CN113645621B

CN113645621B - 一种安全通信方法及装置

Info

Publication number: CN113645621B
Application number: CN202010389032.0A
Authority: CN
Inventors: 周艳; 何承东; 林青春
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-04-27
Filing date: 2020-05-09
Publication date: 2023-04-28
Anticipated expiration: 2040-05-09
Also published as: CN113645621A

Abstract

本申请实施例公开一种安全通信方法及装置，该方法包括：第一NF向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；响应于第一请求消息，该第三NF确定第一用户标识的可信属性；若该第一用户标识的可信属性符合预设条件，则该第三NF向第一NF发送第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。该方法中第一用户标识以假名化的方式存在于不同NF之间，避免了第一用户标识被不被信任的NF篡改或截获等，提高了第一用户标识的安全性。

Description

一种安全通信方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种安全通信方法及装置。

背景技术

在无线通信***中，终端设备可以通过无线接入网中的接入设备与一个或多个核心设备进行通信。示例性的，终端设备与应用服务器通信时，从终端设备发出的消息，可以经过多个核心设备如第一网络功能(network function，NF)、第二NF或第三NF等，从而到达该应用服务器。

同时，各国运营商和政府机构对第五代通信***(5th-generation，5G)的安全问题比较关注。比如网络部署中可能会存在恶意泄露用户隐私和数据的风险。

因此，如何提升网络的可信安全程度，降低风险，薄弱环节不被任何人利用，安全威胁能够被有效应对是本领域技术人员正在研究的问题。

发明内容

本申请提供一种安全通信方法及装置，能够有效提高终端设备与NF之间信息交互的安全性。

第一方面，本申请提供一种安全通信方法，该方法包括：第一网络功能(networkfunction，NF)向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；响应于该第一请求消息，第三NF确定第一用户标识的可信属性；若该第一用户标识的可信属性符合预设条件，则第三NF向第一NF发送第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。

以上所示的第一用户标识的可信属性符合预设条件，也可以理解为终端设备的可信属性符合预设条件。本申请实施例中，若第一用户标识的可信属性符合预设条件，则该第一用户标识可以以假名化的方式存在于不同NF之间，避免了该第一用户标识被不被信任或不安全的NF篡改或截获等，有效保护了该第一用户标识，提高了该第一用户标识的安全性。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息包括：若第一NF的可信级别匹配预设级别，则该第三NF向第一NF发送第一响应消息。

本申请实施例中，预设级别用于衡量不同NF的可信级别。例如，可信级别包括强可信级别、弱可信级别和不可信级别，则该预设级别可以为弱可信级别或不可信等。又例如，可信级别包括高可信级别、低可信级别和不可信级别，则该预设级别可以为低可信级别或不可信等。也就是说，第一NF的可信级别较低时，为保护第一用户标识，第三NF可以向第一NF发送该第一用户标识的假名信息(即第二假名信息)。

在一种可能的实现方式中，所述方法还包括：若第一NF的可信级别不匹配预设级别，则该第三NF向第一NF发送携带第一用户标识的响应消息。

也就是说，第一NF的可信级别较高时，则第三NF可以信任该第一NF，由此可以向该第一NF发送真实的用户标识如第一用户标识。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息包括：若第一NF所在的安全域的可信级别匹配预设级别，则第三NF向第一NF发送第一响应消息。

本申请实施例中，不同NF之间可以区分可信级别，同时可以区分不同安全域的可信级别。示例性的，本申请提供的方法中可以区分第一安全域、第二安全域等，该第一安全域的可信级别与第二安全域的可信级别不同。如果第一NF位于第一安全域，且该第一安全域的可信级别较弱，则该第三NF可以向第一NF发送第一用户标识的第二假名信息。或者，若第一安全域的可信级别较强(如不匹配预设级别)，则第三NF可以向第一NF发送真实的用户标识如第一用户标识。

在一种可能的实现方式中，第三NF确定第一用户标识的可信属性包括：第三NF根据第一用户标识的签约等级确定该第一用户标识的可信属性；或者，第三NF根据第一用户标识的会话属性确定该第一用户标识的可信属性；或者，第三NF根据第一用户标识的行业要求确定该第一用户标识的可信属性。

以上所示的第一用户标识的签约等级、会话属性或行业要求等，也可以理解为终端设备的签约等级、会话属性或行业要求等。第一用户标识的可信属性可以用于指示该第一用户标识是否需要被假名化处理。或者，该第一用户标识的可信属性可以用于指示该第一用户标识是否需要被保护等。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息之前，该方法还包括：第三NF根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息。

本申请实施例中，第三NF可以根据第一用户标识和第一假名信息的对应关系，以及第一假名信息得到该第一用户标识。也就是说，该第三NF中保存有第一用户标识和第一假名信息的对应关系。该对应关系也可以理解为映射关系等，本申请实施例对此不作限定。

在一种可能的实现方式中，该方法还包括：第三NF保存第二假名信息和第一用户标识的对应关系。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息之前，该方法还包括：第三NF向第四NF发送第二请求消息，该第二请求消息携带第一假名信息；响应于第二请求消息，第四NF根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息；第四NF向第三NF发送第二假名信息，第三NF接收该第二假名信息。

本申请实施例中，第四NF中也可以保存有第一用户标识和第一假名信息的对应关系。从而第三NF确定了第一用户标识的可信属性符合预设条件之后，该第三NF向第四NF请求第二假名信息。

可选的，以上所示方法中描述的是第三NF确定第一用户标识的可信属性。可选的，第四NF中也可以保存第一用户标识的签约等级等。换句话说，第一NF还可以向第四NF发送第一请求消息，该第四NF确定第一用户标识的可信属性以及在该第一用户标识的可信属性符合预设条件时，第四NF向第一NF发送第一响应消息。

可理解，对于第三NF或第四NF如何生成第二假名信息，本申请实施例不作限定。

第二方面，本申请提供一种安全通信方法，该方法包括：第一NF向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；该第一NF接收来自第三NF的第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。

结合第一方面或第二方面，在一种可能的实现方式中，第一NF接收到第一响应消息之后，便可以根据该第一响应消息中携带的第二假名信息生成根密钥(Kamf)。

结合第一方面或第二方面，在一种可能的实现方式中，第一响应消息中还可以携带根密钥。该情况下，终端设备可以根据第一用户标识生成该根密钥。保证对终端设备没有影响，由此，第三NF(或第四NF)根据第一用户标识生成第二假名信息的密钥推演算法1(如KDF1)，以及根据该第二假名信息生成根密钥的密钥推演算法2(如KDF2)需要满足如下条件：第三NF(或第四NF)生成的根密钥与终端设备生成的根密钥相同。

结合第一方面或第二方面，在一种可能的实现方式中，第一响应消息中还可以携带第三指示信息，该第三指示信息用于指示第一NF根据第二假名信息生成根密钥。该情况下，终端设备根据第一用户标识生成的根密钥也需要与第一NF根据第二假名信息生成的根密钥相同。

可理解，以上所示的方法中，终端设备仍可以根据第一用户标识生成根密钥。本申请实施例还提供了一种方法，如终端设备根据第二假名信息生成根密钥。如下所示：

结合第一方面或第二方面，在一种可能的实现方式中，第一响应消息中还携带第一指示信息和/或第二指示信息，该第一指示信息用于指示生成第二假名信息和/或根密钥，该第二指示信息用于指示生成用户面密钥。

结合第一方面或第二方面，在一种可能的实现方式中，该方法还包括：若第一响应消息中携带第一指示信息，则第一NF根据第二假名信息生成根密钥；以及该第一NF向终端设备发送第一指示信息。

其中，该第一指示信息可以用于指示终端设备生成第二假名信息。或者，该第一指示信息可以用于指示终端设备根据第二假名信息生成根密钥。

结合第一方面或第二方面，在一种可能的实现方式中，该方法还包括：若第一响应消息中携带第二指示信息，则第一NF根据第二假名信息生成用户面密钥；以及该第一NF向终端设备发送第二指示信息。

其中，该第二指示信息可以用于指示终端设备生成用户面密钥。

结合第一方面或第二方面，在一种可能的实现方式中，该方法还包括：第一NF向用户面功能发送用户面密钥。

接收到该用户面密钥之后，用户面功能可以根据该用户面密钥与终端设备进行交互。该用户面密钥根据第二假名信息得到，由此不仅保护了第一用户标识，而且还根据该用户面密钥保护了终端设备与用户面功能之间的数据，提高了信息交互的安全性。

第三方面，本申请提供一种安全通信方法，该方法包括：第三NF接收来自第一NF的第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；响应于该第一请求消息，第三NF确定第一用户标识的可信属性；若第一用户标识的可信属性符合预设条件，则第三NF向第一NF发送第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息之前，该方法还包括：第三NF向第四NF发送第二请求消息，该第二请求消息携带第一假名信息；第三NF接收来自第四NF的第二假名信息。

可理解，以上所示的第三NF所执行的方法，也可以由第四NF执行。例如，第四NF可以接收终端设备的第一用户标识的第一假名信息；然后确定该第一用户标识的可信属性；若该第一用户标识的可信属性符合预设条件，则该第四NF可以发送第二假名信息。示例性的，该第四NF可以直接接收来自第一NF的第一请求消息等；或者，该第四NF也可以接收来自第三NF的请求消息等。又例如，该第四NF还可以生成第二假名信息，以及保存第二假名信息和第一用户标识的对应关系等。

第四方面，本申请提供一种安全通信方法，该方法包括：第四NF接收来自第三NF的第二请求消息，该第二请求消息携带终端设备的第一用户标识的第一假名信息；响应于第二请求消息，该第四NF根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息；该第四NF向第三NF发送第二假名信息。

在一种可能的实现方式中，该第四NF保存第二假名信息和第一用户标识的对应关系。

第五方面，本申请提供一种安全通信方法，该方法包括：终端设备接收第一NF发送的第一指示信息，该第一指示信息用于指示终端设备生成第二假名信息和/或根密钥；终端设备根据第一用户标识生成第二假名信息；终端设备根据该第二假名信息生成根密钥；终端设备根据该根密钥生成接入层密钥和/或非接入层密钥，该接入层密钥用于对终端设备与接入设备之间的数据和/或信令进行保护，该非接入层密钥用于对终端设备与第一NF之间的数据和/或信令进行保护。

第六方面，本申请提供一种安全通信方法，该方法包括：终端设备接收第一NF发送的第二指示信息，该第二指示信息用于指示终端设备生成用户面密钥；终端设备根据第一用户标识生成第二假名信息；终端设备根据第二假名信息生成根密钥；终端设备根据根密钥生成用户面密钥，该用户面密钥用于对终端设备与用户面功能之间的数据进行保护。

第七方面，本申请提供一种安全通信方法，该方法包括：第一网络功能(networkfunction，NF)向网络存储功能(network function repository function，NRF)发送第三请求消息，该第三请求消息携带可信级别；响应于第三请求消息，NRF根据可信级别确定第二NF；NRF向第一NF发送该第二NF的标识信息。

其中，NRF可以根据保存的NF的标识信息和NF的可信级别的对应关系确定该第二NF。例如，NRF中可以保存一个或多个NF的标识信息和该一个或多个NF的可信级别的对应关系。本申请实施例中，NRF根据可信级别确定第二NF，可使得第一NF接收到该第二NF的标识信息。从而第一NF可以与可信级别相对应的NF(即第二NF)进行交互，一方面，可满足终端设备对应的用户标识对可信级别的要求，另一方面，第一NF与可信级别高的NF(如第二NF)进行数据和/或信令交互，提高了第一NF和第二NF交互的安全性。

在一种可能的实现方式中，NRF根据可信级别确定第二NF之前，该方法还包括：NRF接收第二NF发送的注册请求消息，该注册请求消息携带第二NF的可信级别；NRF保存该第二NF的标识信息和该第二NF的可信级别的对应关系。

换句话说，NRF可以接收一个或多个NF发送的注册请求消息，该注册请求消息携带NF的可信级别，以及该NRF可以保存该一个或多个NF的标识信息和该一个或多个NF的可信级别的对应关系，该一个或多个NF中包括第二NF。

在一种可能的实现方式中，NRF根据可信级别确定第二NF包括：NRF根据保存的第二NF的标识信息和该第二NF的可信级别的对应关系，以及第三请求消息中携带的可信级别，确定该第二NF。

NRF中保存有一个或多个NF的标识信息和该一个或多个NF的可信级别的对应关系，由此，该NRF可以根据保存的上述对应关系，以及第三消息中携带的可信级别，确定第二NF。换句话说，NRF可以从保存的上述对应关系中得到与可信级别(即第三消息中携带的可信级别)对应的第二NF。

可选的，NRF根据可信级别确定第二NF之前，该方法还包括：NRF预配置一个或多个NF的可信级别；保存该一个或多个NF的标识信息和可信级别的对应关系。也就是说，该NRF还可以根据预配置信息以及可信级别(即第三消息中携带的可信级别)确定第二NF，该预配置信息中包括一个或多个NF的标识信息和该一个或多个NF的可信级别的对应关系。

在一种可能的实现方式中，第一NF向NRF发送第三请求消息之前，该方法还包括：第一NF从第三NF获取第一用户标识的可信属性；根据该第一用户标识的可信属性确定可信级别。

也就是说，第三请求消息中携带的可信级别可以根据第一用户标识的可信属性确定。例如，该第一用户标识的可信属性符合预设条件，则该可信级别越高。对于该第一用户标识的可信属性的相关描述，可参考第一方面所示的方法，这里不再详述。

在一种可能的实现方式中，第一NF向NRF发送第三请求消息之前，该方法还包括：第一NF向NSSF发送第四请求消息，该第四请求消息携带第一切片的标识信息，NSSF向第一NF发送第四响应消息，该第四响应消息携带第一切片的可信级别。

该第一切片的标识信息可以来自于终端设备，也就是说，终端设备向第一NF发送相关请求消息时，该相关请求消息中可以携带第一切片的标识信息。

在一种可能的实现方式中，NSSF向第一NF发送第四响应消息之前，该方法还包括：NSSF根据第一预配置信息和第一切片的标识信息，确定该第一切片的可信级别，该第一预配置信息中包括第一切片的可信级别和该第一切片的标识信息的对应关系。

其中，第一预配置信息可以由运营商配置，或者，由其他NF配置等，本申请对此不作限定。该第一预配置信息中可以保存切片的标识信息和该切片的可信级别。例如，该第一预配置信息中可以保存一个或多个切片的标识信息和可信级别的对应关系。

在一种可能的实现方式中，第三请求消息携带可信级别包括：该第三请求消息携带第一切片的可信级别，以及该第三请求消息中还携带该第一切片的标识信息；NRF根据可信级别确定第二NF包括：该NRF根据第一切片的标识信息确定与该第一切片对应的第二NF集合；根据保存的NF的标识信息和该NF的可信级别的对应关系，以及该第一切片的可信级别，从第二NF集合中确定第二NF。

换句话说，NRF可以根据保存的一个或多个NF的标识信息和可信级别的对应关系，从第二NF集合中确定与第一切片的可信级别对应的第二NF。

在一种可能的实现方式中，第一NF向NRF发送第三请求消息之前，该方法还包括：第一NF向NSSF发送第四请求消息，该第四请求消息携带第一切片的标识信息；NSSF向第一NF发送第四响应消息，该第四响应消息中携带第二NF集合的标识信息和该第二NF集合的可信级别，该第二NF集合为与第一切片对应的NF集合。

在一种可能的实现方式中，NSSF向第一NF发送第四响应消息之前，该方法还包括：NSSF根据第二预配置信息和第一切片的标识信息，确定第二NF集合的可信级别，该第二预配置信息中包括第二NF集合的标识信息和第二NF集合的可信级别的对应关系。

该第二预配置信息中还可以包括第一切片的标识信息和第二NF集合的标识信息的对应关系。换句话说，NSSF可以从上述对应关系中确定与第一切片对应的第二NF集合，然后从上述对应关系确定与第二NF集合对应的可信级别。该第二预配置信息中可以保存有一个或多个切片和NF集合的对应关系，以及一个或多个NF集合和可信级别的对应关系。

在一种可能的实现方式中，第三请求消息携带可信级别包括：第三请求消息携带第二NF集合的可信级别；以及该第三请求消息还携带第二NF集合的标识信息；NRF根据可信级别确定第二NF包括：NRF根据保存的NF的标识信息和NF的可信级别的对应关系，以及第二NF集合的可信级别，从该第二NF集合中确定第二NF。

上述NRF根据可信级别确定第二NF包括：NRF根据保存的NF的标识信息和NF的可信级别的对应关系，NF的标识信息和NF所在集合的标识信息的对应关系，以及第二NF集合的可信级别、第二NF集合的标识信息，从该第二NF集合中确定第二NF。

换句话说，NRF可以根据保存的NF的标识信息和NF所在集合的标识信息的对应关系，以及第二NF集合的标识信息得到该第二NF集合对应的一个或多个NF。以及根据保存的NF的标识信息和NF的可信级别的对应关系，得到上述一个或多个NF的可信级别。以及根据第二NF集合的可信级别和上述一个或多个NF对应的可信级别从该一个或多个NF中确定第二NF。

本申请实施例对于第二NF集合中包括的NF个数不作限定，例如，该第二NF集合中可以包括一个NF；或者，该第二NF集合中还可以包括多个NF。该第二NF集合中包括第二NF。可选的，第二NF的可信级别等于或高于第三请求消息中携带的可信级别。

第八方面，本申请提供一种安全通信方法，该方法包括：第一NF向NRF发送第三请求消息，该第三请求消息携带可信级别；该第一NF接收来自该NRF的第三响应消息，该第三响应消息携带第二NF的标识信息；该第一NF与该第二NF进行数据和/或信令交互。

在一种可能的实现方式中，第一NF向NRF发送第三请求消息之前，该方法还包括：第一NF向NSSF发送第四请求消息，该第四请求消息携带第一切片的标识信息；该第一NF接收来自NSSF的第四响应消息，该第四响应消息携带该第一切片的可信级别；或者，该第四响应消息携带第二NF集合的可信级别。

在一种可能的实现方式中，第四响应消息携带该第一切片的可信级别时，第三请求消息携带第一切片的可信级别和该第一切片的标识信息；或者，第四响应消息携带第二NF集合的可信级别时，该第三请求消息携带第二NF集合的可信级别和该第二NF集合的标识信息。

在一种可能的实现方式中，该方法还包括：第一NF向NRF发送注册请求消息，该注册请求消息携带第一NF的可信级别。

可选的，注册请求消息还可以携带第一NF所在的NF集合的标识信息。

第九方面，本申请提供一种安全通信方法，该方法包括：NRF接收来自第一NF的第三请求消息，该第三请求消息携带可信级别；响应于该第三请求消息，NRF根据可信级别确定第二NF；该NRF向第一NF发送第三响应消息，该第三响应消息携带第二NF的标识信息。

可选的，该注册请求消息还可以携带第二NF所在的NF集合的标识信息。

在一种可能的实现方式中，该方法还包括：NRF接收来自第一NF的注册请求消息，该注册请求消息携带第一NF的可信级别；NRF保存该第一NF的标识信息和该第一NF的可信级别的对应关系。

可选的，该注册请求消息还可以携带第一NF所在的NF集合的标识信息。

第十方面，本申请提供一种安全通信方法，该方法包括：NSSF接收第一NF发送的第四请求消息，该第四请求消息携带第一切片的标识信息；NSSF向第一NF发送第四响应消息，该第四响应消息携带第一切片的可信级别；或者，该第四响应消息携带第二NF集合的标识信息和该第二NF集合的可信级别，该第二NF集合为与第一切片对应的NF集合。

可理解，第一方面至第十方面中，第一NF可以包括AMF或SMF等。

第十一方面，本申请提供一种安全通信方法，该方法包括：域名***(domain namesystem，DNS)接收来自第一网络功能(network function，NF)的第五请求消息，该第五请求消息携带域名信息和可信级别；响应于第五请求消息，DNS根据该域名信息和可信级别确定第二NF；DNS向第一NF发送该第二NF的标识信息。

本申请实施例中，DNS可以根据保存的域名信息和标识信息的对应关系，以及标识信息和可信级别的对应关系(或域名信息和可信级别的对应关系等)确定该第二NF。例如，DNS中可以配置一个或多个NF的域名信息(或标识信息)和该一个或多个NF的可信级别的对应关系。DNS根据可信级别确定第二NF，可使得第一NF接收该第二NF的标识信息，该第二NF的标识信息可以包括该第二NF的IP地址等。从而第一NF可以与可信级别相对应的NF(即第二NF)进行交互，一方面，可满足终端设备对应的用户标识对可信级别的要求，另一方面，第一NF与可信级别高的NF(如第二NF)进行数据和/或信令交互，提高了第一NF和第二NF交互的安全性。

第十二方面，本申请提供一种通信装置，在一种可能的实现方式中，该通信装置包括具有执行第二方面或第二方面的任意可能的实现方式中的方法的相应单元。在另一种可能的实现方式中，该通信装置包括具有执行第三方面或第三方面的任意可能的实现方式中的方法的相应单元。在又一种可能的实现方式中，该通信装置包括具有执行第四方面或第四方面的任意可能的实现方式中的方法的相应单元。在又一种可能的实现方式中，该通信装置包括具有执行第八方面或第八方面的任意可能的实现方式中的方法的相应单元。在又一种可能的实现方式中，该通信装置包括具有执行第九方面或第九方面的任意可能的实现方式中的方法的相应单元。在又一种可能的实现方式中，该通信装置包括具有执行第十方面或第十方面的任意可能的实现方式中的方法的相应单元。在又一种可能的实现方式中，该通信装置包括具有执行第十一方面所示的方法的相应单元。

例如，上述通信装置包括收发单元和处理单元。

第十三方面，本申请提供一种通信装置，该通信装置包括处理器，用于执行存储器中存储的程序；在一种可能的实现方式中，当该程序被执行时，使得该通信装置执行如上述第二方面或第二方面的任意可能的实现方式所示的方法。在另一种可能的实现方式中，当该程序被执行时，使得该通信装置执行如上述第三方面或第三方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，当该程序被执行时，使得该通信装置执行如上述第四方面或第四方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，当该程序被执行时，使得该通信装置执行如上述第八方面或第八方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，当该程序被执行时，使得该通信装置执行如上述第九方面或第九方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，当该程序被执行时，使得该通信装置执行如上述第十方面或第十方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，当该程序被执行时，使得该通信装置执行如上述第十一方面所示的方法。

在一种可能的实现方式中，存储器位于上述通信装置之外。

在一种可能的实现方式中，存储器位于上述网络设备之内。

在一种可能的实现方式中，网络设备还包括收发器，该收发器，用于接收信号或发送信号。对于收发器和处理器的具体实现方式，这里先不详述。

第十四方面，本申请提供一种通信装置，该通信装置包括处理电路和接口电路，接口电路，用于接收计算机代码并传输至处理器；处理器运行计算机代码以执行上述示出的由NF执行的方法。对于接口电路和处理电路的具体实现方式，这里先不详述。

第十五方面，本申请提供一种通信装置，该通信装置包括具有执行第五方面或第五方面的任意可能的实现方式中的方法的相应单元。或者，该通信装置包括具有执行第六方面或第六方面的任意可能的实现方式中的方法的相应单元。

例如，该通信装置包括收发单元和处理单元。

第十六方面，本申请提供一种通信装置，该通信装置包括处理器，用于执行存储器中存储的程序，当该程序被执行时，使得该通信装置执行如上述第五方面或第五方面的任意可能的实现方式所示的方法；或者，当该程序被执行时，使得该通信装置执行如上述第六方面或第六方面的任意可能的实现方式所示的方法。

在一种可能的实现方式中，存储器位于上述通信装置之外。

第十七方面，本申请提供一种通信装置，该通信装置包括处理器、存储器以及存储在存储器上并可在处理器上运行的程序，当该程序被运行时，使得该通信装置执行如上述第五方面或第五方面的任意可能的实现方式中所示的方法；或者，当该程序被运行时，使得该通信装置执行如上述第六方面或第六方面的任意可能的实现方式中所示的方法。

第十八方面，本申请提供一种通信装置，该通信装置包括处理器、存储器和收发器，收发器，用于接收信号或者发送信号；存储器，用于存储计算机代码；处理器，用于执行计算机代码，使通信装置执行上述第五方面或第五方面的任意可能的实现方式所示的方法；或者，处理器，用于执行计算机代码，使通信装置执行上述第六方面或第六方面的任意可能的实现方式所示的方法。

第十九方面，本申请提供一种通信装置，该通信装置包括处理电路和接口电路，该接口电路，用于获取第一指示信息，该第一指示信息用于指示通信装置生成第二假名信息；该处理电路，用于根据第一用户标识生成第二假名信息，以及根据该第二假名信息生成根密钥，以及根据该根密钥生成接入层密钥和/或非接入层密钥，该接入层密钥用于对通信装置与接入设备之间的数据和/或信令进行保护，该非接入层密钥用于对通信装置与第一NF之间的数据和/或信令进行保护。

或者，接口电路用于获取第二指示信息，该第二指示信息用于指示通信装置生成用户面密钥；处理电路，用于根据第一用户标识生成第二假名信息，以及根据第二假名信息生成根密钥，以及根据根密钥生成用户面密钥，该用户面密钥用于对通信装置与用户面功能之间的数据进行保护。

第二十方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质用于存储计算机程序，在一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第二方面或第二方面的任意可能的实现方式所示的方法被执行。在另一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第三方面或第三方面的任意可能的实现方式所示的方法被执行。在又一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第四方面或第四方面的任意可能的实现方式所示的方法被执行。在又一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第五方面或第五方面的任意可能的实现方式所示的方法被执行。在又一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第六方面或第六方面的任意可能的实现方式所示的方法被执行。在又一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第八方面或第八方面的任意可能的实现方式所示的方法被执行。在又一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第九方面或第九方面的任意可能的实现方式所示的方法被执行。在又一种可能的实现方式中，当计算机程序在计算机上运行时，使得上述第十方面或第十方面的任意可能的实现方式所示的方法被执行。

第二十一方面，本申请提供一种计算机程序产品，该计算机程序产品包括计算机程序或计算机代码，当其在计算机上运行时，使得上述各个方面或各个方面的任意可能的实现方式所示的方法被执行。

第二十二方面，本申请提供一种计算机程序，该计算机程序在计算机上运行时，上述各个方面或各个方面的任意可能的实现方式所示的方法被执行。

第二十三方面，本申请提供一种通信装置，在一种可能的实现方式中，用于执行如第二方面或第二方面的任意可能的实现方式所示的方法。在另一种可能的实现方式中，用于执行如第三方面或第三方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第四方面或第四方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第四方面或第四方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第五方面或第五方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第六方面或第六方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第七方面或第七方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第八方面或第八方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第九方面或第九方面的任意可能的实现方式所示的方法。在又一种可能的实现方式中，用于执行如第十方面或第十方面的任意可能的实现方式所示的方法。

第二十四方面，本申请提供一种无线通信***，该无线通信***包括第一NF和第三NF，该第一NF用于执行上述第二方面或第二方面的任意可能的实现方式所示的方法，该第三NF用于执行上述第三方面或第三方面的任意可能的实现方式所示的方法。

在一种可能的实现方式中，该无线通信***还包括第四NF，该第四NF用于执行上述第四方面或第四方面的任意可能的实现方式所示的方法。

在一种可能的实现方式中，该第一NF还可以用于执行上述第八方面或第八方面的任意可能的实现方式所示的方法。

在一种可能的实现方式中，该无线通信***还包括NRF，该NRF用于执行上述第九方面或第九方面的任意可能的实现方式所示的方法。

在一种可能的实现方式中，该无线通信***还包括NSSF，该NSSF用于执行上述第十方面或第十方面的任意可能的实现方式所示的方法。

在一种可能的实现方式中，该无线通信***还包括终端设备，该终端设备用于执行第五方面或第五方面的任意可能的实现方式所示的方法；或者，该终端设备还可以用于执行第六方面或第六方面的任意可能的实现方式所示的方法。

附图说明

图1是本申请实施例提供的一种网络架构的示意图；

图2是本申请实施例提供的一种安全通信方法的流程示意图；

图3a是本申请实施例提供的一种安全通信方法的流程示意图；

图3b是本申请实施例提供的一种安全通信方法的流程示意图；

图4是本申请实施例提供的一种安全通信方法的场景示意图；

图5是本申请实施例提供的一种安全通信方法的流程示意图；

图6a是本申请实施例提供的一种安全通信方法的流程示意图；

图6b是本申请实施例提供的一种安全通信方法的流程示意图；

图6c是本申请实施例提供的一种安全通信方法的流程示意图；

图6d是本申请实施例提供的一种安全通信方法的流程示意图；

图7a是本申请实施例提供的一种安全通信的网络架构示意图；

图7b是本申请实施例提供的一种安全通信的网络架构示意图；

图8是本申请实施例提供的一种通信装置的结构示意图；

图9是本申请实施例提供的一种通信装置的结构示意图；

图10是本申请实施例提供的一种通信装置的结构示意图；

图11是本申请实施例提供的一种无线通信***的示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。

本申请的说明书、权利要求书及附图中的术语“第一”和“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上，“至少两个(项)”是指两个或三个及三个以上，“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”。

下面首先对本申请应用的通信***进行介绍：

本申请提供的技术方案可以应用于各种通信***，例如：长期演进(long termevolution，LTE)***、LTE频分双工(frequency division duplex，FDD)***、LTE时分双工(time division duplex，TDD)、通用移动通信***(universal mobiletelecommunication system，UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access，WiMAX)通信***、第五代(5th generation，5G)通信***或新无线(new radio，NR)以及未来的其他通信***如6G等。

示例性的，以本申请应用于5G通信***为例，以下对5G***中的网络功能进行示例性介绍：

请参见图1，图1示出的网络架构是以第三代合作伙伴项目(3rd generationpartnership project，3GPP)标准化过程中定义的基于服务化架构的5G网络架构为例。如图1所示，该网络架构至少可以包括三部分，分别是终端设备部分、运营商网络部分和数据网络(data network，DN)部分等。

其中，终端设备部分可以包括终端设备110，该终端设备110也可以称为用户设备(user equipment，UE)。本申请中的终端设备110是一种具有无线收发功能的设备，可以经无线接入网(radioaccess network，RAN)140中的接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network，CN)设备(或者也可以称为核心设备)进行通信。终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。在一种可能的实现方式中，终端设备110可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。在一种可能的实现方式中，终端设备110可以是具有无线通信功能的手持设备、车载设备、可穿戴设备或物联网、车联网中的终端、5G网络以及未来网络中的任意形态的终端等，本申请对此并不限定。

其中，各种通信***中由运营者运营的部分可称为运营商网络或PLMN网络等。该运营商网络主要是移动网络运营商(mobile network operator，MNO)为用户提供移动宽带接入服务的公共网络。示例性的，本申请中的运营商网络或PLMN网络，还可以为符合3GPP标准要求的网络，简称3GPP网络。通常的，3GPP网络可以由运营商运营，包括但不限于第五代移动通信(5th-generation，5G)网络(简称5G网络)、***移动通信(4th-generation，4G)网络(简称4G网络)等。

如图1所示，该运营商网络可以包括：网络开放功能(network exposurefunction，NEF)131、网络存储功能(network function repository function，NRF)132、策略控制功能(policy control function，PCF)133、统一数据管理(unified datamanagement，UDM)134、应用功能(application function，AF)135、认证服务器功能(authentication server function，AUSF)136、接入与移动性管理功能(access andmobility management function，AMF)137、会话管理功能(session managementfunction，SMF)138、用户面功能(user plane function，UPF)139以及(无线)接入网((radio)access network，(R)AN)140等。上述运营商网络中，除(无线)接入网140部分之外的部分可以称为核心网络(core network，CN)部分或核心网部分。

数据网络DN 120，也可以称为分组数据网络(packet data network，PDN)，通常是位于运营商网络之外的网络，例如第三方网络。示例性的，运营商网络可以接入多个数据网络DN120，数据网络DN 120上可部署多种业务，从而为终端设备110提供数据和/或语音等服务。上述第三方网络的具体表现形式，具体可根据实际应用场景确定，本申请对此不作限定。

示例性的，下面对运营商网络中的网络功能进行简要介绍。

(R)AN140是运营商网络的子网络，是运营商网络中业务节点与终端设备110之间的实施***。终端设备110要接入运营商网络，首先是经过(R)AN140，进而通过(R)AN140与运营商网络中的网络功能连接。本申请实施例中的接入网设备是一种为终端设备110提供无线通信功能的设备，也可以称为接入设备或(R)AN设备等，(R)AN设备包括但不限于：5G***中的下一代基站(next generation node basestation，gNB)、LTE***中的演进型基站(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(nodeB，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiverstation，BTS)、家庭基站(home evolved nodeB，或home node B，HNB)、基带单元(baseband unit，BBU)、传输接收点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、小基站设备(pico)、移动交换中心，或者未来网络中的网络设备等。可理解，本申请对接入网设备的具体类型不作限定。采用不同无线接入技术的***中，具备接入网设备功能的设备的名称可能会有所不同。为便于描述，下文中将以接入设备为例说明该(R)AN140。

可选的，在接入设备的一些部署中，接入设备可以包括集中式单元(centralizedunit，CU)和分布式单元(distributed unit，DU)等。在接入设备的另一些部署中，CU还可以划分为CU-控制面(control plane，CP)和CU-用户面(user plan，UP)等。在接入设备的又一些部署中，接入设备还可以是开放的无线接入网(openradioaccessnetwork，ORAN)架构等，本申请对于接入设备的具体部署方式不作限定。

网络开放功能NEF(也可以称为NEF网络功能或NEF网络功能实体)131是由运营商提供控制面功能。NEF网络功能131以安全的方式对第三方开放运营商网络的对外接口。在SMF网络功能138需要与第三方的网络功能通信时，NEF网络功能131可作为SMF网络功能138与第三方的网络实体通信的中继。NEF网络功能131作为中继时，可作为签约用户的标识信息的翻译，以及第三方的网络功能的标识信息的翻译。比如，NEF网络功能131将签约用户的SUPI从运营商网络发送到第三方时，可以将SUPI翻译成其对应的外部身份标识(identity，ID)。反之，NEF网络功能131将外部ID(第三方的网络实体ID)发送到运营商网络时，可将其翻译成SUPI。

网络存储功能NRF132，可用于维护网络中所有网络功能服务的实时信息。

本申请实施例中，网络存储功能NRF 132中可以保存一个或多个NF的标识信息和可信级别。例如，该NRF中可以保存第二网络功能(network function，NF)的标识信息和该第二NF的可信级别。

策略控制功能PCF133是由运营商提供的控制面功能，用于向会话管理功能SMF138提供PDU会话的策略。策略可以包括计费相关策略、QoS相关策略和授权相关策略等。

统一数据管理UDM134是由运营商提供的控制面功能，负责存储运营商网络中签约用户的用户永久标识符(subscriber permanent identifier，SUPI)、安全上下文(security context)、签约数据等信息。上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户，例如使用中国电信的终端设备芯卡的用户，或者使用***的终端设备芯卡的用户等。示例性的，签约用户的SUPI可为终端设备芯卡的号码等。上述安全上下文可以为存储在本地终端设备(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户的签约数据可以为该终端设备芯卡的配套业务，例如该手机芯卡的流量套餐等。

本申请实施例中，签约用户的签约数据中还可以包括该签约用户的签约等级。例如，该签约用户为普通用户或重要用户(very important person，VIP)。本申请实施例中，统一数据管理UDM 134中不仅可以保存签约用户的签约数据，还可以根据该签约用户的签约等级确定该签约用户的可信属性。

应用功能(application function，AF)135，用于进行应用影响的数据路由，接入网络开放功能，与策略框架交互进行策略控制等。

认证服务器功能AUSF136是由运营商提供的控制面功能，通常用于一级认证，即终端设备110(签约用户)与运营商网络之间的认证。

接入与移动性管理功能AMF137是由运营商网络提供的控制面网络功能，负责终端设备110接入运营商网络的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。

会话管理功能SMF138是由运营商网络提供的控制面网络功能，负责管理终端设备110的协议数据单元(protocol data unit，PDU)会话。PDU会话是一个用于传输PDU的通道，终端设备需要通过PDU会话与DN 120互相传输PDU。PDU会话可以由SMF138负责建立、维护和删除等。SMF138包括会话管理(如会话建立、修改和释放，包含UPF 139和(R)AN140之间的隧道维护等)、UPF139的选择和控制、业务和会话连续性(service and session continuity，SSC)模式选择、漫游等会话相关的功能。

UPF139是由运营商提供的网关，是运营商网络与DN 120通信的网关。UPF139包括数据包路由和传输、包检测、业务用量上报、服务质量(quality of service，QoS)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。

图1所示的运营商网络中的网络功能还可以包括网络切片选择功能(networkslice selection function，NSSF)(图1中未示出)，用于负责确定网络切片实例，选择AMF网络功能137等。

本申请实施例中，在一些实现方式中，NSSF中可以保存切片的标识信息和该切片的可信级别。例如，该NSSF中可以保存一个或多个切片的标识信息和该一个或多个切片的可信级别，其中一个切片对应一个可信级别。示例性的，该NSSF中可以保存第一切片的标识信息和该第一切片的可信级别。在另一些实现方式中，NSSF中还可以保存切片的标识信息和该切片对应的NF集合。例如该NSSF中可以保存一个或多个切片的标识信息和该一个或多个切片对应的NF集合，其中，一个切片对应一个NF集合；或者，多个切片对应一个NF集合等。示例性的，该NSSF中可以保存第一切片的标识信息和该第一切片对应的第二NF集合的标识信息。示例性的，切片的标识信息可以包括网络切片选择辅助信息集合(network sliceselection assistance information，NSSAI)或者单网络切片选择辅助信息(singlenetwork slice selection assistance information，S-NSSAI)等，本申请实施例对于切片的标识信息的具体方式不作限定。

可理解，以上所示的第一切片的标识信息和与该第一切片对应的第二NF集合的标识信息，也可以理解为第一切片和该第二NF集合的对应关系；或者，第一切片的标识信息和与该第一切片对应的第二NF集合的对应关系等，本申请实施例对如何描述第一切片和第二NF集合的关系不作限定。

为便于理解，但是不限于此，本申请中切片简单理解就是将运营商的物理网络切割成多个虚拟的端到端的网络，每个虚拟网络之间(如包括网络内的设备、接入、传输和核心网)是逻辑独立的，任何一个虚拟网络发生故障都不会影响到其它虚拟网络。为了满足多样性需求和切片间的隔离，需要业务间相对独立的管理和运维，并提供量身定做的业务功能和分析能力。不同业务类型的实例可以部署在不同的网络切片上，相同业务类型的不同实例也可部署在不同的网络切片上。切片可以由一组网络功能、子网络构成。例如，图1中的子网络(R)AN 140、AMF 137、SMF138、UPF139可以组成一个切片。图1中的每种网络功能只示意性地画出了一个，而在实际网络部署中，每种网络功能或子网络可以有多个、数十个或上百个等。网络中可以部署很多切片，每个切片可以有不同的性能来满足不同应用、不同垂直行业的需求。可理解，本申请示出的切片还可以称为网络切片或网络切片实例等，本申请对其名称不作限定。

图1所示的运营商网络中的网络功能还可以包括统一数据存储(unified datarepository，UDR)，该UDR的功能可以参考UDM，这里不再详述。

图1所示的运营商网络中的网络功能还可以包括域名***(domain name system，DNS)(图1中未示出)，该DNS可以用于配置(或定义)物理网元之间的互联网协议(internetprotocol，IP)寻址，例如基站和AMF之间的IP寻址等。

图1中Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号为接口序列号。示例性的，上述接口序列号的含义可参见3GPP标准协议中定义的含义，本申请对于上述接口序列号的含义不做限制。需要说明的是，图1中仅以终端设备110为UE作出了示例性说明，图1中的各个网络功能之间的接口名称也仅仅是一个示例，在具体实现中，该***架构的接口名称还可能为其他名称，本申请对此不作限定。

本申请中的移动性管理网络功能可以是图1所示的AMF137，也可以是未来通信***中的具有上述接入与移动性管理功能AMF137的其他网络功能。或者，本申请中的移动性管理网络功能还可以是LTE***中的移动管理实体(mobility management entity，MME)等。

为方便说明，本申请实施例中将接入与移动性管理功能AMF137简称为AMF，将统一数据管理UDM 134简称为UDM，将终端设备110称为UE，即本申请实施例中后文所描述的AMF均可替换为移动性管理网络功能，UDM均可替换为统一数据管理，UE均可替换为终端设备。可理解，其他未示出的网络功能同样适用该替换方法。

图1中示出的网络架构(例如5G网络架构)采用基于服务的架构和通用接口，传统网元功能基于网络功能虚拟化(network function virtualization，NFV)技术拆分成若干个自包含、自管理、可重用的网络功能服务模块。图1中示出的网络架构示意图可以理解为一种非漫游场景下基于服务的5G网络架构示意图。对于漫游场景，本申请同样适用。

可理解，本申请示出的安全通信方法中，第一NF可以包括AMF(如默认AMF(defaultAMF))或SMF等。第三NF包括UDM、UDR或PCF等。第四NF可以包括UDR。第二NF可以为任意NF或网络功能。用户面功能可以包括UPF。示例性的，本申请示出的由第一NF执行的步骤或功能，可以由AMF或SMF实现；第三NF执行的步骤或功能，可以由UDM执行；或者，也可以由UDR执行等。作为举例，但本申请所提供的方法不限于以下举例，如在一些实施例中，第一NF可以包括defaultAMF，第二NF可以包括终端设备可以交互的AMF。在另一些实施例中，第一NF可以包括SMF，第二NF可以包括UPF。在又一些实施例中，第一NF可以包括AMF，第二NF可以包括SMF。

可理解，本申请涉及的NF还可以理解为网元、节点或网络设备等。

本申请提供的技术方案，可以有效提升5G***的可信安全程度。在本申请的一些实施例中，用户标识可以以假名的方式在NF之间传输，减少了用户标识在NF之间广泛传播的机会，提高了用户标识的安全性。在本申请的另一些实施例中，可信级别高的NF可以传输数据和/或信令，避免了可信级别不高的NF接触敏感数据，提高了NF之间业务交互的安全性，提高了网络的安全性，且部署可行性较高。

参见图2，图2是本申请实施例提供的一种安全通信方法的流程示意图，该方法可应用于图1所示的通信***，如图2所示，该安全通信方法包括：

201、第一NF向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息。相应的，第三NF接收该第一请求消息。

本申请实施例中，第一用户标识可以包括SUPI，第一假名信息可以用于表示该第一用户标识的假名(anonymous)；或者，该第一假名信息可以用于表示与第一用户标识不同且经过处理的标识信息。换句话说，第一假名信息可由第一用户标识经过假名化处理后得到。可选的，第一假名信息可包括隐藏的用户签约标识符(subscription concealedidentifier，SUCI)；或者，该第一假名信息可包括根据SUPI生成的假名标识如SUPI*。可理解，本申请实施例所示的“假名信息”还可以替换为“替换信息”、“用户假名信息”、“匿名信息”或“假名”等，本申请实施例对于该假名信息的名称不作限定。可理解，本申请实施例所示的第一用户标识包括SUPI仅为示例，在具体实现中，第一用户标识还可以为终端设备的其他标识等，本申请实施例对此不作限定。

202、第三NF确定第一用户标识的可信属性。

本申请实施例中，第一用户标识的可信属性可用于指示该第一用户标识是否需要被假名化处理，如第三NF是否需要对第一用户标识进行假名处理；或者，该第一用户标识的可信属性可用于指示是否需要保护该第一用户标识。由于终端设备可以通过该第一用户标识与核心设备和/或接入设备交互，因此，作为一种理解方式，第三NF确定第一用户标识的可信属性，也可以理解为：第三NF确定终端设备的可信属性。其中，该终端设备为使用上述第一用户标识的设备。对于该种理解方式，本文其他实施例同样适用。

在一种可能的实现方式中，第三NF可以根据第一用户标识的签约等级确定该第一用户标识的可信属性。

本申请实施例中，第一用户标识的签约等级可以包含于该第一用户标识的签约数据中。该签约等级可以用于区分不同种类的用户。例如，该第一用户标识的签约等级可以为VIP用户或普通用户。又例如，该第一用户标识的签约等级可以为隐私要求高的用户或隐私要求低的用户。可理解，以上所示的签约等级仅为示例，在实际应用中，还可以存在更多的区分方法等。本申请实施例对于该签约等级的具体划分方式不作限定。

在一种可能的实现方式中，第三NF可以根据第一用户标识的会话属性确定该第一用户标识的可信属性。

本申请实施例中，该会话属性可以用于区分第一用户标识进行的不同会话属性。例如，该第一用户标识的会话属性可以是音视频属性。又例如，该第一用户标识的会话属性可以是时频会议或语音通话等。又例如，该第一用户标识的会话属性可以是对数据通信的安全性要求较高的会话等。本申请实施例对于该会话属性的具体划分方式不作限定。

在一种可能的实现方式中，第三NF根据第一用户标识的行业要求确定第一用户标识的可信属性。

本申请实施例中，在利用该第一用户标识交互数据和/或信令时，该数据和/或信令可以根据行业的不同确定是否需要被保护。换句话说，该数据和/或信令可以根据行业的不同确定其安全性。例如，研发行业或金融行业等可以被保护。因此是涉及该行业的数据和/或信令时，该数据和/或信令可以被保护。可选的，该行业要求还可以为在目标区域(或目标安全域)数据和/或信令需要被保护。例如，在某一园区之内，该数据和/或信令可以被保护；而非该某一园区内，该数据和/或信令是否被保护可以不受限定。本申请实施例对于该行业要求的具体划分不作限定。

可选的，第三NF还可以根据第一用户标识所属的切片的可信属性确定该第一用户标识的可信属性。例如，该第三NF中可以存储第一用户标识、与该第一用户标识对应的切片标识以及与该切片标识对应的可信级别，从而该第三NF可以根据该切片标识对应的可信级别来确定该第一用户标识的可信属性。

204、若第一用户标识的可信属性符合预设条件，则第三NF向第一NF发送第一响应消息，该第一响应消息携带该第一用户标识的第二假名信息。相应的，该第一NF接收该第一响应消息。

本申请实施例中，预设条件可以包括用户等级条件、身份隐私保护条件、行业数据安全保护条件等。该预设条件可以用于区分不同等级的可信属性，因此，本申请实施例对于该预设条件的具体区分方式不作限定。示例性的，该预设条件可以根据可信属性的确定方式而定。例如，该第一用户标识的可信属性由该第一用户标识的签约等级确定，则该预设条件可以为签约等级为VIP用户或隐私要求高的用户等。又例如，该第一用户标识的可信属性由该第一用户标识的会话属性确定，则该预设条件可以为对数据通信的安全性要求较高的会话，如视频会议等。又例如，该第一用户标识的可信属性由该第一用户标识的行业要求确定，则该预设条件可以为行业数据安全性高的用户。可理解，本申请实施例对于该预设条件的具体内容不作限定。

本申请实施例中，第二假名信息可以用于表示第一用户标识的假名(anonymous)；或者，该第二假名信息可以用于表示与第一用户标识不同且经过处理的标识信息。若第一用户标识的可信属性符合预设条件，则不同网元或网络功能之间交互时，可将该第一用户标识假名化处理，从而来保证该第一用户标识的安全性。换句话说，若第一用户标识的可信属性符合预设条件，则第一用户标识可以以第二假名信息的方式在不同网元或网络功能之间交互。

在一些实施例中，第一用户标识包括SUPI，第一假名信息包括SUCI时，该第二假名信息可以包括SUPI*。在另一些实施例中，第一用户标识包括SUPI，第一假名信息包括SUPI*，第二假名信息可以包括新的SUPI*。在又一些实施例中，第一用户标识包括SUPI，第一假名信息包括SUPI*，第二假名信息也可以包括SUPI*。对于第一响应消息中携带的SUPI*与第一请求消息中携带的SUPI*是否相同，本申请实施例不作限定。对于该说明，本申请其他实施例同样适用。

可选的，若第一用户标识的可信属性不符合预设条件，则第三NF向第一NF发送第一响应消息，该第一响应消息携带该第一用户标识。相应的，该第一NF接收该第一响应消息。例如，若第一用户标识的可信属性表示该第一用户标识为普通用户，或者，该第一用户标识的可信属性表示该第一用户标识进行的会话要求较低，则该第一用户标识在网元或网络功能之间交互时，可以不进行假名化处理。可理解，本申请实施例对于该第一用户标识的可信属性不符合预设条件时，第一用户标识是否进行假名化处理不作限定。

本申请实施例中，预设级别用于衡量不同NF的可信级别，对于该预设级别的具体级别不作限定。例如，可信级别包括强可信级别、弱可信级别和不可信级别，该预设级别可以为弱可信级别或不可信级别等。又例如，可信级别包括高可信级别、低可信级别和不可信级别，该预设级别可以为低可信级别或不可信级别等。也就是说，第一NF的可信级别较低时，为保护第一用户标识，第三NF可以向第一NF发送该第一用户标识的假名信息(即第二假名信息)。可理解，本申请实施例对于可信级别的具体划分方式不作限定，以及预设级别可以随着该可信级别的划分方式而有所变化等。

可选的，若第一NF的可信级别不匹配预设级别，则该第三NF向第一NF发送携带第一用户标识的响应消息。也就是说，第一NF的可信级别较高时，则第三NF可以信任该第一NF，由此可以向该第一NF发送真实的用户标识如第一用户标识。

当第一用户标识的可信属性符合预设条件，且第一NF的可信级别匹配预设级别，则说明第一NF不可完全信任。由此，第三NF为保护该第一用户标识，且提高用户标识的安全性，可以向可信级别较低的第一NF发送该第一用户标识的第二假名信息。然而，当第一用户标识的可信属性符合预设条件，且第一NF的可信级别不匹配预设级别，则说明第一NF是可信任的，由此，第三NF可以向第一NF发送该第一用户标识。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息包括：若第一NF所属的安全域的可信级别匹配预设级别，则第三NF向第一NF发送第一响应消息。

本申请实施例中，不同NF之间可以区分可信级别，同时可以区分不同安全域的可信级别。示例性的，可以区分第一安全域、第二安全域等，该第一安全域的可信级别与第二安全域的可信级别不同。如果第一NF位于第一安全域，且该第一安全域的可信级别较弱，则说明第一NF所在的安全域不可完全信任，则该第三NF可以向第一NF发送第一用户标识的第二假名信息。或者，若第一区域的可信级别较强(如不匹配预设级别)，则说明该第一NF所在的安全域是可以信任的，由此第三NF可以向第一NF发送真实的用户标识如第一用户标识。

可选的，除了以上示出的第一安全域和第二安全域，还可以包括第三安全域等。该第一安全域、第二安全域和第三安全域的可信级别不同。本申请实施例对于具体如何划分安全域不作限定。以及各个安全域对应的可信级别具体如何划分也不作限定。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息之前，图2所示的方法还可以包括：

2031、该第三NF可以根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成该第二假名信息。

可选的，当第一假名信息为SUCI时，第三NF可以根据SUCI得到SUPI，然后根据该SUPI生成新的第二假名信息如新的SUPI*。可选的，当第一假名信息为SUPI*时，该第三NF可以根据SUPI*与SUPI的对应关系得到该SUPI，然后根据该SUPI生成新的第二假名信息如新的SUPI*。可选的，当第一假名信息为SUPI*时，第一响应消息中还可以携带该SUPI*，即第三NF还可以继续使用已有的SUPI*。示例性的，第三NF可以根据本地策略确定继续使用已有的SUPI*还是使用新的SUPI*。该本地策略如SUPI*可以有一定的有效期，在该SUPI*的有效期内，第三NF可以继续使用该SUPI*；而若不在该SUPI*的有效期内，则该第三NF可以使用新的SUPI*。可理解，本申请实施例对于本地策略的具体方式不作限定。可理解，关于SUPI*和新的SUPI*的说明，以下实施例同样适用。

其中，SUPI*仅为示出的一种假名形式，该第一用户标识的假名信息可以是其他形式等，本申请实施例对此不作限定。该第三NF根据第一用户标识生成第二假名信息的方法，示例性的，如SUPI*＝KDF(SUPI，随机数)；或者，SUPI*＝KDF(SUPI，随机数，服务网络ID)。该随机数可以是鉴权矢量中的随机数。可选的，生成SUPI*的参数中还可以包括鉴权矢量中的密钥Kausf或者根据鉴权矢量推导的Kausf，其中Kausf将在UE和归属网络AUSF/UDM等之间共享。

本申请实施例中，第三NF中保存有第一假名信息和第一用户标识的对应关系，以及该第三NF还可以保存第二假名信息和第一用户标识的对应关系。第三NF通过保存对应关系，可使得第一NF或其他NF再向该第三NF发送第一用户标识的假名信息时，该第三NF能够根据该对应关系得到该第一用户标识。

可理解，本申请中示出的“对应关系”也可以理解为“映射关系”、“对应列表”或“映射列表”等，本申请对此不作限定。

2032、该第三NF可以向第四NF发送第二请求消息，该第二请求消息携带第一假名信息。相应的，该第四NF接收该第二请求消息。

2033、响应于该第二请求消息，第四NF根据该第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息。

本申请实施例中，第四NF中可以保存第一用户标识和该第一用户标识的假名信息的对应关系，由此，第三NF通过向第四NF发送第二请求消息，可使得该第四NF响应该第二请求消息，生成第二假名信息。可选的，当第一假名信息为SUCI时，第四NF可以根据SUCI得到SUPI，然后根据该SUPI生成新的第二假名信息如新的SUPI*。可选的，当第一假名信息为SUPI*时，该第四NF可以根据SUPI*与SUPI的对应关系得到该SUPI，然后根据该SUPI生成新的第二假名信息如新的SUPI*。可选地，第四NF还可根据本地策略继续使用已有的SUPI*。可理解，对于该第四NF根据第一用户标识如SUPI生成新的第二假名信息如新的SUPI*的方法，可参照第三NF的生成方法，这里不再详述。

2034、第四NF向第三NF发送该第二假名信息，相应的，该第三NF接收该第二假名信息。

可选的，第三NF向第四NF发送第二请求消息之后，该第四NF还可以将第一假名信息和第一用户标识的对应关系发送给该第三NF。从而该第三NF接收到该对应关系后，可以根据该对应关系得到第一用户标识，进而根据该第一用户标识生成第二假名信息。

结合以上所示的第三NF生成第二假名信息的方法，本申请实施例中，UDM中可以保存第一用户标识和第一假名信息的对应关系，和/或，第一用户标识和第二假名信息的对应关系。UDR中也可以保存第一用户标识和第一假名信息的对应关系，和/或，第一用户标识和第二假名信息的对应关系。可选的，当UDM和UDR中均保存有上述对应关系时，对于第三NF执行以上所示的步骤2031还是执行以上所示的步骤2032至步骤2034，本申请实施例不作限定。可选的，当UDM或UDR中保存有上述对应关系时，该第三NF可以根据保存上述对应关系的NF的不同，执行步骤2031或者执行步骤2032至步骤2034。

以上示出的是第一响应消息中携带第二假名信息，可选的，该第一响应消息中还可以携带其他信息。根据第一响应消息中携带的其他信息的不同，本申请实施例还提供了几种方法：

方法一、

上述第一响应消息中还可以携带根密钥Kamf；该根密钥由第三NF根据SUPI生成，例如Kamf＝KDF(SUPI，其他参数)，对于其他参数本申请实施例不作限定。由于UE也是根据SUPI生成根密钥，例如Kamf＝KDF(SUPI，其他参数)，因此此时不影响UE。此处KDF算法可以采用3GPP标准中已经定义的密钥推演算法等，例如HMAC-SHA256算法，本申请实施例对于该KDF算法不作限定。

该根密钥也可以由第三NF根据SUPI*生成，例如Kamf＝KDF2(SUPI*，其他参数2)，对于其他参数2本申请实施例不作限定。由于UE是根据SUPI生成根密钥，例如Kamf＝KDF(SUPI，其他参数1)。为保证不影响UE，这里要求第三NF(或第四NF)根据SUPI生成SUPI*的密钥推演算法KDF1和第三NF根据SUPI*生成根密钥Kamf的密钥推演算法KDF2需要满足如下条件：第三NF根据SUPI*生成的根密钥Kamf和UE根据SUPI生成的根密钥Kamf是相等的，即Kamf＝KDF(SUPI，其他参数1)＝KDF2(SUPI*，其他参数2)＝KDF2(KDF1(SUPI，其他参数1)，其他参数2)。此时KDF2与KDF1可以相同，也可以不同，本申请实施例不作限定。可理解，以上示出的生成根密钥的方法仅为示例，不应将其理解为对本申请实施例的限定。

该情况下，图2所示的方法还可以包括：若第一响应消息中还携带根密钥Kamf，则第一NF还可以根据该根密钥生成用户面密钥等，本申请实施例对于该第一NF如何应用根密钥的方法不作限定。

方法二、

上述第一响应消息中还可以携带第三指示信息；其中，该第三指示信息用于指示第一NF根据第二假名信息生成根密钥。

本申请实施例对于该第三指示信息的具体指示形式不作限定。示例性的，可以用1比特的信息来表示第一响应消息中携带的是第三指示信息。例如，“1”可以表示该第一响应消息中携带的是第三指示信息。示例性的，还可以用2比特的信息来表示该第一响应消息中是否携带了指示信息，以及携带的指示信息是第三指示信息。可理解，以上仅为示例，本申请对此不作限定。

结合第三指示信息，图2所示的方法还可以包括：若第一响应消息中还携带第三指示信息，则第一NF根据第二假名信息生成根密钥Kamf。

例如，Kamf＝KDF2(SUPI*，其他参数2)，对于其他参数2本申请实施例不作限定。由于UE是根据SUPI生成根密钥，例如Kamf＝KDF(SUPI，其他参数1)。为保证不影响UE，这里要求第三NF(或第四NF)根据SUPI生成SUPI*的密钥推演算法KDF1和第一NF根据SUPI*生成根密钥Kamf的密钥推演算法KDF2需要满足如下条件：第一NF根据SUPI*生成的根密钥Kamf和UE根据SUPI生成的根密钥Kamf是相等的，即Kamf＝KDF(SUPI，其他参数1)＝KDF2(SUPI*，其他参数2)＝KDF2(KDF1(SUPI，其他参数1)，其他参数2)。此处KDF算法采用3GPP标准中已经定义的密钥推演算法，例如HMAC-SHA256算法。此时KDF2与KDF1可以相同，也可以不同，本申请实施例不作限定。

该第一NF生成该根密钥后，还可以根据该根密钥生成用户面密钥等，本申请实施例对于该第一NF如何应用根密钥的方法不作限定。

方法三、

可理解，当第一响应消息中携带第二假名信息，而不携带上述方法一和方法二示出的根密钥或第三指示信息时，图2所示的方法还可以包括：第一NF收到第一响应消息后，根据第二假名信息生成根密钥Kamf。

可理解，对于方法一至方法三的具体实现方式，本申请其他实施例同样适用。

上述方法一至方法三对于UE是没有影响的，即UE可以保持不变。例如UE根据SUPI生成根密钥Kamf，例如Kamf＝KDF(SUPI，其他参数1)，进而可以根据该根密钥生成用户面密钥。可理解，这里所示的UE可以保持不变是相对于方法四来说的，方法四中UE还需要接收第一指示信息和/或第二指示信息等。因此，不应将本申请实施例示出的UE保持不变理解为对本申请实施例的限定。

方法四、

在一种可能的实现方式中，上述第一响应消息中还携带第一指示信息和/或第二指示信息；其中，该第一指示信息用于指示生成第二假名信息，该第二指示信息用于指示生成用户面密钥。

本申请实施例对于该第一指示信息和该第二指示信息的具体指示形式不作限定。示例性的，可以用1比特的信息来表示第一响应消息中携带的是第一指示信息还是第二指示信息。例如，“1”可以表示该第一响应消息中携带的是第一指示信息，“0”可以表示该第一响应消息中携带的是第二指示信息。示例性的，还可以用2比特的信息来表示该第一响应消息中是否携带了指示信息，以及携带的指示信息是第一指示信息还是第二指示信息。可理解，以上仅为示例，本申请对此不作限定。

结合第一指示信息，图2所示的方法还可以包括：

2051、若第一响应消息中包括第一指示信息，则第一NF根据第二假名信息生成根密钥。

该第一NF生成该根密钥后，还可以根据该根密钥生成用户面密钥等，本申请实施例对于该第一NF应用根密钥的方法不作限定。对于该第一NF如何应用根密钥，可以参考相关标准或协议等。例如，Kamf＝KDF(SUPI*，其他参数)，对于其他参数本申请实施例不作限定。

2061、第一NF向终端设备发送第一指示信息，相应的，该终端设备接收该第一指示信息。

对于该终端设备接收到第一指示信息后执行的步骤，参见图3a，图3a是本申请实施例提供的一种安全通信方法的流程示意图，该方法可应用于终端设备。如图3a所示，该方法包括：

3011、终端设备接收第一NF(AMF)发送的第一指示信息；其中，第一指示信息用于指示终端设备生成第二假名信息。

可选的，第一指示信息还可以用于指示终端设备生成根密钥。

3012、终端设备根据第一用户标识生成第二假名信息。

3013、终端设备根据第二假名信息生成根密钥。

3014、终端设备根据根密钥生成接入层密钥和/或非接入层密钥；其中，接入层密钥用于对终端设备与接入设备之间的数据和/或信令进行保护，非接入层密钥用于对终端设备与第一NF之间的数据和/或信令进行保护。

本申请实施例中，对于终端设备根据第一用户标识生成第二假名信息的方法以及生成根密钥的方法，可参照第三NF生成第二假名信息的方法以及第三NF生成根密钥的方法，这里不再详述。

本申请实施例对于终端设备生成接入层密钥的方法不作限定，例如接入层密钥＝KDF(Kamf，其他参数)。

实施本申请实施例，根据第二假名信息生成接入层密钥和/或非接入层密钥，可有效提高数据和/或信令的安全级别，保护数据和/或信令的传输。

结合第二指示信息，图2所示的方法还可以包括：

2052、若第一响应消息中包括第二指示信息，则第一NF根据第二假名信息生成用户面密钥。

本申请实施例对于终端设备生成用户面密钥的方法不作限定。

2062、第一NF向终端设备发送第二指示信息，相应的，该终端设备接收该第二指示信息。

2072、第一NF向用户面功能发送用户面密钥，相应的，该用户面功能接收该用户面密钥。

可理解，对于步骤2062和步骤2072的先后顺序，本申请实施例不作限定。

对于终端设备接收到第二指示信息后执行的步骤，参见图3b，图3b是本申请实施例提供的一种安全通信方法的流程示意图，该方法可应用于终端设备。如图3b所示，该方法包括：

3021、终端设备接收第一NF发送的第二指示信息；其中，第二指示信息用于指示终端设备生成用户面保护密钥。

3022、终端设备根据第一用户标识生成第二假名信息。

3023、终端设备根据第二假名信息生成根密钥。

3024、终端设备根据根密钥生成用户面密钥；其中，用户面密钥用于对终端设备与用户面功能之间的数据进行保护。

本申请实施例中，终端设备生成用户面密钥之后，该终端设备与用户面功能交互时，可以利用该用户面密钥对数据进行保护。避免了该数据被其他网元或网络功能篡改或截获等，保证了该数据的安全性。

可理解，图3a和图3b所示的安全通信方法中，终端设备可理解为使用了第一用户标识的设备。换句话说，第一用户标识如SUPI可为终端设备芯卡保存的用户标识或号码等。

可理解，以上所示的方法中是以第一用户标识为例示出的，但是具体应用中，还可能包括第二用户标识、第三用户标识等。该第二用户标识或该第三用户标识也可以应用图2、图3a和图3b所示的方法。

实施图2所示的方法，第三NF可以根据第一用户标识的可信属性来确定是否对第一用户标识进行假名化处理，从而在该第一用户标识的可信属性符合预设条件时，该第三NF向第一NF发送假名化处理的第一用户标识即第二假名信息。第一用户标识以假名化的方式存在于不同NF之间，避免了该第一用户标识被不安全或不被信任的网元或网络功能篡改或截获等，有效保护了该第一用户标识，提高了该第一用户标识的安全性。

为更形象的理解图2所示的方法，以下将具体示出本申请实施例提供的安全通信方法。

参见图4，图4是本申请实施例提供的一种安全通信方法的场景示意图。该方法可应用于图1所示的网络架构。可理解，该方法是以终端设备为UE，第一NF为AMF，第三NF为UDM示出，同时，该方法中还涉及到的网络功能如AUSF，用户面功能如UPF。该方法中第一用户标识包括SUPI。可选的，UDM中预先保存有一或多个用户标识的签约数据，且该签约数据中包括签约等级。换句话说，该UDM中预先配置有一个或多个用户标识的签约等级。

如图4所示，该安全通信方法包括：

401、UE向AMF发送注册请求消息，该注册请求消息中携带SUCI或5G全球用户临时标识(5G global user temporary identity，5G GUTI)。相应的，该AMF接收该注册请求消息。

UE首次向AMF发送注册请求消息时，该注册请求消息中可以携带SUCI。UE非首次向AMF发送注册请求消息时，该注册请求消息中可以携带GUTI。为便于描述，UE首次向AMF发送注册请求消息，可简称为首次注册；UE非首次向AMF发送注册请求消息，可简称为非首次注册。

402、AMF向AUSF发送鉴权请求消息，该鉴权请求消息中携带SUCI或SUPI*。相应的，AUSF接收该鉴权请求消息。

首次注册时，该鉴权请求消息中可以携带SUCI；非首次注册时，该鉴权请求消息中可以携带SUPI*。

可选的，该鉴权请求消息中还可以携带服务网络的标识(identification，ID)。该服务网络的ID可以为AMF所在的网络的ID。

403、AUSF向UDM发送上述鉴权请求消息，相应的，UDM接收该鉴权请求消息。

404、UDM根据SUPI的可信属性对SUPI进行假名化处理，得到新的假名化用户标识如SUPI*。

可理解，对于UDM假名化处理的方法可参考图2所示的方法，这里不再详述。

405、UDM向AUSF发送鉴权响应消息，该鉴权响应消息中携带新的假名化用户标识如SUPI*。相应的，该AUSF接收该鉴权响应消息。

示例性的，如鉴权请求消息中携带的是SUCI，则UDM可以根据该SUCI得到SUPI。然后根据该SUPI生成新的SUPI*。示例性的，若鉴权请求消息中携带的是SUPI*，则UDM可以根据之前保存的对应关系(SUPI，SUPI*)得到SUPI，然后根据SUPI生成新的SUPI*。可选地，UDM还可以根据本地策略继续使用已有的SUPI*(如鉴权请求消息中携带的SUPI*)。

可选的，鉴权响应消息中还可以携带第一指示信息和/或第二指示信息。其中，该第一指示信息也可以理解为假名化保护指示信息；该第二指示信息可以理解为或终端到核心网保护指示信息。

示例性的，对于步骤404，UDM根据签约的可信属性(如签约的SUPI的可信属性)可以进行如下处理：

例如，若签约中的可信属性符合身份隐私保护要求，则UDM可以确定SUPI需要假名化保护。又例如，若签约中的可信属性符合行业数据安全保护要求，则UDM确定SUPI需要假名化保护。又例如，若签约中的可信属性表示SUPI为普通用户，则UDM可以按照正常流程处理。该正常流程可参考相关标准或协议，如UDM可以不对SUPI进行假名化处理等。又例如，若签约中的可信属性表示SUPI为VIP用户，则UDM确定SUPI需要假名化保护。

可选的，UDM接收到鉴权请求消息之后，该UDM还可以将该鉴权请求消息发送给UDR，该UDR根据SUPI的可信属性对SUPI进行假名化处理，得到新的SUPI*。从而该UDR向UDM发送鉴权响应消息，该鉴权响应消息携带新的SUPI*。可选的，该UDR在接收到鉴权请求消息之后，可以直接对SUPI进行假名化处理，得到新的SUPI*。从而该UDR向UDM发送鉴权响应消息，该鉴权响应消息携带新的SUPI*。可选的，UDR向UDM发送的鉴权响应消息中还可以携带新的SUPI*和SUPI的对应关系。该情况下，UDM和UDR均可以获得真实的用户标识如SUPI。

UDR得到SUPI*的方式可以如下所示：例如，鉴权请求消息中携带的是SUCI，则UDR可以根据该SUCI得到SUPI，然后根据该SUPI生成新的SUPI*。可选的，若鉴权请求消息中携带的是SUPI*，则UDR可以根据之前保存的对应关系(SUPI，SUPI*)得到SUPI，然后根据SUPI生成新的SUPI*。可选地，UDR还可以根据本地策略继续使用已有的SUPI*(如鉴权请求消息中携带的SUPI*)。

406、AUSF通过AMF继续执行对于UE的鉴权流程。

可理解，对于步骤406所示的鉴权流程，可以参照相关标准或协议等，本申请实施例对此不作限定。

407、AUSF确认鉴权成功。

408、AUSF向AMF发送鉴权响应消息，该鉴权响应消息中携带新的SUPI*。相应的，该AMF接收该鉴权响应消息。

可选的，该鉴权响应消息中还可以携带锚点密钥。可选的，该鉴权响应消息中还可以携带第一指示信息和/或第二指示信息。可选的，该第一指示信息和/或该第二指示信息还可以通过共享密钥进行完整性保护，以防止该第一指示信息和/或该第二指示信息被恶意篡改等。其中，共享密钥可理解为鉴权过程中UE与AUSF之间的共享密钥。换句话说，该第一指示信息和/或第二指示信息可以通过恢复消息认证码(message authenticationcode，MAC)值进行完整性保护。

409、AMF根据新的SUPI*和锚点密钥生成根密钥(Kamf)。

可选的，若鉴权响应消息中携带第二指示信息，则该AMF根据根密钥生成用户面密钥，该用户面密钥也可以称为终端到核心网保护密钥，该终端到核心网保护密钥可以包括终端到核心网加密密钥和终端到核心网完整性保护密钥。

可选的，在UDM生成新的SUPI*时，该UDM还可以根据该新的SUPI*生成根密钥。从而鉴权响应消息中还可以携带该根密钥，从而AMF接收到该鉴权响应消息时，可以得到该根密钥。

可选的，AUSF接收到鉴权响应消息后，该AUSF还可以根据新的SUPI*生成根密钥。

410、AMF向UE发送第一指示信息和/或第二指示信息。

411、UE根据SUPI生成新的SUPI*。

在鉴权流程结束后，该UE还可以利用和AUSF相同的方法生成锚点密钥。可选的，若UE接收到第一指示信息，则UE可以利用UE和AUSF之间的共享密钥对该第一指示信息进行完整性保护校验，然后该UE生成新的SUPI*。可理解，该UE生成新的SUPI*的方法可以与UDM生成新的SUPI*的方法相同。进一步的，该UE还可以根据该新的SUPI*生成根密钥Kamf。可选的，若UE接收到第二指示信息，则UE还可以根据根密钥生成用户面密钥。

可理解，以上所示的第一指示信息和/或第二指示信息还可以包含于第十消息中等，本申请实施例对于AMF发送该第一指示信息和/或该第二指示信息的方式不作限定。

412、AMF向UE发送注册响应消息。相应的，该UE接收该注册响应消息。

该注册响应消息可以包括注册接受消息。

413、AMF通过SMF将终端到核心网保护密钥发送给UPF。

本申请实施例中，在UE与UPF传输数据过程中，该数据可以通过终端到核心网保护密钥进行加密或完整性保护，由此避免了数据被弱可信或不可信的NF获知，提高了数据传输的安全性。

图4所示的方法中，根密钥Kamf是由AMF根据鉴权响应消息中携带的新的SUPI*生成的。以及UE是利用与UDM相同的方法生成新的SUPI*，然后根据新的SUPI*生成根密钥Kamf。

可选的，在UDM生成新的SUPI*后，该UDM还可以根据新的SUPI*生成根密钥Kamf。同时，鉴权响应消息中可以包括新的SUPI*和根密钥Kamf，由此AMF可以直接接收到根密钥Kamf。该情况下，UE也可以利用与UDM相同的方法生成新的SUPI*，然后根据新的SUPI*生成根密钥Kamf。可选的，UDM可以利用安全算法f1生成新的SUPI*；同时，鉴权响应消息中包括新的SUPI*，AMF利用安全算法f2，以及该新的SUPI*生成根密钥Kamf。通过安全算法f1,f2保证UE根据新的SUPI*生成的根密钥Kamf和AMF生成的根密钥Kamf相等。

可理解，图2中的第一请求消息可理解为图4中鉴权请求消息，图2中第一响应消息可理解为图4中的鉴权响应消息。图2中的第一指示信息可理解为图4中的假名化保护指示信息，图2中的第二指示信息可理解为图4中的终端到核心网保护指示信息。图2所示的用户面密钥可理解为图4中的终端到核心网保护密钥。

本申请实施例提供的技术方案，一方面，避免了SUPI被不安全或不被信任的网元或网络功能篡改或截获等，有效保护了SUPI，提高了该SUPI的安全性。另一方面，鉴权响应消息中通过包括终端到核心网保护指示信息，提高了UE与UPF之间数据交互的安全性。

图2至图4所示的方法是以用户标识的可信属性是否符合预设条件，确定是否对该用户标识进行假名化处理。本申请实施例还提供了一种安全通信方法，该方法中可以根据可信级别来确定相关网元或网络功能，从而通过该相关网元或网络功能为终端设备提供服务。

图5是本申请实施例提供的一种安全通信方法的流程示意图，该方法可应用于图1所示的网络架构。如图5所示，该安全通信方法包括：

501、第一网络功能(network function，NF)向NRF发送第三请求消息，该第三请求消息携带可信级别。相应的，该NRF接收该第三请求消息。

第一NF还可以理解为消费者(consumerNF)。

本申请实施例中，可信级别可用于表示网元或网络功能的可信程度。根据该可信级别的不同，如NF的可信程度就不同。可选的，可信级别与可信程度可以成正比。例如，该可信级别可以分为强可信、弱可信或不可信等。又例如，该可信级别可以分为级别1、级别2、级别3等，级别越高，代表可信程度越高。本申请实施例对于可信级别的具体划分方式不作限定。

可选的，上述所示的可信级别可以是NF的可信级别。或者，上述所示的可信级别还可以是切片的可信级别等。根据可信级别的不同，本申请实施例提供了几种不同的方法，分别如图6a至图6c。

本申请实施例中，第三请求消息如可以为请求查询终端设备可以接入的NF的消息，该终端设备可以接入的NF可以包括AMF、SMF或UPF等。

502、响应于第三请求消息，NRF根据可信级别确定第二NF。

第二NF还可以理解为生产者(producer NF)；或者，还可以理解为目标NF(targetNF)等。

该第二NF可以表示一个NF，或者，该第二NF还可以表示多个NF。

可选的，第二NF可以为与可信级别对应的一个或多个NF。或者，该第二NF还可以为与可信级别，以及第一NF请求的NF类型对应的一个或多个NF。

根据可信级别的不同，NRF确定第二NF的方法也不同，可以分别如图6a至图6c所示。

503、NRF向第一NF发送第二NF的标识信息。相应的，该第一NF接收该第二NF的标识信息。

第二NF的标识信息，例如可以包括该第二NF的类型(NF type)、第二NF的实例(NFinstance)、第二NF集合的标识(NF set ID)或第二NF的IP地址等，本申请实施例对于该标识信息具体是哪些标识不作限定。接收到该第二NF的标识信息之后，第一NF可以与该第二NF进行业务交互。

可选的，该第二NF的标识信息可以包含于第三响应消息中。

本申请实施例中，NRF根据可信级别确定第二NF，可使得第一NF接收到该第二NF的标识信息之后，该第一NF与该第二NF进行数据和/或信令交互。从而第一NF可以与可信级别相对应的NF(即第二NF)进行交互，一方面，可满足第一NF对可信级别的需求，另一方面，第一NF与可信级别高的NF(如第二NF)进行数据和/或信令交互，提高了第一NF和第二NF交互的安全性。

根据图5所示的可信级别的不同，本申请实施例还提供了几种方法，分别如下所示：

方法一、

参见图6a，图6a是本申请实施例提供的一种安全通信方法的流程示意图，如图6a所示，该方法包括：

可理解，该方法中NRF中保存有一个或多个NF(包括第二NF)的可信级别，以下以第二NF为例示出本申请实施例提供的方法。但是以下所示的方法不仅适用于第二NF，还可以适用于其他NF等。如图6a所示，NRF中保存一个或多个NF的可信级别的方法包括步骤601和步骤602。

601、NRF接收第二NF发送的注册请求消息，该注册请求消息携带第二NF的可信级别。相应的，NRF接收该注册请求消息。

该注册请求消息中还携带第二NF的标识信息。

602、NRF保存该第二NF的可信级别。

该方法中，第二NF可以在向NRF发送注册请求消息时，将该第二NF的可信级别发送给该NRF。对于可信级别的划分方法可参照图5所示的方法，这里不再详述。

对于该NRF如何保存该第二NF的可信级别，以及该第二NF的可信级别具体保存的位置，本申请实施例不作限定。示例性的，NRF可以保存该第二NF的标识信息和可信级别的对应关系如(NF instance，NF type，可信级别)等。示例性的，NRF中可以以一个NF对应一个可信级别的方式保存该NF的可信级别。或者，NRF也可以以多个NF对应一个可信级别的方式保存该多个NF的可信级别等。

以上是本申请实施例提供的一种动态获取NF的可信级别的方法。本申请实施例还提供了一种静态获取NF的可信级别的方法，如NRF预配置一个或多个NF的可信级别，并保存该一个或多个NF的可信级别。示例性的，该NRF预配置第二NF的可信级别，并保存该第二NF的可信级别。例如，运营商可以为NRF预配置第二NF的可信级别等。可理解，本申请实施例对于NRF中配置一个或多个NF的可信级别的方法，不作限定。

以上所示的静态或动态获取NF的可信级别的方法中，NRF中可以保存一个或多个NF的标识信息和该一个或多个NF的可信级别。示例性的，该NRF中可以保存NFa的标识信息和NFa的可信级别。或者，该NRF中还可以保存NFb的标识信息和NFb的可信级别。或者，该NRF中还可以保存NFc的标识信息和NFc的可信级别。其中，NFa、NFb和NFc仅用于区分不同的NF，并不具有其他特定含义。可理解，以上所示的NRF中可以保存一个或多个NF的标识信息和该一个或多个NF的可信级别，也可以理解为NRF中保存一个或多个NF和该一个或多个NF的可信级别；或者，也可以理解为该NRF中保存一个或多个NF的标识信息和可信级别的对应关系等，本申请实施例对于具体的描述方法不作限定。

可理解，以上关于NRF中保存NF的标识信息和该NF的可信级别的描述，本申请其他实施例同样适用。

603、第一NF从第三NF中获取第一用户标识的可信属性，根据该第一用户标识的可信属性确定可信级别。

本申请实施例中，第一用户标识的可信属性可用于指示是否需要对该第一用户标识进行假名化处理等。由此需要对该第一用户标识进行假名化处理，则表示该第一用户标识需要的可信级别越高。因此，第三NF得到第一用户标识的可信属性后，便可以根据该第一用户标识的可信属性确定可信级别。对于第三NF如何得到该第一用户标识的可信属性，可参照图2所示的方法，这里不再详述。

示例性的，第一NF可以在接收到终端设备发送的请求接入网络的消息时，该第一NF执行步骤603。示例性的，该第一NF还可以在接收到终端设备发送的请求建立会话请求的消息时，该第一NF执行步骤603。该第一NF还可以在其他场景下，执行步骤603等，本申请实施例对此不作限定。

604、第一NF向NRF发送第三请求消息，该第三请求消息携带可信级别。相应的，该NRF接收该第三请求消息。

605、响应于第三请求消息，NRF根据保存的第二NF的标识信息和该第二NF的可信级别的对应关系，以及第三请求消息中携带的可信级别，确定第二NF。

该NRF中保存一个或多个NF的标识信息和可信级别；或者，也可以理解为该NRF中保存有一个或多个NF的标识信息和该一个或多个NF的可信级别的对应关系；或者，也可以理解为该NRF中保存NF的标识信息和该NF的可信级别。对于该NRF中保存NF的标识信息和该NF的可信级别的方法，可参考步骤601和步骤602的相关描述，这里不再详述。

在一些实现方式中，第二NF的可信级别可以等于第三请求消息中携带的可信级别。在另一些实现方式中，该第二NF的可信级别还可以高于第三请求消息中携带的可信级别等，本申请对此不作限定。

例如，NRF中可以保存(NF2，可信级别如高)、(NF3，可信级别如高)、(NF4，可信级别如弱)、(NF5，可信级别如不可信)。第三请求消息中携带的可信级别为可信级别高。则该NRF可以从保存的NF的可信级别中确定可信级别高的NF如NF2和/或NF3作为第二NF。可理解，以上所示的例子中NF2、NF3、NF4和NF5可以为同一种类型的NF。

可选的，NRF中还可以保存各种不同类型的NF的可信级别，该情况下，NRF确定第二NF时，还可以根据第一NF请求的NF类型来确定第二NF。例如，第一NF需要请求终端设备可以接入的AMF，则第二NF为与第三请求消息中携带的可信级别对应的NF。

可选的，在第三请求消息中携带的可信级别为可信级别弱的情况下，第二NF的可信级别可以与可信级别弱对应；或者，第二NF的可信级别还可以高于该可信级别弱。

可理解，本申请实施例中，NF的可信级别也可以理解为该NF的标识对应的可信级别。

606、NRF向第一NF发送第二NF的标识信息，相应的，该第一NF接收该第二NF的标识信息。

本申请实施例中，NRF中通过保存各个NF(包括第二NF)的可信级别，可使得第一NF向该NRF请求可信级别高的NF。从而该第一NF可以与可信级别高的NF(如第二NF)进行数据和/或信令交互，保证了数据和/或信令的安全性。

方法二、

参见图6b，图6b是本申请实施例提供的一种安全通信方法的流程示意图，如图6b所示，该方法包括：

611、第一NF向NSSF发送第四请求消息，该第四请求消息中携带第一切片的标识信息。相应的，该NSSF接收该第四请求消息。

对于第四请求消息的具体类型，本申请实施例不作限定。

612、NSSF根据第一预配置信息和第四请求消息中携带的第一切片的标识信息，确定该第一切片的可信级别。

该第一预配置信息由运营商配置，或者，由其他NF配置等，本申请对此不作限定。该第一预配置信息中可以保存切片的标识信息和该切片的可信级别。例如，该第一预配置信息中可以保存一个或多个切片的标识信息和可信级别的对应关系。其中，该第一预配置信息中包括第一切片的标识信息和该第一切片的可信级别。

本申请实施例中，第一切片的可信级别也可以理解为第一切片的标识信息对应的可信级别。多个切片的可信级别，也可以理解为多个切片的标识信息对应的可信级别。该多个切片可对应一个可信级别，或者，该多个切片也可对应多个可信级别。例如一个切片对应一个可信级别，或者，两个切片对应一个可信级别等，本申请实施例对于NSSF如何保存切片和可信级别的关系不作限定。

NSSF接收到第四请求消息之后，该NSSF可以从保存的一个或多个切片的可信级别中，根据第一切片的标识信息查找第一切片对应的可信级别，从而得到该第一切片的可信级别。

613、NSSF向第一NF发送第四响应消息，该第四响应消息中携带第一切片的可信级别。相应的，该第一NF接收该第四响应消息。

第四响应消息中携带第一切片的可信级别也可以理解为该第四响应消息中携带与第一切片的标识信息对应的可信级别。该第四响应消息中还携带第一切片的标识信息。

614、第一NF向NRF发送第三请求消息，该第三请求消息中携带第一切片的可信级别和该第一切片的标识信息。相应的，该NRF接收该第三请求消息。

615、响应于第三请求消息，NRF根据第一切片的标识信息确定与第一切片对应的第二NF集合；根据保存的NF的标识信息和该NF的可信级别的对应关系，以及该第一切片的可信级别从第二NF集合中确定第二NF。

本申请实施例中，该NRF中可以保存一个或多个NF的标识信息和可信级别的对应关系。或者，也可以理解为该NRF中保存有一个或多个NF的标识信息和该一个或多个NF的可信级别。从而，NRF可以根据第一切片的可信级别，从第二NF集合中确定第二NF。可理解，本申请实施例对于该第二NF集合中包括的NF的个数不作限定。例如，该第二NF集合中可以包括一个NF如第二NF；又例如，该第二NF集合中还可以包括多个NF等，该多个NF中包括第二NF。可理解，关于第二NF集合的描述，本申请其他实施例同样适用。

616、NRF向第一NF发送第二NF的标识信息，相应的，该第一NF接收该第二NF的标识信息。

在一种可能的实现方式中，在步骤615之前，图6b所示的方法还可以包括：

617、NRF接收第二NF发送的注册请求消息，该注册请求消息携带第二NF的可信级别。相应的，NRF接收该注册请求消息。

该注册请求消息中还携带第二NF的标识信息。

618、NRF保存该第二NF的可信级别。

可理解，对于步骤617和步骤618的具体实现方式，可参照图6a所示的步骤601和步骤602，这里不再详述。

可理解，本申请实施例中未详尽描述的方法，可参考图5和图6a所示的方法，这里不再详述。

方法三、

参见图6c，图6c是本申请实施例提供的一种安全通信方法的流程示意图，如图6c所示，该方法包括：

621、第一NF向NSSF发送第四请求消息，该第四请求消息中携带第一切片的标识信息。相应的，该NSSF接收该第四请求消息。

对于第四请求消息的具体类型，本申请实施例不作限定。

622、NSSF根据第二预配置信息和第一切片的标识信息确定第二NF集合的可信级别。

该第二预配置信息由运营商配置，或者，由其他NF配置等，本申请对此不作限定。该第二预配置信息中包括NF集合的标识信息和该NF集合的可信级别。例如，该第二预配置信息中可以包括第二NF集合的标识信息和该第二NF集合的可信级别的对应关系。以及该第二预配置信息中还可以包括切片的标识信息和NF集合的标识信息。例如，该第二预配置信息中可以包括第一切片的标识信息和该第二NF集合的标识信息的对应关系。

可选的，一个切片可以对应一个或多个NF集合，一个NF集合可以对应一个可信级别。

NSSF接收到第四请求消息之后，可以根据该第四请求消息中携带的第一切片的标识信息确定该第一切片对应的NF集合如第二NF集合；然后确定该第二NF集合对应的可信级别。

623、NSSF向第一NF发送第四响应消息，该第四响应消息携带第二NF集合的标识信息和该第二NF集合的可信级别。相应的，该第一NF接收该第四响应消息。

624、第一NF向NRF发送第三请求消息，该第三请求消息中携带第二NF集合的可信级别和该第二NF集合的标识信息。相应的，该NRF接收该第三请求消息。

625、响应于第三请求消息，NRF根据保存的NF的标识信息和该NF的可信级别的对应关系，以及第二NF集合的可信级别，从该第二NF集合中确定第二NF。

626、NRF向第一NF发送第二NF的标识信息，相应的，该第一NF接收该第二NF的标识信息。

在一种可能的实现方式中，在步骤625之前，图6b所示的方法还可以包括：

627、NRF接收第二NF发送的注册请求消息，该注册请求消息携带第二NF的可信级别。相应的，NRF接收该注册请求消息。

该注册请求消息中还携带第二NF的标识信息。

628、NRF保存该第二NF的可信级别。

可理解，对于步骤627和步骤628的具体实现方式，可参照图6a所示的步骤601和步骤602，这里不再详述。

可理解，本申请实施例中未详尽描述的方法，可参考图5-图6b所示的方法，这里不再详述。

方法四、

参见图6d，图6d是本申请实施例提供的一种安全通信方法的流程示意图，如图6d所示，该方法包括：

631、第一NF向NSSF发送第四请求消息，该第四请求消息中携带第一切片的标识信息。相应的，该NSSF接收该第四请求消息。

632、NSSF根据第三预配置信息以及第一切片的标识信息确定该第一切片对应的一个或多个NF，以及该一个或多个NF对应的可信级别。

第三预配置信息中包括切片的标识信息和NF的标识信息的对应关系。换句话说，该第三预配置信息中可以包括一个或多个切片和NF的对应关系。可选的，一个切片可以对应一个或多个NF，一个NF可以对应一个可信级别。

可选的，上述多个NF对应的可信级别相同，或者，上述多个NF对应的可信级别不同等，本申请实施例对此不作限定。例如，第一切片可以对应NF7(可信级别高)、NF8(可信级别高)和NF9(可信级别高)。又例如，该第一切片可以对应NF7(可信级别高)、NF8(可信级别高)和NF10(可信级别弱)。

633、NSSF向第一NF发送第四响应消息，该第四响应消息携带一个或多个NF的标识信息和该一个或多个NF的可信级别。相应的，该第一NF接收该第四响应消息。

本申请实施例所示的方法，与图6c不同的是，图6c中第四响应消息中携带的是第二NF集合的可信级别，图6d中第四响应消息携带的是一个或多个NF的可信级别。换句话说，图6c中的可信级别是针对集合而言的，至于该第二NF集合中对应的一个或多个NF的可信级别是否相同，本申请实施例不作限定。即该第二NF集合中包括的NF的可信级别也可能低于第三请求消息中携带的可信级别。而图6d中，第四响应消息中直接携带了一个或多个NF的标识信息和该一个或多个NF的可信级别，由此，第一NF便可以直接从该一个或多个NF中选择一个NF作为第二NF。即该第一NF接收到该第四响应消息之后，该第一NF可以根据一个或多个NF的可信级别确定与该第一NF交互的第二NF。

本申请实施例中，NSSF通过向第一NF发送一个或多个NF的可信级别，使得该第一NF可以很快的确定出第二NF，实现简单，且效率高。

可理解，以上所示的第一NF和第二NF仅为一种示例，在实际应用中，终端设备需要接入网络或建立会话连接等场景中，可能会涉及更多的NF。换句话说，本申请实施例所提供的技术方案可以适用于更多的NF。

实施图5至图6d提供的技术方案，终端设备在接入网络，或者建立会话连接等场景下，第一NF通过与NRF或NSSF交互，可以获得与该第一NF交互的可信级别高的第二NF。在处理相关处理时，保证了业务交互的安全性。

本申请还提供了一种安全通信方法，该方法如下所示：

1)第一网络功能(network function，NF)向域名***(domain name system，DNS)发送第五请求消息，该第五请求消息携带域名信息和可信级别；相应的，DNS接收该第五请求消息。

2)响应于第五请求消息，DNS根据该域名信息和可信级别确定第二NF；DNS向第一NF发送该第二NF的标识信息。

可理解，第二NF的标识信息可以携带于第五响应消息中等，本申请实施例对此不作限定。

本申请实施例中，第一NF还可以包括接入设备等，第二NF可以包括AMF等。

可理解，以上所示的图5至图6d的方法，还可以与图2至图4所示的方法结合。例如，第一用户标识的可信属性符合预设条件时，该第一用户标识可以以假名化的方式存在于不同NF之间。同时，UE与不同的NF交互时，第一NF不仅可以选择可信级别高的NF如第二NF进行交互；而且该第一NF和该第二NF交互时，第一用户标识还可以以假名化的方式(或真实的用户标识)存在于第一NF和第二NF之间。由此，不仅提高了第一用户标识的安全性，还有效保证了数据和/或信令交互的安全性或可靠性。进一步的，UE与UPF交互时，数据和/或信令还可以通过用户面密钥进行加密，从而保证数据和/或信令的安全性。

换句话说，本申请提供的安全通信方法，可以从用户标识安全、通信网拓扑安全、终端到核心网保护安全等角度考虑，减少隐私泄露或薄弱环节被人利用等，减少各个区域因政策原因而引发的过度担忧。通过分级设置，控制少量敏感网元，进行分节点授信，使得大部分网元设备可以不涉及敏感数据或者降低安全等级要求，现网部署可行性大大提升。

以下将以具体NF为例示出本申请提供的安全通信方法。该方法实现了可分级、可假名化、可分NF授信等方式，提高了网络部署的可行性、数据安全性等。

以上所示的NF的可信级别，例如可以包括可信NF、弱可信NF和不可信NF。该可信NF可以包括可信数据NF、可信控制NF和可信支架NF，如表1所示。其中，该可信数据NF可以用于保存签约数据等；该可信数据NF可以包括以上所示的第三NF、第四NF。可信控制NF可以用于寻址NF等；该可信控制NF可以包括以上所示的第一NF、NRF或NSSF等。可信支架NF可以包括以上所示的用户面功能，该可信支架NF可以包括UPF、MEC等。该可信支架NF可以为运营商授权的用户面网元。可选的，该可信支架NF根据行业数据要求可以执行数据不上传(支持约定好的检查)；或者，根据接入网情况启动终端到核心网保护(即利用用户面密钥对数据进行加密)；或者，根据网络条件启动可信支架NF间的保护等。

表1

以下详细介绍可信网元：

可信数据NF可以包括5GUDM、4G UDM、HSS、移动网络中的PCF等，或者也可以是上述网元中的用户数据库部分等。可信数据NF之所以是可信的，是因为该可信数据NF需要保存用户ID、密钥和签约数据等用户敏感信息。换句话说，可信数据NF的高敏感性在于该可信数据NF需要保存上述用户敏感信息。

可信控制NF可以包括5G NRF、DNS，以及4G DNS等。NF之间的寻址被NRF、DNS等控制，可以执行拓扑隐藏和定向分流等。可信控制NF的高敏感度在于该可信控制NF需要保存网络拓扑控制等数据信息。

示例性的，DNS用于配置物理网元之间的IP寻址(例如接入设备和AMF之间)。NRF用于配置虚拟网络功能(virtual network function，VNF)之间的寻址(例如同一物理数据中心的AMF和SMF之间等)。该NRF还可以配置可信支架NF和弱信任支架NF等。

该可信控制NF还可以包含SCP，用于处理3GPP标准中规定的间接寻址过程和拓扑隐藏过程。示例性的，如图7b中的AMF2可以通过SCP间接寻址到SMF2，然后该AMF2可以通过SCP与SMF2间接通信。

可选的，SMF可以预配置一些可信支架NF对所有UE都可信。

可信控制NF还可以包括缺省AMF(或默认AMF如default AMF)、NSSF，用于在切片选择前获取用户的真实签约数据。如图7a中，UE1(VIP用户)在通过可信接入网注册(或附着)到移动通信网络时，default AMF使用的是从可信UDM获取的UE1的真实ID(如第一用户标识)。

可信支架NF可以包括UPF，该UPF可以是解密查看数据的UPF，可以不是网络中所有的UPF。或者，该可信支架NF还可以包括多接入边缘计算(multi edge compute，MEC)。该MEC与该UPF可以为两个不同的NF，或者，该MEC和该UPF还可以集成为一个NF。

在一些实现方式中，以上所示的可信数据NF、可信控制NF和可信支架NF可以由运营商配置等，即以静态的方式配置网络中的可信NF。相应的，该可信NF的相关信息可以保存于可信数据NF中。或者，该可信NF的相关信息(如预配置信息)还可以保存于NRF或NSSF中等。

在另一些实现方式中，以上所示的可信NF还可以由可信控制NF(如NRF)确定等。示例性的，如NRF可以确定与第一NF交互的第二NF。可选的，可信控制NF可以按照预置的NF类型(如AMF、SMF、UPF等类型)配置一些可信支架NF可以对所有UE都可信；或者，也可以配置一些可信支架NF对某些UE可信。如图7a中，对于UE1，UPF1可以作为可信支架NF。然而对于UE5(图7a中未示出)，与该UE5交互的可信支架NF不一定是UPF1。换句话说，可信控制NF可以配置一些可信支架NF，该可信支架NF对所有UE都可信；或者，该可信支架NF仅对某些UE可信等。

结合图2至图6d所示的方法，可信数据NF可以根据以下方法配置可信支架NF。示例性的，如：

1)按照用户标识(如第一用户标识等)签约数据的可信属性，配置可信支架NF、弱可信支架NF或不可信支架NF等。

2)按照用户标识的用户类型(例如普通用户，VIP用户)，配置可信支架NF、弱可信支架NF或不可信支架NF等。例如，对于VIP用户，为其配置的NF可以均为可信NF。对于普通用户，可以为其配置普通NF或弱可信NF等。

3)按照行业属性/数据不出园区等要求，为其配置可信支架NF；例如MEC和UPF1、UPF4共建的MEC1、MEC4等。

4)按照用户标识的会话属性，例如音视频通话或数据通信对安全要求高，或者此次会话要求高安全等级，则可以为其配置可信支架NF。

5)按照用户标识所属的切片，该切片对应的可信支架NF可为该用户标识提供可信服务。

在一种可能的实现方式中，可信数据NF还可以根据以下方式配置可信支架NF。

6)按照网络的安全管控需求，符合某种条件的必须经过某些可信支架NF检查；

7)按照网络的负载均衡，允许在某些可信支架NF之间分担；

8)按照网络的实时监控，认为某终端风险上升，调整可信支架NF和管控措施；

9)按照网络的边界防护措施，例如有抗病毒或者防火墙功能与否，来承担某一类用户的可信支架NF；

10)按照网络物理部署位置，选择合适的可信支架NF；

11)按照漫游协议、计费协议，选择合适的可信支架NF。

如表2，表2中示出了可信数据NF中用户标识的可信属性与网络配置策略的例子。

表2

表2中可信属性即表示用户标识(如第一用户标识)的可信属性，或者也可以理解为应用该用户标识的终端设备的可信属性。可信数据NF可表示保存用户标识的签约数据等信息的NF。表2中的可信数据NF可理解为本申请涉及的第三NF和/或第四NF。可信控制NF表示可理解为本申请涉及的第一NF、NRF或NSSF等。表2中的根据策略规则授信的可信NF可表示为终端设备提供服务的NF，该可信NF可理解为本申请涉及的第二NF。

示例性的，当用户标识的可信属性为VIP用户时，该策略规则可表示为为该VIP用户提供服务的NF是可信NF，该情况下，可信NF可以包括可信控制NF如SMF和/或AMF，以及可信支架NF如UPF等。如图7a中，UE1可以经过可信接入网、可信传输网、可信支架NF如UPF1、可信控制NF、可信数据NF以及可信支架NF如UPF4，与应用服务器进行交互。可选的，该VIP用户的用户标识还可以被假名化处理，从而保护该用户标识。进一步的，UE可以通过用户面密钥与UPF1、UPF4交互。

示例性的，当用户标识的可信属性为行业数据安全保护属性时，该策略规则可以为假名化处理该用户标识。如图7b中，UE2或UE3在接入网络时，可以将真实的用户标识进行加密或假名化处理等。可选的，该策略规则还可以包括UE利用用户面密钥与UPF交互。若该UE不支持通过用户面密钥与UPF交互(即UE不支持终端到核心网保护)，则该UE还可以与可信UPF交互。如图7b所示，UE2或UE3与应用服务器交互时，该UE2或UE3可以经过可信支架节点如UPF4，从而实现网络逐跳(HOP by HOP)加密或完整性保护(即UE2或UE3到UPF4的加密，以及UPF4到应用服务器的加密)等。

表3示出的是各个可信控制节点的功能。示例性的，该可信控制NF中可以保存NF的可信级别、NF集合的可信级别或切片的可信级别等。

表3

如表4所示，表4示出的是不同网络拓扑配置策略以及对不同用户标识的要求。可理解，表4还可以理解为表3的一种补充说明。

表4

如图7a和图7b所示，图7a和图7b是本申请实施例提供的一种安全通信的网络架构示意图。示例性的，网络架构中包括的可信数据NF可以如图7a中的UDM1；可信控制NF可以如图7a中的NRF/DNS/default AMF/NSSF；可信支架NF可以如图7a中的UPF1和UPF4。其余5GC中的NF(如AMF、SMF、UPF等)可以是弱可信的通用NF(或也可以称为普通NF)。例如，图7b中的AMF2、AMF3、SMF2、SMF3、UPF2或UPF3等可以是通用NF。通过部署一些可信NF，其余NF是通用NF，该种方式实现简单，且能够快速部署网络架构。应用图7a和图7b的终端设备可以为任意类型的设备，本申请实施例对于该终端设备的具体类型不作限定。

弱信任NF无法得到终端设备的真实用户标识。例如AMF2和AMF3可以从运营商的可信数据NF中获得UE2和UE3的假名化的用户标识，并通过该假名化的用户标识进行业务处理(也可以理解为数据和/或信令处理等)。AMF2和AMF3不需要感知真实的用户标识；进一步地，AMF2和AMF3可以根据假名化的用户标识生成根密钥，并进一步根据根密钥生成用户面密钥，通过SMF(如SMF2、SMF3)与可信支架节点UPF4交互。UE的用户面数据通过弱可信支架节点UPF2或UPF3发给可信支架UPF4节点时，由于该用户面数据可以通过UE与UPF4之间的用户面密钥加密，所以中间的弱可信支架节点UPF2或UPF3无法获知该UE的真实数据。

不可信NF可以是WiFi等容易监听空口的接入设备、或者广域网等有风险的传输NF等。用户数据在经过这些不可信NF时，必须是经过终端设备到可信支架NF加密或完整性保护的数据流、或e2e应用层保护。从而使得不可信NF(如UPF2或UPF3)无法知道UE的真实数据。

其中，UE1的可信属性符合预设条件，UE2和UE3的可信属性不符合预设条件。该UE1、UE2和UE3的签约数据等，可以保存于可信数据NF中。UE1、UE2、UE3签约运营商AN1，运营商AN1将真实的用户标识和真实的签约数据、真实的密钥等存放在可信数据NF(可信UDM、可信PCF、或者其中的可信数据库中等)。

图7a中，UE1为VIP用户，由此与该UE1交互的NF可以为可信级别高的NF如可信NF。示例性的，UE1可以经过可信接入网、可信传输网、可信第五代移动通信核心网(5G core，5GC)与应用服务器交互。该情况下，可选的，该UE1的用户标识可以以假名化的方式穿越不同NF。可选的，该UE1的用户标识还可以以真实的用户标识穿越不同的NF(或者在可信安全域中穿越)。

图7b中，UE2或UE3(如为普通用户等)可以经过不可信接入网或弱可信接入网、不可信传输网或弱可信传输网、弱可信5GC、可信支架节点如UPF4与应用服务器交互。该情况下，UE2或UE3的用户标识可以被假名化处理。或者，该UE2或UE3的用户数据还可以被加密传输等。

示例性的，如图7b中UE2经过弱信任的接入网或不可信任的接入网接入5GC时，UE2的数据流可以根据业务需要可以进行e2e应用层保护、也可进行终端到可信支架NF(如UPF4)之间的数据保护。对于UE2和UE3的用户ID穿越不可信任区域(即不可信任域)如UPF2或UPF3到达UPF4时，将通过本申请中的假名化方案进行保护；也可通过本申请中的终端到可信支架NF(如UPF4)之间的用户面密钥进行用户面的数据加密和完整性保护。如果应用层数据保护，由于数据无法监管，要约定内容如若违法的责任。

图7b中UE3的具体描述可参考上述UE2，这里不再详述。

可理解，图7a和图7b所示的网络架构仅为示例，不应理解为对本申请实施例的限定。

由于一些国家对5GNF可信度的担心，使得大量的5GNF需要增加是否可信的监管措施，网络建设负担加重。实施本申请提供的安全通信方法，可以通过部署少量的可信NF如可信数据NF、可信控制NF和可信支架NF，该可信NF可以获得真实数据(如真实的用户标识或用户数据等)和网络拓扑，而其他NF则不需要知道这些内容，部署简单且效率高，提升了网络建设的可行性。

以下将详细介绍本申请实施例提供的通信装置。

图8是本申请实施例提供的一种通信装置的结构示意图，该通信装置可用于执行上述方法实施例中由终端设备执行的操作。例如，该通信装置可以用于执行图3a和/或图3b所示的方法。

如图8所示，该通信装置包括收发单元801和处理单元802。

其中，在一些实现方式中，收发单元801，用于接收第一NF发送的第一指示信息；其中，第一指示信息用于指示终端设备生成第二假名信息和/根密钥；

处理单元802，用于根据第一用户标识生成第二假名信息；以及根据第二假名信息生成根密钥；以及根据根密钥生成接入层密钥和/或非接入层密钥；其中，接入层密钥用于对终端设备与接入设备之间的数据和/或信令进行保护，非接入层密钥用于对终端设备与第一NF之间的数据和/或信令进行保护。

在另一些实现方式中，收发单元801，用于接收第一NF发送的第二指示信息；其中，第二指示信息用于指示终端设备生成用户面保护密钥；

处理单元802，用于根据第一用户标识生成第二假名信息；以及根据第二假名信息生成根密钥；以及根据根密钥生成用户面密钥；其中，用户面密钥用于对终端设备与用户面功能之间的数据进行保护。

本申请实施例中，对于第一用户标识、第二假名信息、根密钥或用户面密钥等的具体描述，可参考图2至图7b，这里不再一一详述。

需要理解的是，当上述通信装置是终端设备或终端设备中实现上述功能的部件时，处理单元802可以是一个或多个处理器，收发单元801可以是收发器，或者收发单元801还可以是发送单元和接收单元，发送单元可以是发送器，接收单元可以是接收器，该发送单元和接收单元集成于一个器件，例如收发器。

当上述通信装置是电路***如芯片时，处理单元802可以是一个或多个处理器，或者处理单元802可以是处理电路等。收发单元801可以是输入输出接口，又或者称为通信接口，或者接口电路，或接口等等。或者收发单元801还可以是发送单元和接收单元，发送单元可以是输出接口，接收单元可以是输入接口，该发送单元和接收单元集成于一个单元，例如输入输出接口。

本申请实施例的通信装置可执行上述方法实施例中由终端设备所执行的任意功能，具体可执行的步骤和/或功能可以参考上述方法实施例中的详细描述，此处仅简要概述，不再赘述。

在一些实现方式中，上述通信装置可以为上述各个方法实施例中的终端设备。该情况下，上述收发单元801可以用收发器实现，上述处理单元802可以用处理器实现。如图9所示，该通信装置90包括一个或多个处理器920和收发器910。该处理器和收发器可以用于执行上述终端设备所执行的功能或操作等。

例如，收发器可用于接收第一NF发送的第一指示信息。例如，处理器可以用于根据第一用户标识生成第二假名信息；根据该第二假名信息生成根密钥；根据该根密钥生成接入层密钥和/或非接入层密钥等。

又例如，收发器可用于接收第一NF发送的第二指示信息。例如，处理器可用于根据第一用户标识生成第二假名信息；或者，根据第二假名信息生成根密钥；或者，根据根密钥生成用户面密钥等。

对于处理器和收发器的具体实现方式，可参考图2至图7b所示的方法，这里不再一一详述。

在图9所示的通信装置的各个实现方式中，收发器可以包括接收机和发射机，该接收机用于执行接收的功能(或操作)，该发射机用于执行发射的功能(或操作)。以及收发器用于通过传输介质和其他设备/装置进行通信。处理器920通过收发器910收发数据和/或信令，并用于实现上述方法实施例中图3a和/或图3b所述的相应的方法等。

可选的，通信装置90还可以包括一个或多个存储器930，用于存储程序指令和/或数据。存储器930和处理器920耦合。示例性的，存储器930可以用于存储根密钥、接入层密钥或非接入层密钥等。

本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器920可能和存储器930协同操作。处理器920可能执行存储器930中存储的程序指令。可选的，上述一个或多个存储器中的至少一个可以包括于处理器中。

本申请实施例中不限定上述收发器910、处理器920以及存储器930之间的具体连接介质。本申请实施例在图9中以存储器930、处理器920以及收发器910之间通过总线940连接，总线在图9中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成等。

可理解，在图9所示的通信装置为终端设备时，终端设备还可以具有比图9更多的元器件，例如，图9所示的终端设备还可以包括天线等，本申请实施例对此不作限定。

可理解，以上所示的处理器和收发器所执行的方法仅为示例，对于该处理器和收发器具体所执行的步骤可参照上文介绍的方法。

可理解，以上关于处理器、收发器和存储器之间连接关系的说明，以及该处理器的说明等，以下示出的核心设备均适用。例如该核心设备可以为第三NF、第四NF、NRF、NSSF或DNS等中的任一设备。

在另一些实现方式中，上述通信装置可以为终端设备中的电路***。该情况下，上述处理单元802可以用处理电路实现，收发单元801用接口电路实现。如图10所示，通信装置可以包括处理电路1002和接口电路1001。该处理电路1002可以为芯片、逻辑电路、集成电路、处理电路或片上***(system on chip，SoC)芯片等，接口电路1001可以为通信接口、输入输出接口等。

例如，接口电路，可以用于获取第一指示信息和/或第二指示信息。例如，处理电路，可以用于根据第一用户标识生成第二假名信息；根据该第二假名信息生成根密钥；根据该根密钥生成接入层密钥和/或非接入层密钥等。又例如，处理电路，还可以用于根据第一用户标识生成第二假名信息；根据第二假名信息生成根密钥；根据根密钥生成用户面密钥等。

对于处理电路和接口电路的具体实现方式，可参考图2至图7b所示的方法，这里不再一一详述。

在本申请实施例中，处理电路可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。可理解，对于处理电路的说明，以下示出的电路***均适用，例如，对于电路***为第三NF、第四NF、NRF、NSSF或DNS中任一NF的电路***。

可理解，以上所示的接口电路和处理电路所执行的方法仅为示例，对于该接口电路和处理电路具体所执行的步骤可参照上文介绍的方法。

复用图8，图8是本申请实施例提供的一种通信装置的结构示意图，该通信装置可以用于执行上述方法实施例中由第一NF执行的操作。例如，该通信装置可用于执行图2至图6d中第一NF执行的方法。又例如，该通信装置还可以用于执行图7a中由可信控制NF执行的方法等。如图8所示，该通信装置包括收发单元801和处理单元802。

其中，在一些实现方式中，收发单元801，用于向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；

收发单元801，还用于接收来自第三NF的第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。

在一种可能的实现方式中，第一响应消息中还携带第一指示信息和/或第二指示信息，该第一指示信息用于指示生成第二假名信息和/或根密钥，该第二指示信息用于指示生成用户面密钥。

在一种可能的实现方式中，处理单元802，还用于若第一响应消息中携带第一指示信息，则根据第二假名信息生成根密钥；

收发单元801，还用于向终端设备发送第一指示信息。

在一种可能的实现方式中，处理单元802，还用于若第一响应消息中携带第二指示信息，则根据第二假名信息生成用户面密钥；

收发单元801，还用于向终端设备发送第二指示信息。

在一种可能的实现方式中，收发单元801，还用于向用户面功能发送用户面密钥。

其中，在另一些实现方式中，收发单元801，用于向NRF发送第三请求消息，该第三请求消息携带可信级别；以及接收来自该NRF的第三响应消息，该第三响应消息携带第二NF的标识信息；该通信装置通过收发单元801与该第二NF进行数据和/或信令交互。

在一种可能的实现方式中，处理单元802，用于获取第一用户标识的可信属性；根据该第一用户标识的可信属性确定可信级别。

在一种可能的实现方式中，收发单元801，还用于向NSSF发送第四请求消息，该第四请求消息携带第一切片的标识信息；以及接收来自NSSF的第四响应消息，该第四响应消息携带该第一切片的可信级别；或者，该第四响应消息携带第二NF集合的可信级别。

在一种可能的实现方式中，收发单元801，还用于向NRF发送注册请求消息，该注册请求消息携带第一NF的可信级别。

在又一些实现方式中，收发单元801，还用于向DNS发送第五请求消息，该第五请求消息携带域名信息和可信级别；以及该收发单元801，还可以用于接收来自DNS的第二NF的标识信息。该第二NF的标识信息可以携带于第五响应消息中等。

需要理解的是，当上述通信装置是第一NF或第一NF(如核心设备或网元)中实现上述功能的部件时，处理单元802可以是一个或多个处理器，收发单元801可以是收发器，或者收发单元801还可以是发送单元和接收单元，发送单元可以是发送器，接收单元可以是接收器，该发送单元和接收单元集成于一个器件，例如收发器。

当上述通信装置是电路***如芯片时，处理单元802可以是一个或多个处理器，或者处理单元802可以是处理电路等。收发单元801可以是输入输出接口，又或者称为通信接口，或者接口电路，或接口等等。或者收发单元801还可以是发送单元和接收单元，发送单元可以是输出接口，接收单元可以是输入接口，该发送单元和接收单元集成于一个单元，例如输入输出接口。可理解，通信装置为第三NF、第四NF、NRF、NSSF或DNS中的任一种时，对于该说明，以下示出的各通信装置均适用。

本申请实施例的通信装置可执行上述方法实施例中由第一NF所执行的任意功能，具体可执行的步骤和/或功能可以参考上述方法实施例中的详细描述，此处仅简要概述，不再赘述。

在一些实现方式中，上述通信装置可以为上述各个方法实施例中的第一NF，该第一NF可以为核心设备。该情况下，上述收发单元801可以用收发器实现，上述处理单元802可以用处理器实现。复用图9，如图9所示，该通信装置90包括一个或多个处理器920和收发器910。该处理器和收发器可以用于执行上述第一NF所执行的功能或操作等。

示例性的，例如，收发器可用于向第三NF发送第一请求消息，以及接收来自第三NF的第一响应消息。例如，处理器，可用于若第一响应消息中携带第一指示信息，则根据第二假名信息生成根密钥；或者，处理器，可用于若第一响应消息中携带第二指示信息，则根据第二假名信息生成用户面密钥。又例如，收发器，还可用于向终端设备发送第一指示信息和/或第二指示信息。又例如，收发器，还可用于向用户面功能发送用户面密钥。

示例性的，例如，收发器可用于向NRF发送第三请求消息，以及接收来自NRF的第三响应消息。例如，处理器可用于获取第一用户标识的可信属性；根据该第一用户标识的可信属性确定可信级别。又例如，收发器还可用于向NSSF发送第四请求消息，以及接收NSSF发送的第四响应消息。又例如，收发器还可用于向NRF发送注册请求消息。

示例性的，例如，收发器还可以用于向DNS发送第五请求消息，以及接收来自DNS的第二NF的标识信息等。

可理解，对于第一请求消息、第一响应消息、第一指示信息、第二指示信息、第三请求消息等的具体描述，可参考图2至图7b。进一步的，对于处理器和收发器的具体实现方式，可参考图2至图7b所示的方法，这里不再一一详述。

可理解，该通信装置为第一NF的更多介绍，可参考前述实施例的描述，例如，可参考通信装置为终端设备时关于图9的描述，这里不再详述。可理解，在图9所示的通信装置为核心设备时，核心设备还可以具有比图9更多的元器件，例如，图9所示的核心设备还可以包括天线等，本申请实施例对此不作限定。

在另一些实现方式中，上述通信装置可以为第一NF中的电路***。该情况下，上述处理单元802可以用处理电路实现，收发单元801用接口电路实现。如图10所示，通信装置可以包括处理电路1002和接口电路1001。该处理电路1002可以为芯片、逻辑电路、集成电路、处理电路或片上***(system on chip，SoC)芯片等，接口电路1001可以为通信接口、输入输出接口等。

示例性的，例如，接口电路，可以用于获取第一响应消息、第三响应消息或第四响应消息等。或者，该接口电路，可以用于获取第二NF的标识信息。例如，接口电路，可以用于输出第一请求消息、第一指示信息、第二指示信息、用户面密钥、第三请求消息、第四请求消息、第五请求消息或注册请求消息等。例如，处理电路，可用于根据第二假名信息生成根密钥或用户面密钥等。又例如，处理电路，还可用于获取第一用户标识的可信属性；根据该第一用户标识的可信属性确定可信级别。

对于处理电路和接口电路的具体实现方式，可参考图2至图7b所示的方法，这里不再一一详述。可理解，该通信装置为第一NF的电路***的更多介绍，可参考通信装置为终端设备的电路***的描述，这里不再详述。

复用图8，图8是本申请实施例提供的一种通信装置的结构示意图，该通信装置可以用于执行上述方法实施例中由第三NF执行的操作。例如，该通信装置可用于执行图2至图6d中第三NF执行的方法。又例如，该通信装置还可以用于执行图7a中由可信数据NF执行的方法等。如图8所示，该通信装置包括收发单元801和处理单元802。

示例性的，例如，收发单元801，可用于接收来自第一NF的第一请求消息；处理单元802，可用于确定第一用户标识的可信属性；收发单元801，还用于向第一NF发送第一响应消息。

又例如，处理单元802，还可用于根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息。

又例如，处理单元802还可用于控制存储器保存第二假名信息和第一用户标识的对应关系。

又例如，收发单元801，还可用于向第四NF发送第二请求消息，以及接收来自第四NF的第二假名信息等。

需要理解的是，当上述通信装置是第三NF或第三NF(如核心设备或网元)中实现上述功能的部件时，处理单元802可以是一个或多个处理器，收发单元801可以是收发器，或者收发单元801还可以是发送单元和接收单元，发送单元可以是发送器，接收单元可以是接收器，该发送单元和接收单元集成于一个器件，例如收发器。

在一些实现方式中，上述通信装置可以为上述各个方法实施例中的第三NF，该第三NF可以为核心设备。该情况下，上述收发单元801可以用收发器实现，上述处理单元802可以用处理器实现。复用图9，如图9所示，该通信装置90包括一个或多个处理器920和收发器910。该处理器和收发器可以用于执行上述第三NF所执行的功能或操作等。

示例性的，例如，收发器，可用于接收来自第一NF的第一请求消息；处理器，可用于确定第一用户标识的可信属性；收发器，还用于向第一NF发送第一响应消息。又例如，处理器，还可用于根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息。又例如，处理器还可用于控制存储器保存第二假名信息和第一用户标识的对应关系。或者，存储器，可以直接保存第二假名信息和第一用户标识的对应关系等。又例如，收发器还可用于向第四NF发送第二请求消息，以及接收来自第四NF的第二假名信息等。

在另一些实现方式中，上述通信装置可以为第三NF中的电路***(或芯片、集成电路等)。该情况下，上述处理单元802可以用处理电路实现，收发单元801用接口电路实现。如图10所示，通信装置可以包括处理电路1002和接口电路1001。该处理电路1002可以为芯片、逻辑电路、集成电路、处理电路或片上***(system on chip，SoC)芯片等，接口电路1001可以为通信接口、输入输出接口等。

示例性的，例如，接口电路，可用于获取第一请求消息；处理电路，可用于确定第一用户标识的可信属性；接口电路，还用于输出第一响应消息。又例如，处理电路，还可用于根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息。又例如，处理电路还可用于控制存储器保存第二假名信息和第一用户标识的对应关系。又例如，接口电路还可用于输出第二请求消息，以及获取第二假名信息等。

本申请实施例的通信装置可执行上述方法实施例中由第三NF所执行的任意功能，具体可执行的步骤和/或功能可以参考上述方法实施例中的详细描述，此处仅简要概述，不再赘述。

复用图8，图8是本申请实施例提供的一种通信装置的结构示意图，该通信装置可以用于执行上述方法实施例中由第四NF执行的操作。例如，该通信装置可用于执行图2至图6d中第四NF执行的方法。又例如，该通信装置还可以用于执行图7a中由可信数据NF执行的方法等。如图8所示，该通信装置包括收发单元801和处理单元802。

示例性的，收发单元801，用于接收来自第三NF的第二请求消息，该第二请求消息携带终端设备的第一用户标识的第一假名信息；

处理单元802，用于响应于第二请求消息，根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息；

收发单元801，还可用于向第三NF发送第二假名信息。

在一种可能的实现方式中，处理单元802，还可用于保存第二假名信息和第一用户标识的对应关系。

在一些实现方式中，上述通信装置可以为上述各个方法实施例中的第四NF(如核心设备)。该情况下，上述收发单元801可以用收发器实现，上述处理单元802可以用处理器实现。如图9所示，该通信装置90包括一个或多个处理器920和收发器910。该处理器和收发器可以用于执行上述第四NF所执行的功能或操作等。

示例性的，例如，收发器用于接收来自第三NF的第二请求消息，该第二请求消息携带终端设备的第一用户标识的第一假名信息；处理器用于响应于第二请求消息，根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息；收发器还可用于向第三NF发送第二假名信息。又例如，处理器还可用于控制存储器保存第二假名信息和第一用户标识的对应关系。

可理解，对于以上各个消息等的具体描述，以及处理器和收发器的具体实现方式，可参考图2至图7b，这里不再一一详述。

在另一些实现方式中，上述通信装置可以为第四NF中的电路***。该情况下，上述处理单元802可以用处理电路实现，收发单元801用接口电路实现。如图10所示，通信装置可以包括处理电路1002和接口电路1001。

示例性的，例如，接口电路可用于获取第二请求消息，该第二请求消息携带终端设备的第一用户标识的第一假名信息；处理电路可用于响应于第二请求消息，根据第一假名信息得到第一用户标识，以及根据该第一用户标识生成第二假名信息；接口电路还可用于输出第二假名信息。

又例如，处理电路还可用于控制存储器保存第二假名信息和第一用户标识的对应关系。或者，存储器可以直接保存第二假名信息和第一用户标识的对应关系等。

对于处理电路和接口电路的具体实现方式，以及对于以上示出的各个消息等的说明，可参考图2至图7b所示的方法，这里不再一一详述。

复用图8，该通信装置可以用于执行上述方法实施例中由NRF执行的操作。例如，该通信装置可用于执行图2至图6d中NRF执行的方法。又例如，该通信装置还可以用于执行图7a中由可信控制NF执行的方法等。如图8所示，该通信装置包括收发单元801和处理单元802。

示例性的，收发单元801，可用于接收来自第一NF的第三请求消息；处理单元802，可用于根据可信级别确定第二NF；收发单元801，还可用于向第一NF发送第三响应消息。

在一种可能的实现方式中，收发单元801，还可用于接收第二NF发送的注册请求消息；处理单元802，还可用于保存第二NF的标识信息和第二NF的可信级别的对应关系。

在一种可能的实现方式中，处理单元802，具体用于根据保存的第二NF的标识信息和该第二NF的可信级别的对应关系，以及第三请求消息中携带的可信级别，确定该第二NF。

在一种可能的实现方式中，第三请求消息携带可信级别包括：该第三请求消息携带第一切片的可信级别，以及该第三请求消息中还携带该第一切片的标识信息；处理单元802，具体用于根据第一切片的标识信息确定与该第一切片对应的第二NF集合；根据保存的NF的标识信息和该NF的可信级别的对应关系，以及该第一切片的可信级别，从第二NF集合中确定第二NF。

在一种可能的实现方式中，第三请求消息携带可信级别包括：第三请求消息携带第二NF集合的可信级别；以及该第三请求消息还携带第二NF集合的标识信息；处理单元802，具体用于根据保存的NF的标识信息和NF的可信级别的对应关系，以及第二NF集合的可信级别，从该第二NF集合中确定第二NF。

在一种可能的实现方式中，收发单元801，还可用于接收来自第一NF的注册请求消息，该注册请求消息携带第一NF的可信级别；处理单元802，还可用于保存该第一NF的标识信息和该第一NF的可信级别的对应关系。

在一些实现方式中，上述通信装置可以为上述各个方法实施例中的NRF，该NRF可以为核心设备。该情况下，上述收发单元801可以用收发器实现，上述处理单元802可以用处理器实现。复用图9，如图9所示，该通信装置90包括一个或多个处理器920和收发器910。该处理器和收发器可以用于执行上述NRF所执行的功能或操作等。

示例性的，例如，收发器，可用于接收来自第一NF的第三请求消息；处理器，可用于根据可信级别确定第二NF；收发器，还可用于向第一NF发送第三响应消息。

又例如，收发器，还可用于接收第二NF发送的注册请求消息；处理器，还可用于保存第二NF的标识信息和第二NF的可信级别的对应关系。

又例如，收发器，还可用于接收来自第一NF的注册请求消息，该注册请求消息携带第一NF的可信级别；处理器，还可用于保存该第一NF的标识信息和该第一NF的可信级别的对应关系。

在另一些实现方式中，上述通信装置可以为NRF中的电路***。该情况下，上述处理单元802可以用处理电路实现，收发单元801用接口电路实现。如图10所示，通信装置可以包括处理电路1002和接口电路1001。该处理电路1002可以为芯片、逻辑电路、集成电路、处理电路或片上***(system on chip，SoC)芯片等，接口电路1001可以为通信接口、输入输出接口等。

示例性的，例如，接口电路可用于获取第三请求消息；处理电路可用于根据可信级别确定第二NF；接口电路还可用于输出第三响应消息。

又例如，接口电路还可用于获取注册请求消息等。

可理解，关于NRF或NRF中的电路***的具体实现方式以及以上各个消息的介绍等，可参考前述实施例，这里不再一一详述。

复用图8，该通信装置可以用于执行上述方法实施例中由NSSF执行的操作。例如，该通信装置可用于执行图2至图6d中NSSF执行的方法。又例如，该通信装置还可以用于执行图7a中由可信控制NF执行的方法等。如图8所示，该通信装置包括收发单元801和处理单元802。其中，

收发单元801，可用于接收第一NF发送的第四请求消息，该第四请求消息携带第一切片的标识信息；以及向第一NF发送第四响应消息，该第四响应消息携带第一切片的可信级别；或者，该第四响应消息携带第二NF集合的标识信息和该第二NF集合的可信级别，该第二NF集合为与第一切片对应的NF集合。

在一种可能的实现方式中，处理单元802，可用于根据第一预配置信息和第一切片的标识信息，确定该第一切片的可信级别，该第一预配置信息中包括第一切片的可信级别和该第一切片的标识信息的对应关系。

在一种可能的实现方式中，处理单元802，还可用于根据第二预配置信息和第一切片的标识信息，确定第二NF集合的可信级别，该第二预配置信息中包括第二NF集合的标识信息和第二NF集合的可信级别的对应关系。

在一些实现方式中，上述通信装置可以为上述各个方法实施例中的NSSF，该NSSF可以为核心设备。该情况下，上述收发单元801可以用收发器实现，上述处理单元802可以用处理器实现。复用图9，如图9所示，该通信装置90包括一个或多个处理器920和收发器910。该处理器和收发器可以用于执行上述NSSF所执行的功能或操作等。

示例性的，例如，收发器，可用于接收第一NF发送的第四请求消息，该第四请求消息携带第一切片的标识信息；以及向第一NF发送第四响应消息，该第四响应消息携带第一切片的可信级别；或者，该第四响应消息携带第二NF集合的标识信息和该第二NF集合的可信级别，该第二NF集合为与第一切片对应的NF集合。

又例如，处理器802，可用于根据第一预配置信息和第一切片的标识信息，确定该第一切片的可信级别，该第一预配置信息中包括第一切片的可信级别和该第一切片的标识信息的对应关系。

又例如，处理器802，还可用于根据第二预配置信息和第一切片的标识信息，确定第二NF集合的可信级别，该第二预配置信息中包括第二NF集合的标识信息和第二NF集合的可信级别的对应关系。

在另一些实现方式中，上述通信装置可以为NSSF中的电路***。该情况下，上述处理单元802可以用处理电路实现，收发单元801用接口电路实现。如图10所示，通信装置可以包括处理电路1002和接口电路1001。该处理电路1002可以为芯片、逻辑电路、集成电路、处理电路或片上***(system on chip，SoC)芯片等，接口电路1001可以为通信接口、输入输出接口等。

示例性的，接口电路可用于获取第四请求消息，以及输出第四响应消息。处理电路可用于确定第一切片的可信级别或第二NF集合的可信级别等。

可理解，关于NSSF或NSSF中的电路***的具体实现方式，以及以上各个消息的介绍等，可参考前述实施例，这里不再一一详述。

复用图8，该通信装置还可以用于执行上述方法实施例中由DNS执行的操作。例如，收发单元801可以用于接收来自第一NF的第五请求消息，该第五请求消息携带域名信息和可信级别；处理单元802可以用于响应于第五请求消息，根据该域名信息和可信级别确定第二NF；以及收发单元801还可以用于向第一NF发送该第二NF的标识信息。

在一些实现方式中，处理单元802可以用处理器实现，收发单元801可以用收发器实现。如图9所示，该处理器和收发器可以用于执行上述DNS执行的功能或操作等。示例性的，收发器，可以用于接收第五请求消息；处理器可以用于根据该域名信息和可信级别确定第二NF；以及收发器还可以用于向第一NF发送该第二NF的标识信息。

在另一些实现方式中，处理单元802还可以用处理电路实现，收发单元801还可以用接口电路实现。如图10所示，该接口电路可以用于获取第五请求消息，处理电路可以用于根据该域名信息和可信级别确定第二NF，该接口电路还可以用于输出该第二NF的标识信息。

本申请实施例的通信装置可执行上述方法实施例中由DNS所执行的任意功能，具体可执行的步骤和/或功能可以参考上述方法实施例中的详细描述，此处仅简要概述，不再赘述。

图11是本申请实施例提供的一种无线通信***的示意图，如图11所示，该无线通信***可以包括第一NF、第三NF、NRF和NSSF。进一步的，该无线通信***还可以包括第四NF(图11中未示出)、终端设备(图11中未示出)和第二NF等。进一步的，该无线通信***还可以包括DNS(图11中未示出)等。对于各个NF执行的步骤或功能，可参考前述实施例，这里不再详述。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例提供的方案的技术效果。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括：U盘、移动硬盘、只读存储器(read-onlymemory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

此外，本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的安全通信方法中由第一NF执行的操作和/或处理。

本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的安全通信方法中由第三NF执行的操作和/或处理。

本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的安全通信方法中由NRF执行的操作和/或处理。

本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的安全通信方法中由NSSF执行的操作和/或处理。

本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的安全通信方法中由终端设备执行的操作和/或处理。

本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的安全通信方法中由第四NF执行的操作和/或处理。

本申请还提供一种计算机程序，该计算机程序用于实现本申请提供的安全通信方法中由DNS执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行本申请提供的安全通信方法中由第一NF执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行本申请提供的安全通信方法中由第三NF执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行本申请提供的安全通信方法中由NRF执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行本申请提供的安全通信方法中由NSSF执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行本申请提供的安全通信方法中由终端设备执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行本申请提供的安全通信方法中由第四NF执行的操作和/或处理。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机代码，当计算机代码在计算机上运行时，使得计算机执行本申请提供的安全通信方法中由DNS执行的操作和/或处理。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请提供的安全通信方法中由第一NF执行的操作和/或处理被实现。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请提供的安全通信方法中由第三NF执行的操作和/或处理被实现。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请提供的安全通信方法中由NRF执行的操作和/或处理被实现。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请提供的安全通信方法中由NSSF执行的操作和/或处理被实现。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请提供的安全通信方法中由终端设备执行的操作和/或处理被实现。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请提供的安全通信方法中由第四NF执行的操作和/或处理被实现。

本申请还提供一种计算机程序产品，该计算机程序产品包括计算机代码或计算机程序，当该计算机代码或计算机程序在计算机上运行时，使得本申请提供的安全通信方法中由DNS执行的操作和/或处理被实现。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种安全通信方法，其特征在于，所述方法包括：

第一网络功能NF向第三NF发送第一请求消息，所述第一请求消息携带终端设备的第一用户标识的第一假名信息；

响应于所述第一请求消息，所述第三NF根据所述第一用户标识的签约等级确定所述第一用户标识的可信属性；或者，所述第三NF根据所述第一用户标识的会话属性确定所述第一用户标识的可信属性；或者，所述第三NF根据所述第一用户标识的行业要求确定所述第一用户标识的可信属性；

若所述第一用户标识的可信属性符合预设条件，则所述第三NF向所述第一NF发送第一响应消息，所述第一响应消息携带所述第一用户标识的第二假名信息。

2.根据权利要求1所述的方法，其特征在于，所述第三NF向所述第一NF发送第一响应消息，包括：

若所述第一NF的可信级别匹配预设级别，则所述第三NF向所述第一NF发送所述第一响应消息。

3.根据权利要求1或2所述的方法，其特征在于，所述第三NF向所述第一NF发送第一响应消息，包括：

若所述第一NF所在的安全域的可信级别匹配预设级别，则所述第三NF向所述第一NF发送所述第一响应消息。

4.根据权利要求1或2所述的方法，其特征在于，所述第三NF向所述第一NF发送第一响应消息之前，所述方法还包括：

所述第三NF根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息。

5.根据权利要求3所述的方法，其特征在于，所述第三NF向所述第一NF发送第一响应消息之前，所述方法还包括：

6.根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述第三NF保存所述第二假名信息和所述第一用户标识的对应关系。

7.根据权利要求5所述的方法，其特征在于，所述方法还包括：

8.根据权利要求1或2所述的方法，其特征在于，所述第三NF向所述第一NF发送第一响应消息之前，所述方法还包括：

所述第三NF向第四NF发送第二请求消息，所述第二请求消息携带所述第一假名信息；

响应于所述第二请求消息，所述第四NF根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息；

所述第四NF向所述第三NF发送所述第二假名信息，所述第三NF接收所述第二假名信息。

9.根据权利要求3所述的方法，其特征在于，所述第三NF向所述第一NF发送第一响应消息之前，所述方法还包括：

10.根据权利要求1、2、5、6、7、9任一项所述的方法，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

11.根据权利要求3所述的方法，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

12.根据权利要求4所述的方法，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

13.根据权利要求8所述的方法，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

14.根据权利要求10所述的方法，其特征在于，所述方法还包括：

若所述第一响应消息中包括所述第一指示信息，则所述第一NF根据所述第二假名信息生成所述根密钥；

所述第一NF向所述终端设备发送所述第一指示信息。

15.根据权利要求11-13任一项所述的方法，其特征在于，所述方法还包括：

所述第一NF向所述终端设备发送所述第一指示信息。

16.根据权利要求10所述的方法，其特征在于，所述方法还包括：

若所述第一响应消息中包括所述第二指示信息，则所述第一NF根据所述第二假名信息生成所述用户面密钥；

所述第一NF向所述终端设备发送所述第二指示信息。

17.根据权利要求11-13任一项所述的方法，其特征在于，所述方法还包括：

所述第一NF向所述终端设备发送所述第二指示信息。

18.根据权利要求16所述的方法，其特征在于，所述方法还包括：

所述第一NF向用户面功能发送所述用户面密钥。

19.根据权利要求17所述的方法，其特征在于，所述方法还包括：

所述第一NF向用户面功能发送所述用户面密钥。

20.根据权利要求14所述的方法，其特征在于，所述方法包括：

终端设备接收第一网络功能NF发送的第一指示信息；其中，所述第一指示信息用于指示所述终端设备生成第二假名信息和/或根密钥；

所述终端设备根据所述第一指示信息生成所述第二假名信息；

所述终端设备根据所述第二假名信息生成所述根密钥；

所述终端设备根据所述根密钥生成接入层密钥和/或非接入层密钥；其中，所述接入层密钥用于对所述终端设备与接入设备之间的数据和/或信令进行保护，所述非接入层密钥用于对所述终端设备与所述第一NF之间的数据和/或信令进行保护。

21.根据权利要求15所述的方法，其特征在于，所述方法包括：

所述终端设备根据所述第二假名信息生成所述根密钥；

22.根据权利要求16所述的方法，其特征在于，所述方法包括：

终端设备接收第一NF发送的第二指示信息，所述第二指示信息用于指示所述终端设备生成用户面密钥；

所述终端设备根据所述第二指示信息生成第二假名信息；

所述终端设备根据所述第二假名信息生成根密钥；

所述终端设备根据所述根密钥生成所述用户面密钥，所述用户面密钥用于对所述终端设备与用户面功能之间的数据进行保护。

23.根据权利要求17所述的方法，其特征在于，所述方法包括：

所述终端设备根据所述第二指示信息生成第二假名信息；

所述终端设备根据所述第二假名信息生成根密钥；

24.一种无线通信***，其特征在于，所述***包括：

第一网络功能NF，用于向第三NF发送第一请求消息，所述第一请求消息携带终端设备的第一用户标识的第一假名信息；

所述第三NF，用于响应于所述第一请求消息，根据所述第一用户标识的签约等级确定所述第一用户标识的可信属性；或者，根据所述第一用户标识的会话属性确定所述第一用户标识的可信属性；或者，根据所述第一用户标识的行业要求确定所述第一用户标识的可信属性；以及若所述第一用户标识的可信属性符合预设条件，则向所述第一NF发送第一响应消息，所述第一响应消息携带所述第一用户标识的第二假名信息。

25.根据权利要求24所述的***，其特征在于，

所述第三NF，具体用于若所述第一NF的可信级别匹配预设级别，则向所述第一NF发送所述第一响应消息。

26.根据权利要求24或25所述的***，其特征在于，

所述第三NF，具体用于若所述第一NF所在的安全域的可信级别匹配预设级别，则向所述第一NF发送所述第一响应消息。

27.根据权利要求24或25所述的***，其特征在于，

所述第三NF，还用于根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息。

28.根据权利要求26所述的***，其特征在于，

29.根据权利要求27所述的***，其特征在于，

所述第三NF，还用于保存所述第二假名信息和所述第一用户标识的对应关系。

30.根据权利要求28所述的***，其特征在于，

31.根据权利要求24或25所述的***，其特征在于，

所述第三NF，还用于向第四NF发送第二请求消息，所述第二请求消息携带所述第一假名信息；

所述***还包括：

所述第四NF，用于响应于所述第二请求消息，根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息；以及向所述第三NF发送所述第二假名信息；

所述第三NF，还用于接收所述第二假名信息。

32.根据权利要求26所述的***，其特征在于，

所述***还包括：

所述第三NF，还用于接收所述第二假名信息。

33.根据权利要求24、25、28、29、30、32任一项所述的***，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

34.根据权利要求26所述的***，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

35.根据权利要求27所述的***，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

36.根据权利要求31所述的***，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。

37.根据权利要求33所述的***，其特征在于，

所述第一NF，还用于若所述第一响应消息中包括所述第一指示信息，则根据所述第二假名信息生成所述根密钥；以及向所述终端设备发送所述第一指示信息。

38.根据权利要求34-36任一项所述的***，其特征在于，

39.根据权利要求33所述的***，其特征在于，

所述第一NF，还用于若所述第一响应消息中包括所述第二指示信息，则根据所述第二假名信息生成所述用户面密钥；以及向所述终端设备发送所述第二指示信息。

40.根据权利要求34-36任一项所述的***，其特征在于，

41.根据权利要求39所述的***，其特征在于，

所述第一NF，还用于向用户面功能发送所述用户面密钥。

42.根据权利要求40所述的***，其特征在于，

所述第一NF，还用于向用户面功能发送所述用户面密钥。