥确认请求消息中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间；以及接收UE对应服务网络中的第二网元发送的AKMA应用密钥确认响应。

需要说明的是，在本公开的实施例中，在向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息之前，还需要根据第一预设配置策略判断当前第一网元是否可以向第二网元提供服务。在一些可能的实施方式中，可判断第二网元是否位于UE的服务网络中，若判断第二网元位于UE的服务网络中，则UE归属网络中的第一网元可以为第二网元提供服务，则可进一步执行上述向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息的操作；若判断第二网元没有位于UE的服务网络中，则说明当前第一网元不可以为该第二网元提供服务，故可不执行上述向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息的操作。

步骤403、响应于UE处于漫游状态，且AKMA应用密钥请求由UE对应服务网络的第二网元发起，向UE对应服务网络中的第二网元发送关于AKMA应用程序密钥的第二AKMA应用程序密钥响应。

在本公开的实施例中，若判断UE处于漫游状态，且AKMA应用密钥请求由UE对应服务网络的第二网元发起，即UE处于漫游状态且AF连接到UE对应的服务网络，则可接收UE对应服务网络中的第二网元所中继的第二AKMA应用程序密钥请求，其中，第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，第二AKMA应用程序密钥请求是AF在连接到UE对应的服务网络，且没有与 AKMA密钥标识关联的AKMA应用程序密钥时发送的；进一步可判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥；若判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识存在AKMA锚密钥，则从AKMA锚密钥中导出AKMA应用程序密钥，并将AKMA应用程序密钥发送至UE对应服务网络中的第二网元，以使UE对应服务网络中的第二网元在AF连接到UE对应的服务网络时，向AF发送关于AKMA应用程序密钥的第二AKMA应用程序密钥响应，第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间；若判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识不存在AKMA锚密钥，则向UE对应服务网络中的第二网元发送AKMA密钥请求失败的错误响应。

需要说明的是，在本公开的实施例中，在判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥之前，还需要根据第一预设配置策略判断当前第一网元是否可以向中继的第二AKMA应用程序密钥请求的第二网元提供服务。在一些可能的实施方式中，可判断第二网元是否位于UE的服务网络中，若判断第二网元位于UE的服务网络中，则说明当前第一网元可以为该第二网元提供服务，则可进一步执行上述第二AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥的判断操作；若判断第二网元没有位于UE的服务网络中，则说明当前第一网元不可以为该第二网元提供服务，则可不执行本公开实施例中的后续操作。

综上，根据本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，第一网元可首先判断用户设备UE是否处于漫游状态，若判断UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的AF发起，则向AF发送关于AKMA应用程序密钥的第一AKMA应用程序密钥响应，同时向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息；若判断UE处于漫游状态，且AKMA应用密钥请求由UE对应服务网络的第二网元发起，则向UE对应服务网络中的第二网元发送关于AKMA应用程序密钥的第二AKMA应用程序密钥响应。可在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，融入漫游状态的判定，从而能够使AKMA支持漫游场景，以满足AKMA的潜在用例需求。

图5为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图。该方法应用于UE对应访问网络中的第二网元，且该方法可以包括以下步骤。

步骤501、接收应用功能AF发送的第二AKMA应用程序密钥请求。

其中，第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，第二AKMA应用程序密钥请求是AF在UE处于漫游状态下，连接到UE对应的服务网络，且没有与AKMA密钥标识关联的AKMA应用程序密钥时发送的。

步骤502、将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元。

在本公开的实施例中，UE对应访问网络中的第二网元在接收到AF发送的第二AKMA应用程序密钥请求后，可进一步将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元，以利用第一网元判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥；若第一网元判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识存在AKMA锚密钥，则从AKMA锚密钥中导出AKMA应用程序密钥，并将AKMA应用程序密钥发送至当前第二网元；若第一网元判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识不存在AKMA锚密钥，则向当前第二网元发送AKMA密钥请求失败的错误响应。

需要说明的是，在本公开的实施例中，在所接收的第二AKMA应用程序密钥请求中还可携带AF发送的AKMA应用标识，其中，AKMA应用标识是AF在判断当前AF未存在于第三代合作伙伴计划运营商域中时发送的，AKMA应用标识可由AF的完全限定域名(Fully Qualified Domain Name,FQDN)和用户代理(User Agent,UA)标识符组成，UA标识符用于标识AF将与UE一起使用的安全协议。在接收到的第二AKMA应用程序密钥请求中还携带AKMA应用标识的情况下，在上述将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元之前，需要先根据第二预设本地配置策略以及AKMA应用标识判断UE对应归属网络中的第一网元是否可以向AF提供服务；若是，则将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元；若否，则拒绝第二AKMA应用程序密钥请求。其中，第二预设配置策略为运营商配置的第一网元的服务权限，可存储在第二网元的本地存储空间。在一些可能的实施方式中，可为每个第一网元配置可提供服务的AF清单，在AF清单中可包含能够提供服务的AKMA应用标识。对于本公开实施例，第二网元可判断第二AKMA应用程序密钥请求中的AKMA应用标识是否在所中继的第一网元可提供服务的AF清单中，若第二AKMA应用程序密钥请求中的AKMA应用标识在所中继的第一网元的AF清单中，则说明所中继的第一网元可以为该AKMA应用标识对应的AF提供服务，则可进一步将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元，以及继续执行下述公开实施例步骤503、504；若第二AKMA应用程序密钥请求中的AKMA应用标识不在所中继的第一网元的AF清单中，则说明所中继的第一网元不可以为该AKMA应用标识对应的AF提供服务，则可不执行本公开实施例中的后续操作，以及不执行下述公开实施例步骤503、504。

步骤503、接收UE对应归属网络中的第一网元发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间。

步骤504、在AF连接到UE对应的服务网络时，将第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应中继到AF。

综上，根据本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，第二网元在接收到AF发送的第二AKMA应用程序密钥请求后，可将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元，以接收UE对应归属网络中的第一网元发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，并在AF连接到UE对应的服务网络时，将第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应中继到AF。可在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，融入漫游状态的判定。进一步在UE处于漫游状态且判断当前AF连接到UE对应的服务网络的条件下，使AKMA支持漫游场景下的应用会话建立，以满足AKMA的潜在用例需求。

图6为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图。该方法应用于UE对应访问网络中的第二网元，基于图5所示实施例，如图6所示，该方法可以包括以下步骤。

步骤601、接收UE对应归属网络中的第一网元发送的AKMA应用密钥确认请求消息。

其中，AKMA应用密钥确认请求中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间，AKMA应用密钥确认请求是UE对应归属网络中的第一网元根据UE的UE信息确认UE在服务网络，并且UE与连接到UE对应归属网络的AF建立连接时发送的.

在本公开的实施例中，在UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的AF发起，即UE处于漫游状态且AF连接到UE对应的归属网络，UE对应归属网络中的第一网元从AKMA锚密钥中导出AKMA应用程序密钥时，可接收第一网元向当前第二网元发送的AKMA应用密钥确认请求消息。

步骤602、存储AKMA应用密钥确认请求消息，并向UE对应归属网络中的第一网元发送AKMA应用密钥确认响应。

综上，根据本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，第二网元可接收UE对应归属网络中的第一网元发送的AKMA应用密钥确认请求消息，存储AKMA应用密钥确认请求消息，并UE对应归属网络中的第一网元发送AKMA应用密钥确认响应。可在基于AKMA特性进行用户设备与应用功能之间的安全通信管理时，支持第一网元向第二网元的AKMA应用密钥确认请求消息的同步，以实现对第二网元中所存储AKMA应用程序密钥的更新。

图7为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的流程示意图。该方法应用于网络开放功能NEF，且该方法可以包括以下步骤。

步骤701、响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求。

在本公开的实施例中，若AF在向UE对应归属网络中的第一网元在发送至少携带有UE信息以及AKMA密钥标识的第一AKMA应用程序密钥请求之前，判断当前AF不存在于第三代合作伙伴计划运营商域中，则可通过网络开放功能NEF向UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识(Application funciton identity，AF_ID)的第一AKMA应用程序密钥请求。AKMA应用标识可由AF的完全限定域名(Fully Qualified Domain Name,FQDN)和用户代理(User Agent,UA)标识符组成，UA标识符用于标识AF将与UE一起使用的安全协议。

步骤702、响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。

在本公开的实施例中，若AF在向UE对应服务网络中的第二网元发送至少携带有UE信息以及AKMA密钥标识的第二AKMA应用程序密钥请求之前，判断当前AF不存在于第三代合作伙伴计划运营商域中，则可通过网络开放功能NEF向UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。AKMA应用标识可由AF的完全限定域名(Fully Qualified Domain Name,FQDN)和用户代理(User Agent,UA)标识符组成，UA标识符用于标识AF将与UE一起使用的安全协议。

综上，根据本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，可利用网络开放功能NEF的透传功能，在判断AF未存在于第三代合作伙伴计划运营商域中时，向UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求；或，在判断AF未存在于第三代合作伙伴计划运营商域中时，向UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。可在AF未存在于第三代合作伙伴计划运营商域中的情况下，以另外一种方式，实现对AF的授权信息验证，进一步判断出第一网元是否能够为该AF提供服务，便于漫游场景中AKMA应用程序密钥请求的推送以及响应执行。

图8为根据本公开实施例的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的时序图。为充分说明本公开中的技术方案，在此结合图8对本公开的技术方案进行详细说明：

1.用户设备UE向应用功能AF发送包含A-KID的应用会话建立请求。

UE在发起与应用功能AF的通信之前，应先生成AKMA锚密钥和A-KID。当UE发起与AF的通信(可以理解为UE向应用功能AF发送应用会话建立请求)时，应用会话建立请求中包含A-KID(参见3GPP TS 33.535的第6.1条)。

2.AF从PCF中请求获取UE的UE信息。

AF收到应用会话建立请求消息后，应获取UE信息，包括UE当前所在的PLMN标识、UE使用的接入类型、UE使用的RAT类型。根据3GPP TS 23.503[2]的6.1.3.18子条款，AF可以使用事件报告过程从PCF获取UE信息。AF可以从UE发送的A-KID中获取归属网络标识。AF可以通过将归属网络标识符与PCF发送的PLMN标识符进行比较来验证UE是否正在漫游。如果归属网络标识符中的移动设备国家代码和移动网络代码与PCF发送的PLMN标识符中的这些不相同，则确定UE正在漫游。UE漫游场景下，AF需要根据AF是否在UE的服务网络向不同的网元请求AKMA应用程序密钥。

3a.AF向连接到UE的归属网络的AAnF发送带有A-KID、UE信息、AF_ID(根据AF是否在3GPP运营商域中，确定AF_ID的有无)的第一AKMA应用程序密钥请求。

如果AF连接到UE的归属网络并且AF没有与A-KID关联的AKMA应用程序密钥，则AF选择3GPP TS33.535中定义的AAnF，并向AAnF发送带有A-KID、UE信息的第一AKMA应用程序密钥请求，进一步为UE请求AKMA应用程序密钥。根据3GPP TS 33.535，如果AF不在3GPP运营商域中，AF需要通过NEF发送第一AKMA应用程序密钥请求，AF在第一AKMA应用程序密钥请求中还包括其身份(AF_ID)。

AAnF将根据本地配置的第一预设配置策略或NRF使用AF_ID提供的授权信息检查AAnF是否可以向AF提供服务。如果成功，则执行以下过程。否则，AAnF将拒绝该第一AKMA应用程序密钥请求。

AAnF将根据A-KID标识的UE特定AKMA锚密钥(K _AKMA)的存在来验证用户是否被授权使用AKMA。

如果AAnF中存在K _AKMA，则UE归属网络中的AAnF将继续执行步骤4。

如果AAnF中不存在K _AKMA，则UE归属网络中的AAnF将继续执行步骤5a，并返回错误响应。并且可以跳过步骤5b到步骤5c。

3b.AF向连接到UE的服务网络的AAnFProxy发送带有A-KID、UE信息、AF_ID(根据AF是否在3GPP运营商域中，确定AF_ID的有无)的第二AKMA应用程序密钥请求。

如果AF连接到UE的服务网络，并且AF没有与A-KID关联的AKMA应用程序密钥，则AF向具有A-KID的UE服务网络中的AAnFProxy发送带有A-KID、UE信息的第二AKMA应用程序密钥请求，为UE请求AKMA应用程序密钥，进一步的，AAnFProxy将第二AKMA应用程序密钥请求中继到UE归属网络中的AAnF。根据3GPP TS 33.535，如果AF不在3GPP运营商域中，AF需要通过NEF发送第二AKMA应用程序密钥请求，AF在第二AKMA应用程序密钥请求中还包括其身份(AF_ID)。AAnFProxy将根据配置的本地策略或NRF使用AF_ID提供的授权信息检查AAnF是否可以向AF提供服务。如果成功，则执行步骤3c。否则，AAnFProxy将拒绝该第二AKMA应用程序密钥请求。

3c.AAnFProxy将第二AKMA应用程序密钥请求中继到UE归属网络中的AAnF。

UE归属网络中的AAnF将验证AAnFProxy是否被授权使用AKMA。具体来说，如果AAnFProxy位于UE的服务网络中，则UE归属网络中的AAnF可以为AAnFProxy服务，UE归属网络中的AAnF将根据A-KID标识的UE特定AKMA锚密钥(K _AKMA)的存在来验证用户是否被授权使用AKMA。

如果AAnF中不存在K _AKMA，则UE归属网络中的AAnF将继续执行步骤5d，并返回错误响应。

4.AAnF从K _AKMA中导出AKMA应用程序密钥。

如果AAnF还没有AKMA应用程序密钥(K _AF)，则AAnF从K _AKMA中导出AKMA应用程序密钥(K _AF)。

K _AF的密钥推导应按照3GPP TS 33.535的附件A.4的规定执行。

5a.AAnF应该向AF发送第一AKMA应用程序密钥响应。

如果AF连接到UE的归属网络，UE的归属网络中的AAnF应该向AF发送第一AKMA应用程序密钥响应。第一AKMA应用程序密钥响应可能包括SUPI、GPSI、KAF和KAF到期时间。然后程序进行到5b。如果AF连接到UE的服务网络，则流程进行到步骤5d。

5b.AAnF向AAnFproxy发送AKMA应用密钥确认请求消息。

如果AAnF根据UE信息确认UE在服务网络，并且UE与连接到UE归属网络的AF建立连接，则UE归属网络中的AAnF应向AAnFproxy发送AKMA应用密钥确认请求消息。AKMA应用密钥确认请求消息可以包括AF_ID、SUPI、GPSI、K _AF和K _AF过期时间。然后程序进行到步骤5c。

5c.AAnFProxy向AAnF发送AKMA应用密钥确认响应。

如果AAnF根据UE信息确认UE在服务网络，并且UE与连接到UE归属网络的AF建立连接，则在收到AKMA应用密钥确认请求消息后，AAnFProxy应存储AF_ID、SUPI、GPSI、K _AF和K _AF到期时间。然后AAnFProxy应该向UE归属网络中的AAnF发送AKMA应用密钥确认响应。然后程序转到步骤6。

5d.AAnF向AAnFproxy发送第二AKMA应用程序密钥响应。

如果AF连接到UE的服务网络，则UE归属网络中的AAnF向UE服务网络中的AAnFproxy发送第二AKMA应用程序密钥响应。第二AKMA应用程序密钥响应可能包括SUPI、GPSI、K _AF和K _AF到期时间。然后程序进行到步骤5e。

5e.AAnFProxy向AF中继第二AKMA应用程序密钥响应。

如果AF连接到UE的服务网络，当AF连接到服务网络时，服务网络中的AAnFProxy在接收到AAnF在UE的归属网络中发送的第二AKMA应用程序密钥响应后，应该将第二AKMA应用程序密钥响应中继给AF。然后程序转到步骤6。

6.AF向UE发送应用会话建立响应。

如果步骤5中的信息表明AKMA应用程序密钥请求请求失败，则AF应通过包含失败原因来拒绝应用会话建立。之后，UE可以向AF触发具有最新A-KID的新应用会话建立请求。

上述本申请提供的实施例中，分别从应用功能AF、UE对应归属网络中的第一网元、UE对应访问网络中的第二网元、网络开放功能NEF的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能，应用功能AF、UE对应归属网络中的第一网元、UE对应访问网络中的第二网元、网络开放功能NEF可以包括硬件结构、软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。

与上述几种实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法相对应，本公开还提供一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，由于本公开实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置与上述几种实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法相对应，因此用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法的实施方式也适用于本实施例提供的用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，在本实施例中不再详细描述。

图9为根据本公开实施例提供的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置800的结构示意图，该用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置800可用于应用功能AF。

如图9所示，该装置800可包括：

发送模块810，用于根据AF所连接的网络是否为处于漫游状态的UE的归属网络，向UE对应归属网络中的第一网元或UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。其中，服务网络可为漫游状态UE与AF建立连接所使用的服务网络。

在本公开的一些实施例中，如图9所示，该装置还包括：判断模块820；

判断模块820，可以用于接收UE发送的应用会话建立请求，应用会话建立请求中包含AKMA密钥标识；从策略控制功能获取UE的UE信息，UE信息至少包括UE用于与AF建立连接的公共陆地移动网络的标识、UE使用的接入类型、UE使用的无线电接入技术类型；在AKMA密钥标识中获取归属网络标识，并根据归属网络标识和UE用于与AF建立连接的公共陆地移动网络的标识，判断UE是否处于漫游状态。

在本公开的一些实施例中，判断模块820，可以用于提取归属网络标识中的第一移动设备国家代码和第一移动网络代码；以及，提取UE用于与AF建立连接的公共陆地移动网络的标识中的第二移动设备国家代码和第二移动网络代码；若判断第一移动设备国家代码与第二移动设备国家代码不相同，和/或第一移动网络代码与第二移动网络代码不相同，则确定UE处于漫游状态。

在本公开的一些实施例中，响应于UE处于漫游状态且AF连接到UE对应的归属网络，发送模块810，可以用于响应于AF没有与AKMA密钥标识关联的AKMA应用程序密钥，向UE对应归属网络中的第一网元发送至少携带有UE信息以及AKMA密钥标识的第一AKMA应用程序密钥请求；

如图9所示，该装置800还可包括：接收模块830；

接收模块830，用于接收第一网元响应发送的第一AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，第一AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间。

在本公开的一些实施例中，判断模块820，可以用于判断当前AF是否存在于第三代合作伙伴计划运营商域中；发送模块810，可以用于在当前AF未存在于第三代合作伙伴计划运营商域中时，通过网络开放功能NEF向UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求。

在本公开的一些实施例中，响应于UE处于漫游状态且AF连接到UE对应的服务网络，发送模块810，可以用于响应于AF没有与AKMA密钥标识关联的AKMA应用程序密钥，向UE对应服务网络中的第二网元发送至少携带有UE信息以及AKMA密钥标识的第二AKMA应用程序密钥请求；接收模块830，可以用于接收第二网元响应发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间。

在本公开的一些实施例中，发送模块810，可以用于根据第一AKMA应用程序密钥响应、第二AKMA应用程序密钥响应中的一种向UE发送应用会话建立响应；或，根据AKMA密钥请求失败的错误响应向UE发送应用会话建立失败的错误响应。

图10为本公开实施例提供的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置900的结构示意图。该用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置900可用于UE对应归属网络中的第一网元。

如图10所示，该装置900可包括：

发送模块910，用于响应于UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的应用功能AF发起，向AF发送关于AKMA应用程序密钥的第一AKMA应用程序密钥响应，同时向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息；

发送模块910，用于响应于UE处于漫游状态，且AKMA应用密钥请求由UE对应服务网络的第二网元发起，向UE对应服务网络中的第二网元发送关于AKMA应用程序密钥的第二AKMA应用程序密钥响应。

在本公开的一些实施例中，第一网元为UE对应服务网络中的AKMA锚功能AAnF。

在本公开的一些实施例中，如图10所示，该装置900还可包括：接收模块920、判断模块930；

在UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的AF发起时，接收模块920，可以用于接收UE对应归属网络的AF发送的第一AKMA应用程序密钥请求，其中，第一AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，第一AKMA应用程序密钥请求是AF在连接到UE对应的归属网络，且没有与AKMA密钥标识关联的AKMA应用程序密钥时发送的；判断模块930，可以用于判断第一AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥；若第一AKMA应用程序密钥请求中携带的AKMA密钥标识存在有AKMA锚密钥，发送模块910，可以用于从AKMA锚密钥中导出AKMA应用程序密钥，并在AF连接到UE对应的归属网络时，向AF发送关于AKMA应用程序密钥的第一AKMA应用程序密钥响应，第一AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间；若第一AKMA应用程序密钥请求中携带的AKMA密钥标识不存在AKMA锚密钥，发送模块910，可以用于在AF连接到UE对应的归属网络时，向AF发送AKMA密钥请求失败的错误响应。

在本公开的一些实施例中，接收模块920，可以用于接收AF发送的AKMA应用标识，其中，AKMA应用标识是AF在判断当前AF未存在于第三代合作伙伴计划运营商域中时发送的；判断模块930，可以用于根据第一预设配置策略以及AKMA应用标识判断当前第一网元是否可以向AF提供服务；若当前第一网元可以向AF提供服务，判断模块930，可以用于判断第一AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥；若当前第一网元不可以向AF提供服务，判断模块930，可以用于拒绝第一AKMA应用程序密钥请求。

在本公开的一些实施例中，响应于UE处于漫游状态，且AKMA应用密钥请求由UE对应归属网络的AF发起，发送模块910，可以用于向UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息，AKMA应用密钥确认请求消息中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间；接收模块920，可以用于接收UE对应服务网络中的第二网元发送的AKMA应用密钥确认响应。

在本公开的一些实施例中，响应于UE处于漫游状态，且AKMA应用密钥请求由UE对应服务网络的第二网元发起，在本公开的一些实施例中，接收模块920，可以用于接收UE对应服务网络中的第二网元所中继的第二AKMA应用程序密钥请求，其中，第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，第二AKMA应用程序密钥请求是AF在连接到UE对应的服务网络，且没有与AKMA密钥标识关联的AKMA应用程序密钥时发送的；判断模块930，可以用于判断第二AKMA应用程序密钥请求中携带的AKMA密钥标识是否存在AKMA锚密钥；若第二AKMA应用程序密钥请求中携带的AKMA密钥标识存在AKMA锚密钥，发送模块910，可以用于从AKMA锚密钥中导出AKMA应用程序密钥，并将AKMA应用程序密钥发送至UE对应服务网络中的第二网元，以使UE对应服务网络中的第二网元在AF连接到UE对应的服务网络时，向AF发送关于AKMA应用程序密钥的第二AKMA应用程序密钥响应，第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间；若第二AKMA应用程序密钥请求中携带的AKMA密钥标识不存在AKMA锚密钥，发送模块910，可以用于向UE对应服务网络中的第二网元发送AKMA密钥请求失败的错误响应。

在本公开的一些实施例中，判断模块930，可以用于根据第一预设配置策略判断当前第一网元是否具备向第二网元提供服务。

在本公开的一些实施例中，判断模块930，可以用于根据AKMA密钥标识获取UE的归属网络标识，根据UE信息获取UE用于与AF建立连接的公共陆地移动网络的标识，并根据归属网络标识和UE用于与AF建立连接的公共陆地移动网络的标识判断UE是否处于漫游状态。

图11为本公开实施例提供的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置1000的结构示意图。该用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置1000可用于UE对应访问网络中的第二网元。

如图11所示，该装置1000可包括：

接收模块1010，可用于接收应用功能AF发送的第二AKMA应用程序密钥请求，其中，第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，第二AKMA应用程序密钥请求是AF在UE处于漫游状态下，连接到UE对应的服务网络，且没有与AKMA密钥标识关联的AKMA应用程序密钥时发送的；

中继模块1020，可用于将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元；

接收模块1010，可用于接收UE对应归属网络中的第一网元发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间；

中继模块1020，还可用于在AF连接到UE对应的服务网络时，将第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应中继到AF。

在本公开的一些实施例中，第二网元为UE对应服务网络中的AKMA锚功能代理AAnFproxy。

在本公开的一些实施例中，如图11所示，该装置1000还可包括：判断模块1030；

接收模块1010，可用于接收AF发送的AKMA应用标识，其中，AKMA应用标识是AF在判断当前AF未存在于第三代合作伙伴计划运营商域中时发送的；判断模块1030，可用于根据第二预设本地配置策略以及AKMA应用标识判断UE对应归属网络中的第一网元是否可以向AF提供服务；若第一网元可以向AF提供服务，中继模块1020，可用于将第二AKMA应用程序密钥请求中继到UE对应归属网络中的第一网元；若第一网元不可以向AF提供服务，中继模块1020，可用于拒绝第二AKMA应用程序密钥请求。

在本公开的一些实施例中，如图11所示，该装置1000还可包括：存储模块1040；

接收模块1010，可用于接收UE对应归属网络中的第一网元发送的AKMA应用密钥确认请求消息，其中，AKMA应用密钥确认请求中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和AKMA应用程序密钥的到期时间，AKMA应用密钥确认请求是UE对应归属网络中的第一网元根据UE的UE信息确认UE在服务网络，并且UE与连接到UE对应归属网络的AF建立连接时发送的；存储模块1040，可用于存储AKMA应用密钥确认请求消息，并向UE对应归属网络中的第一网元发送AKMA应用密钥确认响应。

在本公开的一些实施例中，判断模块1030，可用于根据第二预设配置策略判断当前第二网元是否可以向AF提供服务。

图12为本公开实施例提供的一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置1100的结构示意图。该用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置1100可用于网络开放功能NEF。

如图12所示，该装置1100可包括：

发送模块1110，可用于响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求；或，

发送模块1110，可用于响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。

请参见图13，图13是本申请实施例提供的一种通信装置1200的结构示意图。通信装置1200可以是网络设备，也可以是用户设备，也可以是支持网络设备实现上述方法的芯片、芯片系统、或处理器等，还可以是支持用户设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信装置1200可以包括一个或多个处理器1201。处理器1201可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对通信装置(如，基站、基带芯片，终端设备、终端设备芯片，DU或CU等)进行控制，执行计算机程序，处理计算机程序的数据。

可选的，通信装置1200中还可以包括一个或多个存储器1202，其上可以存有计算机程序1204，处理器1201执行计算机程序1204，以使得通信装置1200执行上述方法实施例中描述的方法。可选的，存储器1202中还可以存储有数据。通信装置1200和存储器1202可以单独设置，也可以集成在一起。

可选的，通信装置1200还可以包括收发器1205、天线1206。收发器1205可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器1205可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。

可选的，通信装置1200中还可以包括一个或多个接口电路1207。接口电路1207用于接收代码指令并传输至处理器1201。处理器1201运行代码指令以使通信装置1200执行上述方法实施例中描述的方法。

在一种实现方式中，处理器1201中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器1201可以存有计算机程序1203，计算机程序1203在处理器1201上运行，可使得通信装置1200执行上述方法实施例中描述的方法。计算机程序1203可能固化在处理器1201中，该种情况下，处理器1201可能由硬件实现。

在一种实现方式中，通信装置1200可以包括电路，该电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信装置可以是网络设备或者用户设备，但本申请中描述的通信装置的范围并不限于此，而且通信装置的结构可以不受图12的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如该通信装置可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)具有一个或多个IC的集合，可选的，该IC集合也可以包括用于存储数据，计算机程序的存储部件；

(3)ASIC，例如调制解调器(Modem)；

(4)可嵌入在其他设备内的模块；

(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等；

(6)其他等等。

对于通信装置可以是芯片或芯片系统的情况，可参见图13所示的芯片的结构示意图。图13所示的芯片包括处理器1301和接口1302。其中，处理器1301的数量可以是一个或多个，接口1302的数量可以是多个。

可选的，芯片还包括存储器1303，存储器1303用于存储必要的计算机程序和数据。

本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现的功能，但这种实现不应被理解为超出本申请实施例保护的范围。

本申请还提供一种可读存储介质，其上存储有指令，该指令被计算机执行时实现上述任一方法实施例的功能。

本申请还提供一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行计算机程序时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解：本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。

本申请中的至少一个还可以描述为一个或多个，多个可以是两个、三个、四个或者更多个，本申请不做限制。在本申请实施例中，对于一种技术特征，通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征，该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。

如本文使用的，术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如，磁盘、光盘、存储器、可编程逻辑装置(PLD))，包括，接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

此外，应该理解，本申请的各种实施例可以单独实施，也可以在方案允许的情况下与其他实施例组合实施。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，其特征在于，所述方法应用于应用功能AF，所述方法包括：

根据所述AF所连接的网络是否为处于漫游状态的UE的归属网络，向所述UE对应归属网络中的第一网元或所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。
根据权利要求1所述的方法，其特征在于，所述服务网络为漫游状态UE与所述AF建立连接所使用的服务网络。
根据权利要求1所述的方法，其特征在于，在根据所述AF所连接的网络是否为处于漫游状态的UE的归属网络，向所述UE对应归属网络中的第一网元或所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求之前，所述方法还包括：判断用户设备UE是否处于漫游状态；

所述判断用户设备UE是否处于漫游状态，包括：

接收UE发送的应用会话建立请求，所述应用会话建立请求中包含AKMA密钥标识；

从策略控制功能获取所述UE的UE信息，所述UE信息至少包括所述UE用于与所述AF建立连接的公共陆地移动网络的标识、所述UE使用的接入类型、所述UE使用的无线电接入技术类型；

在所述AKMA密钥标识中获取归属网络标识，并根据所述归属网络标识和所述UE用于与所述AF建立连接的公共陆地移动网络的标识，判断所述UE是否处于漫游状态。
根据权利要求3所述的方法，其特征在于，根据所述归属网络标识和所述UE用于与所述AF建立连接的公共陆地移动网络的标识，判断所述UE是否处于漫游状态，包括：

提取所述归属网络标识中的第一移动设备国家代码和第一移动网络代码；以及，

提取所述UE用于与所述AF建立连接的公共陆地移动网络的标识中的第二移动设备国家代码和第二移动网络代码；

若判断所述第一移动设备国家代码与所述第二移动设备国家代码不相同，和/或所述第一移动网络代码与所述第二移动网络代码不相同，则确定所述UE处于漫游状态。
根据权利要求2所述的方法，其特征在于，

响应于所述UE处于漫游状态且所述AF连接到所述UE对应的归属网络，向所述UE对应归属网络中的第一网元发送AKMA应用程序密钥请求，具体包括：响应于所述AF没有与所述AKMA密钥标识关联的AKMA应用程序密钥，向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第一AKMA应用程序密钥请求；

接收所述第一网元响应发送的第一AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第一AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间。
根据权利要求5所述的方法，其特征在于，在向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第一AKMA应用程序密钥请求之前，还包括：

判断所述当前AF是否存在于第三代合作伙伴计划运营商域中；

若否，则所述向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第一AKMA应用程序密钥请求，包括：

通过网络开放功能NEF向所述UE对应归属网络中的第一网元发送至少携带有所述UE信息、所述AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求。
根据权利要求2所述的方法，其特征在于，

响应于所述UE处于漫游状态且所述AF连接到所述UE对应的服务网络，向所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求，具体包括：响应于所述AF没有与所述AKMA密钥标识关联的AKMA应用程序密钥，向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第二AKMA应用程序密钥请求；

接收所述第二网元响应发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间。
根据权利要求7所述的方法，其特征在于，在向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第二AKMA应用程序密钥请求之前，还包括：

判断所述当前AF是否存在于第三代合作伙伴计划运营商域中；

若否，则所述向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息以及所述AKMA密钥标识的第二AKMA应用程序密钥请求，包括：

通过网络开放功能NEF向所述UE对应服务网络中的第二网元发送至少携带有所述UE信息、所述AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。
根据权利要求5至8中任意一项所述的方法，其特征在于，所述方法还包括：

根据所述第一AKMA应用程序密钥响应、所述第二AKMA应用程序密钥响应中的一种向所述UE发送应用会话建立响应；或

根据所述AKMA密钥请求失败的错误响应向所述UE发送应用会话建立失败的错误响应。
一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，其特征在于，所述方法应用于用户设备UE对应归属网络中的第一网元，所述方法包括：

响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的应用功能AF发起，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，同时向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息；

响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应服务网络的第二网元发起，向所述UE对应服务网络中的第二网元发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应。
根据权利要求10所述的方法，其特征在于，所述第一网元为所述UE对应服务网络中的AKMA锚功能AAnF。
根据权利要求10所述的方法，其特征在于，响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的AF发起，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，包括：

接收所述UE对应归属网络的AF发送的第一AKMA应用程序密钥请求，其中，所述第一AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第一AKMA应用程序密钥请求是所述 AF在连接到所述UE对应的归属网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

判断所述第一AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥；

若是，则从所述AKMA锚密钥中导出AKMA应用程序密钥，并在所述AF连接到所述UE对应的归属网络时，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，所述第一AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

若否，则在所述AF连接到所述UE对应的归属网络时，向所述AF发送AKMA密钥请求失败的错误响应。
根据权利要求12所述的方法，其特征在于，在判断所述第一AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥之前，所述方法还包括：

接收所述AF发送的AKMA应用标识，其中，所述AKMA应用标识是所述AF在判断当前AF未存在于第三代合作伙伴计划运营商域中时发送的；

根据第一预设配置策略以及所述AKMA应用标识判断当前第一网元是否可以向所述AF提供服务；

若是，则判断所述第一AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥；

若否，则拒绝所述第一AKMA应用程序密钥请求。
根据权利要求10所述的方法，其特征在于，响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的应用功能AF发起，向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息，包括：

向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息，所述AKMA应用密钥确认请求消息中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

接收所述UE对应服务网络中的第二网元发送的AKMA应用密钥确认响应。
根据权利要求10所述的方法，其特征在于，所述响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应服务网络的第二网元发起，向所述UE对应服务网络中的第二网元发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应，包括：

接收UE对应服务网络中的第二网元所中继的第二AKMA应用程序密钥请求，其中，所述第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第二AKMA应用程序密钥请求是AF在连接到所述UE对应的服务网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

判断所述第二AKMA应用程序密钥请求中携带的所述AKMA密钥标识是否存在AKMA锚密钥；

若是，则从所述AKMA锚密钥中导出AKMA应用程序密钥，并将所述AKMA应用程序密钥发送至所述UE对应服务网络中的第二网元，以使所述UE对应服务网络中的第二网元在所述AF连接到所述UE对应的服务网络时，向所述AF发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

若否，则向所述UE对应服务网络中的第二网元发送AKMA密钥请求失败的错误响应。
根据权利要求14至15中任一项所述的方法，其特征在于，所述方法还包括：

根据第一预设配置策略判断当前第一网元是否具备向所述第二网元提供服务。
根据权利要求10至15中任一项所述的方法，其特征在于，所述方法还包括：

根据AKMA密钥标识获取UE的归属网络标识，根据UE信息获取UE用于与所述AF建立连接的公共陆地移动网络的标识，并根据所述归属网络标识和所述UE用于与所述AF建立连接的公共陆地移动网络的标识判断UE是否处于漫游状态。
一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，其特征在于，所述方法应用于用户设备UE对应服务网络中的第二网元，所述方法包括：

接收应用功能AF发送的第二AKMA应用程序密钥请求，其中，所述第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第二AKMA应用程序密钥请求是所述AF在UE处于漫游状态下，连接到所述UE对应的服务网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元；

接收所述UE对应归属网络中的第一网元发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

在所述AF连接到所述UE对应的服务网络时，将所述第二AKMA应用程序密钥响应或所述AKMA密钥请求失败的错误响应中继到所述AF。
根据权利要求18所述的方法，其特征在于，所述第二网元为所述UE对应服务网络中的AKMA锚功能代理AAnFproxy。
根据权利要求18所述的方法，其特征在于，在将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元之前，所述方法还包括：

接收所述AF发送的AKMA应用标识，其中，所述AKMA应用标识是所述AF在判断当前AF未存在于第三代合作伙伴计划运营商域中时发送的；

根据第二预设本地配置策略以及所述AKMA应用标识判断所述UE对应归属网络中的第一网元是否可以向所述AF提供服务；

若是，则将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元；

若否，则拒绝所述第二AKMA应用程序密钥请求。
根据权利要求18所述的方法，其特征在于，所述方法还包括：

接收所述UE对应归属网络中的第一网元发送的AKMA应用密钥确认请求消息，其中，所述AKMA应用密钥确认请求中至少包括AKMA应用标识、订阅永久标识符、通用公共用户标识符、AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间，所述AKMA应用密钥确认请求是UE对应归属网络中的第一网元根据所述UE的UE信息确认所述UE在服务网络，并且所述UE与连接到所述UE对应归属网络的AF建立连接时发送的；

存储所述AKMA应用密钥确认请求消息，并向所述UE对应归属网络中的第一网元发送AKMA应用密钥确认响应。
根据权利要求18至20中任一项所述的方法，其特征在于，所述方法还包括：

根据第二预设配置策略判断当前第二网元是否可以向所述AF提供服务。
一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求方法，其特征在于，所述方法应用于网络开放功能NEF，所述方法包括：

响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求；或，

响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。
一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，其特征在于，所述装置应用于应用功能AF，所述装置包括：

发送模块，用于根据所述AF所连接的网络是否为处于漫游状态的UE的归属网络，向所述UE对应归属网络中的第一网元或所述UE对应服务网络中的第二网元发送AKMA应用程序密钥请求。
一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，其特征在于，所述装置应用于用户设备UE对应归属网络中的第一网元，所述装置包括：

发送模块，用于响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应归属网络的应用功能AF发起，向所述AF发送关于所述AKMA应用程序密钥的第一AKMA应用程序密钥响应，同时向所述UE对应服务网络中的第二网元发送AKMA应用密钥确认请求消息；

所述发送模块，还用于响应于UE处于漫游状态，且AKMA应用密钥请求由所述UE对应服务网络的第二网元发起，向所述UE对应服务网络中的第二网元发送关于所述AKMA应用程序密钥的第二AKMA应用程序密钥响应。
一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，其特征在于，所述装置应用于用户设备UE对应服务网络中的第二网元，所述装置包括：

接收模块，用于接收应用功能AF发送的第二AKMA应用程序密钥请求，其中，所述第二AKMA应用程序密钥请求中至少携带有UE的UE信息以及AKMA密钥标识，所述第二AKMA应用程序密钥请求是所述AF在UE处于漫游状态下，连接到所述UE对应的服务网络，且没有与所述AKMA密钥标识关联的AKMA应用程序密钥时发送的；

中继模块，用于将所述第二AKMA应用程序密钥请求中继到所述UE对应归属网络中的第一网元；

所述接收模块，还用于接收所述UE对应归属网络中的第一网元发送的第二AKMA应用程序密钥响应或AKMA密钥请求失败的错误响应，所述第二AKMA应用程序密钥响应至少包括订阅永久标识符、通用公共用户标识符、所述AKMA应用程序密钥和所述AKMA应用程序密钥的到期时间；

所述中继模块，还用于在所述AF连接到所述UE对应的服务网络时，将所述第二AKMA应用程序密钥响应或所述AKMA密钥请求失败的错误响应中继到所述AF。
一种用户设备UE漫游条件下的应用认证与密钥管理AKMA应用程序密钥请求装置，其特征在于，所述装置应用于网络开放功能NEF，所述装置包括：

发送模块，用于响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应归属网络中的第一网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第一AKMA应用程序密钥请求；或，

所述发送模块，用于响应于应用功能AF未存在于第三代合作伙伴计划运营商域中，向用户设备UE对应服务网络中的第二网元发送至少携带有UE信息、AKMA密钥标识以及AKMA应用标识的第二AKMA应用程序密钥请求。
一种通信设备，其中，包括：收发器；存储器；处理器，分别与所述收发器及所述存储器连接，配置为通过执行所述存储器上的计算机可执行指令，控制所述收发器的无线信号收发，并能够实现权利要求1-23中任一项所述的方法。
一种计算机存储介质，其中，所述计算机存储介质存储有计算机可执行指令；所述计算机可执行指令被处理器执行后，能够实现权利要求1-23中任一项所述的方法。