CN114208111B - 一种通信方法、装置及*** - Google Patents

Abstract

一种通信方法、装置及***，用于解决现有技术中AKMA鉴权，流程复杂，信令开销较大的问题。该方法的原理为：在终端设备的注册流程中，利用主鉴权，隐式表示AKMA鉴权。比如，主鉴权成功，可认为AKMA鉴权也成功。同时，在AKMA鉴权成功后，为终端设备分配AKMKA临时标识。采用本申请的方法、装置及***，无需额外进行AKMA鉴权，简化流程，减少信令开销。

Description

一种通信方法、装置及***

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种通信方法、装置及***。

背景技术

目前，终端设备可支持应用程序的身份验证和密钥管理(authentication andkey management for applications，AKMA)服务。一般采用以下方式对终端设备进行AKMA鉴权：在终端设备注册成功，主鉴权完成后，额外再对终端设备进行AKMA鉴权，AKMA鉴权的流程较复杂，信令开销较大。

发明内容

本申请实施例提供一种通信方法、装置及***，以简化AKMA鉴权的流程，减少信令开销。

第一方面，提供一种通信方法，包括：终端设备向移动管理网元发送注册请求消息；

所述终端设备在通过主鉴权流程鉴权成功，且激活非接入层NAS安全保护后，接收所述移动管理网元发送的经过NAS安全保护的注册响应，所述注册响应包括所述终端设备的应用程序的身份验证和密钥管理AKMA临时标识；所述终端设备保存所述AKMA临时标识。

通过上述方法，在终端设备的注册流程中，即完成AKMA鉴权，无需额外进行AKMA鉴权，简化AKMA鉴权的流程，减少信令开销。

在一种可能设计中，所述AKMA临时标识包括随机数、归属网络指示和路由标识；其中，所述随机数是网络设备分配的，用于标识所述终端设备的参数；所述归属网络指示用于指示所述终端设备的归属网络；所述路由标识用于确定生成所述AKMA服务的密钥Kakma的网络功能实体。

在本申请实施例中，终端设备接收到的AKMA临时标识既包括了终端设备的标识信息，还包括了用于确定生成终端设备对应的AKMA服务的密钥Kakma的网络功能实体的信息。后续终端设备使用AKMA临时标识访问AKMA应用功能网元的时候，网络侧的AKMA鉴权功能网元可以根据AKMA临时标识，确定生成终端设备对应的AKMA服务的密钥Kakma的网络功能实体，进而获取Kakma，并根据获取的Kakma为AKMA应用功能网元分配与终端设备通信的通信密钥。

在一种可能的设计中，所述AKMA临时标识还包括AKMA鉴权功能网元的地址信息或AKMA应用功能网元的地址信息中的至少一个。

通过上述方法，网络中可能存在多个AKMA鉴权功能网元以及提供相同应用服务的多个AKMA应用功能网元，在AKMA鉴权成功之后(本申请实施例中主鉴权成功之后)，为终端设备分配临时标识的时候可以根据一定的因素，为终端设备分配合适的AKMA鉴权功能网元的地址信息或AKMA应用功能网元，并将它们的地址携带在AKMA临时标识中，以便于后续终端设备根据AKMA临时标识确定合适的AKMA应用功能网元或者便于后续AKMA应用功能网元根据AKMA临时标识确定合适的AKMA鉴权功能网元。

在一种可能的设计中，所述生成所述AKMA服务的密钥Kakma的网络功能实体为鉴权服务器功能网元。

第二方面，提供一种通信方法，包括：在终端设备的注册流程中，鉴权服务器功能网元接收统一数据管理网元发送的第一指示信息，所述第一指示信息用于指示所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；在所述终端设备的主鉴权成功后，所述鉴权服务器功能网元确定所述终端设备的AKMA临时标识；所述鉴权服务器功能网元通过移动管理网元向所述终端设备发送所述AKMA临时标识。

本申请实施例中在终端设备支持AKMA服务时，对所述终端设备主鉴权成功，即可认为AKMA鉴权成功，不需要额外的AKMA鉴权流程对终端设备进行AKMA鉴权，无需额外进行AKMA鉴权，简化AKMA鉴权的流程，减少信令开销。

在一种可能的设计中，所述AKMA临时标识包括随机数、归属网络指示和路由标识；所述随机数是网络设备分配的，用于标识所述终端设备的参数；所述归属网络指示用于指示所述终端设备的归属网络；所述路由标识为用于确定生成所述AKMA服务的密钥Kakma的网络功能实体。

在一种可能的设计中，所述AKMA临时标识还包括AKMA鉴权功能网元的地址信息或AKMA应用功能网元的地址信息中的至少一个。

在一种可能的设计中，所述鉴权服务器功能网元确定所述AKMA临时标识，包括：

所述鉴权服务器功能网元自己生成所述AKMA临时标识。

在一种可能的设计中，所述鉴权服务器功能网元确定所述AKMA临时标识，包括：所述鉴权服务器功能网元向AKMA鉴权功能网元发送第一请求消息，所述第一请求消息用于请求所述AKMA鉴权功能网元生成所述AKMA临时标识；所述鉴权服务器功能网元接收所述AKMA鉴权功能网元发送的第一响应消息，所述第一响应消息中携带有所述AKMA临时标识。

由于在现有技术中，由AKMA鉴权功能网元生成所述AKMA临时标识。采用该方法，与现有技术的兼容性高，改动性小。

在一种可能的设计中，所述鉴权服务器功能网元确定所述AKMA临时标识，包括：所述鉴权服务器功能网元根据第一辅助信息，确定所述AKMA临时标识；其中，所述第一辅助信息包括所述终端设备的切片信息、所述终端设备的数据网络名称信息或所述终端设备的业务或会话连续性模式信息中的至少一个。

通过上述方法，所述AKMA临时标识中包括AKMA鉴权功能网元的地址信息。在本申请实施例中，可根据第一辅助信息的不同，选择不同的AKMA鉴权功能网元，提高选择AKMA鉴权功能网元的灵活性。

在一种可能的设计中，还包括：所述鉴权服务器功能网元向所述移动管理网元发送第二请求消息，所述第二请求消息中携带有所述第一指示信息；所述鉴权服务器功能网元接收所述移动管理网元发送的第二响应消息，所述第二响应消息中携带有所述第一辅助信息。

在一种可能的设计中，还包括：所述鉴权服务器功能网元接收所述AKMA鉴权功能网元发送的第三请求消息，所述第三请求消息中携带有所述AKMA临时标识；所述鉴权服务器功能网元根据所述AKMA临时标识，获取第一密钥，所述第一密钥是所述主鉴权过程中的中间密钥；所述鉴权服务器功能网元根据所述第一密钥，生成所述AKMA服务的密钥Kakma；所述鉴权服务器功能网元向所述AKMA鉴权功能网元发送所述Kakma。

在一种可能的设计中，所述方法还包括：在所述终端设备的主鉴权成功后，所述鉴权服务器功能网元保存所述AKMA临时标识、所述终端设备的标识与所述第一密钥的对应关系；所述鉴权服务器功能网元根据所述AKMA临时标识，获取第一密钥，包括：所述鉴权服务器功能网元根据所述AKMA临时标识和所述对应关系，获取第一密钥。

在一种可能的设计中，所述第一密钥为Kausf。

在一种可能的设计中，在所述AKMA临时标识中包括AKMA鉴权功能网元的地址信息时，所述方法还包括：所述鉴权服务器功能网元将所述AKMA临时标识中的AKMA鉴权功能网元的地址信息由第一地址信息，更新为第二地址信息，所述第一地址信息为第一AKMA鉴权功能网元的地址信息，所述第二地址信息为第二AKMA鉴权功能网元的地址信息。

第三面，提供一种通信方法，包括：在终端设备的注册流程中，统一数据管理网元接收鉴权服务器功能网元发送的第三请求消息，所述第三请求消息中包括终端设备的标识；所述统一数据管理网元根据所述终端设备的签约数据，确定所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；所述统一数据管理网元向鉴权服务器功能网元发送第三响应消息，所述第三响应消息中包括第一指示信息，所述第一指示信息表示所述终端设备支持所述AKMA服务。

在一种可能的设计中，所述第三请求消息为用于获取鉴权向量的UDM服务化请求消息，所述第三响应消息为用于获取鉴权向量的UDM服务化的响应消息。

第四方面，提供一种通信方法，包括：在终端设备的注册流程中，第一应用程序的身份验证和密钥管理AKMA鉴权功能网元接收鉴权服务器功能网元发送的第四请求消息，所述第四请求消息用于请求所述终端设备的AKMA临时标识；所述第一AKMA鉴权功能网元生成所述AKMA临时标识；所述第一AKMA鉴权功能网元向鉴权服务器功能网元发送第四响应消息，所述第四响应消息中携带有所述AKMA临时标识。

在一种可能的设计中，还包括：所述第一AKMA鉴权功能网元接收AKMA应用功能网元发送的第五请求消息，所述第五请求消息用于请求所述终端设备与所述AKMA应用功能网元进行通信时使用的通信密钥；在所述第一AKMA鉴权功能网元能够为所述AKMA应用功能网元提供服务的情况下，所述第一AKMA鉴权功能网元从鉴权服务器功能网元获取与所述AKMA临时标识对应的AKMA服务的密钥Kakma；所述第一AKMA鉴权功能网元根据所述Kakma，生成所述通信密钥；所述第一AKMA鉴权功能网元将所述通信密钥发送给所述AKMA应用功能网元。

在一种可能的设计中，还包括：在所述第一AKMA鉴权功能网元不能够为所述AKMA应用功能网元提供服务的情况下，所述第一AKMA鉴权功能网元确定第二AKMA鉴权功能网元；所述第一AKMA鉴权功能网元向所述AKMA应用功能网元发送第四响应消息，所述第四响应消息用于指示所述AKMA应用功能网元向所述第二AKMA鉴权功能网元获取通信密钥；其中，所述第四响应消息中携带有所述第二AKMA鉴权功能网元的地址信息。

第五方面，提供一种通信***，包括：鉴权服务器功能网元和统一数据管理网元；

鉴权服务器功能网元，用于在终端设备的注册流程中，向统一数据管理网元发送第一请求消息，所述第一请求消息中包括终端设备的标识；所述统一数据管理网元，用于根据所述终端设备的签约数据，确定所述终端设备支持应用程序的身份验证和密钥管理AKMA服务，以及，向所述鉴权服务器功能网元发送第一响应消息；其中，所述第一响应消息中包括第一指示信息，所述第一指示信息用于表示所述终端设备支持所述AKMA服务；所述鉴权服务器功能网元，还用于在所述终端设备的主鉴权成功后，确定所述终端设备的AKMA临时标识，以及，通过移动管理网元向所述终端设备发送所述AKMA临时标识。

在一种可能的设计中，所述AKMA临时标识包括随机数、归属网络指示和路由标识；所述随机数是网络设备分配的，用于标识所述终端设备的参数；所述归属网络指示用于指示所述终端设备的归属网络；所述路由标识为用于确定生成所述AKMA服务的密钥Kakma的网络功能实体。

在一种可能的设计中，所述AKMA临时标识还包括AKMA鉴权功能网元的地址信息或AKMA应用功能网元的地址信息中的至少一个。

在一种可能的设计中，所述鉴权服务器功能网元在确定所述终端设备的AKMA临时标识时，具体用于：所述鉴权服务器功能网元自己生成所述AKMA临时标识。

在一种可能的设计中，所述通信***还包括第一AKMA鉴权功能网元，所述鉴权服务器功能网元在确定所述终端设备的AKMA临时标识时，具体用于：所述鉴权服务器功能网元，用于向所述第一AKMA鉴权功能网元发送第二请求消息，所述第二请求消息用于请求所述第一AKMA鉴权功能网元生成所述AKMA临时标识；所述第一AKMA鉴权功能网元，用于确定所述AKMA临时标识，以及向所述鉴权服务器功能网元发送第二响应消息，所述第二响应消息中携带有所述AKMA临时标识。

在一种可能的设计中，所述鉴权服务器功能网元在确定所述终端设备的AKMA临时标识时，具体用于：所述鉴权服务器功能网元根据第一辅助信息，确定所述AKMA临时标识；其中，所述第一辅助信息包括所述终端设备的切片信息、所述终端设备的数据网络名称信息或所述终端设备的业务或会话连续性模式信息中的至少一个。

在一种可能的设计中，所述***还包括移动管理网元，所述鉴权服务器功能网元，还用于向所述移动管理网元发送第三请求消息，所述第三请求消息中携带有所述第一指示信息；所述移动管理网元，用于获取所述第一辅助信息，且向所述鉴权服务器功能网元发送第三响应消息，所述第三响应消息中携带有所述第一辅助信息。

在一种可能的设计中，所述第三请求消息为用于获取鉴权向量的统一数据管理UDM服务化请求消息，所述第三响应消息为用于获取鉴权向量的UDM服务化的响应消息。

在一种可能的设计中，所述通信***还包括AKMA应用功能网元和第一AKMA鉴权功能网元，所述方法还包括：所述AKMA应用功能网元，用于向所述第一AKMA鉴权功能网元发送第四请求消息，所述第四请求消息中携带有所述AKMA临时标识；所述第一AKMA鉴权功能网元，用于在所述第一AKMA鉴权功能网元能够为所述AKMA应用功能网元提供服务的情况下，从所述鉴权服务器功能网元获取与所述AKMA临时标识对应的AKMA服务的密钥Kakma；根据所述Kakma，生成所述通信密钥；以及，将所述通信密钥发送给所述AKMA应用功能网元。

在一种可能的设计中，所述第一AMKA鉴权功能网元在从所述AKMA应用功能网元获取与所述AKMA临时标识对应的AKMA服务的密钥Kakma时，具体用于：所述第一AKMA鉴权功能网元，用于向所述鉴权服务器功能网元发送第五请求消息，所述第五请求消息中携带有所述AKMA临时标识；所述鉴权服务器功能网元，用于根据所述AKMA临时标识，获取第一密钥，所述第一密钥是主鉴权过程中的中间密钥；根据所述第一密钥，生成所述AKMA服务的密钥Kakma，且向所述第一AKMA鉴权功能网元发送所述Kakma。

在一种可能的设计中，所述第一AKMA鉴权功能网元，还用于在所述第一AKMA鉴权功能网元不能够为所述AKMA应用功能网元提供服务的情况下，确定所述第二AKMA鉴权功能网元的地址信息；所述第一AKMA鉴权功能网元，还用于向所述AKMA应用功能网元发送重定位消息，所述重定位消息中包括所述第二AKMA鉴权功能网元的地址信息。

在一种可能的设计中，所述AKMA应用功能网元，还用于向所述第二AKMA鉴权网元发送第六请求消息，所述第六请求消息中包括所述AKMA临时标识；所述第二AKMA鉴权网，还用于从所述鉴权服务器功能网元获取与所述AKMA临时标识对应的AKMA服务的密钥Kakma；根据所述Kakma，生成所述通信密钥；以及，将所述通信密钥发送给所述AKMA应用功能网元。

在一种可能的设计中，所述鉴权服务器功能网元，还用于在所述终端设备的主鉴权成功后，保存所述AKMA临时标识、所述终端设备的标识与所述第一密钥的对应关系；所述鉴权服务器功能网元在根据所述AKMA临时标识，获取第一密钥时，具体用于：所述鉴权服务器功能网元根据所述AKMA临时标识和所述对应关系，获取所述第一密钥。

在一种可能的设计中，所述第一密钥为kausf。

在一种可能的设计中，所述鉴权服务器功能网元，在所述AKMA临时标识中包括AKMA鉴权功能网元的地址信息时，将所述AKMA临时标识中的AKMA鉴权功能网元的地址信息由第一地址信息，更新为第二地址信息，所述第一地址信息为所述第一AKMA鉴权功能网元的地址信息，所述第二地址信息为所述第二AKMA鉴权功能网元的地址信息。

第六方面，提供一种通信装置，该装置可以是终端设备或终端设备中的芯片，该装置包括收发模块和处理模块用于执行上述第一方面及任一种可能设计的相应功能，具体的：

收发模块，用于向移动管理网元发送注册请求消息，以及，在通过主鉴权流程鉴权成功，且激活非接入层NAS安全保护后，接收所述移动管理网元发送的经过NAS安全保护的注册响应。其中，所述注册响应包括所述终端设备的应用程序的身份验证和密钥管理AKMA临时标识。处理模块，用于保存所述AKMA临时标识。

关于收发模块和处理模块的具体功能可参见上述第一方面的记载，在此不再说明。

第七方面，提供一种装置，该装置可以是鉴权服务器功能网元，或鉴权服务器功能网元中的芯片，该装置包括收发模块和处理模块用于执行上述第二方面及任一种可能设计的相应功能，具体的：

收发模块，用于在终端设备的注册流程中，接收统一数据管理网元发送的第一指示信息，所述第一指示信息用于指示所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；

处理模块，用于在所述终端设备的主鉴权成功后，确定所述终端设备的AKMA临时标识；

收发模块，还用于通过移动管理网元向所述终端设备发送所述AKMA临时标识。

关于收发模块和处理模块的具体功能可参见上述第二方面的记载，在此不再说明。

第八方面，提供一种装置，该装置可以是统一数据管理网元，或统一数据管理网元中的芯片，该装置包括收发模块和处理模块用于执行上述第三方面及任一种可能设计的相应功能，具体的：

收发模块，用于在终端设备的注册流程中，接收鉴权服务器功能网元发送的第三请求消息，所述第三请求消息中包括终端设备的标识；

处理模块，用于根据所述终端设备的签约数据，确定所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；

收发模块，还用于向鉴权服务器功能网元发送第三响应消息，所述第三响应消息中包括第一指示信息，所述第一指示信息表示所述终端设备支持所述AKMA服务。

关于收发模块和处理模块的具体功能可参见上述第三方面的记载，在此不再说明。

第九方面，提供一种装置，该装置可以是第一AKMA鉴权功能网元或第一AKMA鉴权功能网元中的芯片，该装置包括收发模块和处理模块用于执行上述第四方面及任一种可能设计的相应功能，具体的：

收发模块，用于在终端设备的注册流程中，接收鉴权服务器功能网元发送的第四请求消息，所述第四请求消息用于请求所述终端设备的AKMA临时标识；

处理模块，用于生成所述AKMA临时标识；

收发模块，还用于向鉴权服务器功能网元发送第四响应消息，所述第四响应消息中携带有所述AKMA临时标识。

第十方面，提供一种通信装置，包括通信接口、处理器和存储器；所述存储器用于存储计算机执行指令；所述处理器用于执行所述存储器所存储的计算机执行指令，以使所述通信装置通过所述通信接口收发消息，并实现上述第一方面至第四方面任一方面所述的方法中如下设备的功能：所述安全接入设备，或者，所述第二核心网网元。

第十一方面，提供一种计算机可读存储介质，所述存储介质存储有计算机指令，当所述计算机指令被通信装置执行时，使得所述通信装置执行上述第一方面至第四方面任一方面所述的方法。

第十二方面，提供一种计算机程序产品，所述计算机程序产品包括计算机指令，当所述计算机指令被通信装置执行时，使得所述通信装置执行上述第一方面至第四方面任一方面所述的方法。

第十三方面，提供一种装置，用于实现上述第一方面至第四方面任一方面所述的方法。

第十四方面，提供一种装置，包括处理器和存储器，所述处理器和所述存储器耦合，所述处理器用于执行第一方面至第四方面任一方面所述的方法。

附图说明

图1为本申请实施例提供的网络架构的一示意图；

图2为本申请实施例提供的AKMA鉴权的一示意图；

图3为本申请实施例提供的AKMA鉴权的一示意图；

图4为本申请实施例提供的AKMA鉴权的一示意图；

图5为本申请实施例提供的AKMA鉴权的一示意图；

图6为本申请实施例提供的终端设备接入的一示意图；

图7为本申请实施例提供的终端设备接入的一示意图；

图8至图11为本申请实施例提供的通信装置的示意图；

图12为本申请实施例提供的通信装置的结构示意图。

具体实施方式

本申请实施例可以适用于4G(***移动通信***)演进***，如长期演进(longterm evolution，LTE)***，或者还可以为5G(第五代移动通信***)***，如采用新型无线接入技术(new radio access technology，New RAT)的接入网；云无线接入网(cloudradio access network，CRAN)等，或者，甚至未来的6G(第六代移动通信***)等通信***。

参见图1，为本申请实施例提供的网络架构，该网络架构至少包括终端设备、接入网(access network，AN)、核心网和数据服务网络。可以理解的是，图1仅为示意性说明，并不作为对本申请的限定。

其中，终端设备可以简称为终端，是一种具有无线收发功能的设备，终端设备可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self driving)中的无线终端设备、远程医疗(remote medical)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备，以及还可以包括用户设备(user equipment，UE)等。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来第五代(the 5th generation，5G)网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备等。终端设备有时也可以称为终端设备、用户设备(user equipment，UE)、接入终端设备、车载终端设备、工业控制终端设备、UE单元、UE站、移动站、移动台、远方站、远程终端设备、移动设备、UE终端设备、终端设备、无线通信设备、UE代理或UE装置等。终端设备也可以是固定的或者移动的。本申请实施例对此并不限定。

接入网AN，可以采用不同类型的接入技术。比如，接入网可采用第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)接入技术(例如3G、4G或5G***中采用的无线接入技术)。或者，非第三代合作伙伴计划(none 3rd Generation PartnershipProject，non-3GPP)接入技术。其中，采用3GPP接入技术的接入网称为无线接入网(radioaccess network，RAN)。例如，5G***中的接入网设备称为下一代基站节点(nextgeneration Node Basestation，gNB)等。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以无线保真接入点(wireless fidelity access point，WIFI AP)为代表的空口技术等。

核心网可包括鉴权服务器功能网元、移动管理网元、会话功能网元、应用程序的身份验证和密钥管理(authentication and key management for applications，AKMA)鉴权功能网元、统一数据管理网元或用户面功能网元等中的一个或多个。其中，用户面功能网元为用户面数据出口，主要用于连接外部网络。鉴权功能服务器网元，为网络认证UE的功能实体，主要用于网络验证UE的真实性。移动管理网元，主要负责移动性管理。会话功能网元主要用于为用户面分配会话资源。统一数据管理网元，用于存储用户的签约数据，生成用于鉴权用户的长期密钥。AKMA鉴权功能网元，为处理AKMA认证的功能实体，主要用于提供AKMA的鉴权锚点功能。

需要说明的是，在不同的通信***中，上述核心网中的网元可有不同的名称。比如，在***移动通信***中，上述移动管理网元可称为移动管理实体(mobilitymanagement entity，MME)。在第五代移动通信***中，上述移动管理网元可称为接入和移动性管理功能(access and mobility management function，AMF)等。在本申请实施例中，以第五代移动通信***为例，介绍上述核心网网元，并不作为对本申请实施例的限定。比如，在第五代移动通信***中，用户面功能网元可称为用户功能(user plane function，UPF)，鉴权服务器功能网元可称为鉴权服务器功能(authentication server function，AUSF)、移动管理网元可称为AMF、会话管理功能网元可称为会话管理功能(sessionmanagement function，SMF)、统一数据管理网元可称为统一数据管理(unified datamanagement，UDM)、AKMA的鉴权功能网元可称为AKMA的鉴权功能(AKMA authenticationfunction，AAuF)等。

可以理解的是，图1的核心网网元仅为示意性的说明，并不作为限定。比如，在本中请实施例中核心网，除包括图1所示的核心网网元外，还可包括网络切片选择功能(NetworkSlice Selection Function，NSSF)、网络开放功能(Network Exposure Function，NEF)、网络存储器功能(Network Repository Function，NRF)、策略控制功能(Policy ControlFunction，PCF)、应用功能(Application Function，AF)或SCP等中的一个或多个网元。

数据服务网络可具体为数据网络(data network，DN)等。AKMA应用功能(AKMAapplication function，AApF)网元，可以部署在DN中的一个或多个服务器中，为3GPP用户终端提供数据服务。可以理解的是，AKMA应用功能网元可部署在DN的服务器中，还可布署于核心网内，不作限定。在本申请实施例中，是以AKMA应用网元部署在DN的服务器中为例进行说明的。

针对图1所示的架构，本申请实施例提供一种应用场景，在该应用场景中，终端设备可支持AKMA服务，核心网设备可对终端设备进行AKMA鉴权。如图2所示，提供一种AKMA鉴权流程，在该流程中UE可具体为上述图1所示架构中的终端设备，AAuF可具体为上述图1所示架构中的AKMA鉴权功能网元，AUSF可具体为上述图1所示架构中的鉴权功能服务网元，该流程包括：

S201：UE向AAuF发送第一请求，所述第一请求中携带有终端设备的永久身份标识(subscriber permanent identifier，SUPI)或隐藏的身份标识(subscriber concealedidentifier，SUCI)。可以理解的是，UE可通过AApF向AAuF发送第一请求。比如，AApF在接收到第一请求后，发现UE还未通过AKMA鉴权，则可将第一请求转发至AAuF。

S202：AAuF向AUSF发送鉴权请求(authentication request)，所述鉴权请求中携带有终端设备的SUPI或SUCI。

S203：AUSF和UE之间进行双向鉴权，所述双向鉴权可具体为可扩展鉴权协议(extensible authentication protocol，EAP)交换(exchange)。UE和AUSF双向鉴权成功，可认为终端设备的AKMA鉴权成功。

S204：在鉴权成功后，AUSF向AAuF发送鉴权响应(authentication response)，所述鉴权响应携带有AKMA鉴权成功的指示和终端设备AKMA服务的密钥Kakma。相应的，AAuF在接收到鉴权响应后，可保存Kakma，为终端设备分配AKMA临时标识。其中，所述Kakma用于生成所述终端设备和AKMA应用功能网元之间的通信密钥。在本申请实施例中，AAuF可以使用上述Kakma，为不同的AKMA应用功能网元生成与终端设备进行通信使用的通信密钥。具体的，AAuF可以根据上述Kakma和AKMA应用功能网元的标识，生成AKMA应用功能网元和终端设备进行通信使用的通信密钥。显然，不同的AKMA应用功能网元与同一个终端设备通信使用的通信密钥可以是不一样的。

S205：AAuF向UE发送第一响应，所述第一响应中包括终端设备的AKMA临时标识和AKMA临时标识的有效期。相应的，终端设备保存AKMA临时标识。

通过上述方法，可以发现，在UE注册成功，主鉴权完成后，需要额外再进行AKMA鉴权，且AKMA鉴权成功后再为终端设备分配AKMA临时标识，鉴权流程复杂，信令开销较大。

基于此，本申请提供一种通信方法，该通信方法的原理为：由于在UE的注册流程中，UE与网络设备需要主鉴权。在本申请实施例中，在UE的注册流程中，当UE与网络设备主鉴权成功后，即认为UE的AKMA鉴权也成功，同时为UE分配AKMA临时标识。可见，在本申请实施例中，UE无须进行额外的AKMA鉴权，简化鉴权流程，减少信令开销。

需要说明的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序，例如，“第一请求消息”和“第二请求消息”等。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单个或者多个。a、b、或c中的至少一项(个)，可以表示：a；b；c；a和b；a和c；b和c；或a、b和c。其中，a、b、c可以是单个，也可以是多个。

参照图3所示，提供一种通信方法的流程，该流程中的终端设备可为图l架构中的终端设备，移动管理网元可为图1架构中的移动管理网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，统一数据管理网元可为图1架构中的统一数据管理网元，该流程具体为：

S300：在终端设备的注册流程中，终端设备向移动管理网元发送第一请求消息，所述第一请求消息中携带有终端设备的隐藏的身份标识(subscriber concealedidentifier，SUCI)或5G全球唯一临时UE标识(5G-globally unique temporary UEIdentity，5G-GUTI)。

可选的，所述第一请求消息可为注册请求(registration request)。当终端设备没有安全上下文的时候，可在第一请求消息中携带SUCI，SUCI为终端设备的隐藏的身份信息。当UE有安全上下文的时候，可在第一请求消息中携带5G-GUTI，5G-GUTI为UE的临时身份标识。

S301：移动管理网元向鉴权服务器功能网元发送第二请求消息，所述第二请求消息中携带终端设备的SUCI或SUPI。第二请求消息用于触发对UE进行鉴权。鉴权可以是主认证鉴权，也可以是AKMA鉴权等，不作具体限定。可选的，所述第二请求消息可称为UE鉴权请求消息(Nausf_UE_Authentication request)。当第二请求消息中携带终端设备的SUCI时，移动管理网元可直接在第二请求消息中获取终端设备的SUCI。当第二请求消息中携带终端设备的5G-GUTI时，移动管理网元可根据终端设备的5G-GUTI，确定终端设备的永久身份标识(subscriber permanent identifier，SUPI)。例如，如果移动管理网元需要对终端设备进行鉴权，移动管理网元可在对终端设备鉴权时，根据终端设备的GUTI，确定终端设备的SUPI。

S302：鉴权服务器功能向统一数据管理网元发送第三请求消息，所述第三请求消息中携带有终端设备的SUCI或SUPI。所述第三请求消息用于向统一数据管理网元请求鉴权向量。第三请求消息所请求的鉴权向量可以是主鉴权用的鉴权向量，或者，第三请求消息请求的鉴权向量可以是AKMA鉴权用的鉴权向量，或者，第三请求消息请求的鉴权向量可以既用于主鉴权，又用于AKMA鉴权等，不作限定。

S303：统一数据管理网元根据终端设备的签约信息，确定终端设备支持或不支持AKMA服务。比如，统一数据管理网元可根据第三请求消息中携带的终端设备的SUCI或SUPI，确定终端设备的签约信息。例如，在第三请求消息携带SUCI的情况下，统一数据管理网元需先从SUCI获取SUPI，再根据SUPI确定终端设备的签约信息。进一步，再根据终端设备的鉴约信息，确定终端设备是否支持AKMA服务。

若统一数据管理网元确定终端设备不支持AKMA服务，则统一数据管理网元按照现有标准TS33.501中6.1章节的描述进行相应的操作。如果统一数据管理网元确定终端设备支持AKMA服务，则统一数据管理网元执行下述S304中的步骤。

S304：统一数据管理网元向鉴权服务器功能网元发送第一响应消息，鉴权服务器功能网元接收第一响应消息，所述第一响应消息中携带有第一指示信息，所述第一指示信息可显示或隐示指示终端设备支持AKMA服务。具体的，当第一指示信息取第一预设值的时候，代表终端设备支持AKMA服务；当第一指示信息取第二预设值的时候，代表终端设备不支持AKMA服务。例如，第一指示信息可以是一个比特位的符号，当前该符号取值为0的时候，表示终端设备不支持AKMA服务；取值为1的时候，表示终端设备支持AKMA服务。或者，第一指示信息可隐示指示终端设备支持AKM服务。比如，若第一响应消息中出现“AKMA”等字符，则代表终端设备支持AKMA服务。其中，第一指示信息的形式可以是枚举类型，即用字符串格式等，不作限定。

可选的，第一响应消息中还可携带第一辅助信息、鉴权向量(authenticationvector，AV)、终端设备的SUPI或终端设备的SUCI等中的一个或多个，所述第一响应消息可具体为获取UE鉴权响应消息(Nudm_UE Authentication_Get Response)。所述第一辅助信息可包括终端设备的切片信息、数据网络名称(data network name，DNN)信息或业务或会话连续性模式(service and session continuity，SSC，mode)信息等签约数据中的至少一个。所述第一辅助信息可包括用户的部分或全部签约信息。

在本申请实施例中，统一数据管理网元可根据以下情况中的一个或多个，确定是否需要将第一辅助信息提供给鉴权服务器功能网元。如果需要将第一辅助信息提供给鉴权服务器功能网元，则在第一响应消息中携带第一辅助信息。如果不需要将第一辅助信息提供给鉴权服务器功能网元，则在第一响应消息中可不携带第一辅信息。

第一种情况：统一数据管理网元可根据终端设备的签约信息，确定是否需要将第一辅信息提供给鉴权服务器功能网元。比如，统一数据管理网元根据终端设备的签约信息，确定终端设备为有低时延需求的终端设备，则将第一辅助信息提供给鉴权服务器功能网元。再如，UDM根据终端设备的签约信息，确定终端设备有特殊需求，则将第一辅助信息提供给鉴权服务器功能网元。

第二种情况：统一数据管理网元可检测终端设备是否被鉴权过。如果统一数据管理网元确定终端设备被鉴权过，则可将第一辅助信息的全部或部分告知鉴权服务器功能网元。如果统一数据管理网元确定终端设备未被鉴权过，或者，终端设备虽然被鉴权过，但鉴权信息已过期，则可将第一辅助信息中的部分信息告知鉴权服务器功能网元。比如，第一辅助信息中的部分信息中可不包括终端设备的位置信息等。

第三种情况：统一数据管理网元可检测终端设备的当前阶段流程，根据终端设备的当前阶段流程不同，确定是否需要将第一辅助信息提供给鉴权服务器功能网元。比如，若终端设备当前处于移动管理(mobile management，MM)流程中，则无需提供第一辅助信息给鉴权服务器功能网元。若终端设备当前处于会话管理(session management，SM)流程中，则需要将第一辅助信息提供给鉴权服务器功能网元。

可选的，S305：鉴权服务器功能网元和终端设备间进行双向鉴权。需要说明的是，如果图3所示的流程是鉴权的注册流程，则图3所示的流程中将包括S305。如果图3所示的流程是PDU会话建立流程，则图3所示的流程中可不包括S305。

其中，鉴权服务器功能网元可对终端设备的合法性进行鉴权，终端设备可对整个无线网络的真实性进行鉴权。具体的，鉴权服务器功能网元可按照现有标准TS 33.501中章节6.1中的描述对UE进行鉴权，同样，UE也可按照现有标准TS 33.501中章节6.1中的描述对鉴权服务器功能网元进行鉴权等。所述鉴权方法具体采用EAP-AKA，或5G-AKA等鉴权方法，本申请不作限定。

S306：鉴权服务器功能网元确定终端设备的AKMA临时标识(temporaryidentifier)。终端设备的AKMA临时标识还可称为终端设备的AKMA临时标识符等。UE的AKMA临时标识用于UE接入AKMA应用功能网元时使用。

其中，AKMA临时标识至少包括随机数(random value)、归属网络指示(homenetwork identifier)和路由标识(routing indicator，RI)。随机数是网络侧设备分配的，用于标识终端设备的参数；归属网络指示用于指示终端设备的归属网络。路由标识用于确定生成AKMA服务的密钥Kakma的网络功能实体。比如，生成AKMA服务的密钥Kakma的网络功能实体为鉴权服务器功能网元。可选的，网络中的设备，例如AMF，可以根据归属网络指示和路由标识确定鉴权服务器功能网元的。可选的，AKMA临时标识还可包括AKMA鉴权功能实体的地址信息，或AKMA用户功能实体的地址信息中的至少一个。

或者，可以描述为：AKMA临时标识至少携带终端设备的临时身份信息、终端设备的家乡网络信息(home network identifier)和鉴权服务器功能网元的地址信息。进一步地，家乡网络信息可以为移动网络码(mobile network code MNC)和移动国家码(mobilecountry code，MCC)等。鉴权服务器功能网元的地址信息为可以找到该鉴权服务器功能网元的信息，比如，鉴权服务器功能网元的地址信息中可以包括鉴权服务器功能网元的编号信息和/或鉴权服务器功能网元的路由信息(routing ID)。鉴权服务器功能网元的编号信息可以是运营商在网络内部给鉴权服务器功能网元分配的编号，用于确定某一个鉴权服务器功能网元。鉴权服务器功能网元的路由信息是存储在终端设备上的或存储在全球用户身份模块(universal subscriber identity module，USIM)。当UE生成SUCI的时候，SUCI中携带Routing ID供移动管理网元确定可以为UE服务的鉴权服务器功能网元。在鉴权服务器功能网元的地址信息不能够在全球范围内唯一标识一个鉴权服务器功能网元的情况下，那么确定具体的鉴权服务器功能网元的时候要将终端设备的家乡网络信息和鉴权服务器功能网元的地址信息结合使用。可选的，终端设备的AKMA临时标识还包括AKMA鉴权功能网元的地址信息和/或AKMA应用功能网元的地址信息。AKMA鉴权功能网元的地址信息为可以唯一确定AKMA鉴权功能网元的信息。比如，AKMA鉴权功能网元的地址信息可以包括AKMA鉴权功能网元的编号信息和/或第一AKMA鉴权功能网元的路由信息(routing ID)。AKMA鉴权功能网元的编号信息可以是运营商在网络内部给AKMA鉴权功能网元分配的编号，用于确定某一个AKMA鉴权功能网元。AKMA鉴权功能网元的路由信息鉴权服务器功能网元可以通过查询获得，比如向网管***查询或者向NRF查询，也可以根据本地预配置的列表获得。AKMA鉴权功能网元的路由信息可以使AKMA应用功能网元或者UE确定为这个UE服务的AKMA鉴权功能网元。在AKMA鉴权功能网元的地址信息不能够在全球范围内唯一标识一个AKMA鉴权功能网元的情况下，那么确定具体的AKMA鉴权功能网元的时候要将终端设备的家乡网络信息和AKMA鉴权功能网元的地址信息结合使用。AKMA应用功能网元的地址信息为可以唯一确定AKMA应用功能网元的信息。比如，AKMA应用功能网元的地址信息可以包括AKMA应用功能网元的编号信息和/或AKMA应用功能网元的路由信息(routing ID)。AKMA应用功能网元的编号信息可以是运营商或者应用提供方在网络内部给AKMA应用功能网元分配的编号，用于确定某一个AKMA应用功能网元。AKMA应用功能网元的路由信息可以通过查询获得，比如AKMA鉴权功能网元或鉴权服务器功能网元向网管***查询或者向NRF查询，也可以根据本地预配置的列表获得。AKMA鉴权功能网元的路由信息可以使AKMA应用功能网元或者UE确定为这个UE服务的AKMA鉴权功能网元。在AKMA应用功能网元的地址信息不能够在全球范围内唯一标识一个AKMA应用功能网元的情况下，那么确定具体的AKMA应用功能网元的时候要将终端设备的家乡网络信息和AKMA应用功能网元的地址信息结合使用。

进一步地，AKMA鉴权功能网元的地址信息可以由鉴权服务器功能网元确定，比如AKMA鉴权功能网元可为默认的或协议规定的AKMA鉴权功能网元。或者，AKMA鉴权功能网元可为鉴权服务器功能网元根据上述S204中的第一辅助信息，所确定的AKMA鉴权功能网元等。比如，第一辅助信息中包括终端设备的位置信息，则鉴权服务器功能网元可以通过查询其它核心网实体(例如，NRF等)、网管配置列表或鉴权服务器功能网元的预配置列表等方式，查询距离终端设备最近的AKMA鉴权功能网元。或者，第一辅助信息中包括终端设备的切片信息、DNN信息、SSC信息等，鉴权服务器功能网元可根据第一辅助信息中的全部或部分信息，综合选择一个满足条件的AKMA鉴权功能网元。例如，鉴权服务器功能网元可以选择一个可以为切片-数据网络名称服务的AKMA鉴权功能网元等。AKMA应用功能网元的地址信息可以由鉴权服务器功能网元确定，也可以由AKMA鉴权功能网元确定。比如，AKMA应用功能网元与AKMA鉴权功能网元存在绑定关系的情况下，确定了一个AKMA鉴权功能网元就确定了一个AKMA应用功能网元；再比如，AKMA应用功能网元是移动边缘计算(mobile edge computing，MEC)上的一个应用。鉴权服务器功能网元或AKMA鉴权功能网元要确定使用哪个移动边缘计算功能，即确定了使用哪个AKMA应用功能网元。在于移动边缘计算实体相关的情况下，AKMA应用功能网元、AKMA鉴权功能网元的地址信息也可以是，或者包含移动边缘计算实体的信息。同理，移动边缘计算实体的地址信息可以作为唯一确定一个移动边缘计算功能的地址信息，或者与MCC和MNC一同确定一个移动边缘计算功能的地址信息。

示例的，终端设备的临时身份信息可由二进制比特组成，比如，32位的0和/或1可构成终端设备的临时身份标识等。鉴权服务器功能网元可以自己生成随机数用于中的设备的临时身份信息。或者，使用K鉴权服务器功能网元中的某些字段作为设备的临时身份信息，或者由K鉴权服务器功能网元进一步生成一个随机数，这个随机数的全部或部分作为终端设备的临时身份信息。或者，鉴权服务器功能网元可根据鉴权向量中的RAND值，生成终端设备的临时身份信息等，比如截取一部分RAND值，或者直接使用全部的RAND值。或者，鉴权服务器功能网元可向统一数据管理网元请求一个随机数，根据请求的随机数，确定UE的临时身份信息等。或者，鉴权服务器功能网元将上述请求的随机数传递给AKMA鉴权功能网元，然后由AKMA鉴权功能网元根据该随机数，确定终端设备的临时身份信息，然后再将上述终端设备的临时身份标识传递给鉴权服务器功能网元等。或者，鉴权服务器功能网元可根据终端设备的SUCI，确定终端设备的临时身份标识等。比如，可根据终端设备的SUCI中的加密字段，生成UE的临时身份信息等。或者，AKMA鉴权功能网元可根据终端设备的SUCI，确定终端设备的临时身份信息。比如，可根据终端设备的SUCI中的加密字段，生成UE的临时身份信息等然后AKMA鉴权功能网元将终端设备的临时身份标识，再传递给鉴权服务器功能网元等，不作限定。

示例的，终端设备的AKMA临时标识可采用以下中的一种或多种方式构成：

“ridxxxx.tid<value>@AAuF<Value>.mnc<MNC>.mnc<MCC>.3gppnetwork.org；或者，ridxxxx.tid<value>@AApF<Value>.AAuF<Value>.mnc<MNC>.mnc<MCC>.3gppnetwork.org，或者，

AApF<Value>.ridxxxx.tid<value>@AAuF<Value>.mnc<MNC>.mnc<MCC>.3gppnetwork.org

AAuF<Value>.ridxxx.tid<value>@mnc<MNC>.mnc<MCC>.3gppnetwork.org；或者，

AApF<Value>.AAuF<Value>.AAuF<Value>.ridxxx.tid<value>@mnc<MNC>.mnc<MCC>.3gppnetwork.org，或者

tid<value>@AAuF<Value>.ridxxx.mnc<MNC>.mnc<MCC>.3gppnetwork.org”

其中，rid全程是Routing ID，他是鉴权服务器功能网元的Routing ID，xxxx是4个10进制数字，代表确定鉴权服务器功能网元的路由信息，用于找到鉴权服务器功能网元使用。tid<value>代表为UE分配的临时身份，其中tid是temporary Identifier的缩写。AAuF<Value>代表为UE服务的AAuF的地址信息，该信息可以帮助UE或AKMA应用功能网元找到AAuF。可以是AAuF的ID信息，或者AAuF的路由信息等。mnc<MNC>.mnc<MCC>代表UE的家乡网络标识符。可选地，携带AApF<Value>，其代表UE需要接入的AApF的地址信息可以是AApF的ID信息，或者AApF的路由信息等。3gppnetwork.org代表接入的是3GPP网络。在AKMA临时标识符包含AApF和\或AAuF的值的情况下，AApF和AAuF的值可以是默认值，比如全部为0。也可以是非默认值。默认值代表可以任意使用一个AApF和\或AAuF。非默认值代表需要接入指定的AApF和\或AAuF。

在UE、AApF、AAuF使用AKMA临时标识符的时候，他们可以分别挑选AKMA临时标识符中的某些字段进行使用。比如，UE要查找某个AApF，则UE可以使用AApF<value>，或者使用AApF<value>.mnc<MNC>和mnc<MCC>.进而，UE可以构成AApF<value>@mnc<MNC>.mnc<MCC>.3gppnetwork.org的形式，作为查找、确定AApF的过程。同理当AApF需要查找、确定一个AAuF的时候，这个AApF可以只使用AAuF<value>，或者使用AAuF<value>.mnc<MNC>和mnc<MCC>.当AAuF确定鉴权服务器功能网元的时候，可以使用鉴权服务器功能网元的routingID或者鉴权服务器功能网元的routing ID和家乡网络标识符。因此，AKMA临时标识符可以因使用者的不同而发挥不同的作用。使用者可以根据AKMA临时标识符获得必要的信息，用于确定为UE服务的其他AKMA网元的信息。

需要说明的是，示例中的几种构成方法中并没有显示的说明这是一个AKMA的临时身份。如果需要显示说明，则需要再“@”符号前面或者后面加上指示这个临时标识符用于AKMA服务的指示信息。比如在“@”符号后面加字符串“AKMA”。因此，临时标识符的构成可以进一步为UE的临时身份信息，UE的家乡网络信息，鉴权服务器功能网元的地址信息和指示临时标识用于AKMA服务的指示信息。

在本申请实施例中，鉴权服务器功能网元可具体通过移动管理网元，将S306中确定的AKMA临时标识发送给终端设备。示例的，可参见下述S307至S309中的记载。

S307：鉴权服务器功能网元向移动管理网元发送第二响应消息，所述第二响应消息中可携带有AKMA临时标识。

可选的，所述第二响应消息中还可携带有鉴权结果，终端设备的SUPI等。也就是说，AKMA临时标识可以随着鉴权结果，终端设备的SUPI一起发送给移动管理网元，也可以单独发送给移动管理网元。比如，在注册流程中，如果发生了鉴权，那么AKMA临时标识符可以随着鉴权结果，终端设备的SUPI一起发送给移动管理网元。再比如，在PDU会话建立流程中，AKMA临时标识符是随着其他内容一起发送给服务网络的。

可选的，S308：移动管理网元和终端设备间进行非接入层安全模式控制(non-access stratum security mode control，NAS SMC)流程，激活NAS安全。需要说明的是，如果图3所示的流程是注册流程，则图3所示的流程中将包括S308。如果图3所示的流程是PDU会话建立流程，则图3所示的流程中可不包括S308。

S309：移动管理网元向终端设备发送经过NAS安全保护的第三响应消息，所述第三消息中携带有AKMA临时标识。可选的，第三响应消息可为终端设备的注册接受(registration accept)或终端设备的PDU会话建立完成消息等。可以理解的是，第三响应消息是经过NAS安全保护的。

S310：终端设备保存终AKMA临时标识。

通过上述方法，统一数据管理网元会确定终端设备是否支持AKMA服务。如果支持，则通知鉴权服务器功能网元或AKMA鉴权功能网元为终端设备分配临时标识。如果不支持，则不再为终端设备分配临时标识。相对于，鉴权服务器功能网元或者AKMA鉴权功能网元不考虑终端设备是否支持AKMA服务，始终给终端设备分配临时标识的方式，减少了流程开销。

需要说明的是，在本申请实施例中，在上述图3中的S306中，鉴权服务器功能网元确定终端设备的AKMA临时标识的实现过程可包括以下方式中的一种或多种：

第一种：鉴权服务器功能网元自己生成终端设备的AKMA临时标识。

第二种：鉴权服务器功能网元向第一AKMA鉴权功能网元发送请求消息，第一AKMA鉴权功能网元生成终端设备的AKMA临时标识。且第一AKMA鉴权功能网元将终端设备的AKMA临时标识发送给鉴权服务器功能网元。具体可参见下述图4中的记载。

第三种：鉴权服务器功能网元根据第二辅助信息，确定终端设备的AKMA临时标识。第二辅助信息可包括终端设备的切片选择(slice selection)信息，终端设备的会话和服务连续性(Session and Service Continuity，SSC)模式信息中的至少一个。在本申请实施例中，对鉴权服务器功能网元确定第二辅助信息的方式，并不作限定。比如，在本申请实施例中，所述第二辅助信息可从移动管理网元处获取第二辅助信息，具体可参见下述图5中的记载。

参见图4所示，提供一种通信方法的流程，该流程中的终端设备可为图1架构中的终端设备，移动管理网元可为图1架构中的移动管理网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，统一数据管理网元可为图1架构中的统一数据管理网元，该流程具体为：

S400-S405同图3实施例中S300-S305，相关步骤请参考图3实施例相关描述，这里不再赘述。

S406a：鉴权服务器功能网元向第一AKMA鉴权功能网元发送第四请求消息。所述第四请求消息用于请求第一AKMA鉴权功能网元为终端设备分配AKMA临时标识符。

其中，第一AKMA鉴权功能网元可为默认的AKMA鉴权功能网元，或者，第一AKMA鉴权功能网元可为鉴权服务器功能网元根据上述S404中携带的第一辅助信息，所选择的AKMA鉴权功能网元等，不作限定。可选的，第四请求消息中可携带终端设备的Kakma等信息。

可选的，在鉴权服务器功能网元无法确定合适的AKMA鉴权功能网元的情况下，第四请求消息携带第一辅助信息。鉴权服务器功能网元将第一辅助信息发给默认AKMA鉴权功能网元，由默认AKMA鉴权功能网元选择一个合适的AKMA鉴权功能网元，并将AKMA鉴权功能网元的地址信息返回给鉴权服务器功能网元。鉴权服务器功能网元再请求该合适的AKMA鉴权功能网元为终端设备分配AKMA临时标识。

S406b：第一AKMA鉴权功能网元确定终端设备的AKMA临时标识。可选的，第一AKMA鉴权功能网元还可保存AKMA临时标识、终端设备的标识与第一密钥之间的关联关系。第一密钥可隐式指示终端设备AKMA鉴权成功，所述第一密钥是主鉴权过程中的中间密钥。例如，第一密钥可为Kausf。所述终端设备的标识可为SUCI或SUPI等。

S406c：第一AKMA鉴权功能网元向鉴权服务器功能网元发送第四响应消息，第四响应消息中携带有AKMA临时标识。

S407-S410同图3实施例中S307-S310，相关步骤请参考图3实施例相关描述，这里不再赘述。

由于在现有技术中，由AKMA鉴权功能网元生成终端设备的AKMA临时标识。采用上述图4所示的方法，与现有技术有较好的兼容性。

参见图5所示，提供一种通信方法的流程，该流程中的终端设备可为图1架构中的终端设备，移动管理网元可为图1架构中的移动管理网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，统一数据管理网元可为图1架构中的统一数据管理网元，该流程具体为：

S500：终端设备向移动管理网元发送第一请求消息。

S501：移动管理网元向鉴权服务器功能网元发送第二请求消息。

S502：鉴权服务器功能网元向统一数据管理网元发送第三请求消息。

S503：统一数据管理网元根据终端设备的签约信息，确定终端设备支持或不支持AKMA服务。

S504：统一数据管理网元向鉴权服务器功能网元发送第一响应消息。

可选的，S505：终端设备和鉴权服务器功能网元间双向鉴权。

关于上述S500至S505的具体实现过程，可参见上述图3所示流程中S300至S305的记载，在此不再说明。

可选的，S506：鉴权服务器功能网元向移动管理网元发送第二响应消息，所述第二响应消息中可携带有第一指示，所述第一指示可指示终端设备支持AKMA服务。可选的，第二响应消息中还可携带有终端设备的SUPI和/或鉴权成功结果(例如，EAP success等)，第二响应消息还可称为Nauf-UT Authentication_Authenticate等。需要说明的是，如果图5所示的流程是鉴权的注册流程，则图5所示的流程中将包括S506。如果图5所示的流程是PDU会话建立流程，则图5所示的流程中可不包括S506。

可选的，S507：服务网络和终端设备间进行NAS SMC流程，激活NAS安全。

需要说明的是，如果图5所示的流程是鉴权的注册流程，则图5所示的流程中将包括S507。如果图5所示的流程是PDU会话建立流程，则图5所示的流程中可不包括S507。

S508：服务网络确定第二辅助信息。可选的，所述第二辅助信息可具体为移动管理网元确定的终端的位置管理相关信息，或者SMF确定的会话管理相关信息。比如，终端设备的切片选择(slice selection)信息，终端设备的会话和服务(Session and ServiceContinuity，SSC)模式信息。与第一辅助信息相区别的是，第一辅助信息属于UE的签约数据信息，或者需要统一数据管理网元存储的信息(比如位置信息)，而第二辅助信息是由移动管理网元和/或SMF确定的与UE当前在网络状态强相关的信息。可以理解为第二辅助信息比第一辅助信息更加准确。因此第二辅助信息可以为UE选择更合适的AKMA应用功能网元和/或AKMA鉴权功能网元。例如，第二辅助信息可以是注册流程中移动管理网元确定的终端设备允许使用的切片信息(Allowed S-NSSAI)。

S509：移动管理网元向鉴权服务器功能网元发送第四请求消息，所述第四请求消息中携带有第二辅助信息。可选的，第四请求消息可称为_UE_Authentication Request。

S510：鉴权服务器功能网元根据第二辅信息，确定终端设备的AKMA临时标识。

需要说明的是，在本申请实施例中，AKMA临时标识可以包括随机数、归属网络指示、路由标识和AKMA鉴权功能网元的地址，第二辅助信息用于确定合适的AKMA鉴权功能网元的地址，进而确定AKMA临时标识。

可选的，鉴权服务器功能网元可以结合第一辅助信息和第二辅助信息一起确定AKMA鉴权功能网元。

可选的，鉴权服务器功能网元将第一辅助信息和第二辅助信息发给默认AKMA鉴权功能网元，由默认AKMA鉴权功能网元为终端设备分配AKMA临时标识。或者，由默认AKMA鉴权功能网元选择一个合适的AKMA鉴权功能网元，并将该合适的AKMA鉴权功能网元的地址信息返回给鉴权服务器功能网元。鉴权服务器功能网元再将第一辅助信息和第二辅助信息发给该合适的AKMA鉴权功能网元，请求该合适的AKMA鉴权功能网元为终端设备分配AKMA临时标识。

可选的，鉴权服务器功能网元还可以只将第二辅助信息发给AKMA鉴权功能网元以请求AKMA鉴权功能网元为终端设备分配AKMA临时标识。

S511：鉴权服务器功能网元向移动管理网元发送第三响应消息，第三响应消息中携带有终端设备的AKMA临时标识。可选的，第三响应消息可称为UE_AuthenticationResponse。具体的消息名称因流程不同而不同。

S512：移动管理网元向终端设备发送第四响应消息，第四响应消息中携带有终端设备的AKMA临时标识。可选的，第四响应消息可称为注册接受(registration accept)。具体的消息名称因流程不同而不同。

S513：终端设备保存终端设备的AKMA临时标识。

示例的，通过上述记载可知，终端设备的AKMA临时标识中可包括AKMA鉴权功能网元的地址信息。在本申请实施例中，鉴权服务器功能网元可根据服务网络反馈的第二辅信息，选择合适的AKMA鉴权功能网元。比如，一场景中，AKMA鉴权功能网元可与切片相关。比如，一个AKMA鉴权功能网元可以服务至少1类切片、或者，一个AKMA鉴权功能网元可仅为一类切片服务。切片的类型可以按业务分类，比如可包括eMBB类切片、车联网切片、低时延切片等。在本申请实施例中，若第二辅助信息中包括切片类型信息，采用本申请实施例中的方法，可为终端设备选择与之切片类型相匹配的AKMA鉴权功能网元。

需要说明的是，在本申请实施例中，通过上述图3、图4和图5的方法，可为终端设备分配临时标识。在下述图6或图7中，将继续描述，终端设备如何根据AKMA临时标识，获取终端设备与AKMA应用功能网元间的通信密钥Kaf，以保护终端设备与AKMA应用功能网元间的通信。

如图6所示，提供一种通信方法的流程，该流程中的终端设备可为图1架构中的终端设备，AKMA应用功能网元可为图1架构中的AKMA应用功能网元，第一AKMA鉴权功能网元可为图1架构中的AKMA鉴权功能网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，该流程包括：

S600：终端设备向AKMA应用功能网元发送第一请求消息，所述第一请求消息中携带有终端设备的AKMA临时标识。可选的，所述第一请求消息可称为request。

示例的，终端设备可通过用户面向AKMA应用功能网元发起接入请求。若终端设备的AKMA临时标识中包括AKMA应用功能网元的地址信息，则终端设备可根据AKMA应用功能网元的地址信息，确定要接入的AKMA应用功能网元。若终端设备的AKMA临时标识不包括AKMA应用功能网元的地址信息，或者，所携带的AKMA应用功能网元的地址信息为默认值，则终端设备可根据所使用的应用，任选择一个AKMA应用功能网元。

S601：AKMA应用功能网元向第一AKMA鉴权功能网元发送第二请求消息，所述第二请求消息中携带有AKMA临时标识和AKMA应用功能网元的标识的信息，所述第二请求消息用于请求所述终端设备与所述AKMA应用功能网元进行通信时使用的通信密钥。可选的，所述第二请求消息可称为应用请求(application request)。需要说明的是，上述通信密钥也可称为kaf密钥。在以下示例中，以kaf密钥为例进行说明。

在本申请实施例中，第一AKMA鉴权功能网元可为默认的，因此，AKMA应用功能网元可直接向默认的第一AKMA鉴权功能网元发送第二请求消息即可。或者，终端设备的AKMA临时标识中可包括第一AKMA鉴权功能网元的地址信息，AKMA应用功能网元可根据终端设备的AKMA临时标识，确定第一AKMA鉴权功能网元的地址信息。

可选的，S602：第一AKMA鉴权功能网元确定是否由第一AKMA鉴权功能网元为AKMA应用功能网元提供服务。如果确定由第一AKMA鉴权功能网元为其提供服务，则执行下述S603的步骤。如果否，则需要进行AKMA鉴权功能网元重定向，关于如何进行AKMA鉴权功能网元重定向的过程，将在下述图7中详细介绍。

比如，第一AKMA鉴权功能网元可根据AKMA应用功能网元的标识信息，确定AKMA应用功能网元的位置信息。根据AKMA应用功能网元的位置信息，确定AKMA应用功能网元是否在第一AKMA鉴权功能网元的服务范围内。如果在第一AKMA鉴权功能网元的服务范围内，则认为第一AKMA鉴权功能网元可为AKMA应用功能网元提供服务，否则，认为第一AKMA鉴权功能网元不可为AKMA应用功能网元提供服务。

需要说明的是，此步是可选步骤。可选的原因是要根据AKMA鉴权功能网元的部署场景不同而不同。如果AKMA鉴权功能网元与鉴权服务器功能网元、统一数据管理网元部署位置一样，即一个运营商网络内只有一个或者有限的几个，那么AKMA鉴权功能网元可能就是根据网管配置而默认选择的。如果AKMA鉴权功能网元与移动管理网元、SMF部署位置一样，即一个运营商网络内有很多，比如每个省份一个，那么AKMA鉴权功能网元可能就是以相近的移动管理网元、SMF为默认，或者AKMA鉴权功能网元要根据UE的位置、签约等内容确定是否可以为其服务。如果AKMA鉴权功能网元的部署位置与基站一样，或者与MEC服务器一样，则一个网络内AKMA鉴权功能网元有众多，那么选择合适的AKMA鉴权功能网元就是必须按步骤。AKMA应用功能网元的选择与上述AKMA鉴权功能网元的选择同理。

需要说明的是，如果第一AKMA鉴权功能网元当前已获取终端设备的Kakma密钥，则第一AKMA鉴权功能网元可直接执行下述S606的步骤。如果第一AKMA鉴权功能网元当前未获取终端设备的Kakma密钥，则第一AKMA鉴权功能网元与鉴权服务器功能网元间可执行下述S603至S606的步骤。

可选的，S603：第一AKMA鉴权功能网元向鉴权服务器功能网元发送第三请求消息，所述第三请求消息中携带有AKMA临时标识。可选的，第三请求消息中还可携带有第一AKMA鉴权功能网元的标识，第三请求消息还可称为AKMA Key request等。

可选的，S604：鉴权服务器功能网元根据终端设备的AKMA临时标识，确定终端设备的AKMA服务的密钥Kakma。具体的，鉴权服务器功能网元可根据AKMA临时标识，获取第一密钥，所述第一密钥是主鉴权过程中的中间密钥。比如，第一密钥可为Kausf。鉴权服务器功能网元可根据第一密钥，生成AKMA服务的密钥Kakma。比如，在本申请实施例中，在AKMA鉴权阶段中，在终端设备的鉴权在功后，鉴权服务器功能网元中可保存有AKMA临时标识、第一密钥和终端设备的标识之间的对应关系。鉴权服务器功能网元可根据所述AKMA临时标识和所述对应关系，获取第一密钥等。示例的，在上述AKMA临时标识、第一密钥和终端设备的标识的对应关系中，所述终端设备的标识可具体为SUCI或SUPI等，不作限定。

可选的，S605：鉴权服务器功能网元向第一AKMA鉴权功能网元发送第一响应消息，所述第一响应消息中携带有Kakma密钥。可选的，第一响应消息还可称为鉴权响应(authentication response)等。

S606：第一AKMA鉴权功能网元根据Kakma密钥，确定终端设备与AKMA应用功能网元的通信密钥。为了便于描述，在以下示例中，将上述通信密钥，表示为Kaf密钥。

可选的，第一AKMA鉴权功能网元根据Kakma密钥和AKMA应用功能网元的标识，确定终端设备与AKMA应用功能网元的通信密钥。第一AKMA鉴权功能网元可以为不同的AKMA应用功能网元生成不一样的通信密钥。

S607：第一AKMA鉴权功能网元向AKMA应用功能网元发送第二响应消息，所述第二响应消息中携带有Kaf密钥。

可选的，在上述S606之前，还可包括：AKMA应用功能网元向第一AKMA鉴权功能网元发送请求消息，所述请求消息用于请求终端设备与AKMA应用服务网元之间的通信密钥，即Kaf。

S608：AKMA应用功能网元向终端设备发送第三响应消息。可选的，所述第三响应消息中可携带有AKMA应用功能网元的标识。可选的，所述第三响应消息可为成功(success)消息。

S609：终端设备根据Kakma密钥，确定Kaf密钥。

可选的，终端设备根据AKMA应用功能网元的标识和Kakma密钥，确定Kaf密钥。

S610：终端设备和AKMA应用功能网元基于Kaf密钥的保护进行通信。比如，终端设备向AKMA应用功能网元发送第一消息时，可采用Kaf密钥对第一消息进行加密。同理，AKMA应用功能网元向终端设备发送第二消息时，可采用Kaf密钥对第二消息进行加密等。

参见图7所示，提供一种通信方法的流程，该流程中的终端设备可为图1架构中的终端设备，AKMA应用功能网元可为图1架构中的AKMA应用功能网元，第一AKMA鉴权功能网元和第二AKMA鉴权功能网元可为图1架构中的AKMA鉴权功能网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，该流程包括：

S700：终端设备向AKMA应用功能网元发送第一请求消息。

S701：AKMA应用功能网元向第一AKMA鉴权功能网元发送第二请求消息。

S702：第一AKMA鉴权功能网元确定是否由第一AKMA鉴权功能网元为AKMA应用功能网元提供服务。比如，AKMA鉴权功能网元可以根据预配置的列表，或者根据AKMA应用功能网元的标识查找确定是否满足特定的预设条件，比如AKMA鉴权功能网元向鉴权服务器功能网元、NRF、网管***确定是否可以为AKMA应用功能网元提供服务。如果否，则执行S311。如果是，则按图6所示的方法执行。

关于S700至S702中的具体实现过程，可参见上述图6中S600至S602中的记载，在此不再说明。

S711：第一AKMA鉴权功能网元向AKMA应用功能网元发送重定位消息，所述重定位消息中携带有第二AKMA鉴权功能网元的地址信息。所述重定位还可称为重定向，无此特殊说明，在本申请实施例中，重定位与重定向不作区分。

示例的，第一AKMA鉴权功能网元可根据第二请求消息中携带的AKMA应用功能网元的标识，选择合适的AKMA鉴权功能网元，所述合适的AKMA鉴权功能网元即为第二AKMA鉴权功能网元。比如，第二AKMA鉴权功能网元可根据预配置的列表、或者向其它网元或网管***请求等方法，获取第二AKMA鉴权功能网元的地址信息。具体的，第一AKMA鉴权功能网元可将AKMA应用功能网元的标识发送给统一数据管理网元，以获取终端设备的位置信息。第一AKMA鉴权功能网元通过终端设备的位置信息，确定第二AKMA鉴权功能网元的地址信息等。

S712：AKMA应用功能网元根据第二AKMA鉴权功能网元的地址信息，向第二AKMA鉴权功能网元发送第三请求消息，所述第三请求消息中携带有终端设备的AKMA临时标识。可选的，第三请求信息中携带的终端设备的AKMA临时标识可为通过上述图3、图4或图5所式的方式为终端设备分配的AKMA临时标识，或者，所述第三请求信息中携带的终端设备的AKMA临时标识可为第一AKMA鉴权功能网元更新后的AKMA临时标识，或者，AKMA鉴权服务器功能网元更新后的AKMA临时标识，不作限定。可选的，第三请求消息中还包括AKMA应用功能网元的标识，所述第三请求消息还可称为应用请求(application request)。若第三请求消息携带有通过上述图3、图4或图5所式的方式为终端设备分配的AKMA临时标识和第二AKMA鉴权功能网元的地址信息。当第二AKMA鉴权功能网元看到自己的地址信息并且与原始的AKMA临时标识的时候，确定这个是一个被重定向的消息，因此第二AKMA鉴权功能网元就不需要再次确定是否可以为这个AKMA应用功能网元服务了。

S713：第二AKMA鉴权功能网元根据AKMA临时标识，确定鉴权服务器功能网元的地址信息。

S714：第二AKMA鉴权功能网元向鉴权服务器功能网元发送第四请求消息，所述第四请求消息用于请求终端设备对应的AKMA服务的密钥Kakma，所述第四请求消息中包括AKMA临时标识。可选的，所述第四请求消息中还可包括第二AKMA鉴权功能网元的标识，第四请求消息还可称为AKMA key request。

S715：鉴权服务器功能网元根据终端设备的标识，确定终端设备的AKMA服务的密钥Kakma。比如，在本申请实施例中，鉴权服务器功能网元可根据所述AKMA临时标识，获取第一密钥，所述第一密钥是所述主鉴权过程中的中间密钥；所述鉴权服务器功能网元根据所述第一密钥，生成所述AKMA服务的密钥Kakma；所述鉴权服务器功能网元向所述AKMA鉴权功能网元发送所述Kakma。示例的，在所述终端设备的主鉴权成功后，所述鉴权服务器功能网元保存所述AKMA临时标识、所述终端设备的标识与所述第一密钥的对应关系；述鉴权服务器功能网元根据所述AKMA临时标识和所述对应关系，获取第一密钥。比如，第一密钥可为Kausf等。

S716：鉴权服务器功能网元向第二AKMA鉴权功能网元发送第一回复消息，所述第一回复消息中携带有所述Kakma。

针对终端设备包括AKMA鉴权功能网元地址信息的情况，鉴权服务器功能网元可根据第二AKMA鉴权功能网元的地址，更新终端设备的AKMA临时标识。因为终端设备根据原来的临时标识，仅能寻址到第一AKMA鉴权功能网元。再将终端设备的AKMA临时标识更新为第二AKMA鉴权功能网元后，终端设备根据更新后的临时标识，可直接寻址到第二AKMA鉴权功能网元。可选的，第一回复消息中还可包括更新后终端设备的AKMA临时标识。或者，上述过程可描述为：在所述AKMA临时标识中包括AKMA鉴权功能网元的地址信息时，所述鉴权服务器功能网元将所述AKMA临时标识中的AKMA鉴权功能网元的地址信息由第一地址信息，更新为第二地址信息，所述第一地址信息为第一AKMA鉴权功能网元的地址信息，所述第二地址信息为第二AKMA鉴权功能网元的地址信息。

S717：第二AKMA鉴权功能网元根据Kakma密钥，生成终端设备与所述AKMA应用功能网元进行通信时使用的通信密钥，所述通信密钥还可称为Kaf。为了方便于说明，在本申请实施例中，可以Kaf密钥为例进行说明。

S718：第二AKMA鉴权功能网元向AKMA应用功能网元发送第二回复消息，所述第二回复消息中携带有Kaf密钥。可选的，第二回复消息中还包括Kaf密钥的有效时长(validitytime)，第二回复消息还可称为应用回复(application response)等。

可选的，在上述717之前，还可包括：AKMA应用功能网元向第一AKMA鉴权功能网元发送请求消息，所述请求消息用于请求终端设备与AKMA应用服务网元之间的通信密钥，即Kaf。

S719：AKMA应用功能网元向终端设备发送第三回复消息。可选的，第三回复消息还可称为success消息。

S720：终端设备根据Kakma密钥，确定Kaf密钥。

S721：终端设备和AKMA应用功能网元基于Kaf密钥的保护进行通信。

需要说明的是，在本申请实施例中，针对重定向的过程，若AKMA的临时标识中包括AKMA鉴权功能网元的地址信息，则AUSF还可将AKMA临时标识中的第一地址信息，更新为第二地址信息，所述第一地址信息为第一AKMA鉴权功能网元的地址信息，所述第二地址信息为第二AKMA鉴权功能网元的地址信息。

上述本申请提供的实施例中，分别从核心网网元、终端、以及核心网网元和终端之间交互的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能，核心网网元和终端设备可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

基于与方法实施例同一发明构思，本申请实施例还提供一种装置800，用于执行上述图3至图7所示的方法实施例中终端设备执行的方法，相关特征可参见上述方法实施例，在此不再赘述。作为一种示例，如图8所示，所述装置800包括收发模块801和处理模块802。

收发模块801，用于向移动管理网元发送注册请求消息，以及在通过主鉴权流程鉴权成功，且激活非接入层NAS安全保护后，接收所述移动管理网元发送的经过NAS安全保护的注册响应，所述注册响应包括所述终端设备的应用程序的身份验证和密钥管理AKMA临时标识。处理模块802，用于保存所述AKMA临时标识。

关于收发模块801和处理模块802的具体功能，可参见上述方法实施例中的记载，在此不再说明。

基于与方法实施例同一发明构思，本申请实施例还提供一种装置900，用于执行上述图3至图7所示的方法实施例中鉴权服务器功能网元执行的方法，相关特征可参见上述方法实施例，在此不再赘述。作为一种示例，如图9所示，所述装置900包括收发模块901和处理模块902。

收发模块901，用于在终端设备的注册流程中，接收统一数据管理网元发送的第一指示信息，所述第一指示信息用于指示所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；

处理模块902，用于在所述终端设备的主鉴权成功后，所述鉴权服务器功能网元确定所述终端设备的AKMA临时标识；

收发模块901，还用于通过移动管理网元向所述终端设备发送所述AKMA临时标识。

关于收发模块901和处理模块902的具体功能，可参见上述方法实施例中的记载，在此不再说明。

基于与方法实施例同一发明构思，本申请实施例还提供一种装置1000，用于执行上述图3至图7所示的方法实施例中鉴权服务器功能网元执行的方法，相关特征可参见上述方法实施例，在此不再赘述。作为一种示例，如图10所示，所述装置1000包括收发模块1001和处理模块1002。

收发模块1001，用于在终端设备的注册流程中，接收鉴权服务器功能网元发送的第三请求消息，所述第三请求消息中包括终端设备的标识；

处理模块1002，用于根据所述终端设备的签约数据，确定所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；

收发模块1001，还用于向鉴权服务器功能网元发送第三响应消息，所述第三响应消息中包括第一指示信息，所述第一指示信息表示所述终端设备支持所述AKMA服务。

收发模块1001和处理模块1002的具体功能，可参见上述方法实施例中的记载，在此不再说明。

基于与方法实施例同一发明构思，本申请实施例还提供一种装置1100，用于执行上述图3至图7所示的方法实施例中鉴权服务器功能网元执行的方法，相关特征可参见上述方法实施例，在此不再赘述。作为一种示例，如图11所示，所述装置1100包括收发模块1101和处理模块1102。

收发模块1101，用于在终端设备的注册流程中，接收鉴权服务器功能网元发送的第四请求消息，所述第四请求消息用于请求所述终端设备的AKMA临时标识；

处理模块1102，用于生成所述AKMA临时标识；

收发模块1101，还用于向鉴权服务器功能网元发送第四响应消息，所述第四响应消息中携带有所述AKMA临时标识。

关于收发模块1101和处理模块1102的具体功能，可参见上述方法实施例中的记载，在此不再说明。本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能单元可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备(可以是个人计算机，手机，或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-onlymemory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在本申请实施例中，终端设备、鉴权服务器功能网元、统一数据管理网元和AKMA鉴权功能网元均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。

在一个简单无实施例中，如图12所示的通信装置1200，包括至少一个处理器1201、存储器1202，可选的，还可包括通信接口1203。

存储器1202可以是易失性存储器，例如随机存取存储器；存储器也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)、或者存储器1202是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1202可以是上述存储器的组合。

本申请实施例中不限定上述处理器1201以及存储器1202之间的具体连接介质。本申请实施例在图中以存储器1202和处理器1201之间通过总线1204连接，总线1204在图中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。该总线1204可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器1201可以具有数据收发功能，能够与其他设备进行通信，在如图12装置中，也可以设置独立的数据收发模块，例如通信接口1203，用于收发数据；处理器1201在与其他设备进行通信时，可以通过通信接口1203进行数据传输。

一种示例中，当所述终端设备采用图12所示的形式时，图12中的处理器可以通过调用存储器1202中存储的计算机执行指令，使得所述终端设备执行上述任一方法实施例中的所述终端设备执行的方法。

具体的，图8的处理模块和收发模块的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图8的处理模块的功能/实现过程可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图8的收发模块的功能/实现过程可以通过图12中的通信接口1203来实现。

另一种示例中，当所述鉴权服务器功能网元采用图12所示的形式时，图12中的处理器可以调用存储器1202中存储的计算机执行指令，使得所述鉴权服务器功能执行上述任一方法实施例中的所述鉴权服务器功能执行的方法。

具体的，图9的处理模块和收发模块的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图9的处理模块的功能/实现过程可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图9的收发模块的功能/实现过程可以通过图12中的通信接口1203来实现。

另一种示例中，当所述统一数据管理网元采用图12所示的形式时，图12中的处理器可以通过调用存储器1202中存储的计算机执行指令，使得所述统一数据管理网元执行上述任一方法实施例中的所述统一数据管理网元执行的方法。

具体的，图10的处理模块和收发模块的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图10的处理模块的功能/实现过程可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图10的收发模块的功能/实现可以通过图12中的通信接口1203来实现。

另一种示例中，当所述AKMA鉴权功能网元采用图12所示的形式时，图12中的处理器可以调用存储器1202中存储的计算机执行指令，使得AKMA鉴权功能网元执行上述任一方法实施例中的所述AKMA鉴权功能网元执行的方法。

具体的，图11的处理模块和收发模块的功能/实现过程均可以通过图12中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图11的处理模块的功能/实现过程可以通过图11中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图11的收发模块的功能/实现可以通过图12中的通信接口1203来实现。

本申请实施例还提供一种通信***，该通信***可包括AKMA鉴权功能网元、统一数据管理网元、鉴权服务器功能网元或AKMA应用功能网元中的至少一个。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (34)

1.一种通信方法，其特征在于，包括：

通信装置向移动管理网元发送注册请求消息；

所述通信装置在通过主鉴权流程鉴权成功，且激活非接入层NAS安全保护后，接收所述移动管理网元发送的经过NAS安全保护的注册响应，所述注册响应包括所述通信装置的应用程序的身份验证和密钥管理AKMA临时标识；

所述通信装置保存所述AKMA临时标识。

2.如权利要求1所述的方法，其特征在于，所述AKMA临时标识包括随机数、归属网络指示和路由标识；其中，所述随机数是网络设备分配的，用于标识所述通信装置的参数；所述归属网络指示用于指示所述通信装置的归属网络；所述路由标识用于确定生成AKMA服务的密钥Kakma的网络功能实体。

3.如权利要求2所述的方法，其特征在于，所述AKMA临时标识还包括AKMA鉴权功能网元的地址信息或AKMA应用功能网元的地址信息中的至少一个。

4.如权利要求2或3所述的方法，其特征在于，所述生成所述AKMA服务的密钥Kakma的网络功能实体为鉴权服务器功能网元。

5.一种通信方法，其特征在于，包括：

在终端设备的注册流程中，鉴权服务器功能网元接收统一数据管理网元发送的第一指示信息，所述第一指示信息用于指示所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；

在所述终端设备的主鉴权成功后，所述鉴权服务器功能网元确定所述终端设备的AKMA临时标识；

所述鉴权服务器功能网元通过移动管理网元向所述终端设备发送所述AKMA临时标识。

6.如权利要求5所述的方法，其特征在于，所述AKMA临时标识包括随机数、归属网络指示和路由标识；所述随机数是网络设备分配的，用于标识所述终端设备的参数；所述归属网络指示用于指示所述终端设备的归属网络；所述路由标识为用于确定生成所述AKMA服务的密钥Kakma的网络功能实体。

7.如权利要求6所述的方法，其特征在于，所述AKMA临时标识还包括AKMA鉴权功能网元的地址信息或AKMA应用功能网元的地址信息中的至少一个。

8.如权利要求5至7任一项所述的方法，其特征在于，所述鉴权服务器功能网元确定所述AKMA临时标识，包括：

所述鉴权服务器功能网元自己生成所述AKMA临时标识。

9.如权利要求5至7任一项所述的方法，其特征在于，所述鉴权服务器功能网元确定所述AKMA临时标识，包括：

所述鉴权服务器功能网元向AKMA鉴权功能网元发送第四请求消息，所述第四请求消息用于请求所述AKMA鉴权功能网元生成所述AKMA临时标识；

所述鉴权服务器功能网元接收所述AKMA鉴权功能网元发送的第四响应消息，所述第四响应消息中携带有所述AKMA临时标识。

10.如权利要求5至7任一项所述的方法，其特征在于，所述鉴权服务器功能网元确定所述AKMA临时标识，包括：

所述鉴权服务器功能网元根据第一辅助信息，确定所述AKMA临时标识；其中，所述第一辅助信息包括所述终端设备的切片信息、所述终端设备的数据网络名称信息或所述终端设备的业务或会话连续性模式信息中的至少一个。

11.如权利要求10所述的方法，其特征在于，还包括：

所述鉴权服务器功能网元向所述移动管理网元发送第二请求消息，所述第二请求消息中携带有所述第一指示信息；

所述鉴权服务器功能网元接收所述移动管理网元发送的第二响应消息，所述第二响应消息中携带有所述第一辅助信息。

12.如权利要求5至7、或11任一项所述的方法，其特征在于，还包括:

所述鉴权服务器功能网元接收AKMA鉴权功能网元发送的第三请求消息，所述第三请求消息中携带有所述AKMA临时标识；

所述鉴权服务器功能网元根据所述AKMA临时标识，获取第一密钥，所述第一密钥是所述主鉴权过程中的中间密钥；

所述鉴权服务器功能网元根据所述第一密钥，生成所述AKMA服务的密钥Kakma；

所述鉴权服务器功能网元向所述AKMA鉴权功能网元发送所述Kakma。

13.如权利要求12所述的方法，其特征在于，所述方法还包括：

在所述终端设备的主鉴权成功后，所述鉴权服务器功能网元保存所述AKMA临时标识、所述终端设备的标识与所述第一密钥的对应关系；

所述鉴权服务器功能网元根据所述AKMA临时标识，获取第一密钥，包括：

所述鉴权服务器功能网元根据所述AKMA临时标识和所述对应关系，获取第一密钥。

14.如权利要求13所述的方法，其特征在于，所述第一密钥为Kausf。

15.如权利要求5至7、11、13或14任一项所述的方法，其特征在于，在所述AKMA临时标识中包括AKMA鉴权功能网元的地址信息时，所述方法还包括：

所述鉴权服务器功能网元将所述AKMA临时标识中的AKMA鉴权功能网元的地址信息由第一地址信息，更新为第二地址信息，所述第一地址信息为第一AKMA鉴权功能网元的地址信息，所述第二地址信息为第二AKMA鉴权功能网元的地址信息。

16.一种通信方法，其特征在于，包括：

在终端设备的注册流程中，统一数据管理网元接收鉴权服务器功能网元发送的第三请求消息，所述第三请求消息中包括终端设备的标识；

所述统一数据管理网元根据所述终端设备的签约数据，确定所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；

所述统一数据管理网元向鉴权服务器功能网元发送第一响应消息，所述第一响应消息中包括第一指示信息，所述第一指示信息表示所述终端设备支持所述AKMA服务，所述第一指示信息用于所述鉴权服务器功能网元在所述终端设备的主鉴权成功后，确定所述终端设备的AKMA临时标识。

17.如权利要求16所述的方法，其特征在于，所述第三请求消息为用于获取鉴权向量的UDM服务化请求消息，所述第一响应消息为用于获取鉴权向量的UDM服务化的响应消息。

18.一种通信方法，其特征在于，包括：

在终端设备的注册流程中，第一应用程序的身份验证和密钥管理AKMA鉴权功能网元接收鉴权服务器功能网元发送的第四请求消息，所述第四请求消息用于请求所述终端设备的AKMA临时标识；

所述第一AKMA鉴权功能网元生成所述AKMA临时标识；

所述第一AKMA鉴权功能网元向鉴权服务器功能网元发送第四响应消息，所述第四响应消息中携带有所述AKMA临时标识。

19.如权利要求18所述的方法，其特征在于，还包括：

所述第一AKMA鉴权功能网元接收AKMA应用功能网元发送的第五请求消息，所述第五请求消息用于请求所述终端设备与所述AKMA应用功能网元进行通信时使用的通信密钥；

在所述第一AKMA鉴权功能网元能够为所述AKMA应用功能网元提供服务的情况下，所述第一AKMA鉴权功能网元从鉴权服务器功能网元获取与所述AKMA临时标识对应的AKMA服务的密钥Kakma；

所述第一AKMA鉴权功能网元根据所述Kakma，生成所述通信密钥；

所述第一AKMA鉴权功能网元将所述通信密钥发送给所述AKMA应用功能网元。

20.如权利要求18或19所述的方法，其特征在于，还包括：

在所述第一AKMA鉴权功能网元不能够为AKMA应用功能网元提供服务的情况下，所述第一AKMA鉴权功能网元确定第二AKMA鉴权功能网元；

所述第一AKMA鉴权功能网元向所述AKMA应用功能网元发送第四响应消息，所述第四响应消息用于指示所述AKMA应用功能网元向所述第二AKMA鉴权功能网元获取通信密钥；其中，所述第四响应消息中携带有所述第二AKMA鉴权功能网元的地址信息。

21.一种通信***，其特征在于，包括：鉴权服务器功能网元和统一数据管理网元；

鉴权服务器功能网元，用于在终端设备的注册流程中，向统一数据管理网元发送第三请求消息，所述第三请求消息中包括终端设备的标识；

所述统一数据管理网元，用于根据所述终端设备的签约数据，确定所述终端设备支持应用程序的身份验证和密钥管理AKMA服务，以及，向所述鉴权服务器功能网元发送第一响应消息；其中，所述第一响应消息中包括第一指示信息，所述第一指示信息用于表示所述终端设备支持所述AKMA服务；

所述鉴权服务器功能网元，还用于在所述终端设备的主鉴权成功后，确定所述终端设备的AKMA临时标识。

22.如权利要求21所述的***，其特征在于，所述AKMA临时标识包括随机数、归属网络指示和路由标识；所述随机数是网络设备分配的，用于标识所述终端设备的参数；所述归属网络指示用于指示所述终端设备的归属网络；所述路由标识为用于确定生成所述AKMA服务的密钥Kakma的网络功能实体。

23.如权利要求22所述的***，其特征在于，所述AKMA临时标识还包括AKMA鉴权功能网元的地址信息或AKMA应用功能网元的地址信息中的至少一个。

24.如权利要求21至23任一项所述的***，其特征在于，所述鉴权服务器功能网元在确定所述终端设备的AKMA临时标识时，具体用于：

所述鉴权服务器功能网元自己生成所述AKMA临时标识。

25.如权利要求21至23任一项所述的***，其特征在于，所述通信***还包括第一AKMA鉴权功能网元，所述鉴权服务器功能网元在确定所述终端设备的AKMA临时标识时，具体用于：

所述鉴权服务器功能网元，用于向所述第一AKMA鉴权功能网元发送第二请求消息，所述第二请求消息用于请求所述第一AKMA鉴权功能网元生成所述AKMA临时标识；

所述第一AKMA鉴权功能网元，用于确定所述AKMA临时标识，以及向所述鉴权服务器功能网元发送第二响应消息，所述第二响应消息中携带有所述AKMA临时标识。

26.如权利要求21至23任一项所述的***，其特征在于，所述鉴权服务器功能网元在确定所述终端设备的AKMA临时标识时，具体用于：

所述鉴权服务器功能网元根据第一辅助信息，确定所述AKMA临时标识；其中，所述第一辅助信息包括所述终端设备的切片信息、所述终端设备的数据网络名称信息或所述终端设备的业务或会话连续性模式信息中的至少一个。

27.如权利要求26所述的***，其特征在于，所述***还包括移动管理网元，

所述鉴权服务器功能网元，还用于向所述移动管理网元发送第四请求消息，所述第四请求消息中携带有所述第一指示信息；

所述移动管理网元，用于获取所述第一辅助信息，且向所述鉴权服务器功能网元发送第三响应消息，所述第三响应消息中携带有所述第一辅助信息。

28.如权利要求21至23、或27任一项所述的***，其特征在于，所述第三请求消息为用于获取鉴权向量的统一数据管理UDM服务化请求消息，所述第一响应消息为用于获取鉴权向量的UDM服务化的响应消息。

29.如权利要求21至23、27或28任一项所述的***，其特征在于，所述通信***还包括AKMA应用功能网元和第一AKMA鉴权功能网元，所述***还包括：

所述AKMA应用功能网元，用于接收来自所述终端设备的第一请求消息，所述第一请求消息包括所述AKMA临时标识；向所述第一AKMA鉴权功能网元发送第二请求消息，所述第二请求消息中携带有所述AKMA临时标识和所述AKMA应用功能网元的标识；

所述第一AKMA鉴权功能网元，用于在所述第一AKMA鉴权功能网元能够为所述AKMA应用功能网元提供服务的情况下，根据所述AKMA临时标识对应的AKMA服务的密钥Kakma和所述AKMA应用功能网元的标识，生成通信密钥，其中，所述Kakma是从所述鉴权服务器功能网元获取的；以及，将所述通信密钥发送给所述AKMA应用功能网元。

30.如权利要求21至23、27或28任一所述的***，其特征在于，

所述鉴权服务器功能网元，还用于在所述终端设备的主鉴权成功后，保存所述AKMA临时标识、所述终端设备的标识与第一密钥的对应关系；其中，所述第一密钥是所述主鉴权过程中生成的中间密钥；根据所述第一密钥生成Kakma。

31.如权利要求30所述的***，其特征在于，所述第一密钥为kausf。

32.如权利要求21至23、27、28或31任一项所述的***，其特征在于，

所述鉴权服务器功能网元，在所述AKMA临时标识中包括AKMA鉴权功能网元的地址信息时，将所述AKMA临时标识中的AKMA鉴权功能网元的地址信息由第一地址信息，更新为第二地址信息，所述第一地址信息为第一AKMA鉴权功能网元的地址信息，所述第二地址信息为第二AKMA鉴权功能网元的地址信息。

33.一种通信装置，其特征在于，包括通信接口、处理器和存储器；

所述存储器用于存储计算机执行指令；

所述处理器用于执行所述存储器所存储的计算机执行指令，以使所述通信装置通过所述通信接口收发消息，并实现如权利要求1至20任一项所述的方法。

34.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机指令，当所述计算机指令被通信装置执行时，使得所述通信装置执行如权利要求1至20中任一项所述的方法。