CN116746181A

CN116746181A - 一种密钥标识的生成方法以及相关装置

Info

Publication number: CN116746181A
Application number: CN202180089268.5A
Authority: CN
Inventors: 李�赫; 吴�荣; 吴义壮
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-01-08
Filing date: 2021-01-08
Publication date: 2023-09-12
Also published as: US20230362636A1; TWI799064B; CA3204536A1; TW202228415A; AU2021417277B2; EP4262260A4; AU2021417277A1; WO2022147804A1; EP4262260A1

Abstract

本申请实施例公开一种密钥标识的生成方法以及相关装置，包括：鉴权管理功能AUSF接收来自接入与移动性管理功能AMF鉴权请求消息，鉴权请求消息中携带签约隐藏标识符SUCI；AUSF向统一数据管理功能UDM发送鉴权向量获取请求消息，鉴权向量获取请求消息中携带SUCI；AUSF接收来自UDM的鉴权向量获取响应消息，鉴权向量获取响应消息包括认证和密钥管理AKMA指示信息；根据AKMA指示信息，AUSF基于SUCI中的路由标识RID生成认证和密钥管理‑密钥临时身份标识；AUSF保存RID。在认证和密钥管理AKMA流程中，AUSF保存RID，以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID相关的参数生成新的A‑KID，保证AKMA流程的成功执行。

Description

一种密钥标识的生成方法以及相关装置

技术领域

本申请涉及通信技术领域，尤其涉及一种密钥标识的生成方法以及相关装置。

背景技术

随着网络技术的快速的发展，网络安全成为日益突出的问题。随着第五代移动通信(the 5th generation，5G)的发展，目前用户设备(user equipment，UE)与应用服务器(application function，AF)之间可以采用应用的认证和密钥管理(authentication and key management for application，AKMA)流程。在AKMA流程中，鉴权管理功能(authentication server function，AUSF)向统一数据管理功能(Unified Data Management，UDM)发送鉴权向量获取请求消息(Numd_UEAuthentication Get Request)，该鉴权向量获取请求消息中携带永久身份标识(subscriber permanent identifier，SUPI)或签约隐藏标识符(subscription concealed identifier，SUCI)，该鉴权向量获取请求消息用于触发UE与网络侧(核心网)之间的主鉴权(Primary authentication)流程。

该鉴权向量获取请求消息中携带SUPI或SUCI由AUSF接收的鉴权向量请求消息确定，当该鉴权请求消息中携带SUPI时，该鉴权向量获取请求消息中携带SUPI；当该鉴权请求消息中携带SUCI时，该鉴权向量获取请求消息中携带SUCI。

在AKMA流程中，AUSF需要生成AKMA密钥临时身份标识(AKMA-Key Identifier，A-KID)，A-KID也称为认证和密钥管理-密钥临时身份标识。目前规定，A-KID需要基于路由标识(Routing Indicator，RID)生成，该路由标识在标准TS 23.003中定义，具体的，该路由标识可用于AUSF或UDM选择。而RID是SUCI的一部分，SUPI中不包括RID。当鉴权请求消息中携带的是SUPI时，AUSF无法获取RID。进而AUSF无法生成A-KID，造成AKMA流程的失败。

发明内容

本申请实施例第一方面提供了一种密钥标识的生成方法，包括：鉴权管理功能接收来自接入与移动性管理功能鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带签约隐藏标识符；鉴权管理功能接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息；根据认证和密钥管理指示信息，鉴权管理功能基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；鉴权管理功能保存路由标识。

具体的，签约隐藏标识符(SUCI)可以理解为是永久身份标识(SUPI)的一种加密形式，例如可以参考3GPP TS33.501第6.12.2章节以及TS23.003第2.2B章节所述。具体的，SUCI中可以包括路由标识以及加密部分。加密部分为用户加密的身份信息。一种可能的实现方式中，SUPI中除移动国家代码(mobile country code，MCC)之外的部分可以由全球用户识别卡(universal subscriber identity module，USIM)或移动设备(mobile equipment，ME)进行加密计算得到该加密部分。

该鉴权请求消息#1为“Nausf_UEAuthentication_Authenticate Request”。

该认证和密钥管理指示信息本申请实施例中也称为AKMA业务指示信息，该AKMA业务指示信息可以是“AKMA Indication”或“AKMA ID”，本申请实施例中不作限定。AKMA业务指示信息用于指示AUSF需要为这个UE生成AKMA锚点密钥Kakma以及对应的密钥标识符(如认证和密钥管理-密钥临时身份标识)。也可以理解为：该AKMA业务指示信息用于指示该UE支持AKMA业务。

UDM再次发送RID是为了确保AUSF处有可以使用的RID。

本申请实施例中，在AKMA流程中，鉴权管理功能AUSF保存路由标识RID相关的参数(例如：SUCI、认证和密钥管理-密钥临时身份标识A-KID和/或RID)。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID相关的参数生成新的A-KID，保证AKMA流程的成功执行。

在一种可能的实现方式中，还包括：鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#2；在鉴权请求消息#2中携带永久身份标识的情况下，鉴权管理功能使用保存的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。具体的，AUSF基于该SUPI，确定中间密钥Kausf，并使用Kausf生成A-KID#2。AUSF基于保存的RID，在接收SUPI的情况下可以生成新的A-KID，保证UE的AKMA业务顺利执行。

在一种可能的实现方式中，鉴权管理功能基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1，包括：鉴权管理功能基于对终端设备进行鉴权流程中生成的中间密钥，生成认证和密钥管理-密钥临时身份标识；鉴权管理功能将路由标识和认证和密钥管理-密钥临时身份标识进行拼接，得到认证和密钥管理-密钥临时身份标识#1。

具体的，基于RID生成A-KID具体如下：A-KID格式为“username@exmaple”。“username”部分包括路由标识，和认证和密钥管理-终端设备临时身份标识(AKMA Temporary UE Identifier，A-TID)。“example”部分包括家乡网络标识，例如：移动国家代码(mobile country code，MCC)和移动网络代码(mobile network code，MNC)。A-TID是基于Kausf生成的一个临时标识。

在一种可能的实现方式中，鉴权管理功能保存路由标识，包括：鉴权管理功能保存认证和密钥管理-密钥临时身份标识#1。现有技术中，鉴权管理功能生成认证和密钥管理-密钥临时身份标识#1之后，会将生成的认证和密钥管理-密钥临时身份标识#1发送给其他网元(如认证和密钥管理锚点功能)，然后删除生成的认证和密钥管理-密钥临时身份标识#1。由于A-KID中包括路由标识，鉴权管理功能后续收到基于SUPI的鉴权向量请求消息时，依然可以为终端设备生成对应的A-KID，从而保证了AKMA流程的顺利进行。

在一种可能的实现方式中，鉴权向量获取响应消息#1中还包括路由标识；鉴权管理功能基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1，包括：鉴权管理功能基于鉴权向量获取响应消息#1中的路由标识生成认证和密钥管理-密钥临时身份标识#1。AUSF该可以基于鉴权向量获取响应消息#1中的路由标识生成认证和密钥管理- 密钥临时身份标识#1，提升了方案的实现灵活性。

在一种可能的实现方式中，鉴权管理功能保存路由标识，包括：鉴权管理功能保存签约隐藏标识符。提升了方案的实现灵活性。

在一种可能的实现方式中，鉴权管理功能保存路由标识之后，还包括：鉴权管理功能删除认证和密钥管理-密钥临时身份标识#1。AUSF保存路由标识之后，还可以删除认证和密钥管理-密钥临时身份标识#1，以节省AUSF的存储空间。

在一种可能的实现方式中，鉴权管理功能基于保存的路由标识生成认证和密钥管理-密钥临时身份标识#2之后，还包括：鉴权管理功能删除认证和密钥管理-密钥临时身份标识#2；鉴权管理功能继续保存路由标识。AUSF保存的路由标识生成认证和密钥管理-密钥临时身份标识#2之后，还可以删除认证和密钥管理-密钥临时身份标识#2，以节省AUSF的存储空间。AUSF还可以继续保存路由标识，以确保AKMA业务的成功执行。

第二方面，本申请实施例提出一种密钥标识的生成方法，包括：鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带签约隐藏标识符；鉴权管理功能接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息和签约隐藏标识符中的路由标识；根据认证和密钥管理指示信息，鉴权管理功能基于路由标识生成认证和密钥管理-密钥临时身份标识#1。

本申请实施例中，在AKMA流程中，AUSF可以从UDM中获取RID。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID生成新的A-KID，保证AKMA流程的成功执行。

在一种可能的实现方式中，还包括：鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#2；鉴权请求消息#2包括永久身份标识；鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#2，鉴权向量获取请求消息#2中携带永久身份标识；鉴权管理功能接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括路由标识；鉴权管理功能使用路由标识生成新的认证和密钥管理-密钥临时身份标识#2。本实施例中，AUSF可以从UDM中获取路由标识，提升了方案的实现灵活性。

在一种可能的实现方式中，还包括：鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#2；鉴权请求消息#2包括永久身份标识；鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#2，鉴权向量获取请求消息#2中携带永久身份标识；鉴权管理功能根据认证和密钥管理指示信息，从核心网网元获取路由标识；鉴权管理功能使用路由标识生成新的认证和密钥管理-密钥临时身份标识#2。本实施例中，AUSF可以从其它的核心网网元中获取路由标识，以确保AKMA业务的成功执行，提升了方案的实现灵活性。

在一种可能的实现方式中，鉴权管理功能根据认证和密钥管理指示信息，从其他核心网网元获取路由标识，包括：鉴权管理功能根据认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识#2；在鉴权管理功能本地没有路由标识的情况下，鉴权管理功能从核心网网元获取路由标识。

具体的，AUSF还检测AUSF本地是否保存有RID相关的参数(例如RID、SUCI和/或A-KID)。当检测结果为鉴权请求消息#2中没有RID(或者鉴权请求消息#2没有RID，且，AUSF本地没有RID相关的参数)，则AUSF从核心网网元获取路由标识。

可选的，核心网网元包括统一数据管理功能或者接入与移动性管理功能。

本实施例中，AUSF在本地没有路由标识的情况下，从其它的核心网网元中获取路由标识，以确保AKMA业务的成功执行，提升了方案的实现灵活性。

在一种可能的实现方式中，在鉴权管理功能根据认证和密钥管理指示信息，从核心网网元获取路由标识之前，还包括：鉴权管理功能接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括认证和密钥管理指示信息。AUSF在接收认证和密钥管理指示信息的情况下，AUSF才可以确认该UE支持AKMA业务。因此，在此之后AUSF才会从核心网网元获取路由标识，避免信令的浪费。

第三方面，本申请实施例提出一种密钥标识的生成方法，包括：鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带签约隐藏标识符；鉴权管理功能接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息；根据认证和密钥管理指示信息，鉴权管理功能基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#2；其中，鉴权请求消息#2包括永久身份标识和路由标识；鉴权管理功能使用从接入与移动性管理功能接收到的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。

本申请实施例中，在AKMA流程中，AMF判断UE支持AKMA业务的情况下，AUSF可以从AMF中获取RID。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID生成新的A-KID，保证AKMA流程的成功执行。

在一种可能的实现方式中，在鉴权管理功能使用从接入与移动性管理功能接收到的路由标识生成新的认证和密钥管理-密钥临时身份标识#2之前，还包括：鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#2，其中，鉴权向量获取请求消息#2中携带永久身份标识；鉴权管理功能接收来自统一数据管理功能的鉴权向量获取响应消息#2。本实施例中，AMF可以在鉴权请求消息中携带RID，AUSF从该鉴权请求消息中获取RID，提升了方案得实现灵活性。

在一种可能的实现方式中，在鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#2之前，还包括：鉴权管理功能向接入与移动性管理功能发送第一鉴权请求响应；第一鉴权请求响应包括第一指示信息，第一指示信息用于指示终端设备支持应用的认证和密钥管理业务。本实施例中，AUSF还可以通过其它指示信息(第一指示信息)，通知AMF该UE支持AKMA业务，提升了方案得实现灵活性。

在一种可能的实现方式中，鉴权向量获取响应消息#1中还包括路由标识；鉴权管理功能基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1，包括：鉴权管理功能基于鉴权向量获取响应消息#1中的路由标识生成认证和密钥管理-密钥临时身份标识#1。本实施例中，AUSF还可以通过来着AMF的鉴权向量获取响应消息#1中的RID，生成认证和密钥管理-密钥临时身份标识#1，提升了方案得实现灵活性。

第四方面，本申请实施例提出一种密钥标识的生成方法，包括：鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#2；鉴权请求消息#2包括永久身份标识；鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#2，鉴权向量获取请求消息#2中携带永久身份标识；鉴权管理功能接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括认证和密钥管理指示信息；鉴权管理功能根据认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识；在鉴权管理功能本地没有路由标识的情况下，鉴权管理功能从核心网网元获取路由标识；鉴权管理功能使用路由标识生成认证和密钥管理-密钥临时身份标识#2。

本申请实施例中，在AKMA流程中，AUSF可以从UDM或AMF等核心网网元中获取RID。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID生成新的A-KID，保证AKMA流程的成功执行。

第五方面，本申请实施例提出一种通信装置，包括：

收发模块，用于接收来自接入与移动性管理功能鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

收发模块，还用于向统一数据管理功能发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带签约隐藏标识符；

收发模块，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息；

处理模块，用于根据认证和密钥管理指示信息，基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；

处理模块，还用于保存路由标识。

在一种可能的实现方式中，收发模块，还用于接收来自接入与移动性管理功能的鉴权请求消息#2；

处理模块，还用于在鉴权请求消息#2中携带永久身份标识的情况下，使用保存的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。

在一种可能的实现方式中，处理模块，还用于基于对终端设备进行鉴权流程中生成的中间密钥，生成认证和密钥管理-密钥临时身份标识；

处理模块，还用于将路由标识和认证和密钥管理-密钥临时身份标识进行拼接，得到认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，处理模块，还用于保存认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，鉴权向量获取响应消息#1中还包括路由标识；

处理模块，还用于基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1，包括：

处理模块，还用于基于鉴权向量获取响应消息#1中的路由标识生成认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，处理模块，还用于保存签约隐藏标识符。

在一种可能的实现方式中，处理模块，还用于删除认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，处理模块，还用于删除认证和密钥管理-密钥临时身份标识#2；

处理模块，还用于继续保存路由标识。

第六方面，本申请实施例提出一种通信装置，包括：

收发模块，用于接收来自接入与移动性管理功能的鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

收发模块，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息和签约隐藏标识符中的路由标识；

处理模块，用于根据认证和密钥管理指示信息，基于路由标识生成认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，收发模块，还用于接收来自接入与移动性管理功能的鉴权请求消息#2；鉴权请求消息#2包括永久身份标识；

收发模块，还用于向统一数据管理功能发送鉴权向量获取请求消息#2，鉴权向量获取请求消息#2中携带永久身份标识；

收发模块，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括路由标识；

处理模块，还用于使用路由标识生成新的认证和密钥管理-密钥临时身份标识#2。

收发模块，还用于根据认证和密钥管理指示信息，从核心网网元获取路由标识；

在一种可能的实现方式中，处理模块，还用于根据认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识#2；

收发模块，还用于在鉴权管理功能本地没有路由标识的情况下，从核心网网元获取路由标识。

在一种可能的实现方式中，核心网网元包括统一数据管理功能或者接入与移动性管理功能。

在一种可能的实现方式中，收发模块，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括认证和密钥管理指示信息。

第七方面，本申请实施例提出一种通信装置，包括：

收发模块，还用于接收来自接入与移动性管理功能的鉴权请求消息#2；其中，鉴权请求消息#2包括永久身份标识和路由标识；

处理模块，还用于使用从接入与移动性管理功能接收到的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。

在一种可能的实现方式中，收发模块，还用于向统一数据管理功能发送鉴权向量获取请求消息#2，其中，鉴权向量获取请求消息#2中携带永久身份标识；

收发模块，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2。

在一种可能的实现方式中，收发模块，还用于向接入与移动性管理功能发送第一鉴权请求响应；第一鉴权请求响应包括第一指示信息，第一指示信息用于指示终端设备支持应用的认证和密钥管理业务。

在一种可能的实现方式中，处理模块，还用于基于鉴权向量获取响应消息#1中的路由标识生成认证和密钥管理-密钥临时身份标识#1。

第八方面，本申请实施例提出一种通信装置，包括：

收发模块，用于接收来自接入与移动性管理功能的鉴权请求消息#2；鉴权请求消息#2包括永久身份标识；

收发模块，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括认证和密钥管理指示信息；

处理模块，还用于根据认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识；

收发模块，还用于在鉴权管理功能本地没有路由标识的情况下，从核心网网元获取路由标识；

处理模块，还用于使用路由标识生成认证和密钥管理-密钥临时身份标识#2。

本申请实施例第九方面提供一种通信装置，通信装置包括：处理器、存储器以及与处理器连接的收发器。存储器中存储有计算机程序或计算机指令，处理器还用于调用并运行存储器中存储的计算机程序或计算机指令，使得处理器实现如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一种实现方式。

可选的，处理器用于控制收发器执行如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一种实现方式。

本申请实施例第十方面提供一种包括计算机指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得计算机执行如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一种实现方式。

本申请实施例第十一方面提供一种计算机可读存储介质，包括计算机指令，当计算机指令在计算机上运行时，使得计算机执行如第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一种实现方式。

本申请实施例第十二方面提供一种通信装置，通信装置包括网络设备、终端设备或芯片等实体，通信装置包括处理器，用于调用存储器中的计算机程序或计算机指令，以使得处理器执行上述第一方面至第四方面中的任一方面或第一方面至第四方面中的任一方面中的任意一种实现方式。

可选的，处理器通过接口与存储器耦合。

本申请实施例第十三方面提供一种通信***，通信***包括第五方面的通信装置、第六方面的通信装置、第七方面的通信装置和/或第吧方面的通信装置。

本申请实施例第十四方面还提供一种处理器，用于执行上述各种方法。在执行这些方法的过程中，上述方法中有关发送上述信息和接收上述信息的过程，可以理解为由处理器输出上述信息的过程，以及处理器接收输入的上述信息的过程。在输出上述信息时，处理器将该上述信息输出给收发器，以便由收发器进行发射。该上述信息在由处理器输出之后，还可能需要进行其他的处理，然后才到达收发器。类似的，处理器接收输入的上述信息时，收发器接收该上述信息，并将其输入处理器。更进一步的，在收发器收到该上述信息之后，该上述信息可能需要进行其他的处理，然后才输入处理器。

基于上述原理，举例来说，前述方法中提及的接收来自AMF的鉴权请求消息#1可以理解为处理器输入用于鉴权请求消息#1。又例如，发送该鉴权向量获取请求消息#1可以理解为处理器输出鉴权向量获取请求消息#1。

对于处理器所涉及的发射、发送和接收等操作，如果没有特殊说明，或者，如果未与其在相关描述中的实际作用或者内在逻辑相抵触，则均可以更加一般性的理解为处理器输出和接收、输入等操作，而不是直接由射频电路和天线所进行的发射、发送和接收操作。

在实现过程中，上述处理器可以是专门用于执行这些方法的处理器，也可以是执行存储器中的计算机指令来执行这些方法的处理器，例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

本申请实施例第十五方面提供了一种芯片***，该芯片***包括处理器和接口，所述接口用于获取程序或指令，所述处理器用于调用所述程序或指令以实现或者支持网络设备实现第一、第二、第三和/或第四方面所涉及的功能，例如，确定或处理上述方法中所涉及的数据和信息中的至少一种。

在一种可能的设计中，所述芯片***还包括存储器，所述存储器，用于保存网络设备必要的程序指令和数据。该芯片***，可以由芯片构成，也可以包括芯片和其他分立器件。

附图说明

图1a为一种通信***的网络架构示意图；

图2为本申请实施例中通信装置的硬件结构示意图；

图3为UE通过转发的接入流程示意图；

图4为本申请实施例提出的一种密钥标识的生成方法的实施例示意图；

图5为本申请实施例中又一种密钥标识的生成方法的实施例示意图；

图6为本申请实施例中又一种密钥标识的生成方法的实施例示意图；

图7为本申请实施例中又一种密钥标识的生成方法的实施例示意图；

图8为本申请实施例中又一种密钥标识的生成方法的实施例示意图；

图9为本申请实施例中通信装置的一种实施例示意图；

图10为本申请实施例中通信装置的一种实施例示意图；

图11为本申请实施例中通信装置的一种实施例示意图；

图12为本申请实施例中通信装置的一种实施例示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、第二”以及相应术语标号等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、***、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。

在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请的描述中，“至少一项”是指一项或者多项，“多项”是指两项或两项以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

本申请实施例的技术方案可以应用于各种通信***，例如：宽带码分多址(Wideband Code Division Multiple Access，WCDMA)***，通用分组无线业务(general packet radio service，GPRS)，长期演进(Long Term Evolution，LTE)***，LTE频分双工(frequency division duplex，FDD)***，LTE时分双工(time division duplex，TDD)，通用移动通信***(universal mobile telecommunication system，UMTS)，全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信***，第五代(5th generation，5G)***或NR以及未来的第六代通信***等。

各种通信***中由运营者运营的部分可称为运营商网络。运营商网络也可称为公用陆地移动网(public land mobile network，PLMN)网络，是由政府或政府所批准的经营者，以为公众提供陆地移动通信业务为目的而建立和经营的网络，主要是移动网络运营商(mobile network operator，MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的运营商网络或PLMN网络，可以为符合第三代合作伙伴项目(3rd generation partnership project，3GPP)标准要求的网络，简称3GPP网络。通常3GPP网络由运营商来运营，包括但不限于第五代移动通信(5th-generation，5G)网络(简称5G网络)，***移动通信(4th-generation，4G)网络(简称4G网络)或第三代移动通信技术(3rd-generation，3G)网络(简称3G网络)。还包括未来的6G网络。为了方便描述，本申请实施例中将以运营商网络(如移动网络运营商(mobile network operator，MNO)网络)为例进行说明。

为了便于理解本申请实施例，以图1a所示的5G网络架构为例对本申请使用的应用场景进行说明，可以理解的是对其他通信网络与5G网络架构相似，因此不做赘述。请参阅图1a，图1a为一种通信***的网络架构示意图，所述网络架构中可以包括：终端设备(也可以称为用户设备部分，运营商网络部分和数据网络(data network，DN)部分。

终端设备部分包括终端设备110，终端设备110也可以称为用户设备(user equipment，UE)。本申请实施例中所涉及的终端设备110作为一种具有无线收发功能的设备，可以经(无线)接入网((radio)access network，(R)AN)140中的接入网设备与一个或多个核心网(core network，CN)进行通信。终端设备110也可称为接入终端，终端，用户单元，用户站，移动站，移动台，远方站，远程终端，移动设备，用户终端，无线网络设备，用户代理或用户装置等。终端设备110可以部署在陆地上，包括室内或室外，手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机，气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone)，无绳电话，会话启动协议(session initiation protocol， SIP)电话，智能电话(smart phone)，手机(mobile phone)，无线本地环路(wireless local loop，WLL)站，个人数字处理(personal digital assistant，PDA)，可以是具有无线通信功能的手持设备，计算设备或连接到无线调制解调器的其它设备，车载设备，可穿戴设备，无人机设备或物联网，车联网中的终端，第五代移动通信(fifth generation，5G)网络以及未来网络中的任意形态的终端，中继用户设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端等，其中，中继用户设备例如可以是5G家庭网关(residential gateway，RG)。例如终端设备110可以是虚拟现实(virtual reality，VR)终端，增强现实(augmented reality，AR)终端，工业控制(industrial control)中的无线终端，无人驾驶(self driving)中的无线终端，远程医疗(remote medical)中的无线终端，智能电网(smart grid)中的无线终端，运输安全(transportation safety)中的无线终端，智慧城市(smart city)中的无线终端，智慧家庭(smart home)中的无线终端等。本申请实施例对此并不限定。为方便说明，本申请实施例中以终端设备110包括无人机和无人机遥控器为例进行说明。

需要说明的是，本申请实施例中涉及的无人机还可以包括：可以自主进行行驶的车辆(vehicle)，或基于遥控器的控制指令进行行驶的车辆；可以自主进行航行的船舶(shipping)，或基于遥控器的控制指令进行航行的船舶等。

运营商网络可以包括统一数据管理(unified data management，UDM)134，鉴权管理功能(authentication server function，AUSF)136，接入和移动性管理功能(access and mobility management function，AMF)137，会话管理功能(session management function，SMF)138，用户面功能(user plane function，UPF)139以及(R)AN140等。上述运营商网络中，除(R)AN140部分之外的其他部分可以称为核心网络(core network，CN)部分或核心网部分。为方便说明，本申请实施例中以(R)AN 140为RAN为例进行说明。

数据网络DN 120，也可以称为协议数据网络(protocol data network，PDN)，通常是位于运营商网络之外的网络，例如第三方网络。运营商网络可以接入多个数据网络DN 120，数据网络DN 120上可部署多种业务，可为终端设备110提供数据和/或语音等服务。例如，数据网络DN 120可以是某智能工厂的私有网络，智能工厂安装在车间的传感器可以是终端设备110，数据网络DN 120中部署了传感器的控制服务器，控制服务器可为传感器提供服务。传感器可与控制服务器通信，获取控制服务器的指令，基于指令将采集的传感器数据传送给控制服务器等。又例如，数据网络DN 120可以是某公司的内部办公网络，该公司员工的手机或者电脑可为终端设备110，员工的手机或者电脑可以访问公司内部办公网络上的信息，数据资源等。

终端设备110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接，使用运营商网络提供的数据和/或语音等服务。终端设备110还可通过运营商网络访问数据网络DN 120，使用数据网络DN 120上部署的运营商业务，和/或第三方提供的业务。其中，上述第三方可为运营商网络和终端设备110之外的服务方，可为终端设备110提供其他数据和/或语音等服务。其中，上述第三方的具体表现形式，具体可基于实际应用场景确定，在此不做限制。

下面对运营商网络中的网络功能进行简要介绍。

(R)AN 140可以看作是运营商网络的子网络，是运营商网络中业务节点与终端设备110之间的实施***。终端设备110要接入运营商网络，首先是经过(R)AN 140，进而可通过(R)AN 140与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备)，是一种为终端设备110提供无线通信功能的设备，也可以称为网络设备，RAN设备包括但不限于：5G***中的下一代基站节点(next generation node base station，gNB)，长期演进(long term evolution，LTE)中的演进型节点B(evolved node B，eNB)，无线网络控制器(radio network controller，RNC)，节点B(node B，NB)，基站控制器(base station controller，BSC)，基站收发台(base transceiver station，BTS)，家庭基站(例如，home evolved nodeB，或home node B，HNB)，基带单元(base band unit，BBU)，传输点(transmitting and receiving point，TRP)，发射点(transmitting point，TP)，小基站设备(pico)，移动交换中心，或者未来网络中的网络设备等。采用不同无线接入技术的***中，具备接入网设备功能的设备的名称可能会有所不同。为方便描述，本申请所有实施例中，上述为终端设备110提供无线通信功能的装置统称为接入网设备或简称为RAN或AN。应理解，本文对接入网设备的具体类型不作限定。

接入与移动性管理功能AMF(也可以称为AMF网元，AMF网络功能或AMF网络功能实体)137是由运营商网络提供的控制面网络功能，负责终端设备110接入运营商网络的接入控制和移动性管理，例如包括移动状态管理，分配用户临时身份标识，认证和授权用户等功能。

会话管理功能SMF(也可以称为SMF网元，SMF网络功能或SMF网络功能实体)138是由运营商网络提供的控制面网络功能，负责管理终端设备110的协议数据单元(protocol data unit，PDU)会话。PDU会话是一个用于传输PDU的通道，终端设备需要通过PDU会话与数据网络DN 120互相传送PDU。PDU会话由SMF网络功能138负责建立，维护和删除等。SMF网络功能138包括会话管理(如会话建立，修改和释放，包含用户面功能UPF 139和(R)AN 140之间的隧道维护)，UPF网络功能139的选择和控制，业务和会话连续性(service and session continuity，SSC)模式选择，漫游等会话相关的功能。

用户面功能UPF(也可以称为UPF网元，UPF网络功能或UPF网络功能实体)139是由运营商提供的网关，是运营商网络与数据网络DN 120通信的网关。UPF网络功能139包括数据包路由和传输，数据包检测，业务用量上报，服务质量(quality of service，QoS)处理，合法监听，上行数据包检测，下行数据包存储等用户面相关的功能。

统一数据管理网元UDM(也可以称为UDM网元，UDM网络功能或UDM网络功能实体)134是由运营商提供的控制面功能，负责存储运营商网络中签约用户的永久身份标识(subscriber permanent identifier，SUPI)，签约用户的公开使用的签约标识(generic public subscription identifier，GPSI)，信任状(credential)等信息。其中SUPI在传输过程中会先进行加密，加密后的SUPI被称为隐藏的用户签约标识符(subscription concealed identifier，SUCI)。UDM 134所存储的这些信息可用于终端设备110接入运营商网络的认证和授权。其中，上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户，例如使用 “中国电信”的手机芯卡的用户，或者使用“***”的手机芯卡的用户等。上述签约用户的信任状可以是：该手机芯卡存储的长期密钥或者跟该手机芯卡加密相关的信息等存储的小文件，用于认证和/或授权。需要说明的是，永久标识符，信任状，安全上下文，认证数据(cookie)，以及令牌等同验证/认证，授权相关的信息，在本申请实施例中，为了描述方便起见不做区分限制。

鉴权管理功能(authentication server function，AUSF)(也可以称为AUSF网元、AUSF网络功能或AUSF网络功能实体)136是由运营商提供的控制面功能，通常用于主认证，即终端设备110(签约用户)与运营商网络之间的认证。AUSF 136接收到签约用户发起的认证请求之后，可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权，或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能136可向签约用户反馈认证信息和/或授权信息。在认证和密钥管理(Authentication and key management for Application，AKMA)场景中，会为认证和密钥管理锚点功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130生成AKMA锚点密钥Kakma(该秘钥管理密钥也称为AKMA根密钥)，并且负责为应用功能(application Function,AF)135生成AF 135使用的密钥Kaf和Kaf的有效时间。

网络开放功能(Network Exposure Function，NEF)131，做为中间网元为外部应用功能(application Function,AF)135和核心网内部的认证和密钥管理锚点功能(Authentication and key management for Application(AKMA)Anchor Function,AAnF)130提供交互服务。

网络存储功能(Network Repository Function，NRF)132，用于进行网络功能(Network Function，NF)登记、管理，或状态检测，实现所有NF的自动化管理，每个NF启动时，必须要到NRF进行注册登记才能提供服务，登记信息包括NF类型、地址，或服务列表等。

策略控制实体(policy control function，PCF)133,PCF 133与AF 135交互获得服务质量(Quality of Service，Qos)参数，或者提供QoS参数给AF 135，进而实现一种可以影响应用程序数据传输的作用。

应用功能AF 135，AF 135与第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)核心网交互用于提供应用层服务。比如：提供关于应用层数据路由，提供接入网络能力。AF 135可以与NEF 131交互，可以与PCF 133交互。在认证和密钥管理(Authentication and key management for Application，AKMA)场景中，AF135需要与AAnF 130交互，获得AF根密钥(Kaf)和Kaf的有效时间。AF 135的位置可以在5G核心网内部，也可以在5G核心网外部。如果AF在5G核心网内部，那么他可以直接与PCF 133交互。如果AF 135在5G核心网外部，则NEF 131作为中间节点转发AF 135与PCF 133的交互内容。比如通过NEF转发。

认证和密钥管理AKMA锚点功能AAnF 130，AAnF 130会跟AUSF 136交互获得AKMA根密钥(Kakma)，并且负责为AF 135生成AF 135使用的密钥Kaf和Kaf的有效时间。

图1a中Nausf、Nudm、Namf、Nsmf、Nnrf、Nnef、Naanf、Naf、N1、N2、N3、N4，以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义，在此不做赘述。需要说明的是，图1a中仅以终端设备110为UE作出了示例性说明，图1a中的各个网络功能之间的接口名称也仅仅是一个示例，在具体实现中，该***架构的接口名称还可能为其他名称，本申请实施例对此不做具体限定。

为方便说明，本申请实施例中以移动性管理网络功能为AMF网络功能137为例进行说明。它也可以是未来通信***中的具有上述AMF网络功能137的其他网络功能。或者，本申请中的移动性管理网络功能还可以是LTE中的移动管理网元(Mobility Management Entity，MME)等。进一步地，将AMF网络功能137简称为AMF，将终端设备110称为UE，将即本申请实施例中后文所描述的AMF均可替换为移动性管理网络功能，UE均可替换为终端设备。

本申请提供的一种密钥标识的生成方法可以应用于各类通信***中，例如，可以是物联网(internet of things，IoT)、窄带物联网(narrow band internet of things，NB-IoT)、长期演进(long term evolution，LTE)，也可以是第五代(5G)通信***，还可以是LTE与5G混合架构、也可以是5G新无线(new radio，NR)***以及未来通信发展中出现的新的通信***等。本申请的5G通信***可以包括非独立组网(non-standalone，NSA)的5G通信***、独立组网(standalone，SA)的5G通信***中的至少一种。通信***还可以是公共陆地移动网络(public land mobile network，PLMN)网络、设备到设备(device-to-device，D2D)网络、机器到机器(machine to machine，M2M)网络或者其他网络。

此外，本申请实施例还可以适用于面向未来的其他通信技术，例如6G等。本申请描述的网络架构以及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对本申请提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请涉及的各个网络功能可能发生变更，本申请提供的技术方案对于类似的技术问题，同样适用。

图2为本申请实施例中通信装置的硬件结构示意图。该通信装置可以是本申请实施例中网络设备或终端设备的一种可能的实现方式。如图2所示，通信装置至少包括处理器204，存储器203，和收发器202，存储器203进一步用于存储指令2031和数据2032。可选的，该通信装置还可以包括天线206，I/O(输入/输出，Input/Output)接口210和总线212。收发器202进一步包括发射器2021和接收器2022。此外，处理器204，收发器202，存储器203和I/O接口210通过总线212彼此通信连接，天线206与收发器202相连。

处理器204可以是通用处理器，例如但不限于，中央处理器(Central Processing Unit，CPU)，也可以是专用处理器，例如但不限于，数字信号处理器(Digital Signal Processor，DSP)，应用专用集成电路(Application Specific Integrated Circuit，ASIC)和现场可编程门阵列(Field Programmable Gate Array，FPGA)等。该处理器204还可以是神经网络处理单元(neural processing unit，NPU)。此外，处理器204还可以是多个处理器的组合。特别的，在本申请实施例提供的技术方案中，处理器204可以用于执行，后续方法实施例中密钥标识的生成方法的相关步骤。处理器204可以是专门设计用于执行上述步骤和/或操作的处理器，也可以是通过读取并执行存储器203中存储的指令2031来执行上述步骤和/或操作的处理器，处理器204在执行上述步骤和/或操作的过程中可能需要用到数据2032。

收发器202包括发射器2021和接收器2022，在一种可选的实现方式中，发射器2021用于通过天线206发送信号。接收器2022用于通过天线206之中的至少一根天线接收信号。特别的，在本申请实施例提供的技术方案中，发射器2021具体可以用于通过天线206之中的至少一根天线执行，例如，后续方法实施例中密钥标识的生成方法应用于网络设备或终端设备时，网络设备或终端设备中接收模块或发送模块所执行的操作。

在本申请实施例中，收发器202用于支持通信装置执行前述的接收功能和发送功能。将具有处理功能的处理器视为处理器204。接收器2022也可以称为输入口、接收电路等，发射器2021可以称为发射器或者发射电路等。

处理器204可用于执行该存储器203存储的指令，以控制收发器202接收消息和/或发送消息，完成本申请方法实施例中通信装置的功能。作为一种实现方式，收发器202的功能可以考虑通过收发电路或者收发的专用芯片实现。本申请实施例中，收发器202接收消息可以理解为收发器202输入消息，收发器202发送消息可以理解为收发器202输出消息。

存储器203可以是各种类型的存储介质，例如随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，非易失性RAM(Non-Volatile RAM，NVRAM)，可编程ROM(Programmable ROM，PROM)，可擦除PROM(Erasable PROM，EPROM)，电可擦除PROM(Electrically Erasable PROM，EEPROM)，闪存，光存储器和寄存器等。存储器203具体用于存储指令2031和数据2032，处理器204可以通过读取并执行存储器203中存储的指令2031，来执行本申请方法实施例中所述的步骤和/或操作，在执行本申请方法实施例中操作和/或步骤的过程中可能需要用到数据2032。

可选的，该通信装置还可以包括I/O接口210，该I/O接口210用于接收来自***设备的指令和/或数据，以及向***设备输出指令和/或数据。

下面，介绍本申请实施例涉及的一些背景技术。

(1)、AKMA。

为了便于理解，请参阅图3，图3为UE通过转发的接入流程示意图。以图3为例说明AKMA流程，具体的：

301、UE与核心网之间进行主鉴权流程。

步骤301中，UE与核心网之间进行主鉴权(Primary authentication)流程。该主鉴权流程需要使用鉴权向量(authentication vector，AV)，该鉴权向量用于主鉴权流程中传递主鉴权流程的验证参数。具体的，通过步骤302，AUSF获取该鉴权向量。

本申请实施例中，该主鉴权流程也称为鉴权流程，此处不作限制。

302、AUSF向UDM发送鉴权向量获取请求消息。

步骤302中，AUSF向UDM发送鉴权向量获取请求消息，该鉴权向量获取请求消息例如“Numd_UEAuthentication Get Request”。该鉴权向量获取请求消息用于向UDM请求鉴权向量。该鉴权向量获取请求消息中携带SUPI或SUCI。具体的，当AMF向AUSF发送的消息中携带SUPI时，该鉴权向量获取请求消息中携带SUPI；当AMF向AUSF发送的消息中携带SUCI时，该鉴权向量获取请求消息中携带SUCI。

SUCI可以理解为是SUPI的一种加密形式。SUCI的具体生成方法可以参考3GPP标准TS 33.501。概括地说，SUPI中除移动国家代码(mobile country code，MCC)之外的部分可以由全球用户识别卡(universal subscriber identity module，USIM)或移动设备(mobile equipment，ME)进行加密计算得到SUCI中的加密部分。SUCI除了加密部分，还包括RID，MCC，MNC等内容。

303、AUSF接收UDM发送的鉴权向量获取响应消息。

步骤303中，UDM收到步骤302的鉴权向量获取请求消息后，UDM确定对应的鉴权向量。UDM向AUSF发送鉴权向量获取响应消息，该鉴权向量获取响应消息中携带鉴权向量。该鉴权向量获取响应消息例如：“Num_UEAuthentication_Get Response”。

可选的，UDM基于SUPI对应的用户签约数据判断该主鉴权流程对应的UE是否支持AKMA业务。当该UE支持AKMA业务，则该鉴权向量获取响应消息中携带AKMA业务指示信息，该AKMA业务指示信息可以是“AKMA Indication”或“AKMA ID”，本申请实施例中不作限定。AKMA业务指示信息用于指示AUSF需要为这个UE生成AKMA锚点密钥Kakma。也可以理解为：该AKMA业务指示信息用于指示该UE支持AKMA业务。当该UE不支持AKMA业务，则该鉴权向量获取请求消息中不携带AKMA业务指示信息。

需要说明的是：AKMA indication与AKMA ID可以采用相同的信元，也可以采用不同信元，此处不作限制。

304a、UE基于AUSF根密钥生成AKMA锚点密钥Kakma。

步骤304a中，当UE的主鉴权流程成功完成后，UE基于与AUSF使用的相同的根密钥(Kausf)生成AKMA锚点密钥(Kakma)。可选的，进一步地，UE要发起AKMA业务前，UE基于与AUSF使用的相同的根密钥(Kausf)生成AKMA锚点密钥(Kakma)。

304b、UE生成认证和密钥管理-密钥临时身份标识A-KID。

步骤304b中，当UE的主鉴权流程成功完成后，UE要发起AKMA业务前，UE基于与AUSF使用的相同的根密钥(Kausf)生成认证和密钥管理-密钥临时身份标识(AKMA-Key Identifier，A-KID)。A-KID用于标识UE的AKMA锚点密钥Kakma。可选的，进一步地，UE要发起AKMA业务前，UE基于与AUSF使用的相同的根密钥(Kausf)生成A-KID。具体地，UE基于基于与AUSF使用的相同的根密钥(Kausf)生成A-KID中的密钥管理-密钥临时身份标识(AKMA Temporary UE Identifier，A-TID)部分。

具体的，基于RID生成A-KID。A-KID格式为“username@exmaple”。“username”部分包括路由标识，和认证和密钥管理-密钥临时身份标识(AKMA Temporary UE Identifier，A-TID)。“example”部分包括家乡网络标识，例如：移动国家代码(mobile country code，MCC)和移动网络代码(mobile network code，MNC)。A-TID是基于Kausf生成的一个临时标识。

需要说明的是，步骤304a与步骤304b执行顺序不作限制。

305a、AUSF基于AUSF根密钥生成AKMA锚点密钥Kakma。

步骤305a与前述步骤304a类似，不作赘述。与304a不同的地方在于，AUSF在收到所述鉴权向量获取响应消息后，如果消息中携带有AKMA业务指示信息，则AUSF使用AUSF获取到的Kausf生成Kakma和A-KID。如果所述鉴权向量获取响应消息没有携带有 AKMA业务指示信息，则AUSF可以不生成Kakma和A-KID。

305b、AUSF生成认证和密钥管理-密钥临时身份标识A-KID。

步骤305b中，当步骤303中，UDM发送的鉴权向量获取响应消息中携带AKMA标识信息时，AUSF基于该AKMA标识信息确定需要生成A-KID。步骤302中，AMF向AUSF提供SUCI时，步骤305b中，AUSF基于该SUCI中的RID生成A-KID。

306、AUSF向AAnF发送AKMA锚密钥注册请求消息。

步骤306中，AUSF选择一个AAnF后，AUSF向该AAnF发送AKMA锚密钥注册请求消息。AKMA锚密钥注册请求消息例如：“Naanf_AKMA_AnchorKey_Register Request”。具体的，该AKMA锚密钥注册请求消息中携带SUPI、A-KID和Kakma。

307、AUSF接收AAnF发送的AKMA锚密钥注册响应消息。

步骤307中，AAnF基于步骤306的AKMA锚密钥注册请求消息，向AUSF发送AKMA锚密钥注册响应消息。该AKMA锚密钥注册响应消息例如：“Naanf_AKMA_AnchorKey_Register Response”。

308、AUSF删除Kakma和A-KID。

步骤308中，当AUSF接收来自AAnF发送的AKMA锚密钥注册响应消息后，AUSF删除Kakma和A-KID。

(2)、路由标识RID。

SUCI中包括RID。当前标准规定，RID用于AMF查找AUSF，AUSF查找UDM。在AKMA流程中，RID用于生成A-KID。RID还用于选择AAnF。

在5G全球用户识别卡(Universal Subscriber Identity Module，USIM)中，RID存储在USIM中。当5G UE使用5G USIM时，5G UE从该5G USIM中获取需要使用的RID。该RID的值可以是一个非缺省值，也可以是一个缺省值。

而在4G USIM中不存在RID，因此，如果一个5G UE使用了4G USIM，那么SUCI中的RID会被填充为缺省值。

在AMF中，关于UE的上下文中包括RID。可以理解为，AMF从SUCI中获取RID后，将该RID存储在AMF中。在图3所示的AKMA流程中，当步骤302中，AMF向AUSF提供的是SUPI时，该SUPI中不包括RID。而当前标准规定，AUSF不存储UE的RID。因此，当步骤302中，AMF向AUSF提供的是SUPI的前提下，在步骤305b中AUSF无法生成A-KID(RID是生成A-KID的必要参数)。因此造成AKMA流程的失败。

示例性的，当UE在注册请求消息中向AMF发送5G全局唯一的临时UE标识(5G Globally Unique Temporary UE Identity，5G-GUTI)时，AMF可以基于本地策略决定是否对UE进行鉴权。当AMF决定对UE进行鉴权，即发起主鉴权流程时，AMF向AUSF发送的用于触发对UE鉴权的鉴权请求消息中携带SUPI(步骤302)。此时，AUSF无法获取RID。进而，AUSF无法生成A-KID。对UE鉴权的请求消息比如为“Nausf_UEAuthentication_Authenticate Request”消息。

基于此，本申请实施例提出一种密钥标识的生成方法，以确保AUSF可以获取RID，进而保证AUSF生成A-KID，进而确保UE的AKMA业务顺利执行。下面在介绍具体实施例前进行简要描述，根据RID来源的不同，本申请实施例可以细分为：

1、AUSF保存RID，该RID来自AMF或者UDM。具体的，请参阅图4所示的实施例。

2、AUSF从核心网网元获取RID。其中，该核心网网元包括AMF或UDM。

2.1、具体的，AUSF从AMF获取RID。请参阅图5所示的实施例和/或图6所示的实施例。

2.2、具体的，AUSF从UDM获取RID。请参阅图7所示的实施例和/或图8所示的实施例。

需要说明的是，本申请各个实施例中，为了便于区分，将SUCI中携带的RID称为RID#1，来自UDM的RID称为RID#2，来自AMF的RID称为RID#3，AUSF中存储的RID称为RID#4。可以理解的是，RID#1、RID#2、RID#3和RID#4可能是相同的取值，因此，后续实施例中可能会出现标号混用。

首先介绍AUSF保存RID的方案，请参阅图4，图4为本申请实施例提出的一种密钥标识的生成方法的实施例示意图。本申请实施例提出的一种密钥标识的生成方法，包括：

401、AUSF接收AMF发送的鉴权请求消息#1，该鉴权请求消息#1中携带SUCI。

AUSF接收AMF发送的鉴权请求消息#1，该鉴权请求消息#1中携带SUCI。具体的，该鉴权请求消息#1为“Nausf_UEAuthentication_Authenticate Request”。

该SUCI中携带的RID为RID#1。

402、AUSF向UDM发送鉴权向量获取请求消息#1，该鉴权向量获取请求消息#1中携带SUCI。

AUSF收到AMF发送的鉴权请求消息#1后，AUSF向UDM发送鉴权向量获取请求消息#1，该鉴权向量获取请求消息#1中携带SUCI。

示例性的，该鉴权向量获取请求消息#1可以是：“Nudm_UE_Authentication_Get_Request”。

403、AUSF存储SUCI，或存储SUCI中的RID#1。

步骤401后，AUSF可以存储该SUCI至AUSF本地，AUSF也可以存储SUCI中的RID#1至AUSF本地，此处不作限制。

步骤403为可选步骤。

步骤403可以发生在步骤402之前，即AUSF收到携带有SUCI的鉴权请求消息#1后，AUSF先存储SUCI，或存储SUCI中的RID#1，再执行步骤402。

另一种理解是，该步骤为暂时存储，暂时存储是为了当AUSF收到鉴权向量响应消息后，如果AUSF确定该UE支持AKMA业务，则可以使用SUCI中的RID#1生成A-KID#1。如果AUSF确定该UE不支持AKMA业务(即没有收到AKMA indication)，则该AUSF可以在后续流程中删除SUCI，或删除RID#4。

AUSF获取SUCI中的RID#1后，将该RID#1存储至本地，此时本地的该RID称为RID#4。

404、AUSF接收UDM发送的鉴权向量获取响应消息#1。

可选的，该鉴权向量获取响应消息#1中携带RID#2。

步骤402后，UDM接收AUSF发送的鉴权向量获取请求消息#1后。当AUSF接收来自UDM的鉴权向量获取响应消息#1后，AUSF对该UE(与该鉴权请求消息#1对应的UE)进行鉴权操作。鉴权操作方式为进行主鉴权流程，主鉴权流程可以参考标准TS 33.501中的章节6中的相关描述。

该鉴权向量获取响应消息#1中还携带鉴权向量(authentication vector，AV)。

可选的，该鉴权向量获取响应消息#1中还携带认证和密钥管理指示信息AKMA indication。

示例性的，该鉴权向量获取响应消息#1为“Nudm_UE_Authentication_Get_Response”。当鉴权成功，则AUSF向AMF发送鉴权请求响应(authentication success)。

可选的，该鉴权向量获取响应消息#1中还可以携带RID#1，此时该鉴权向量获取响应消息#1中还携带AKMA INDICATION和AV。进一步地，UDM在确定UE支持AKMA业务后，确定RID#2 _，并将该RID#2携带在该鉴权向量获取响应消息#1中。UDM再次发送RID#2是为了确保AUSF处有可以使用的RID。比如，如果AUSF没有执行步骤403，那么AUSF就只能通过步骤404获得RID#2，并使用RID#2生成A-KID#1。

405、当AUSF对该UE鉴权成功后，AUSF向AMF发送第一鉴权请求响应。

示例性的，第一鉴权请求响应为“Nausf_UEAuthentication_Authenticate Response”消息，消息携带可拓展认证协议-成功(extensible authentication protocol-success，EAP-success)消息或者携带告知AMF是否对UE鉴权成功的指示信息。

406、AUSF基于RID生成A-KID#1。

AUSF接收来自UDM的鉴权向量获取响应消息#1后，AUSF基于AKMA业务指示信息判断该UE支持AKMA业务，则AUSF生成认证和密钥管理-密钥临时身份标识A-KID#1。

在一种可选的实现方式中，当步骤403执行时，AUSF基于本地存储的SUCI中的RID#1，或者，AUSF基于本地存储的RID#4生成A-KID#1。也可以理解为，AUSF基于步骤401中鉴权请求消息#1携带的SUCI中的RID#1生成A-KID#1。

在另一种可选的实现方式中，当步骤403不执行时，当步骤404可选的发送RID#2方法执行时，AUSF基于UDM发送的RID#2生成A-KID#1。

如果AUSF在步骤404中没有收到AKMA indication，并且如果步骤403执行时，AUSF删除本地存储的SUCI或SUCI中的RID#1。

当AUSF生成A-KID#1后，AUSF可以向AAnF发送A-KID#1、SUPI和Kakma。具体的，可以通过“Naanf_AnchorKey_Register Request”向AAnF发送。AAnF接收该消息后，向AUSF回复“Naanf_AKMA_Register Response”。

进一步的，AUSF基于该SUCI，生成Kakma。为了区分，这里生成的Kakma称为Kakma-1。

407、AUSF存储RID。

进一步地，AUSF判断该UE支持AKMA业务后(即收到AKMA indication后)，确定存储RID#1。具体的，AUSF接收该UE的AKMA indication后，表明AUSF需要生成Kakma和A-KID，则AUSF确定该UE支持AKMA业务。

步骤407中AUSF存储的RID，根据RID来源的不同，该RID可以是RID#1，也可以是RID#2。

需要说明的是，如果步骤403执行，则AUSF判断该UE支持AKMA业务后，继续存储SUCI，或者存储SUCI中的RID#1。

需要说明的是，如果步骤403没有执行，步骤404可选的发送RID#2方法执行时，则AUSF判断该UE支持AKMA业务后，AUSF存储RID#2。

步骤407中，AUSF存储RID#1相关的参数存在多种可选的实现方式，下面分别进行说明。需要说明的是，RID#1相关的参数包括但不限于：RID#1、SUCI、和/或A-KID#1。

方案一：AUSF存储SUCI中的RID#1和，RID#1与SUPI的关联关系。示例性地，存储RID#1、SUPI。存储RID#1与SUPI的关联关系是为了当AUSF收到SUPI的时候，基于SUPI确定RID#1。

方案二：AUSF存储SUCI，即AUSF不单独存储RID#1。进一步地，AUSF存储SUCI和，SUCI与SUPI的关联关系。

方案三：AUSF存储RID#1，SUCI，和RID#1、SUCI和SUPI三者的关联关系。

需要说明的是，步骤407与步骤406的执行顺序，此处不作限定。具体的，AUSF可以首先生成A-KID#1，其次再存储RID#1或存储SUCI。AUSF也可以存储RID#1或存储SUCI后，再生成A-KID#1，此处不作限制。

可选的，若AUSF在生成A-KID#1后删除了RID#1和/或SUCI，则AUSF存储A-KID#1。那么步骤410中，AUSF基于该A-KID#1生成A-KID#2。具体地，AUSF基于A-KID#1中的RID#1生成A-KID#2进一步地，AUSF存储A-KID#1与SUPI的关联关系。可选的，当RID#1的值为缺省值时，步骤407中AUSF可以不存储RID#1。则步骤410中，AUSF使用缺省的RID#1值生成A-KID#2。

需要说明的是，如果步骤403执行，则步骤407不需要重复存储。可以理解为，步骤407是步骤403的一个延续，即如果发生了步骤403，那么AUSF只需要再判断UE支持AKMA业务后，执行步骤407时只需要进一步与SUPI的关联关系。

需要说明的是，如果步骤403没有执行，步骤404可选的发送RID#2方法执行时，则步骤407不需要重复存储。可以理解为，步骤407是步骤404的一个延续，即如果发生了步骤404可选的发送RID#1方法执行时，并且在AUSF判断UE支持AKMA业务后，那么步骤407只需要进一步存储RID#1与SUPI的关联关系。

408、AUSF删除SUCI。

步骤408为可选步骤。具体的，步骤403中AUSF存储SUCI后，当AUSF还存储RID#4和/或A-KID#1时，AUSF可以删除SUCI。

AUSF保存多个RID#1相关的参数(例如RID#1、SUCI和A-KID#1)时，AUSF可以仅保存其中一个参数，其他冗余的参数则可以考虑删除。比如本步骤408中提及的SUCI _，以及前序步骤提及的A-KID#1，可以理解为是相对于RID#1冗余的参数。以便后续在AUSF无法获得RID#1的情况下再次生成新的A-KID。

409、AUSF接收AMF发送的鉴权请求消息#2。

AUSF接收AMF发送的鉴权请求消息#2，该鉴权请求消息#2用于触发对UE的鉴权操作。

该鉴权请求消息#2可以是“Nausf_UEAuthentication_Authenticate Request”。当该鉴权请求消息#2中携带的是SUPI时，进入步骤410。

可选的，当该鉴权请求消息#2中携带的是SUCI，则后续方法与步骤402-408类似，此处不作赘述。

在另一种可选的实现方式中，当该鉴权请求消息#2中携带的是SUCI，后续执行步骤410。

当AUSF接收鉴权请求消息#2后，AUSF可以向UDM发送鉴权向量获取请求消息#2“Nudm_UE_Authentication_Get_Request”，该鉴权向量获取请求消息#2中携带鉴权请求消息#2中的SUPI。UDM基于SUPI确定该UE支持AKMA业务时，UDM回复鉴权向量获取响应消息#2“Nudm_UE_Authentication_Get_Response”中携带AKMA业务指示信息(例如AKMA indication)。

步骤409后，当AUSF对该UE鉴权成功后，AUSF向AMF发送第二鉴权请求响应。该第二鉴权请求响应例如“Nausf_UEAuthentication_Authenticate Response”)。

410、当鉴权请求消息#2中携带SUPI时，AUSF生成A-KID#2。

AUSF基于该SUPI，确定Kausf，并使用Kausf生成Kakma。为了区分，这里的Kausf称为Kausf-2，这里生成的Kakma称为Kakma-2。

AUSF基于鉴权请求消息#2中携带的SUPI，确定RID相关的参数。AUSF再基于RID相关的参数确定RID，AUSF基于RID生成A-KID#2。下面分别描述各种实现方式：

在一种实现方式中，当鉴权请求消息#2中携带SUPI时，AUSF基于RID#4生成A-KID#2。具体的，该RID#4来自AUSF本地。具体地，AUSF基于SUPI确定与SUPI关联的RID#4再基于RID#4生成A-KID#2。

在另一种实现方式中，当鉴权请求消息#2中携带SUPI时，AUSF基于SUCI中的RID#4生成A-KID#2。具体的，该SUCI来自AUSF本地。具体地，AUSF基于SUPI确定与SUPI关联的SUCI，再基于SUCI中的RID#1生成A-KID#2。

在另一种实现方式中，当鉴权请求消息#2中携带SUPI时，AUSF基于A-KID#1中的RID#4生成A-KID#2。具体的，该A-KID#1来自AUSF本地。具体地，AUSF基于SUPI确定与SUPI关联的A-KID#1，再基于A-KID#1中的RID#4生成A-KID#2。

在另一种实现方式中，当鉴权请求消息#2中携带SUPI时，如果鉴权向量获取响应消息#2中携带了RID#2，则AUSF基于收到的RID#2生成A-KID#2。

在另一种实现方式中，当鉴权请求消息#2中携带SUPI时，并且AUSF本地没有保存有任何RID#4相关的参数(比如，SUCI，A-KID，和/或RID#4)，同时AUSF没有从UDM收到RID#2相关的参数，那么AUSF使用RID的缺省值生成A-KID#2。可选的，当AUSF生成A-KID#2后，AUSF可以向AAnF发送A-KID#2、SUPI和Kakma-2。具体的，可以通过“Naanf_AnchorKey_Register Request”向AAnF发送。AAnF接收该消息后，向AUSF回复“Naanf_AKMA_Register Response”。

411、AUSF删除Kakma-2。

412、AUSF继续保存RID#4相关的参数。

在一种实现方法中，AUSF继续保存RID#4或者AUSF继续保存SUCI，或者A-KID#1。并且删除其他冗余参数。比如，当AUSF删除A-KID#2后，可以继续保存RID#4。

在另一种实现方法中，如果AUSF收到了SUCI#2(该SUPI#2与步骤401中接收的SUCI不一致)，则AUSF保存RID#3，其中SUPI#2中的RID称为RID#5，或者AUSF保存SUCI#2。可以理解为，AUSF保存RID#5相关的参数(例如SUCI#2和/或RID#5)，不需要继续保存RID#4相关的参数。具体操作可以是直接覆盖，或者先删除再存储，或者先存储再删除。本申请不做具体限制。

在另一种实现方法中，如果AUSF之前保存了A-KID#1。在生成A-KID#2后，则AUSF保存A-KID#2。可以理解为，AUSF保存A-KID#2，不需要继续保存A-KID#1。具体操作可以是直接覆盖，或者先删除再存储，或者先存储再删除。本申请不做具体限制。

本申请实施例中，在AKMA流程中，AUSF保存RID相关的参数(例如：SUCI、A-KID和/或RID)。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID相关的参数生成新的A-KID，保证AKMA流程的成功执行。

在前述实施例的基础上，请参阅图5，图5为本申请实施例中又一种密钥标识的生成方法的实施例示意图。本申请实施例提出的一种密钥标识的生成方法，包括：

501、AUSF接收AMF发送的鉴权请求消息#1，该鉴权请求消息#1中携带SUCI。

步骤501与前述步骤401类似，此处不作赘述。

502、AUSF生成A-KID#1。

在一种可能的实现方式中，AUSF接收鉴权请求消息#1后，AUSF基于该鉴权请求消息#1中的SUCI中的RID#1，生成A-KID#1。在AUSF生成A-KID#1前，AUSF接收鉴权请求消息#1后，AUSF可以向UDM发送鉴权向量获取请求消息#1，该鉴权向量获取请求消息#1携带该SUCI。该鉴权向量获取请求消息可以是：“Nudm_UE_Authentication_Get_Request”。UDM接收AUSF发送的鉴权向量获取请求消息#1后。UDM向AUSF发送鉴权向量获取响应消息#1，该鉴权向量获取响应消息#1中携带鉴权向量(authentication vector，AV)。

可选的，在UDM确定SUCI对应的UE支持AKMA业务的情况下，该鉴权向量获取响应消息#1中还携带认证和密钥管理指示信息AKMA indication。可选的，该鉴权向量获取响应消息#1中携带RID#1。

在另一种可能的实现方式中，AUSF接收鉴权向量获取响应消息#1后，AUSF基于该鉴权向量获取响应消息#1中的RID#1，生成A-KID#1。

比如，在UDM确定SUCI对应的UE支持AKMA业务的情况下，才携带RID#2。示例性的，该鉴权向量获取响应消息#1为“Nudm_UE_Authentication_Get_Response”。当AUSF接收来自UDM的鉴权向量获取响应消息#1后，AUSF对该UE(与该鉴权请求消息#1对应的UE)进行鉴权操作。当鉴权成功，则AUSF向AMF发送第一鉴权请求响应。

可选的，该第一鉴权请求响应包括第一指示信息(indication)，该第一指示信息用于指示UE支持AKMA业务。需要说明的是，该第一指示信息与AKMA业务指示信息可以采用相同的信元，也可以采用不同的信元，此处不作限制。

进一步的，当AUSF收到AKMA indication后，AUSF生成Kakma。为了区分，这里生成的Kakma称为Kakma-1。

当AUSF生成A-KID#1后，AUSF可以向AAnF发送A-KID#1、SUPI和Kakma。具体的，可以通过“Naanf_AnchorKey_Register Request”向AAnF发送。AAnF接收该消息后，向AUSF回复“Naanf_AKMA_Register Response”。AUSF收到“Naanf_AKMA_Register Response”后，产生Kakma-1和A-KID#1。

AUSF可以在收到步骤501消息后，暂时存储该SUCI或SUCI中的RID#1，等到确定有AKMA业务指示信息后，并且生成Kakma-1和A-KID#1后，删除该SUCI或SUCI中的RID#1。

503、AUSF接收AMF发送的鉴权请求消息#2。

AUSF接收AMF发送的鉴权请求消息#2。该鉴权请求消息#2中携带SUPI，则进入步骤504。

可选的，AUSF接收鉴权请求消息#2后，AUSF可以向UDM发送鉴权向量获取请求消息#2，该鉴权向量获取请求消息#2携带该SUPI。该鉴权向量获取请求消息#2可以是：“Nudm_UE_Authentication_Get_Request”。UDM接收AUSF发送的鉴权向量获取请求消息#2后。UDM向AUSF发送鉴权向量获取响应消息#2，该鉴权向量获取响应消息#2中携带鉴权向量(authentication vector，AV)。可选的，在UDM确定SUPI对应的UE支持AKMA业务的情况下，该鉴权向量获取响应消息#2中还携带AKMA indication。示例性的，该鉴权向量获取响应消息#2为“Nudm_UE_Authentication_Get_Response”。当AUSF接收来自UDM的鉴权向量获取响应消息#2后，AUSF确定该UE支持AKMA业务。AUSF确定需要生成该UE的A-KID。AUSF对该UE(与该鉴权请求消息#2对应的UE)进行鉴权操作。当鉴权成功，则AUSF向AMF发送鉴权请求响应(authentication success)。

可选的，该鉴权请求消息#2中可以携带RID#3。该步骤可选的，是因为现有技术中RID本身就是可选的通过鉴权请求消息从AMF传递给AUSF。但是现有技术中传递RID的作用是方便AUSF通过RID快速查找到可以为UE服务的UDM。

在一种可能的实现方式中，若鉴权请求消息#2中携带的是SUPI，则该鉴权请求消息#2中还要携带RID#3。这样做是为了确保AUSF有可以使用的RID，以避免当AUSF确定该SUPI对应的UE支持AKMA业务的时候，没有可用的RID生成A-KID。

504、AUSF向AMF发送第一请求，第一请求中携带SUPI。

AUSF接收AMF发送的鉴权请求消息#2后，AUSF检测鉴权请求消息#2中是否携带有RID。可选的，AUSF还检测AUSF本地是否保存有RID#4相关的参数(例如RID#4、SUCI和/或A-KID#1)。

如果鉴权请求消息#2没有RID相关的参数，则AUSF向AMF发送第一请求，该第一请求用于请求RID。该第一请求中携带SUPI，该SUPI为鉴权请求消息#2中携带的SUPI。进一步地，如果鉴权请求消息#2和AUSF本地均没有RID相关的参数，则AUSF向AMF发送第一请求，该第一请求用于请求RID。

可选的，第一请求中携带一个需要RID的指示信息。

具体地，AUSF在接收UDM发送的鉴权向量获取响应消息#2后，AUSF确定该UE支持AKMA业务后，AUSF没有在鉴权请求消息#2中收到RID#4，和/或AUSF本地没有保存有RID#4，则AUSF向AMF发送该第一请求。

步骤504中，AUSF接收AMF发送的鉴权请求消息#2后，存在两种可选的实现方案，下面分别进行描述：

方案一：AUSF每次接收鉴权请求消息#2后，检测该鉴权请求消息#2中是否携带RID。可选的，AUSF还检测AUSF本地是否保存有RID#4相关的参数(例如RID#4、SUCI和/或A-KID#1)。当检测结果为鉴权请求消息#2中没有RID#3(或者鉴权请求消息#2没有RID，且，AUSF本地没有RID#4相关的参数)，则AUSF向AMF发送第一请求。步骤506中，AUSF不保存来自AMF的第一响应中携带的RID#3。即AUSF每次接收鉴权请求消息#2后，都会检测该鉴权请求消息#2中是否携带RID，如果不携带，则AUSF向AMF发送第一请求。

方案二：AUSF接收鉴权请求消息#2后，检测该鉴权请求消息#2中是否携带RID。可选的，AUSF还检测AUSF本地是否保存有RID#4相关的参数(例如RID#4、SUCI和/或A-KID#1)。当检测结果为鉴权请求消息#2中没有RID#3(或者鉴权请求消息#2没有RID，且AUSF本地没有RID#4相关的参数)，则AUSF向AMF发送第一请求。步骤506中，AUSF保存来自AMF的第一响应中携带的RID#3。即AUSF第一次接收到不携带RID的鉴权请求消息#2后，AUSF向AMF发送第一请求。步骤506中AUSF会保存AMF基于该第一请求返回的RID#3。后续步骤中当AUSF再次接收到不携带RID的鉴权请求消息#2时，AUSF可以基于本地保存的RID#4(步骤506中保存的)进行后续动作。示例性的，第一请求为“Nudm_UE_AKMA_Get_Request”。

AUSF接收AMF发送的鉴权请求消息#2后，AUSF判断鉴权请求消息#2中是否携带有RID。如果携带有RID，则执行步骤507。

AUSF接收AMF发送的鉴权请求消息#2后，AUSF确定本地保存有RID相关的参数的情况下，则执行步骤507。

505、AMF基于第一请求中携带的SUPI，确定RID#3。

AMF接收第一请求后，基于该第一请求中携带的SUPI，确定该SUPI对应的RID#3。

在另一种实现方式中，AMF接收第一请求后，首先，基于第一请求中携带的SUPI，确定该SUPI对应的RID#3。其次，AMF基于该RID#3构造SUCI，为了便于区分，将基于RID#2构造的SUCI称为SUCI#3。具体地，AMF使用归属网络(HPLMN)的公钥和UE的SUPI按照与UE相同的方式生成SUCI#3。此时，要求AMF本地存储或者可以获得HPLMN的公钥、公钥标识符等生成SUCI的必要参数。

506、AMF向AUSF发送第一响应，第一响应中携带RID#3。

AMF向AUSF发送第一响应，该第一响应中携带RID#3。

在另一种实现方式中，AMF向AUSF发送的第一响应中携带步骤505中构造的SUCI#3。此时，该第一响应中不携带RID。

示例性的，第一响应为“Nudm_UE_AKMA_Get_Response”。

507、AUSF基于该RID#3生成A-KID#2。

进一步的，AUSF生成Kakma。为了区分，这里生成的Kakma称为Kakma-2。

可选的，当AUSF生成A-KID#2后，AUSF可以向AAnF发送A-KID#2、SUPI和Kakma-2。具体的，可以通过“Naanf_AnchorKey_Register Request”向AAnF发送。AAnF接收该消息后，向AUSF回复“Naanf_AKMA_Register Response”。

步骤507后，可选的，AUSF可以删除A-KID#2。

步骤507后，可选的，在AUSF保存A-KID#2以方便获得RID#2的情况下，AUSF可以不删除A-KID#2。

步骤507后，AUSF可以删除Kakma-2。

步骤507后，可选的，当AUSF删除A-KID#2后，可以保存SUPI和/或RID#3。

本申请实施例中，在AKMA流程中，AUSF可以从AMF中获取RID。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID生成新的A-KID，保证AKMA流程的成功执行。

在前述实施例的基础上，请参阅图6，图6为本申请实施例中又一种密钥标识的生成方法的实施例示意图。本申请实施例提出的一种密钥标识的生成方法，包括：

601、AUSF接收AMF发送的鉴权请求消息#1，该鉴权请求消息#1中携带SUCI。

602、AUSF基于SUCI中的RID#1生成A-KID#1。

步骤601-602与前述步骤501-502类似，此处不作赘述。

603、AUSF基于鉴权请求消息#1向AMF发送第一鉴权请求响应，第一鉴权请求响应携带AKMA业务指示信息。

AUSF基于鉴权请求消息#1进行该UE的鉴权操作。当鉴权成功，则AUSF向AMF发送第一鉴权请求响应，该第一鉴权请求响应中携带用于指示该UE支持AKMA业务的指示信息(indication)，该指示信息(indication)可以AUSF自己生成。该指示信息也可以将从UDM收到的指示信息直接转发给AMF，比如将AKMA ID(或AKMA indication)发给AMF。该指示信息可以为值为0或者1的指示信息，比如当值为1时表示支持AKMA业务，当值为0时表示不支持AKMA业务。再比如，当值为1时表示支持AKMA业务，当不出现的时候表示不支持AKMA业务。也可以为字符串形式“AKMA”，或者枚举类型<AKMA enable>，<AKMA disable>。其可以通过是否出现表示是否支持AKMA业务，也可以通过具体含义指示是否支持AKMA业务。

示例性的，该第一鉴权请求响应为“Nausf_UEAuthentication_Authenticate Response”，该消息携带EAP-success消息或者携带告知AMF是否对UE鉴权成功的指示信息。

604、AMF确定UE是否支持AKMA业务。

AMF获取该第一鉴权请求响应后，AMF保存该AKMA业务指示信息。比如，保存该AKMA业务指示信息与该UE的SUPI的关联关系。

605、AUSF接收AMF发送的鉴权请求消息#2，鉴权请求消息#2携带SUPI和RID。

AMF向AUSF发送鉴权请求消息#2前，AMF检查该UE是否支持AKMA业务，如果确定该UE支持AKMA业务，则该鉴权请求消息#2中携带RID#2。该RID#2由AMF基于该UE的SUPI确定。AMF基于该本地是否保存有AKMA业务指示信息确定UE是否支持AKMA业务。具体地，如果AMF本地保存有AKMA业务指示信息，则确定该UE支持AKMA业务。如果AMF本地没有保存AKMA业务指示信息，则确定该UE不支持AKMA业务。

在AMF确定UE支持AKMA业务的情况下，继续执行步骤606。

在另一种实现方式中，AMF确定该SUPI对应的RID。其次，AMF基于该RID构造SUCI。在鉴权请求消息#2中携带该构造的SUCI#3。可选的，此时该鉴权请求消息#2中不携带SUCI和RID。具体地，AMF使用HPLMN的公钥和UE的SUPI按照与UE相同的方式生成SUCI#3。此时，要求AMF本地存储或者可以获得HPLMN的公钥、公钥标识符等生成SUCI的必要参数。

示例性的，鉴权请求消息#2为“Nausf_UEAuthentication_Authenticate request”。

606、AUSF向AMF发送第二鉴权请求响应，第二鉴权请求响应携带AKMA业务指示信息。

当AUSF基于鉴权请求消息#2完成该UE的鉴权操作后，AUSF向AMF发送第二鉴权请求响应，该第二鉴权请求响应携带AKMA业务指示信息。此方法又称为显式的携带，显式的携带意味着每次都要发AKMA业务指示信息给AMF，AMF并进行检查该UE的AKMA业务指示信息是否依然存在，如果存在则可以不更新已有的UE上下文信息，或者重新存储AKMA业务指示信息。如果AKMA业务指示信息不存在，则AMF可以认为该UE不再支持AKMA业务，则可以删除UE上下文中的AKMA业务指示信息。

可选的，该第二鉴权请求响应中也可以不携带AKMA业务指示信息。则AMF可以理解为该UE一直支持AKMA业务。当UE不再支持AKMA业务的时候，AUSF发送一个AKMA业务取消指示信息，该指示信息表示UE不再支持AKMA业务。该AKMA业务取消指示信息可以与AKMA业务指示信息共同一个比特位信息。比如当值为0时，表示UE不支持AKMA业务，当值为1时，表示UE支持AKMA业务。AMF在收到AKMA业务取消指示信息后，AMF更新UE上下文信息，删除AKMA业务指示信息。该方法可以简化AUSF传递给AMF消息的复杂度，也同时降低了AMF处理的复杂度。

607、当鉴权请求消息#2中携带SUPI和RID#3时，AUSF基于该RID#3生成A-KID#2。

步骤607后，进一步的，AUSF生成Kakma。为了区分，这里生成的Kakma称为Kakma-2。

步骤607后，可选的，AUSF可以删除Kakma-2。

本申请实施例中，在AKMA流程中，AMF判断UE支持AKMA业务的情况下，AMF可以在鉴权请求消息中携带RID，AUSF从该鉴权请求消息中获取RID。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID生成新的A-KID，保证AKMA流程的成功执行。

在前述实施例的基础上，还可以由UDM提供RID。具体的，请参阅图7，图7为本申请实施例中又一种密钥标识的生成方法的实施例示意图。本申请实施例提出的一种密钥标识的生成方法，包括：

701、AUSF接收AMF发送的鉴权请求消息#1，该鉴权请求消息#1中携带SUCI。

步骤701与前述步骤501类似，此处不作赘述。

702、AUSF向UDM发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带SUCI。

AUSF接收AMF发送的鉴权请求消息#1后，AUSF向UDM发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带SUCI。该鉴权向量获取请求消息#1用于获取RID#2。

示例性的，该鉴权向量获取请求消息#1为“Nudm_UE_Authentication_Get_Request”。

703、UDM向AUSF发送鉴权向量获取响应消息#1，鉴权向量获取响应消息#1不携带RID。

UDM接收该鉴权向量获取请求消息#1后，UDM向AUSF发送鉴权向量获取响应消息#1，该鉴权向量获取响应消息#1中不携带RID。

示例性的，该鉴权向量获取响应消息#1为“Nudm_UE_Authentication_Get_Response”。当AUSF接收来自UDM的鉴权向量获取响应消息#1后，AUSF对该UE(与该鉴权请求消息#1对应的UE)进行鉴权操作。当鉴权成功，则AUSF向AMF发送鉴权请求响应(authentication success)。

可选的，该鉴权向量获取响应消息#1中还携带鉴权向量(authentication vector，AV)。

704、AUSF生成A-KID#1。

步骤704与前述步骤502类似，此处不作赘述。

705、AUSF接收AMF发送的鉴权请求消息#2。

AUSF接收AMF发送的鉴权请求消息#2。该鉴权请求消息#2中携带SUPI，则进入步骤706。

可选的，AUSF接收鉴权请求消息#2后，AUSF可以向UDM发送鉴权向量获取请求消息#2，该鉴权向量获取请求消息#2携带该SUPI。该鉴权向量获取请求消息#2可以是：“Nudm_UE_Authentication_Get_Request”。

UDM接收AUSF发送的鉴权向量获取请求消息#2后。AUSF根据该鉴权向量获取响应消息#2中携带的认证和密钥管理指示信息，确定该UE支持AKMA业务。AUSF确定需要生成该UE的A-KID。UDM向AUSF发送鉴权向量获取响应消息#2，该鉴权向量获取响应消息#2中携带鉴权向量(authentication vector，AV)。该鉴权向量获取响应消息#2中不携带RID。

可选的，该鉴权向量获取响应消息#2中还携带认证和密钥管理指示信息AKMA indication。

示例性的，该鉴权向量获取响应消息#2为“Nudm_UE_Authentication_Get_Response”。

当AUSF接收来自UDM的鉴权向量获取响应消息#2后，AUSF对该UE(与该鉴权请求消息#2对应的UE)进行鉴权操作。当鉴权成功，则AUSF向AMF发送鉴权请求响应(authentication success)。

进一步的，AUSF基于该SUPI，生成Kakma。

706、AUSF向UDM发送第二请求，第二请求中携带SUPI。

可选的，第二请求中携带一个需要RID的指示信息。

AUSF接收鉴权请求消息#2后，AUSF向UDM发送第二请求，该第二请求用于向UDM请求RID#2。

可选的，AUSF在生成生成Kakma后，AUSF向UDM发送第二请求。

可选的，AUSF向AMF发送鉴权请求响应后，即AUSF完成UE的鉴权后，AUSF向UDM发送第二请求。

示例性的，该第二请求为“Nudm_UE_AKMA_Get_Request”。

AUSF接收AMF发送的鉴权请求消息#2后，AUSF检测鉴权请求消息#2中是否携带有RID#2。可选的，AUSF还检测AUSF本地是否保存有RID#4相关的参数(例如RID#4、SUCI和/或A-KID#1)。

如果鉴权请求消息#2没有RID#3相关的参数，则AUSF向UDM发送第二请求，该第二请求用于请求RID。该第二请求中携带SUPI，该SUPI为鉴权请求消息#2中携带的SUPI。可选的，进一步地，如果鉴权请求消息#2和AUSF本地均没有RID(RID#3与RID#4)相关的参数，则AUSF向UDM发送第二请求，该第二请求用于请求RID。

可选的，第二请求中携带一个需要RID的指示信息。

具体地，AUSF在接收UDM发送的鉴权向量获取响应消息#2后，AUSF确定该UE支持AKMA业务后，AUSF没有在鉴权请求消息#2中收到RID#3，和/或AUSF本地没有保存有RID#4，则AUSF向UDM发送该第二请求。

步骤706中，AUSF接收AMF发送的鉴权请求消息#2后，存在两种可选的实现方案，下面分别进行描述：

方案一：AUSF每次接收鉴权请求消息#2后，检测该鉴权请求消息#2中是否携带RID。可选的，AUSF还检测AUSF本地是否保存有RID#4相关的参数(例如RID#4、SUCI和/或A-KID#1)。当检测结果为鉴权请求消息#2中没有RID#3(鉴权请求消息#2中没有RID且，AUSF本地没有RID#4相关的参数)，则AUSF向UDM发送第二请求。步骤708中，AUSF不保存来自UDM的第二响应中携带的RID#1。即AUSF每次接收鉴权请求消息#2后，都会检测该鉴权请求消息#2中是否携带RID#3，如果不携带，则AUSF向UDM发送第二请求。

方案二：AUSF接收鉴权请求消息#2后，检测该鉴权请求消息#2中是否携带RID。可选的，AUSF还检测AUSF本地是否保存有RID#4相关的参数(例如RID#4、SUCI和/或A-KID#1)。当检测结果为鉴权请求消息#2中没有RID#3(或者鉴权请求消息#2中没有 RID#1，且AUSF本地没有RID#4相关的参数)，则AUSF向UDM发送第二请求。步骤708中，AUSF保存来自UDM的第二响应中携带的RID#2。即AUSF第一次接收到不携带RID的鉴权请求消息#2后，AUSF向UDM发送第二请求。步骤708中AUSF会保存AMF基于该第二请求返回的RID#3。后续步骤中当AUSF再次接收到不携带RID的鉴权请求消息#2时，AUSF可以基于本地保存的RID#4(步骤708中保存的)进行后续动作。示例性的，第二请求为“Nudm_UE_AKMA_Get_Request”。

AUSF接收AMF发送的鉴权请求消息#2后，AUSF判断鉴权请求消息#2中是否携带有RID#3。如果携带有RID#3，则执行步骤709。

AUSF接收AMF发送的鉴权请求消息#2后，AUSF判断本地保存有RID#4相关的参数的情况下，则执行步骤709。

707、UDM基于第二请求中携带的SUPI，确定RID#2。

UDM接收第一请求后，基于该第二请求中携带的SUPI，确定该SUPI对应的RID#2。

708、UDM向AUSF发送第二响应，第二响应携带RID#2。

UDM向AUSF发送第二响应，该第二响应中携带RID#2。

示例性的，第二响应为“Nudm_UE_AKMA_Get_Response”。

709、当鉴权请求消息#2中携带SUPI时，AUSF基于RID#2生成A-KID#2。

进一步的，AUSF基于生成Kakma。为了区分，这里生成的Kakma称为Kakma-2。

步骤709后，AUSF可以删除A-KID#2。

步骤709后，可选的，AUSF可以删除Kakma-2。

在前述实施例的基础上，请参阅图8，图8为本申请实施例中又一种密钥标识的生成方法的实施例示意图。本申请实施例提出的一种密钥标识的生成方法，包括：

801、AUSF接收AMF发送的鉴权请求消息#1，该鉴权请求消息#1中携带SUCI。

802、AUSF向UDM发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带SUCI。

步骤801-802与前述步骤701-702类似，此处不作赘述。

803、UDM基于鉴权向量获取请求消息#1中携带的SUCI，确定RID#1。

UDM基于该鉴权向量获取请求消息#1中携带的SUCI确定RID#1后，UDM存储该RID#1，UDM中存储的RID#1称为RID#2。

进一步地，UDM存储RID#2和，RID#2与SUPI的关联关系。

可选的，UDM存储RID#2，SUCI，和，RID#1与SUCI的关联关系。进一步地，UDM存储RID#2与SUCI与SUPI的关联关系。

可选的，UDM存储SUCI，即UDM不单独存储RID#2。进一步地，UDM存储SUCI和，SUCI与SUPI的关联关系。

可选的，当RID的值为缺省值时，步骤803中UDM可以不存储RID#1。则步骤805中AUSF基于该缺省值生成A-KID#1。

804、UDM向AUSF发送鉴权向量获取响应消息#1，鉴权向量获取响应消息#1携带RID#2。

进一步地，UDM在确定该UE支持AKMA业务后，在鉴权向量获取响应消息#1中携带RID#2。UDM向AUSF发送鉴权向量获取响应消息#1，该鉴权向量获取响应消息#1携带RID#2。

可选的，该鉴权向量获取响应消息#1不携带RID。

AUSF接收鉴权请求消息#1后，AUSF可以向UDM发送鉴权向量获取请求消息#1，该鉴权向量获取请求消息#1携带该SUCI。该鉴权向量获取请求消息#1可以是：“Nudm_UE_Authentication_Get_Request”。

UDM接收AUSF发送的鉴权向量获取请求消息#1后。UDM向AUSF发送鉴权向量获取响应消息#1，该鉴权向量获取响应消息#1中携带RID#2。该鉴权向量获取响应消息#1中还携带鉴权向量(authentication vector，AV)。可选的，该鉴权向量获取响应消息#1中还携带认证和密钥管理指示信息AKMA indication。可选的，AUSF记录该UE支持AKMA业务，比如AUSF存储AKMA indication。进一步地，AUSF存储AKMA indication和SUPI的关联关系。示例性的，该鉴权向量获取响应消息#1为“Nudm_UE_Authentication_Get_Response”。

当AUSF接收来自UDM的鉴权向量获取响应消息#1后，AUSF对该UE(与该鉴权请求消息#1对应的UE)进行鉴权操作。当鉴权成功，则AUSF向AMF发送鉴权请求响应(authentication success)。

805、AUSF基于RID生成A-KID#1。

AUSF接收鉴权请求消息#1后，AUSF基于该鉴权请求消息#1中的SUCI中的RID#1，生成A-KID#1。

可选的，AUSF基于鉴权向量获取响应消息#1中携带的RID#2，生成A-KID#1。

可选的，当AUSF生成A-KID#1后，AUSF可以向AAnF发送A-KID#1、SUPI和Kakma。具体的，可以通过“Naanf_AnchorKey_Register Request”向AAnF发送。AAnF接收该消息后，向AUSF回复“Naanf_AKMA_Register Response”。

806、AUSF接收AMF发送的鉴权请求消息#2。

807、AUSF向UDM发送鉴权向量获取请求消息#2，鉴权向量获取请求消息#2中携带SUPI。

AUSF接收鉴权请求消息#2后，AUSF向UDM发送鉴权向量获取请求消息#2，该鉴权向量获取请求消息#2携带该SUPI。该鉴权向量获取请求消息可以是：“Nudm_UE_Authentication_Get_Request”。

鉴权向量获取请求消息#2中携带指示信息，该指示信息用于向UDM请求下发RID#2。具体地，AUSF查看是否有存储记录该UE支持AKMA业务，如果确定该UE支持AKMA业务，则在鉴权向量获取请求消息#2中携带指示信息。

具体地，AUSF接收AMF发送的鉴权请求消息#2后，AUSF检测鉴权请求消息#2中是否携带有RID#3。可选的，AUSF还检测AUSF本地是否保存有RID#4相关的参数(例如RID#4、SUCI和/或A-KID#1)。

如果鉴权请求消息#2没有RID相关的参数，并且AUSF存储有该UE支持AKMA业务，则AUSF向UDM发送鉴权向量获取请求消息#2，该鉴权向量获取请求消息#2用于请求鉴权向量和RID。具体的，该鉴权向量获取请求消息#2中携带SUPI和指示信息。该指示信息用于向UDM请求下发RID#2。

808、UDM基于鉴权向量获取请求消息#2中携带的SUPI，确定RID#2。

UDM接收AUSF发送的鉴权向量获取请求消息#2后。UDM基于该鉴权向量获取请求消息#2中携带的SUPI，确定RID#2。

UDM根据该鉴权向量获取请求消息#2中携带的指示信息，确定该SUPI对应的RID#2。

809、UDM向AUSF发送鉴权向量获取响应消息#2，鉴权向量获取响应消息#2携带RID#2。

UDM向AUSF发送鉴权向量获取响应消息#2，该鉴权向量获取响应消息#2中携带RID#2。

该鉴权向量获取响应消息#2中还携带鉴权向量(authentication vector，AV)。

可选的，该鉴权向量获取响应消息#2中还携带认证和密钥管理指示信息AKMA indication。示例性的，该鉴权向量获取响应消息#2为“Nudm_UE_Authentication_Get_Response”。

当AUSF接收来自UDM的鉴权向量获取响应消息#2后，AUSF对该UE(与该鉴权请求消息#1对应的UE)进行鉴权操作。当鉴权成功，则AUSF向AMF发送鉴权请求响应(authentication success)。

810、当鉴权请求消息#2中携带SUPI时，AUSF基于该鉴权向量获取响应消息#2中的RID#2生成A-KID#2。

当鉴权请求消息#2中携带SUPI，AUSF基于该鉴权向量获取响应消息#2中的RID#2生成A-KID#2。该RID#2来自UDM发送的鉴权向量获取响应消息#2。

本申请实施例中，在AKMA流程中，AUSF可以从UDM中获取RID。UDM在现有的鉴权向量获取响应消息中携带该RID。以保证AUSF接收的鉴权向量获取请求消息中携带SUPI时，AUSF可以使用该RID生成新的A-KID，保证AKMA流程的成功执行。

上述主要以方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是，通信装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对通信装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

下面对本申请中的通信装置进行详细描述，请参阅图9，图9为本申请实施例中通信装置的一种实施例示意图。通信装置可以部署于网络设备中，通信装置包括：

收发模块901，用于接收来自接入与移动性管理功能鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

收发模块901，还用于向统一数据管理功能发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带签约隐藏标识符；

收发模块901，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息；

处理模块902，用于根据认证和密钥管理指示信息，基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；

处理模块902，还用于保存路由标识。

在一种可能的实现方式中，收发模块901，还用于接收来自接入与移动性管理功能的鉴权请求消息#2；

处理模块902，还用于在鉴权请求消息#2中携带永久身份标识的情况下，使用保存的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。

在一种可能的实现方式中，处理模块902，还用于基于对终端设备进行鉴权流程中生成的中间密钥，生成认证和密钥管理-密钥临时身份标识；

处理模块902，还用于将路由标识和认证和密钥管理-密钥临时身份标识进行拼接，得到认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，处理模块902，还用于保存认证和密钥管理-密钥临时身份标识#1。

处理模块902，还用于基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1，包括：

处理模块902，还用于基于鉴权向量获取响应消息#1中的路由标识生成认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，处理模块902，还用于保存签约隐藏标识符。

在一种可能的实现方式中，处理模块902，还用于删除认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，处理模块902，还用于删除认证和密钥管理-密钥临时身份标识#2；

处理模块902，还用于继续保存路由标识。

请参阅图10，图10为本申请实施例中通信装置的一种实施例示意图。通信装置可以部署于网络设备中，通信装置包括：

收发模块1001，用于接收来自接入与移动性管理功能的鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

收发模块1001，还用于向统一数据管理功能发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带签约隐藏标识符；

收发模块1001，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息和签约隐藏标识符中的路由标识；

处理模块1002，用于根据认证和密钥管理指示信息，基于路由标识生成认证和密钥管理-密钥临时身份标识#1。

在一种可能的实现方式中，收发模块1001，还用于接收来自接入与移动性管理功能的鉴权请求消息#2；鉴权请求消息#2包括永久身份标识；

收发模块1001，还用于向统一数据管理功能发送鉴权向量获取请求消息#2，鉴权向量获取请求消息#2中携带永久身份标识；

收发模块1001，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括路由标识；

处理模块1002，还用于使用路由标识生成新的认证和密钥管理-密钥临时身份标识#2。

收发模块1001，还用于根据认证和密钥管理指示信息，从核心网网元获取路由标识；

在一种可能的实现方式中，处理模块1002，还用于根据认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识#2；

收发模块1001，还用于在鉴权管理功能本地没有路由标识的情况下，从核心网网元获取路由标识。

在一种可能的实现方式中，收发模块1001，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括认证和密钥管理指示信息。

请参阅图11，图11为本申请实施例中通信装置的一种实施例示意图。通信装置可以部署于网络设备中，通信装置包括：

收发模块1101，用于接收来自接入与移动性管理功能的鉴权请求消息#1，鉴权请求消息#1中携带签约隐藏标识符，签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

收发模块1101，还用于向统一数据管理功能发送鉴权向量获取请求消息#1，鉴权向量获取请求消息#1中携带签约隐藏标识符；

收发模块1101，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#1，鉴权向量获取响应消息#1包括认证和密钥管理指示信息；

处理模块1102，用于根据认证和密钥管理指示信息，基于签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；

收发模块1101，还用于接收来自接入与移动性管理功能的鉴权请求消息#2；其中，鉴权请求消息#2包括永久身份标识和路由标识；

处理模块1102，还用于使用从接入与移动性管理功能接收到的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。

在一种可能的实现方式中，收发模块1101，还用于向统一数据管理功能发送鉴权向量获取请求消息#2，其中，鉴权向量获取请求消息#2中携带永久身份标识；

收发模块1101，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2。

在一种可能的实现方式中，收发模块1101，还用于向接入与移动性管理功能发送第一鉴权请求响应；第一鉴权请求响应包括第一指示信息，第一指示信息用于指示终端设备支持应用的认证和密钥管理业务。

在一种可能的实现方式中，处理模块1102，还用于基于鉴权向量获取响应消息#1中的路由标识生成认证和密钥管理-密钥临时身份标识#1。

请参阅图12，图12为本申请实施例中通信装置的一种实施例示意图。通信装置可以部署于网络设备中，通信装置包括：

收发模块1201，用于接收来自接入与移动性管理功能的鉴权请求消息#2；鉴权请求消息#2包括永久身份标识；

收发模块1201，还用于向统一数据管理功能发送鉴权向量获取请求消息#2，鉴权向量获取请求消息#2中携带永久身份标识；

收发模块1201，还用于接收来自统一数据管理功能的鉴权向量获取响应消息#2，鉴权向量获取响应消息#2包括认证和密钥管理指示信息；

处理模块1202，还用于根据认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识；

收发模块1201，还用于在鉴权管理功能本地没有路由标识的情况下，从核心网网元获取路由标识；

处理模块1202，还用于使用路由标识生成认证和密钥管理-密钥临时身份标识#2。

可选地，上述通信装置还可以包括存储单元，该存储单元用于存储数据和/或指令(也可以称为代码或者程序)。上述各个单元可以和存储单元交互或者耦合，以实现对应的方法或者功能。例如，处理模块1202可以读取存储单元中的数据或者指令，使得通信装置实现上述实施例中的方法。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。

本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

在一个例子中，以上任一通信装置中的单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，ASIC)，或，一个或多个微处理器(digital singnal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)，或这些集成电路形式中至少两种的组合。再如，当通信装置中的单元可以通过处理元件调度程序的形式实现时，该处理元件可以是通用处理器，例如中央处理器(central processing unit，CPU)或其它可以调用程序的处理器。再如，这些单元可以集成在一起，以片上***(system-on-a-chip，SOC)的形式实现。

本申请还提供一种通信***，其包括网络设备或终端设备中的至少一种或多种。

本申请实施例还提供的一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机控制网络设备或终端设备执行如前述方法实施例所示任一项实现方式。

本申请实施例还提供的一种计算机程序产品，计算机程序产品包括计算机程序代码，当计算机程序代码在计算机上运行时，使得计算机执行如前述方法实施例所示任一项实现方式。

本申请实施例还提供一种芯片***，包括存储器和处理器，存储器用于存储计算机程序，处理器用于从存储器中调用并运行计算机程序，使得芯片执行如前述方法实施例所示任一项实现方式。

本申请实施例还提供一种芯片***，包括处理器，处理器用于调用并运行计算机程序，使得芯片执行如前述方法实施例所示任一项实现方式。

本申请实施例提供的技术方案可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、AI节点、接入网设备、终端设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，DVD))、或者半导体介质等。

在本申请实施例中，在无逻辑矛盾的前提下，各实施例之间可以相互引用，例如方法实施例之间的方法和/或术语可以相互引用，例如装置实施例之间的功能和/或术语可以相互引用，例如装置实施例和方法实施例之间的功能和/或术语可以相互引用。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种密钥标识的生成方法，其特征在于，包括：

鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#1，所述鉴权请求消息#1中携带签约隐藏标识符，所述签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

所述鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#1，所述鉴权向量获取请求消息#1中携带所述签约隐藏标识符；

所述鉴权管理功能接收来自所述统一数据管理功能的鉴权向量获取响应消息#1，所述鉴权向量获取响应消息#1包括认证和密钥管理指示信息；

根据所述认证和密钥管理指示信息，所述鉴权管理功能基于所述签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；

所述鉴权管理功能保存所述路由标识。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述鉴权管理功能接收来自所述接入与移动性管理功能的鉴权请求消息#2；

在所述鉴权请求消息#2中携带所述永久身份标识的情况下，所述鉴权管理功能使用所述保存的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求1或2所述的方法，其特征在于，所述鉴权管理功能基于所述签约隐藏标识符中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1，包括：

所述鉴权管理功能基于对所述终端设备进行鉴权流程中生成的中间密钥，生成认证和密钥管理-终端设备临时标识；

所述鉴权管理功能将所述路由标识和所述认证和密钥管理-终端设备临时标识获得所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求3所述的方法，其特征在于，所述鉴权管理功能保存所述路由标识，包括：

所述鉴权管理功能保存所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求1或2所述的方法，其特征在于，所述鉴权向量获取响应消息#1中还包括所述路由标识；

所述鉴权管理功能基于所述签约隐藏标识符中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1，包括：

所述鉴权管理功能基于所述鉴权向量获取响应消息#1中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求1或2所述的方法，其特征在于，所述鉴权管理功能保存所述路由标识，包括：

所述鉴权管理功能保存所述签约隐藏标识符。
根据权利要求1-6中任一项所述的方法，其特征在于，所述鉴权管理功能保存所述路由标识之后，所述方法还包括：

所述鉴权管理功能向删除所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求2-7中任一项所述的方法，其特征在于，所述鉴权管理功能基于所述保存的路由标识生成所述认证和密钥管理-密钥临时身份标识#2之后，所述方法还包括：

所述鉴权管理功能删除所述认证和密钥管理-密钥临时身份标识#2；

所述鉴权管理功能继续保存所述路由标识。
一种密钥标识的生成方法，其特征在于，包括：

鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#1，所述鉴权请求消息#1中携带签约隐藏标识符，所述签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

所述鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#1，所述鉴权向量获取请求消息#1中携带所述签约隐藏标识符；

所述鉴权管理功能接收来自所述统一数据管理功能的鉴权向量获取响应消息#1，所述鉴权向量获取响应消息#1包括认证和密钥管理指示信息和所述签约隐藏标识符中的路由标识；

根据所述认证和密钥管理指示信息，所述鉴权管理功能基于所述路由标识生成认证和密钥管理-密钥临时身份标识#1。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

所述鉴权管理功能接收来自所述接入与移动性管理功能的鉴权请求消息#2；所述鉴权请求消息#2包括所述永久身份标识；

所述鉴权管理功能向所述统一数据管理功能发送鉴权向量获取请求消息#2，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述鉴权管理功能接收来自所述统一数据管理功能的鉴权向量获取响应消息#2，所述鉴权向量获取响应消息#2包括所述路由标识；

所述鉴权管理功能使用所述路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求9所述的方法，其特征在于，所述方法还包括：

所述鉴权管理功能接收来自所述接入与移动性管理功能的鉴权请求消息#2；所述鉴权请求消息#2包括所述永久身份标识；

所述鉴权管理功能向所述统一数据管理功能发送鉴权向量获取请求消息#2，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述鉴权管理功能根据所述认证和密钥管理指示信息，从核心网网元获取所述路由标识；

所述鉴权管理功能使用所述路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求11所述的方法，其特征在于，所述鉴权管理功能根据所述认证和密钥管理指示信息，从其他核心网网元获取所述路由标识，包括：

所述鉴权管理功能根据所述认证和密钥管理指示信息，确定需要生成所述认证和密钥管理-密钥临时身份标识#2；

在所述鉴权管理功能本地没有所述路由标识的情况下，所述鉴权管理功能从所述核心网网元获取所述路由标识。
根据权利要求11或12所述的方法，其特征在于，所述核心网网元包括所述统一数据管理功能或者所述接入与移动性管理功能。
根据权利要求11所述的方法，其特征在于，在所述鉴权管理功能根据所述认证和密钥管理指示信息，从所述核心网网元获取路由标识之前，所述方法还包括：

所述鉴权管理功能接收来自所述统一数据管理功能的鉴权向量获取响应消息#2，所述鉴权向量获取响应消息#2包括所述认证和密钥管理指示信息。
一种密钥标识的生成方法，其特征在于，包括：

鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#1，所述鉴权请求消息#1中携带签约隐藏标识符，所述签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

所述鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#1，所述鉴权向量获取请求消息#1中携带所述签约隐藏标识符；

所述鉴权管理功能接收来自所述统一数据管理功能的鉴权向量获取响应消息#1，所述鉴权向量获取响应消息#1包括认证和密钥管理指示信息；

根据所述认证和密钥管理指示信息，所述鉴权管理功能基于所述签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；

所述鉴权管理功能接收来自所述接入与移动性管理功能的鉴权请求消息#2；其中，所述鉴权请求消息#2包括所述永久身份标识和所述路由标识；

所述鉴权管理功能使用从所述接入与移动性管理功能接收到的所述路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求15所述的方法，其特征在于，在所述鉴权管理功能使用从所述接入与移动性管理功能接收到的所述路由标识生成新的所述认证和密钥管理-密钥临时身份标识#2之前，所述方法还包括：

所述鉴权管理功能向所述统一数据管理功能发送鉴权向量获取请求消息#2，其中，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述鉴权管理功能接收来自所述统一数据管理功能的鉴权向量获取响应消息#2。
根据权利要求15或16所述的方法，其特征在于，在所述鉴权管理功能接收来自所述接入与移动性管理功能的所述鉴权请求消息#2之前，所述方法还包括：

所述鉴权管理功能向所述接入与移动性管理功能发送第一鉴权请求响应；所述第一鉴权请求响应包括第一指示信息，所述第一指示信息用于指示所述终端设备支持应用的认证和密钥管理业务。
根据权利要求15-17任一所述的方法，其特征在于，所述鉴权向量获取响应消息#1中还包括所述路由标识；

所述鉴权管理功能基于所述签约隐藏标识符中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1，包括：

所述鉴权管理功能基于所述鉴权向量获取响应消息#1中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1。
一种密钥标识的生成方法，其特征在于，包括：

鉴权管理功能接收来自接入与移动性管理功能的鉴权请求消息#2；所述鉴权请求消息#2包括永久身份标识；

所述鉴权管理功能向统一数据管理功能发送鉴权向量获取请求消息#2，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述鉴权管理功能接收来自所述统一数据管理功能的鉴权向量获取响应消息#2，所述鉴权向量获取响应消息#2包括认证和密钥管理指示信息；

所述鉴权管理功能根据所述认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识；

在所述鉴权管理功能本地没有路由标识的情况下，所述鉴权管理功能从核心网网元获取所述路由标识；

所述鉴权管理功能使用所述路由标识生成认证和密钥管理-密钥临时身份标识#2。
根据权利要求19所述的方法，其特征在于，所述核心网网元包括所述统一数据管理功能或者所述接入与移动性管理功能。
一种通信装置，其特征在于，包括：

收发模块，用于接收来自接入与移动性管理功能的鉴权请求消息#1，所述鉴权请求消息#1中携带签约隐藏标识符，所述签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

所述收发模块，还用于向统一数据管理功能发送鉴权向量获取请求消息#1，所述鉴权向量获取请求消息#1中携带所述签约隐藏标识符；

所述收发模块，还用于接收来自所述统一数据管理功能的鉴权向量获取响应消息#1，所述鉴权向量获取响应消息#1包括认证和密钥管理指示信息；

处理模块，用于根据所述认证和密钥管理指示信息，基于所述签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；

所述处理模块，还用于保存所述路由标识。
根据权利要求21所述的通信装置，其特征在于，

所述收发模块，还用于接收来自所述接入与移动性管理功能的鉴权请求消息#2；

所述处理模块，还用于在所述鉴权请求消息#2中携带所述永久身份标识的情况下，使用所述保存的路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求21或22所述的通信装置，其特征在于，

所述处理模块，还用于基于对所述终端设备进行鉴权流程中生成的中间密钥，生成认证和密钥管理-终端设备临时标识；

所述处理模块，还用于将所述路由标识和所述认证和密钥管理-终端设备临时标识获得所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求23所述的通信装置，其特征在于，

所述处理模块，还用于保存所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求21或22所述的通信装置，其特征在于，所述鉴权向量获取响应消息#1中还包括所述路由标识；

所述处理模块，还用于基于所述签约隐藏标识符中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1，包括：

所述处理模块，还用于基于所述鉴权向量获取响应消息#1中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求21或22所述的通信装置，其特征在于，

所述处理模块，还用于保存所述签约隐藏标识符。
根据权利要求21-26中任一项所述的通信装置，其特征在于，所

所述处理模块，还用于删除所述认证和密钥管理-密钥临时身份标识#1。
根据权利要求22-27中任一项所述的通信装置，其特征在于，

所述处理模块，还用于删除所述认证和密钥管理-密钥临时身份标识#2；

所述处理模块，还用于继续保存所述路由标识。
一种通信装置，其特征在于，包括：

收发模块，用于接收来自接入与移动性管理功能的鉴权请求消息#1，所述鉴权请求消息#1中携带签约隐藏标识符，所述签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

所述收发模块，还用于向统一数据管理功能发送鉴权向量获取请求消息#1，所述鉴权向量获取请求消息#1中携带所述签约隐藏标识符；

所述收发模块，还用于接收来自所述统一数据管理功能的鉴权向量获取响应消息#1，所述鉴权向量获取响应消息#1包括认证和密钥管理指示信息和所述签约隐藏标识符中的路由标识；

处理模块，用于根据所述认证和密钥管理指示信息，基于所述路由标识生成认证和密钥管理-密钥临时身份标识#1。
根据权利要求29所述的通信装置，其特征在于，

所述收发模块，还用于接收来自所述接入与移动性管理功能的鉴权请求消息#2；所述鉴权请求消息#2包括所述永久身份标识；

所述收发模块，还用于向所述统一数据管理功能发送鉴权向量获取请求消息#2，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述收发模块，还用于接收来自所述统一数据管理功能的鉴权向量获取响应消息#2，所述鉴权向量获取响应消息#2包括所述路由标识；

所述处理模块，还用于使用所述路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求29所述的通信装置，其特征在于，

所述收发模块，还用于接收来自所述接入与移动性管理功能的鉴权请求消息#2；所述鉴权请求消息#2包括所述永久身份标识；

所述收发模块，还用于向所述统一数据管理功能发送鉴权向量获取请求消息#2，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述收发模块，还用于根据所述认证和密钥管理指示信息，从核心网网元获取所述路由标识；

所述处理模块，还用于使用所述路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求31所述的通信装置，其特征在于，

所述处理模块，还用于根据所述认证和密钥管理指示信息，确定需要生成所述认证和密钥管理-密钥临时身份标识#2；

所述收发模块，还用于在鉴权管理功能本地没有所述路由标识的情况下，从所述核心网网元获取所述路由标识。
根据权利要求31或32所述的通信装置，其特征在于，所述核心网网元包括所述统一数据管理功能或者所述接入与移动性管理功能。
根据权利要求31所述的通信装置，其特征在于，

所述收发模块，还用于接收来自所述统一数据管理功能的鉴权向量获取响应消息#2，所述鉴权向量获取响应消息#2包括所述认证和密钥管理指示信息。
一种通信装置，其特征在于，包括：

收发模块，用于接收来自接入与移动性管理功能的鉴权请求消息#1，所述鉴权请求消息#1中携带签约隐藏标识符，所述签约隐藏标识符为基于终端设备的永久身份标识生成的用户隐藏标识；

所述收发模块，还用于向统一数据管理功能发送鉴权向量获取请求消息#1，所述鉴权向量获取请求消息#1中携带所述签约隐藏标识符；

所述收发模块，还用于接收来自所述统一数据管理功能的鉴权向量获取响应消息#1，所述鉴权向量获取响应消息#1包括认证和密钥管理指示信息；

处理模块，用于根据所述认证和密钥管理指示信息，基于所述签约隐藏标识符中的路由标识生成认证和密钥管理-密钥临时身份标识#1；

所述收发模块，还用于接收来自所述接入与移动性管理功能的鉴权请求消息#2；其中，所述鉴权请求消息#2包括所述永久身份标识和路由标识；

所述处理模块，还用于使用从所述接入与移动性管理功能接收到的所述路由标识生成新的认证和密钥管理-密钥临时身份标识#2。
根据权利要求35所述的通信装置，其特征在于，

所述收发模块，还用于向所述统一数据管理功能发送鉴权向量获取请求消息#2，其中，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述收发模块，还用于接收来自所述统一数据管理功能的鉴权向量获取响应消息#2。
根据权利要求35或36所述的通信装置，其特征在于，

所述收发模块，还用于向所述接入与移动性管理功能发送第一鉴权请求响应；所述第一鉴权请求响应包括第一指示信息，所述第一指示信息用于指示所述终端设备支持应用的认证和密钥管理业务。
根据权利要求35-37任一所述的通信装置，其特征在于，

所述处理模块，还用于基于所述鉴权向量获取响应消息#1中的所述路由标识生成所述认证和密钥管理-密钥临时身份标识#1。
一种通信装置，其特征在于，包括：

收发模块，用于接收来自接入与移动性管理功能的鉴权请求消息#2；所述鉴权请求消息#2包括永久身份标识；

所述收发模块，还用于向所述统一数据管理功能发送鉴权向量获取请求消息#2，所述鉴权向量获取请求消息#2中携带所述永久身份标识；

所述收发模块，还用于接收来自所述统一数据管理功能的鉴权向量获取响应消息#2，所述鉴权向量获取响应消息#2包括认证和密钥管理指示信息；

所述处理模块，还用于根据所述认证和密钥管理指示信息，确定需要生成认证和密钥管理-密钥临时身份标识；

所述收发模块，还用于在所述鉴权管理功能本地没有路由标识的情况下，从核心网网元获取所述路由标识；

所述处理模块，还用于使用所述路由标识生成认证和密钥管理-密钥临时身份标识#2。
根据权利要求39所述的通信装置，其特征在于，所述核心网网元包括所述统一数据管理功能或者所述接入与移动性管理功能。
一种通信装置，其特征在于，所述通信装置包括：处理器；

所述处理器，用于执行存储器中存储的计算机程序或指令，以使所述通信装置执行如权利要求1-8中任一项所述的方法。
一种通信装置，其特征在于，所述通信装置包括：处理器；

所述处理器，用于执行存储器中存储的计算机程序或指令，以使所述通信装置执行如权利要求9-14中任一项所述的方法。
一种通信装置，其特征在于，所述通信装置包括：处理器；

所述处理器，用于执行存储器中存储的计算机程序或指令，以使所述通信装置执行如权利要求15-18中任一项所述的方法。
一种通信装置，其特征在于，所述通信装置包括：处理器；

所述处理器，用于执行存储器中存储的计算机程序或指令，以使所述通信装置执行如权利要求19-20中任一项所述的方法。
一种通信***，其特征在于，包括：权利要求21-28中任一项所述的通信装置和权利要求41所述的通信装置。
一种通信***，其特征在于，包括：权利要求29-34中任一项所述的通信装置和权利要求42所述的通信装置。
一种通信***，其特征在于，包括：权利要求35-38中任一项所述的通信装置和权利要求43所述的通信装置。
一种通信***，其特征在于，包括：权利要求39-40中任一项所述的通信装置和权利要求44所述的通信装置。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质具有程序指令，当所述程序指令被直接或者间接执行时，使得如权利要求1-7，权利要求8-15，权利要求9-14，权利要求15-18，和/或权利要求19-20中任一所述的方法被实现。
一种芯片***，其特征在于，所述芯片***包括至少一个处理器，所述处理器用于执行存储器中存储的计算机程序或指令，当所述计算机程序或所述指令在所述至少一个处理器中执行时，使得如权利要求1-7，权利要求8-15，权利要求9-14，权利要求15-18，和/或权利要求19-20中任一所述的方法被实现。
一种计算机程序产品，其特征在于，包括指令，当所述指令在计算机上运行时，使得计算机执行权利要求1-7，权利要求8-15，权利要求9-14，权利要求15-18，和/或权利要求19-20中任一项所述的方法。