一种密钥生成方法、装置、设备及计算机可读存储介质
阅读说明:本技术 一种密钥生成方法、装置、设备及计算机可读存储介质 (Key generation method, device, equipment and computer readable storage medium ) 是由 毕晓宇 于 2020-03-31 设计创作,主要内容包括:本发明公开了一种密钥生成方法、装置、设备及计算机可读存储介质,涉及通信技术领域,以节约网络资源。该方法包括:获取终端的第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力;根据所述第一信息,生成密钥。本发明实施例可节约网络资源。(The invention discloses a key generation method, a device, equipment and a computer readable storage medium, relating to the technical field of communication and aiming at saving network resources. The method comprises the following steps: acquiring first information of a terminal, wherein the first information is used for representing application service safety capacity supported by the terminal; and generating a key according to the first information. The embodiment of the invention can save network resources.)
技术领域
本发明涉及通信技术领域,尤其涉及一种密钥生成方法、装置、设备及计算机可读存储介质。
背景技术
5G网络中提供用户与接入应用之间的会话安全保护功能,并且提出了基于应用的密钥管理方法,简称为AKMA(Authentication and Key Management for Applications,应用层认证和密钥管理)。
如图1所示,在现有AKMA的架构中,NEF(Network Exposure Function,网络开放功能)提供安全地将3GPP网络提供的业务和能力暴露给外部网络相关的功能。AKMA服务需要逻辑实体,如图1中的AAnF(AKMA Anchor Function,AKMA锚点功能)。AAnF锚点功能用于产生在UE(User Equipment,用户设备)和AF(Application Function,应用功能)之间基于锚点密钥KAKMA计算保护UE应用数据的应用密钥KAF。
现有技术中,一旦UE向网络请求密钥,则AUSF(Authentication ServerFunction,鉴权服务功能)或者AAnF就会产生密钥。然而,在5G的用户中并非所有的用户都会开启AKMA功能。因此,这就造成了网络资源的浪费。
发明内容
本发明实施例提供一种密钥生成方法、装置、设备及计算机可读存储介质,以节约网络资源。
第一方面,本发明实施例提供了一种密钥生成方法,应用于第一网元,其特征在于,包括:
获取终端的第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力;
根据所述第一信息,生成密钥。
其中,所述应用服务安全能力包括支持应用层认证和密钥管理AKMA服务的能力;
在所述根据所述第一信息,生成密钥之前,所述方法还包括:
请求UDM(Unified Data Management,统一数据管理实体)确认所述终端是否支持AKMA服务;
所述根据所述第一信息,生成密钥,包括:
在接收到第一响应时,生成AKMA密钥,所述第一响应表示所述UDM确认所述终端支持AKMA服务。
其中,所述方法还包括:
预先存储终端的标识信息与终端是否支持AKMA服务的对应关系。
其中,所述获取终端的第一信息,包括:
接收第二网元发送的认证请求消息,所述认证请求消息携带所述终端的SUPI(Subscription Permanent Identifier,签约永久标识),或者,所述认证请求消息携带所述终端的SUCI(Subscription Concealed Identifier,签约加密标识);
在所述认证请求消息携带所述SUPI的情况下,根据所述SUPI查询所述对应关系,获取所述第一信息;
在所述认证请求消息携带所述SUCI的情况下,向UDM发送所述SUCI,并从所述UDM获得SUPI;根据从所述UDM获得的SUPI查询所述对应关系,获取所述第一信息。
其中,所述获取终端的第一信息,包括:
接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息。
其中,所述请求统一数据管理实体UDM确认所述终端是否支持AKMA服务,包括:
向所述UDM发送第一指示信息,所述第一指示信息用于指示所述UDM确认所述终端是否支持AKMA服务;
接收所述UDM发送的第一确认指示,所述第一确认指示用于指示所述终端是否支持AKMA服务。
其中,在所述向所述UDM发送第一指示信息之前,所述方法还包括:
接收所述终端的第一请求,所述第一请求用于请求生成AKMA密钥;
所述向所述UDM发送第一指示信息,包括:
根据所述第一请求,向所述UDM发送第一指示信息。
其中,所述获取终端的第一信息包括:
接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括支持AKMA服务的能力,支持GBA(Generic BootstrappingArchitecture,通用引导架构)服务的能力。
其中,在所述根据所述第一信息,生成密钥之前,所述方法还包括:
请求UDM确认所述终端所支持的目标应用服务安全能力。
其中,所述根据所述第一信息,生成密钥,包括:
如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,则生成AKMA密钥或者GBA密钥;
如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,则根据预设策略生成密钥。
其中,所述方法还包括:
如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,向第三网元发送所述目标应用服务安全能力的信息;
如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,向第三网元发送所述预设策略以及根据所述预设策略生成的密钥。
其中,所述获取终端的第一信息,包括:
接收UDM发送的指示信息,所述指示信息用于指示为所述终端选择AKMA服务;
所述根据所述第一信息,生成密钥,包括:
根据所述指示信息,生成密钥;
向所述UDM发送AKMA密钥推衍参数。
第二方面,本发明实施例提供了一种密钥生成方法,应用于第三网元,包括:
接收目标第四网元的密钥请求;
根据所述密钥请求,确定终端所支持的应用服务安全能力以及第四网元的信息,所述第四网元为所述终端开启目标应用服务安全能力的第四网元,所述目标应用服务安全能力为所述终端所支持的应用服务安全能力中的一种或者多种;
生成所述终端所支持的应用服务安全能力的密钥。
其中,所述确定终端所支持的应用服务安全能力以及第四网元的信息,包括:
请求UDM确认所述终端所支持的应用服务安全能力以及第四网元的信息;
所述生成所述终端所支持的应用服务安全能力的密钥,包括:
如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
其中,所述生成所述终端所支持的应用服务安全能力的密钥,包括:
获取第一网元发送的所述终端所支持的第一应用服务安全能力;
获取所述目标第四网元的标识;
如果所述第一应用服务安全能力为支持AKMA服务的能力且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
其中,所述生成所述终端所支持的应用服务安全能力的密钥,包括:
获取第一网元发送的预设策略以及根据所述预设策略生成的密钥;
获取所述第四网元的标识;
如果所述预设策略表示所述密钥是由于所述终端支持AKMA服务的能力而生成的,且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
其中,所述确定终端所支持的应用服务安全能力以及第四网元的信息,包括:
接收UDM发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元;
所述生成所述终端所支持的应用服务安全能力的密钥,包括:
如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
第三方面,本发明实施例提供了一种密钥生成方法,应用于第二网元,包括:
向第一网元发送第一信息,所述第一信息表示终端所支持的应用服务安全能力,所述第一信息用于使得第一网元根据所述第一信息,生成密钥。
其中,所述向第一网元发送第一信息,包括:
向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息。
其中,所述向第一网元发送第一信息,包括:
向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
第四方面,本发明实施例提供了一种密钥生成方法,应用于UDM,包括:
存储终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
根据所述签约信息,确认所述终端支持的目标应用服务安全能力。
其中,所述根据所述签约信息,确认所述终端支持的目标应用服务安全能力,包括:
接收第一网元的第一请求,所述第一请求用于确认所述终端是否支持AKMA服务;
根据所述签约信息以及所述第一请求,向所述第一网元发送第一响应,所述第一响应用于指示所述终端是否支持AKMA服务。
其中,所述接收第一网元的第一请求,包括:
在主认证的过程之中,接收第一网元的第一请求;或者
在主认证过程完成之后,接收第一网元的第一请求。
其中,所述根据所述签约信息,确认所述终端支持的目标应用服务安全能力,包括:
接收第三网元的第二请求,所述第二请求用于确认所述终端是否支持AKMA服务;
根据所述签约信息以及所述第二请求,向所述第三网元发送第二响应,所述第二响应用于指示所述终端是否支持AKMA服务。
其中,所述根据所述签约信息,确认所述终端支持的目标应用服务安全能力,包括:
接收第一网元的第三请求;
根据所述签约信息以及所述第三请求,向所述第一网元发送第三响应,所述第三响应用于指示目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,或者,所述目标应用服务安全能力至少为AKMA支持服务的能力和支持GBA服务的能力。
其中,所述签约信息还包括:
与所述终端之间开启了AKMA服务的第四网元的标识信息。
第五方面,本发明实施例还提供了一种密钥生成方法,应用于第二网元,包括:
向UDM发送指示信息以及第四网元的标识,所述指示信息用于指示终端所支持的应用服务安全能力;
接收所述UDM发送的密钥推衍参数;
向所述终端发送所述密钥推衍参数。
其中,所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元。
第六方面,本发明实施例还提供了一种密钥生成方法,应用于UDM,包括:
获取终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
当根据所述签约信息确定为所述终端推衍应用服务安全密钥时,向第一网元发送第一指示,所述第一指示用于指示所述第一网元推衍所述终端的应用服务安全密钥。
其中,所述获取终端的签约信息,包括:
接收第二网元发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力,以及与所述终端开启AKMA服务的AF的标识信息。
其中,所述向第一网元发送第一指示之后,所述方法还包括:
接收所述第一网元发送的密钥推衍参数;
向所述第二网元发送所述密钥推衍参数。
其中,所述方法还包括:
向第四网元发送指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力;
所述第四网元为所述终端之间开启了AKMA服务的第四网元。
第七方面,本发明实施例还提供了一种密钥生成方法,应用于终端,包括:
向第二网元发送第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力。
其中,所述向第二网元发送第一信息,包括:
向所述第二网元发送N1消息,所述第一信息表示所述终端支持AKMA服务。
其中,所述向第二网元发送第一信息,包括:
向所述第二网元发送N1消息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
其中,所述方法还包括:
接收所述第二网元发送的密钥推衍参数;
根据所述密钥推衍参数生成AKMA密钥。
第八方面,本发明实施例提供了一种密钥生成装置,应用于第一网元,包括:
第一获取模块,用于获取终端的第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力;
第一生成模块,用于根据所述第一信息,生成密钥。
第九方面,本发明实施例提供了一种密钥生成装置,应用于第三网元,包括:
第一接收模块,用于接收目标第四网元的密钥请求;
第一确定模块,用于根据所述密钥请求,确定终端所支持的应用服务安全能力以及第四网元的信息,所述第四网元为所述终端开启目标应用服务安全能力的第四网元,所述目标应用服务安全能力为所述终端所支持的应用服务安全能力中的一种或者多种;
第一生成模块,用于生成所述终端所支持的应用服务安全能力的密钥。
第十方面,本发明实施例提供了一种密钥生成装置,应用于第二网元,包括:
第一发送模块,用于向第一网元发送第一信息,所述第一信息表示终端所支持的应用服务安全能力,所述第一信息用于使得第一网元根据所述第一信息,生成密钥。
第十一方面,本发明实施例提供了一种密钥生成装置,应用于UDM,包括:
第一存储模块,用于存储终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
第一确认模块,用于根据所述签约信息,确认所述终端支持的目标应用服务安全能力。
第十二方面,本发明实施例提供了一种密钥生成装置,应用于第二网元,包括:
第一发送模块,用于向UDM发送指示信息以及第四网元的标识,所述指示信息用于指示终端所支持的应用服务安全能力;
第一接收模块,用于接收所述UDM发送的密钥推衍参数;
第二发送模块,用于向所述终端发送所述密钥推衍参数。
第十三方面,本发明实施例提供了一种密钥生成装置,应用于UDM,包括:
第一获取模块,用于获取终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
第一发送模块,用于当根据所述签约信息确定为所述终端推衍应用服务安全密钥时,向第一网元发送第一指示,所述第一指示用于指示所述第一网元推衍所述终端的应用服务安全密钥。
第十四方面,本发明实施例提供了一种密钥生成装置,应用于终端,包括:
第一发送模块,用于向第二网元发送第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力。
第十五方面,本发明实施例提供了一种密钥生成设备,应用于第一网元,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序,执行下列过程:
获取终端的第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力;
根据所述第一信息,生成密钥。
其中,所述应用服务安全能力包括支持AKMA服务的能力,所述处理器还用于读取存储器中的程序,执行下列过程:
请求UDM确认所述终端是否支持AKMA服务;
在接收到第一响应时,生成AKMA密钥,所述第一响应表示所述UDM确认所述终端支持AKMA服务。
第十六方面,本发明实施例提供了一种密钥生成设备,应用于第三网元,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序,执行下列过程:
接收目标第四网元的密钥请求;
根据所述密钥请求,确定终端所支持的应用服务安全能力以及第四网元的信息,所述第四网元为所述终端开启目标应用服务安全能力的第四网元,所述目标应用服务安全能力为所述终端所支持的应用服务安全能力中的一种或者多种;
生成所述终端所支持的应用服务安全能力的密钥。
其中,所述处理器,用于读取存储器中的程序,执行下列过程:
请求UDM确认所述终端所支持的应用服务安全能力以及第四网元的信息;
所述生成所述终端所支持的应用服务安全能力的密钥,包括:
如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
第十七方面,本发明实施例提供了一种密钥生成设备,应用于第二网元,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序,执行下列过程:
向第一网元发送第一信息,所述第一信息表示终端所支持的应用服务安全能力,所述第一信息用于使得第一网元根据所述第一信息,生成密钥。
第十八方面,本发明实施例提供了一种密钥生成设备,应用于UDM,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序,执行下列过程:
存储终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
根据所述签约信息,确认所述终端支持的目标应用服务安全能力。
其中,所述处理器,用于读取存储器中的程序,执行下列过程:
接收第一网元的第一请求,所述第一请求用于确认所述终端是否支持AKMA服务;
根据所述签约信息以及所述第一请求,向所述第一网元发送第一响应,所述第一响应用于指示所述终端是否支持AKMA服务。
第十九方面,本发明实施例提供了一种密钥生成设备,应用于第二网元,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序,执行下列过程:
向UDM发送指示信息以及第四网元的标识,所述指示信息用于指示终端所支持的应用服务安全能力;
接收所述UDM发送的密钥推衍参数;
向所述终端发送所述密钥推衍参数。
第二十方面,本发明实施例提供了一种密钥生成设备,应用于UDM,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序,执行下列过程:
获取终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
当根据所述签约信息确定为所述终端推衍应用服务安全密钥时,向第一网元发送第一指示,所述第一指示用于指示所述第一网元推衍所述终端的应用服务安全密钥。
其中,所述处理器,用于读取存储器中的程序,执行下列过程:
接收第二网元发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力,以及与所述终端开启AKMA服务的AF的标识信息。
第二十一方面,本发明实施例提供了一种密钥生成设备,应用于终端,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器,用于读取存储器中的程序,执行下列过程:
向第二网元发送第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力。
第二十二方面,本发明实施例提供了一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序被处理器执行时实现如第一方面所述的密钥生成方法中的步骤;或者,实现如第二方面所述的密钥生成方法中的步骤;或者,实现如第三方面所述的密钥生成方法中的步骤;或者,实现如第四方面所述的密钥生成方法中的步骤;或者,实现如第五方面所述的密钥生成方法中的步骤;或者,实现如第六方面所述的密钥生成方法中的步骤;或者,实现如第七方面所述的密钥生成方法中的步骤。
在本发明实施例中,在终端的第一信息表示终端支持的应用服务安全能力的时候,根据该第一信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中AKMA架构图;
图2是本发明实施例提供的密钥生成方法的流程图之一;
图3是本发明实施例提供的密钥生成方法的流程图之二;
图4是本发明实施例提供的密钥生成方法的流程图之三;
图5是本发明实施例提供的密钥生成方法的流程图之四;
图6是本发明实施例提供的密钥生成方法的流程图之五;
图7是本发明实施例提供的密钥生成方法的流程图之六;
图8是本发明实施例提供的密钥生成方法的流程图之七;
图9是本发明实施例提供的密钥生成方法的流程图之八;
图10是本发明实施例提供的密钥生成方法的流程图之九;
图11是本发明实施例提供的密钥生成方法的流程图之十;
图12是本发明实施例提供的密钥生成方法的流程图之十一;
图13是本发明实施例提供的密钥生成方法的流程图之十二;
图14是本发明实施例提供的密钥生成装置的结构图之一;
图15是本发明实施例提供的密钥生成装置的结构图之二;
图16是本发明实施例提供的密钥生成装置的结构图之三;
图17是本发明实施例提供的密钥生成装置的结构图之四;
图18是本发明实施例提供的密钥生成装置的结构图之五;
图19是本发明实施例提供的密钥生成装置的结构图之六;
图20是本发明实施例提供的密钥生成装置的结构图之七;
图21是本发明实施例提供的密钥生成设备的结构图之一;
图22是本发明实施例提供的密钥生成设备的结构图之二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图2,图2是本发明实施例提供的密钥生成方法的流程图,应用于第一网元。其中,第一网元可以是AUSF(Authentication Server Function,鉴权服务功能),如图2所示,包括以下步骤:
步骤201、获取终端的第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力。
其中,所述终端所支持的应用安全服务能力例如可以是支持AKMA服务的能力,支持GBA服务的能力等等。
步骤202、根据所述第一信息,生成密钥。
在此步骤中,例如,如果第一信息表示终端支持AKMA服务的能力,那么,第一网元可为终端生成AKMA密钥。
在本发明的一个实施例中,在第一网元中可预先存储终端的标识信息与终端是否支持AKMA服务的对应关系。
此时,对于步骤201,第一网元可接收第二网元(AMF(Access and MobilityManagement Function,接入和移动管理功能)或者SEAF(Security Anchor Function,安全锚点功能))发送的认证请求消息,所述认证请求消息携带所述终端的SUPI,或者,所述认证请求消息携带所述终端的SUCI。
在所述认证请求消息携带所述SUPI的情况下,第一网元可根据所述SUPI查询所述对应关系,获取所述第一信息。在所述认证请求消息携带所述SUCI的情况下,第一网元可向UDM发送所述SUCI,并从所述UDM获得SUPI,然后,第一网元可根据从所述UDM获得的SUPI查询所述对应关系,获取所述第一信息。
在本发明的一个实施例中,如果终端支持AKMA服务,那么,第一网元可向UDM确认终端是否支持AKMA服务。在这种情况下,步骤201具体为,接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息。步骤202具体为,在接收到第一响应时,生成AKMA密钥,所述第一响应表示所述UDM确认所述终端支持AKMA服务。
在本发明实施例中,第一网元可向所述UDM发送第一指示信息,所述第一指示信息用于指示所述UDM确认所述终端是否支持AKMA服务,并接收所述UDM发送的第一确认指示,所述第一确认指示用于指示所述终端是否支持AKMA服务。其中,请求UDM确认的过程可以发生在主认证过程之中,也可以发生在主认证过程之后。
如果是发生在主认证过程之后,那么,第一网元接收所述终端的第一请求,所述第一请求用于请求生成AKMA密钥,然后根据所述第一请求,向所述UDM发送第一指示信息。
在本发明的一个实施例中,第一网元可接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括支持AKMA服务的能力,支持GBA服务的能力。在这种情况下,第一网元也可请求UDM确认所述终端所支持的目标应用服务安全能力。此时,步骤202具体为,如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,则生成AKMA密钥或者GBA密钥;如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,则根据预设策略生成密钥。
其中,预设策略可以预先设置,例如可以是生成AKMA密钥,生成GBA密钥,生成其他密钥等,还可以是根据第一网元自身的处理能力确定生成哪种形式的密钥。
如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,第一网元向第三网元(如AAnF)发送所述目标应用服务安全能力的信息;如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,第一网元向第三网元发送所述预设策略以及根据所述预设策略生成的密钥。
在本发明的一个实施例中,第一网元还可根据UDM的指示生成AKMA密钥。具体的,第一网元接收UDM发送的指示信息,所述指示信息用于指示为所述终端选择AKMA服务。那么,步骤202具体为:根据所述指示信息,生成密钥,并向所述UDM发送AKMA密钥推衍参数。其中,密钥推衍参数例如可以包括随机数、计数器、终端的标识等等。
在本发明实施例中,在终端的第一信息表示终端支持的应用服务安全能力的时候,根据该第一信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
参见图3,图3是本发明实施例提供的密钥生成方法的流程图,应用于第三网元。其中,第三网元可以是AAnF,如图3所示,包括以下步骤:
步骤301、接收目标第四网元的密钥请求。
其中,第四网元可以是AF(Application Function,应用功能)。
步骤302、根据所述密钥请求,确定终端所支持的应用服务安全能力以及第四网元的信息,所述第四网元为所述终端开启目标应用服务安全能力的第四网元,所述目标应用服务安全能力为所述终端所支持的应用服务安全能力中的一种或者多种。
终端所支持的应用服务安全能力可以包括支持AKMA服务的能力,支持GBA服务的能力等等。第四网元的信息可以是第四网元的标识等。
步骤303、生成所述终端所支持的应用服务安全能力的密钥。
在本发明的一个实施例中,第三网元请求UDM确认所述终端所支持的应用服务安全能力以及第四网元的信息。那么,在此步骤中,如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
在本发明的一个实施例中,第三网元获取第一网元发送的所述终端所支持的第一应用服务安全能力,以及获取所述目标第四网元的标识。如果所述第一应用服务安全能力为支持AKMA服务的能力且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
在本发明的一个实施例中,第三网元获取第一网元发送的预设策略以及根据所述预设策略生成的密钥,以及,获取所述第四网元的标识。如果所述预设策略表示所述密钥是由于所述终端支持AKMA服务的能力而生成的,且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
在本发明的一个实施例中,第三网元可接收UDM发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元。那么,在此步骤中,如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
在本发明实施例中,根据终端所支持的应用服务安全能力以及第四网元的信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
参见图4,图4是本发明实施例提供的密钥生成方法的流程图,应用于第二网元。其中,第二网元可以是SEAF或者AMF,如图4所示,包括以下步骤:
步骤401、向第一网元发送第一信息,所述第一信息表示终端所支持的应用服务安全能力,所述第一信息用于使得第一网元根据所述第一信息,生成密钥。
具体的,第二网元可向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息。
或者,第二网元可向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
在本发明实施例中,根据终端所支持的应用服务安全能力以及第四网元的信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
参见图5,图5是本发明实施例提供的密钥生成方法的流程图,应用于UDM。如图5所示,包括以下步骤:
步骤501、存储终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力。
其中,所述签约信息还可以包括与所述终端之间开启了AKMA服务的第四网元的标识信息。
步骤502、根据所述签约信息,确认所述终端支持的目标应用服务安全能力。
在本发明的一个实施例中,UDM可接收第一网元的第一请求,所述第一请求用于确认所述终端是否支持AKMA服务,然后,根据所述签约信息以及所述第一请求,向所述第一网元发送第一响应,所述第一响应用于指示所述终端是否支持AKMA服务。其中,上述过程可以是在主认证过程中,还可以是在主认证过程之后。
在本发明的一个实施例中,UDM可接收第三网元的第二请求,所述第二请求用于确认所述终端是否支持AKMA服务,然后,根据所述签约信息以及所述第二请求,向所述第三网元发送第二响应,所述第二响应用于指示所述终端是否支持AKMA服务。
在本发明的一个实施例中,UDM可接收第一网元的第三请求,之后,UDM根据所述签约信息以及所述第三请求,向所述第一网元发送第三响应,所述第三响应用于指示目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,或者,所述目标应用服务安全能力至少为AKMA支持服务的能力和支持GBA服务的能力。
在本发明实施例中,根据终端所支持的应用服务安全能力以及第四网元的信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
参见图6,图6是本发明实施例提供的密钥生成方法的流程图,应用于第二网元。其中,第二网元可以是SEAF或者AMF,如图6所示,包括以下步骤:
步骤601、向UDM发送指示信息以及第四网元的标识,所述指示信息用于指示终端所支持的应用服务安全能力。
其中,所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元。
步骤602、接收所述UDM发送的密钥推衍参数。
步骤603、向所述终端发送所述密钥推衍参数。
所述密钥推衍参数的含义可参照前述实施例的描述。
在本发明实施例中,根据终端所支持的应用服务安全能力以及第四网元的信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
参见图7,图7是本发明实施例提供的密钥生成方法的流程图,应用于UDM。如图7所示,包括以下步骤:
步骤701、获取终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力。
具体的,在此步骤中,UDM可接收第二网元发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力,以及与所述终端开启AKMA服务的AF的标识信息。
步骤702、当根据所述签约信息确定为所述终端推衍应用服务安全密钥时,向第一网元发送第一指示,所述第一指示用于指示所述第一网元推衍所述终端的应用服务安全密钥。
可选的,在一个实施例中,在步骤702之后,所述方法还可包括:接收所述第一网元发送的密钥推衍参数,向所述第二网元发送所述密钥推衍参数。
此外,为便于产生AF密钥,在一个实施例中,所述方法还可包括:UDM向第四网元发送指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力,其中,所述第四网元为所述终端之间开启了AKMA服务的第四网元。
在本发明实施例中,根据终端所支持的应用服务安全能力以及第四网元的信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
参见图8,图8是本发明实施例提供的密钥生成方法的流程图,应用于终端。如图8所示,包括以下步骤:
步骤801、向第二网元发送第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力。
具体的,终端可向所述第二网元发送N1消息,所述第一信息表示所述终端支持AKMA服务。或者,终端可向所述第二网元发送N1消息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
可选的,在一个实施例中,所述终端还可接收所述第二网元发送的密钥推衍参数,并根据所述密钥推衍参数生成AKMA密钥。
在本发明实施例中,根据终端所支持的应用服务安全能力以及第四网元的信息生成密钥。因此,利用本发明实施例的方案,避免了现有技术中总是为终端生成密钥的问题,从而节约了网络资源。
参见图9,图9是本发明实施例提供的密钥生成方法的流程图。在本发明实施例中,在AUSF(Authentication Server Function,鉴权服务功能)中可预先存储中UE的签约信息,所述签约信息为UE的身份标识与AKMA服务的对应信息的列表,通过该列表可以识别UE是否开启或支持了AKMA服务。
如图9所示,该方法可包括以下步骤:
步骤900、AUSF中预存储UE的AKMA签约信息。
步骤901、UE向SEAF(Security Anchor Function,安全锚功能)发送N1消息(N1message),在该消息中可携带SUPI或者5G GUTI(5G Globally Unique TemporaryIdentifier,5G全球唯一临时标识)。
步骤902、SEAF向AUSF发送认证请求消息(Nausf_UE Authentication_Authenticate Request),在该请求中携带SUPI或者5G GUTI。
步骤903、此步骤可根据认证请求消息中携带的内容分为两种不同的处理方式。
第一种方式,包括步骤903a-903c。
步骤903a、当AUSF在接收到AMF(Access and Mobility Management Function,接入和移动管理功能)(SEAF)发送的认证请求消息NAUSF_UE Authentication AuthenticateRequest后,如果携带了SUPI,则AUSF可以直接根据预存储的列表确认是否可通过Kausf产生KAKMA。
步骤903b、AUSF向UDM发送Nudm_UEAuthentication_Get Request[SUCI or SUPI,SN name]。
步骤903c、UDM向AUSF回复Nudm_UEAuthentication_Get Reponset[AV,[SUPI]]。
AUSF把服务网名称和预期服务网名称作比较,来检查服务网中的请求SEAF是否有权使用接收的服务网络名称。
第二种方式,包括步骤903b-903d。
步骤903b、AUSF向UDM发送Nudm_UEAuthentication_Get Request[SUCI or SUPI,SN name]。
步骤903c、UDM向AUSF回复Nudm_UEAuthentication_Get Reponset[AV,[SUPI]]。
步骤903d、由于SEAF发送的是SUCI,那么,AUSF根据从UDM获得的SUPI以及预存储的列表确认是否可通过Kausf产生KAKMA。
AUSF和UE之间执行主认证过程,包括步骤904-步骤908。
步骤904、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[AV]。
步骤905、SEAF向UE发送认证请求Authenticate Request。
步骤906、UE向SEAF发送认证响应Authenticate Reponse。
步骤907、SEAF向AUSF发送认证请求Nausf_UEAuthentication_AuthenticateRequest[RES*]。
步骤908、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[Rsult]。
步骤909、UE向AF发送应用密钥会话请求Application session EstablishmentRequest(KAKMA ID)。
步骤910、AF向AAnF发送密钥请求Key Request。
步骤911、AAnF向UDM查询UE是否签约了与该AF之间的AKMA服务。
在本发明实施例中,UDM中存储有UE和哪些AF之间签约了AKMA服务,可包括:UE的标识(如SUPI),是否支持AKMA,以及UE与哪些AF开启了AKMA,开启的有效期,UE的AKMA设置是否可以修改等。
具体的,AAnF在查询时,需携带UE的标识(如SUPI)以及该AF的标识。
步骤912、UDM向AAnF发送响应Inquire the UE subscription。
例如,UDM根据本地存储的UE签约信息反馈给AAnF UE与该AF之间的AKMA服务。若允许,则UDM会向AAnF反馈确认,可携带UE的SUPI,AF ID,是否开启了AKMA service[enabled/disabled],AKMA服务的有效期。否则反馈未签约。
AAnF根据查询结果决定是否为该AF产生用于保护应用数据的密钥Kaf,向AF发送Key Response。
步骤913、AAnF向AF发送查询响应。
参见图10,图10是本发明实施例提供的密钥生成方法的流程图。在本发明实施例中,UE在上报的N1请求中包含了对AKMA服务支持的能力,AMF收到UE的AKMA的能力,AMF通过在NAUSF_UE Authentication Authenticate Request请求中携带AKMA service能力指示告知AUSF UE支持AKMA服务的能力。
如图10所示,该方法可包括以下步骤:
步骤1001、UE向SEAF(Security Anchor Function,安全锚功能)发送N1消息(N1message),在该消息中可携带SUPI或者5G GUTI,以及对AKMA服务支持的能力(UE AKMAservice capability)。
步骤1002、SEAF向AUSF发送认证请求消息Nausf_UEAuthentication_Authenticate Request[SUPI or 5G GUTI,AKMA service capability indication],在该请求中携带SUPI或者5G GUTI,以及对AKMA服务支持的能力。
步骤1003、AUSF向UDM质询UE对AKMA服务的支持。
例如,AUSF向UDM发送Nudm_UEAuthentication_Get Request[SUCI or SUPI,SNname],并可携带查询指示(inquire indication for AKMA)。
步骤1004、UDM向AUSF回复Nudm_UEAuthentication_Get Reponset[AV,[SUPI]],并可携带确认指示(confirm indication)。
AUSF应把服务网名称和预期服务网名称作比较,来检查服务网中的请求SEAF是否有权使用接收的服务网络名称。
之后,AUSF生成密钥KAKMA。
AUSF和UE之间执行主认证过程,包括步骤1005-步骤1009。
步骤1005、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[AV]。
步骤1006、SEAF向UE发送认证请求Authenticate Request。
步骤1007、UE向SEAF发送认证响应Authenticate Reponse。
步骤1008、SEAF向AUSF发送认证请求Nausf_UEAuthentication_AuthenticateRequest[RES*]。
步骤1009、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[Rsult]。
步骤1010、UE向AF发送应用密钥会话请求Application session EstablishmentRequest(KAKMA ID)。
步骤1011、AF向AAnF发送密钥请求Key Request。
步骤1012、AAnF向UDM查询UE是否签约了与该AF之间的AKMA服务。
在本发明实施例中,UDM中存储有UE和哪些AF之间签约了AKMA服务,可包括:UE的标识(如SUPI),是否支持AKMA,以及UE与哪些AF开启了AKMA,开启的有效期,UE的AKMA设置是否可以修改等。
具体的,AAnF在查询时,需携带UE的标识(如SUPI)以及该AF的标识。
步骤1013、UDM向AAnF发送响应Inquire the UE subscription。
例如,UDM根据本地存储的UE签约信息反馈给AAnF UE与该AF之间的AKMA服务。若允许,则UDM会向AAnF反馈确认,可携带UE的SUPI,AF ID,是否开启了AKMA service[enabled/disabled],AKMA服务的有效期。否则反馈未签约。
AAnF根据查询结果决定是否为该AF产生用于保护应用数据的密钥Kaf,向AF发送密钥响应Key Respoonse。
步骤1014、AAnF向AF发送响应Key Response。
参见图11,图11是本发明实施例提供的密钥生成方法的流程图。在本发明实施例中,与图10所示实施例不同的是,AUSF对UDM针对UEAKMA能力的质询发生在主认证之后。可能的是AUSF收到了UE对KAKMA密钥推衍的请求,AUSF随即发起AKMA密钥的推衍。
如图11所示,该方法可包括以下步骤:
步骤1101、UE向SEAF(Security Anchor Function,安全锚功能)发送N1消息(N1message),在该消息中可携带SUPI或者5G GUTI,以及对AKMA服务支持的能力(UE AKMAservice capability)。
步骤1102、SEAF向AUSF发送认证请求消息Nausf_UEAuthentication_Authenticate Request[SUPI or 5G GUTI,AKMA service capability indication],在该请求中携带SUPI或者5G GUTI,以及对AKMA服务支持的能力。
步骤1103、AUSF向UDM发送Nudm_UEAuthentication_Get Request[SUCI or SUPI,SN name]。
步骤1104、UDM向AUSF回复Nudm_UEAuthentication_Get Reponset[AV,[SUPI]]。
AUSF和UE之间执行主认证过程,包括步骤1105-步骤1109。
步骤1105、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[AV]。
步骤1106、SEAF向UE发送认证请求Authenticate Request。
步骤1107、UE向SEAF发送认证响应Authenticate Reponse。
步骤1108、SEAF向AUSF发送认证请求Nausf_UEAuthentication_AuthenticateRequest[RES*]。
步骤1109、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[Rsult]。
步骤1110、AUSF向UDM查询UE是否支持AKMA服务。
步骤1111、UDM根据预先存储的签约信息进行查询,返回查询结果。
若查询结果表示UE支持AKMA服务,则AUSF生成密钥KAKMA。
步骤1112、UE向AF发送应用密钥会话请求Application session EstablishmentRequest(KAKMA ID)。
步骤1113、AF向AAnF发送密钥请求Key Request。
步骤1114、AAnF向UDM查询UE是否签约了与该AF之间的AKMA服务。
在本发明实施例中,UDM中存储有UE和哪些AF之间签约了AKMA服务,可包括:UE的标识(如SUPI),是否支持AKMA,以及UE与哪些AF开启了AKMA,开启的有效期,UE的AKMA设置是否可以修改等。
具体的,AAnF在查询时,需携带UE的标识(如SUPI)以及该AF的标识。
步骤1115、UDM向AAnF发送响应Inquire the UE subscription。
例如,UDM根据本地存储的UE签约信息反馈给AAnF UE与该AF之间的AKMA服务。若允许,则UDM会向AAnF反馈确认,可携带UE的SUPI,AF ID,是否开启了AKMA service[enabled/disabled],AKMA服务的有效期。否则反馈未签约。
AAnF根据查询结果决定是否为该AF产生用于保护应用数据的密钥Kaf。
步骤1116、AAnF向AF发送响应Key Response。
参见图12,图12是本发明实施例提供的密钥生成方法的流程图。在本发明实施例中,网络侧根据UE上报的服务能力的支持以及AF上报的服务支持信息,选择是否使用AKMA架构作为保护用户应用数据保护的机制。如图12所示,所述方法可包括:
步骤1201、UE发送注册请求,在注册请求中携带用户的应用服务安全能力(AKMA服务能力、GBA服务能力、其他),其他服务能力可能为空。
例如,UE可发送N1 message[SUPI or 5G GUTI,Application protectioninformation indication,UE AKMA service capability]。
步骤1202、AMF(SEAF)将这些服务能力包含在NAUSF_UE AuthenticationAuthenticate Request消息中,同用户身份一同发给AUSF。
例如AMF可向AUSF发送Nausf_UEAuthentication_Authenticate Request[SUPIor 5G GUTI,Application protection information indication(应用保护信息指示),such as AKMA service capability indication(如AKMA服务能力指示)]。
步骤1203、如果AUSF没有包含该消息,则当AUSF收到Nausf_UEAuthentication_Authenticate Request请求消息时,会向UDM发送认证获取请求消息中携带UE服务能力质询指示。
例如,AUSF向UDM发送Nudm_UEAuthentication_Get Request[SUCI or SUPI,SNname]。
步骤1204、UDM收到AUSF发送的认证获取指示,则会反馈UE对应用数据的保护能力信息。
例如,UDM向AUSF发送Nudm_UEAuthentication_Get Reponset[AV,[SUPI,Application protection information indication]]。
步骤1205、AUSF确定生成哪种形式的密钥。
AUSF根据收到的认证获取响应消息,选择使用哪一种方式进行保护应用数据的保护。如果UDM明确指示选择了某种方式,如AKMA服务能力,则AUSF会为该UE产生AKMA密钥。若UE支持多种,则AUSF会根据网络策略选择进行密钥的推衍。其中,该策略可以预先设置。
步骤1206、AUSF将该策略连同推衍的密钥发给AAnF。
例如,AUSF生成了AKMA密钥,则AUSF向AAnF发送AKMA密钥;如果,AUSF根据网络策略生成了AKMA密钥,则AUSF向AAnF发送该策略以及AKMA密钥。
步骤1207、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[AV]。
步骤1208、SEAF向UE发送认证请求Authenticate Request。
步骤1209、UE向SEAF发送认证响应Authenticate Reponse。
步骤1210、SEAF向AUSF发送认证请求Nausf_UEAuthentication_AuthenticateRequest[RES*]。
步骤1211、AUSF向SEAF发送认证响应Nausf_UEAuthentication_AuthenticateResponse[Rsult]。
步骤1212、UE向AF发送应用密钥会话请求Application session EstablishmentRequest(KAKMA ID)。
步骤1213、AF向AAnF发送密钥请求Key Request。
AAnF收到AF发的应用密钥请求,该请求信息中包含是否支持AKMA服务保护应用数据的信息。
步骤1214、AAnF根据AUSF发送的UE的能力以及AF的能力,若两者都支持AKMA服务能力,则AAnF决定推衍KAF密钥。
步骤1215、AAnF向AF发送响应Key Response。
参见图13,图13是本发明实施例提供的密钥生成方法的流程图。如图13所示,所述方法可包括:
步骤1301、UE向AMF发送UL NAS message(SUPI,AF ID,AKMA capability),携带AKMA能力、AF ID等,其中,AKMA能力可以是更新的能力。
步骤1302、AMF向UDM发送Nudm_APProtectionUPdate_Notification(SUPI,AF ID,AKMAcapability)),更新AKMA能力信息。
步骤1303、UDM收到后决定为该UE开启AKMA的应用提供保护。
步骤1304、UDM将该信息告知AUSF,后续需要为UE推衍AKMA密钥的指示信息。
例如,UDM向AUSF发送Nausf_APProtection(SUPI,AKMA capability,[Keyderivate Indication])。
步骤1305、AUSF收到后向UDM发送响应并将需要的密钥推衍参数发给UDM。
例如,AUSF向UDM发送Nausf_APProtection Response(Key derivate parameters(密钥推衍参数))。
之后,AUSF生成密钥。
步骤1306、UDM收到AUSF的确认后向AMF发送响应,并将AKMA密钥推衍参数发给AMF。
例如,UDM向AMF发送Nudm_APProtectionupdate_Notification Response((AKMAKey derivate parameters))。
步骤1307、AMF通过下行的NAS(Non-Access Stratum,非接入层)消息将必须的密钥推衍参数发送给UE。
例如,AMF向UE发送DL NAS message(AKMA Key derivate parameters)。
步骤1308、UDM向AAnF发送用户标识、用户的AKMA能力、AF ID、推衍密钥的指示。
例如,UDM向AANF发送Nausf_APProtection(SUPI,AKMA Applicationcapability,AF ID,[Key derivate Indication])。
步骤1309、AAnF响应确认消息。
例如,AANF向UDM发送Nausf_APProtection Response(Ack)。
步骤1310、UE向AF发送应用密钥会话请求Application session EstablishmentRequest(KAKMA ID)。
步骤1311、AF向AAnF发送密钥请求Key Request。
AAnF当收到AF的请求后,需要根据UDM的指示是否推衍AF密钥。
步骤1312、AAnF向AF发送响应Key Response。
本发明实施例还提供了一种密钥生成装置,应用于第一网元。参见图14,图14是本发明实施例提供的密钥生成装置的结构图。由于密钥生成装置解决问题的原理与本发明实施例中密钥生成方法相似,因此该密钥生成装置的实施可以参见方法的实施,重复之处不再赘述。
如图14所示,密钥生成装置1400包括:
第一获取模块1401,用于获取终端的第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力;第一生成模块1402,用于根据所述第一信息,生成密钥。
可选的,所述应用服务安全能力包括支持AKMA服务的能力;
所述装置还可包括:第一请求模块,用于请求UDM确认所述终端是否支持AKMA服务;所述第一生模模块1402具体用于,在接收到第一响应时,生成AKMA密钥,所述第一响应表示所述UDM确认所述终端支持AKMA服务。
可选的,所述装置还可包括:第一存储模块,用于预先存储终端的标识信息与终端是否支持AKMA服务的对应关系。
可选的,所述第一获取模块1401可包括:第一接收子模块,用于接收第二网元发送的认证请求消息,所述认证请求消息携带所述终端的签约永久标识SUPI,或者,所述认证请求消息携带所述终端的签约加密标识SUCI;第一获取子模块,用于在所述认证请求消息携带所述SUPI的情况下,根据所述SUPI查询所述对应关系,获取所述第一信息;第二获取子模块,用于在所述认证请求消息携带所述SUCI的情况下,向UDM发送所述SUCI,并从所述UDM获得SUPI;根据从所述UDM获得的SUPI查询所述对应关系,获取所述第一信息。
可选的,所述第一获取模块1401可具体用于,接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息。
可选的,所述第一请求模块包括:
第一发送子模块,用于向所述UDM发送第一指示信息,所述第一指示信息用于指示所述UDM确认所述终端是否支持AKMA服务;第一接收子模块,用于接收所述UDM发送的第一确认指示,所述第一确认指示用于指示所述终端是否支持AKMA服务。
可选的,所述装置还可包括:第一接收模块,用于接收所述终端的第一请求,所述第一请求用于请求生成AKMA密钥;第一发送模块,用于根据所述第一请求,向所述UDM发送第一指示信息。
可选的,所述第一获取模块具体用于,接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括支持AKMA服务的能力,支持通用引导架构GBA服务的能力。
可选的,所述装置还可包括:第二请求模块用于请求UDM确认所述终端所支持的目标应用服务安全能力。
可选的,所述第一生成模块具体用于,如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,则生成AKMA密钥或者GBA密钥;如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,则根据预设策略生成密钥。
可选的,所述装置还可包括:第二发送模块,用于如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,向第三网元发送所述目标应用服务安全能力的信息;如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,向第三网元发送所述预设策略以及根据所述预设策略生成的密钥。
可选的,所述第一获取模块,用于接收UDM发送的指示信息,所述指示信息用于指示为所述终端选择AKMA服务;所述第一生成模块,具体用于,根据所述指示信息,生成密钥;向所述UDM发送AKMA密钥推衍参数。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种密钥生成装置,应用于第三网元。参见图15,图15是本发明实施例提供的密钥生成装置的结构图。由于密钥生成装置解决问题的原理与本发明实施例中密钥生成方法相似,因此该密钥生成装置的实施可以参见方法的实施,重复之处不再赘述。
如图15所示,密钥生成装置1500包括:
第一接收模块1501,用于接收目标第四网元的密钥请求;第一确定模块1502,用于根据所述密钥请求,确定终端所支持的应用服务安全能力以及第四网元的信息,所述第四网元为所述终端开启目标应用服务安全能力的第四网元,所述目标应用服务安全能力为所述终端所支持的应用服务安全能力中的一种或者多种;第一生成模块1503,用于生成所述终端所支持的应用服务安全能力的密钥。
可选的,所述第一确定模块1502可用于,请求UDM确认所述终端所支持的应用服务安全能力以及第四网元的信息;所述第一生成模块1503可用于,如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
可选的,所述第一生成模块1503可包括:
第一获取子模块,用于获取第一网元发送的所述终端所支持的第一应用服务安全能力;第二获取子模块,用于获取所述目标第四网元的标识;第一生成子模块,用于如果所述第一应用服务安全能力为支持AKMA服务的能力且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
可选的,所述第一生成模块1503可包括:
第三获取子模块,用于获取第一网元发送的预设策略以及根据所述预设策略生成的密钥;第四获取子模块,用于获取所述第四网元的标识;第二生成子模块,用于如果所述预设策略表示所述密钥是由于所述终端支持AKMA服务的能力而生成的,且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
可选的,所述第一确定模块1502可用于,接收UDM发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元;所述第一生成模块1503可用于,如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种密钥生成装置,应用于第二网元。参见图16,图16是本发明实施例提供的密钥生成装置的结构图。由于密钥生成装置解决问题的原理与本发明实施例中密钥生成方法相似,因此该密钥生成装置的实施可以参见方法的实施,重复之处不再赘述。
如图16所示,密钥生成装置1600包括:第一发送模块1601,用于向第一网元发送第一信息,所述第一信息表示终端所支持的应用服务安全能力,所述第一信息用于使得第一网元根据所述第一信息,生成密钥。
可选的,所述第一发送模块1601具体用于,向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息。
可选的,所述第一发送模块1601具体用于,向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种密钥生成装置,应用于UDM。参见图17,图17是本发明实施例提供的密钥生成装置的结构图。由于密钥生成装置解决问题的原理与本发明实施例中密钥生成方法相似,因此该密钥生成装置的实施可以参见方法的实施,重复之处不再赘述。
如图17所示,密钥生成装置1700包括:第一存储模块1701,用于存储终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;第一确认模块1702,用于根据所述签约信息,确认所述终端支持的目标应用服务安全能力。
可选的,所述第一确认模块1702可包括:第一接收子模块,用于接收第一网元的第一请求,所述第一请求用于确认所述终端是否支持AKMA服务;第一发送子模块,用于根据所述签约信息以及所述第一请求,向所述第一网元发送第一响应,所述第一响应用于指示所述终端是否支持AKMA服务。
可选的,所述第一接收子模块具体用于,在主认证的过程之中,接收第一网元的第一请求;或者在主认证过程完成之后,接收第一网元的第一请求。
可选的,所述第一确认模块1702可包括:第二接收子模块,用于接收第三网元的第二请求,所述第二请求用于确认所述终端是否支持AKMA服务;第二发送子模块,用于根据所述签约信息以及所述第二请求,向所述第三网元发送第二响应,所述第二响应用于指示所述终端是否支持AKMA服务。
可选的,所述第一确认模块1702可包括:第三接收子模块,用于接收第一网元的第三请求;第三发送子模块,用于根据所述签约信息以及所述第三请求,向所述第一网元发送第三响应,所述第三响应用于指示目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,或者,所述目标应用服务安全能力至少为AKMA支持服务的能力和支持GBA服务的能力。
可选的,所述签约信息还包括:与所述终端之间开启了AKMA服务的第四网元的标识信息。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种密钥生成装置,应用于第二网元。参见图18,图18是本发明实施例提供的密钥生成装置的结构图。由于密钥生成装置解决问题的原理与本发明实施例中密钥生成方法相似,因此该密钥生成装置的实施可以参见方法的实施,重复之处不再赘述。
如图18所示,密钥生成装置1800包括:第一发送模块1801,用于向UDM发送指示信息以及第四网元的标识,所述指示信息用于指示终端所支持的应用服务安全能力;第一接收模块1802,用于接收所述UDM发送的密钥推衍参数;第二发送模块1803,用于向所述终端发送所述密钥推衍参数。
其中,所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种密钥生成装置,应用于UDM。参见图19,图19是本发明实施例提供的密钥生成装置的结构图。由于密钥生成装置解决问题的原理与本发明实施例中密钥生成方法相似,因此该密钥生成装置的实施可以参见方法的实施,重复之处不再赘述。
如图19所示,密钥生成装置1900包括:第一获取模块1901,用于获取终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;第一发送模块1902,用于当根据所述签约信息确定为所述终端推衍应用服务安全密钥时,向第一网元发送第一指示,所述第一指示用于指示所述第一网元推衍所述终端的应用服务安全密钥。
可选的,所述第一获取模块1901具体用于,接收第二网元发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力,以及与所述终端开启AKMA服务的AF的标识信息。
可选的,所述装置还可包括:第一接收模块,用于接收所述第一网元发送的密钥推衍参数;第一发送模块,用于向所述第二网元发送所述密钥推衍参数。
可选的,所述装置还可包括:第二发送模块,用于向第四网元发送指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力;所述第四网元为所述终端之间开启了AKMA服务的第四网元。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
本发明实施例还提供了一种密钥生成装置,应用于终端。参见图20,图20是本发明实施例提供的密钥生成装置的结构图。由于密钥生成装置解决问题的原理与本发明实施例中密钥生成方法相似,因此该密钥生成装置的实施可以参见方法的实施,重复之处不再赘述。
如图20所示,密钥生成装置2000包括:第一发送模块2001,用于向第二网元发送第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力。
可选的,所述第一发送模块2001具体用于,向所述第二网元发送N1消息,所述第一信息表示所述终端支持AKMA服务。
可选的,所述第一发送模块2001具体用于,向所述第二网元发送N1消息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
可选的,所述装置还可包括:第一接收模块,用于接收所述第二网元发送的密钥推衍参数;第一生成模块,用于根据所述密钥推衍参数生成AKMA密钥。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
如图21所示,本发明实施例的密钥生成设备,应用于终端,包括:处理器2100,用于读取存储器2120中的程序,执行下列过程:
向第二网元发送第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力。
收发机2110,用于在处理器2100的控制下接收和发送数据。
其中,在图21中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2100代表的一个或多个处理器和存储器2120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机2110可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口2130还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器2100负责管理总线架构和通常的处理,存储器2120可以存储处理器2100在执行操作时所使用的数据。
处理器2100还用于读取所述程序,执行如下步骤:向所述第二网元发送N1消息,所述第一信息表示所述终端支持AKMA服务。
处理器2100还用于读取所述程序,执行如下步骤:向所述第二网元发送N1消息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
处理器2100还用于读取所述程序,执行如下步骤:
接收所述第二网元发送的密钥推衍参数;根据所述密钥推衍参数生成AKMA密钥。
如图22所示,本发明实施例的密钥生成设备,应用于第一网元,包括:处理器2200,用于读取存储器2222中的程序,执行下列过程:
获取终端的第一信息,所述第一信息用于表示所述终端所支持的应用服务安全能力;
根据所述第一信息,生成密钥。
收发机2210,用于在处理器2200的控制下接收和发送数据。
其中,在图22中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2200代表的一个或多个处理器和存储器2222代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机2210可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
所述应用服务安全能力包括支持AKMA服务的能力;处理器2200还用于读取所述程序,执行如下步骤:请求UDM确认所述终端是否支持AKMA服务;在接收到第一响应时,生成AKMA密钥,所述第一响应表示所述UDM确认所述终端支持AKMA服务。
处理器2200还用于读取所述程序,执行如下步骤:预先存储终端的标识信息与终端是否支持AKMA服务的对应关系。
处理器2200还用于读取所述程序,执行如下步骤:
接收第二网元发送的认证请求消息,所述认证请求消息携带所述终端的签约永久标识SUPI,或者,所述认证请求消息携带所述终端的签约加密标识SUCI;
在所述认证请求消息携带所述SUPI的情况下,根据所述SUPI查询所述对应关系,获取所述第一信息;
在所述认证请求消息携带所述SUCI的情况下,向UDM发送所述SUCI,并从所述UDM获得SUPI;根据从所述UDM获得的SUPI查询所述对应关系,获取所述第一信息。
处理器2200还用于读取所述程序,执行如下步骤:
接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息。
处理器2200还用于读取所述程序,执行如下步骤:
向所述UDM发送第一指示信息,所述第一指示信息用于指示所述UDM确认所述终端是否支持AKMA服务;
接收所述UDM发送的第一确认指示,所述第一确认指示用于指示所述终端是否支持AKMA服务。
处理器2200还用于读取所述程序,执行如下步骤:
接收所述终端的第一请求,所述第一请求用于请求生成AKMA密钥;
所述向所述UDM发送第一指示信息,包括:
根据所述第一请求,向所述UDM发送第一指示信息。
处理器2200还用于读取所述程序,执行如下步骤:
接收第二网元发送的认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括支持AKMA服务的能力,支持通用引导架构GBA服务的能力。
处理器2200还用于读取所述程序,执行如下步骤:
请求UDM确认所述终端所支持的目标应用服务安全能力。
处理器2200还用于读取所述程序,执行如下步骤:
如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,则生成AKMA密钥或者GBA密钥;
如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,则根据预设策略生成密钥。
处理器2200还用于读取所述程序,执行如下步骤:
如果所述目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,向第三网元发送所述目标应用服务安全能力的信息;
如果所述目标应用服务安全能力至少为支持AKMA服务的能力和支持GBA服务的能力,向第三网元发送所述预设策略以及根据所述预设策略生成的密钥。
处理器2200还用于读取所述程序,执行如下步骤:
接收UDM发送的指示信息,所述指示信息用于指示为所述终端选择AKMA服务;
根据所述指示信息,生成密钥;
向所述UDM发送AKMA密钥推衍参数。
再参见图22,本发明实施例的密钥生成设备,应用于第三网元,包括:处理器2200,用于读取存储器2222中的程序,执行下列过程:
接收目标第四网元的密钥请求;
根据所述密钥请求,确定终端所支持的应用服务安全能力以及第四网元的信息,所述第四网元为所述终端开启目标应用服务安全能力的第四网元,所述目标应用服务安全能力为所述终端所支持的应用服务安全能力中的一种或者多种;
生成所述终端所支持的应用服务安全能力的密钥。
收发机2210,用于在处理器2200的控制下接收和发送数据。
其中,在图22中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2200代表的一个或多个处理器和存储器2222代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机2210可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200还用于读取所述程序,执行如下步骤:
请求UDM确认所述终端所支持的应用服务安全能力以及第四网元的信息;
所述生成所述终端所支持的应用服务安全能力的密钥,包括:
如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
处理器2200还用于读取所述程序,执行如下步骤:
获取第一网元发送的所述终端所支持的第一应用服务安全能力;
获取所述目标第四网元的标识;
如果所述第一应用服务安全能力为支持AKMA服务的能力且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
处理器2200还用于读取所述程序,执行如下步骤:
获取第一网元发送的预设策略以及根据所述预设策略生成的密钥;
获取所述第四网元的标识;
如果所述预设策略表示所述密钥是由于所述终端支持AKMA服务的能力而生成的,且根据所述目标第四网元的标识确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
处理器2200还用于读取所述程序,执行如下步骤:
接收UDM发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元;
所述生成所述终端所支持的应用服务安全能力的密钥,包括:
如果所述终端所支持的应用服务安全能力为支持AKMA服务的能力且根据所述第四网元的信息确定所述终端与所述目标第四网元之间开启了AKMA服务,则生成AF密钥。
再参见图22,本发明实施例的密钥生成设备,应用于第二网元,包括:处理器2200,用于读取存储器2222中的程序,执行下列过程:
向第一网元发送第一信息,所述第一信息表示终端所支持的应用服务安全能力,所述第一信息用于使得第一网元根据所述第一信息,生成密钥。
收发机2210,用于在处理器2200的控制下接收和发送数据。
其中,在图22中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2200代表的一个或多个处理器和存储器2222代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机2210可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200还用于读取所述程序,执行如下步骤:
向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息。
处理器2200还用于读取所述程序,执行如下步骤:
向所述第一网元发送认证请求消息,所述认证请求消息中携带所述第一信息,所述应用服务安全能力至少包括AKMA服务能力,GBA服务能力。
再参见图22,本发明实施例的密钥生成设备,应用于UDM,包括:处理器2200,用于读取存储器2222中的程序,执行下列过程:
存储终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
根据所述签约信息,确认所述终端支持的目标应用服务安全能力。
收发机2210,用于在处理器2200的控制下接收和发送数据。
其中,在图22中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2200代表的一个或多个处理器和存储器2222代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机2210可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200还用于读取所述程序,执行如下步骤:
接收第一网元的第一请求,所述第一请求用于确认所述终端是否支持AKMA服务;
根据所述签约信息以及所述第一请求,向所述第一网元发送第一响应,所述第一响应用于指示所述终端是否支持AKMA服务。
处理器2200还用于读取所述程序,执行如下步骤:
在主认证的过程之中,接收第一网元的第一请求;或者
在主认证过程完成之后,接收第一网元的第一请求。
处理器2200还用于读取所述程序,执行如下步骤:
接收第三网元的第二请求,所述第二请求用于确认所述终端是否支持AKMA服务;
根据所述签约信息以及所述第二请求,向所述第三网元发送第二响应,所述第二响应用于指示所述终端是否支持AKMA服务。
处理器2200还用于读取所述程序,执行如下步骤:
接收第一网元的第三请求;
根据所述签约信息以及所述第三请求,向所述第一网元发送第三响应,所述第三响应用于指示目标应用服务安全能力为支持AKMA服务的能力或者支持GBA服务的能力中的一种,或者,所述目标应用服务安全能力至少为AKMA支持服务的能力和支持GBA服务的能力。
其中,所述签约信息还包括:与所述终端之间开启了AKMA服务的第四网元的标识信息。
再参见图22,本发明实施例的密钥生成设备,应用于第二网元,包括:处理器2200,用于读取存储器2222中的程序,执行下列过程:
向UDM发送指示信息以及第四网元的标识,所述指示信息用于指示终端所支持的应用服务安全能力;
接收所述UDM发送的密钥推衍参数;
向所述终端发送所述密钥推衍参数。
其中,在图22中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2200代表的一个或多个处理器和存储器2222代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机2210可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200还用于读取所述程序,执行如下步骤:
所述指示信息用于指示所述终端支持AKMA服务的能力,所述第四网元为所述终端之间开启了AKMA服务的第四网元。
再参见图22,本发明实施例的密钥生成设备,应用于UDM,包括:处理器2200,用于读取存储器2222中的程序,执行下列过程:
获取终端的签约信息,所述签约信息包括所述终端所支持的应用服务安全能力;
当根据所述签约信息确定为所述终端推衍应用服务安全密钥时,向第一网元发送第一指示,所述第一指示用于指示所述第一网元推衍所述终端的应用服务安全密钥。
收发机2210,用于在处理器2200的控制下接收和发送数据。
其中,在图22中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2200代表的一个或多个处理器和存储器2222代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机2210可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200负责管理总线架构和通常的处理,存储器2222可以存储处理器2200在执行操作时所使用的数据。
处理器2200还用于读取所述程序,执行如下步骤:
接收第二网元发送的指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力,以及与所述终端开启AKMA服务的AF的标识信息。
处理器2200还用于读取所述程序,执行如下步骤:
接收所述第一网元发送的密钥推衍参数;
向所述第二网元发送所述密钥推衍参数。
处理器2200还用于读取所述程序,执行如下步骤:
向第四网元发送指示信息以及第四网元的标识,所述指示信息用于指示所述终端所支持的应用服务安全能力;
所述第四网元为所述终端之间开启了AKMA服务的第四网元。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述密钥生成方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。根据这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。