WO2022048265A1

WO2022048265A1 - 一种应用层密钥确定的方法、终端、网络侧设备及装置

Info

Publication number: WO2022048265A1
Application number: PCT/CN2021/102709
Authority: WO
Inventors: 毕晓宇
Original assignee: 大唐移动通信设备有限公司
Priority date: 2020-09-01
Filing date: 2021-06-28
Publication date: 2022-03-10
Also published as: CN114125834A

Abstract

本发明公开了一种应用层密钥确定的方法、终端、网络侧设备及装置，能够避免在多注册场景下，UE与网络侧选择不同的AUSF密钥导致锚点密钥失步，从而导致应用层密钥失步的问题。该方法包括：若与AF发起生成应用层密钥会话之前，UE通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；所述UE根据选择的AUSF密钥确定应用层密钥。

Description

一种应用层密钥确定的方法、终端、网络侧设备及装置

相关申请的交叉引用

本申请要求在2020年09月01日提交中国专利局、申请号为202010905448.3、申请名称为“一种应用层密钥确定的方法、终端、网络侧设备及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及无线通信技术领域，特别涉及一种应用层密钥确定的方法、终端、网络侧设备及装置。

背景技术

在5G网络中提供用户与接入应用之间的会话安全保护功能，并且提供基于应用的密钥管理方法，简称为应用的认证与密钥管理(Authentication and Key Management for Applications，AKMA)。

在现有AKMA的架构中，对于UE与网络的主认证流程存在多注册场景，在这种多注册的场景下，UE通过不同的接入网络(3GPP网络和非3GPP网络)注册到不同的公共陆地移动网络PLMN，那么UE侧会保存两个基于主认证流程的AUSF密钥，或者UE通过不同的接入网络先后注册到相同的PLMN，那么UE侧和网络侧都会保存两个基于主认证流程的AUSF密钥；目前，若UE或网络侧保存两个基于主认证流程的AUSF密钥的情况下，可能导致UE侧和网络侧的密钥无法匹配，后续应用层密钥K _AF的不同步，影响应用密钥的使用以及应用层保护，最终可能导致完整性保护验证失败。

发明内容

本发明提供一种应用层密钥确定的方法、终端、网络侧设备及装置，能够避免在多注册场景下，UE与网络侧选择不同的AUSF密钥导致锚点密钥失步，从而导致应用层密钥失步的问题。

第一方面，本发明实施例提供的第一种应用层密钥确定的方法，该方法包括：

若与AF发起生成应用层密钥会话之前，UE通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

所述UE根据选择的AUSF密钥确定应用层密钥。

本实施例提供应用层密钥确定的方法，能够解决UE与网络的主认证流程存在多注册的场景下UE选择的密钥和AUSF选择的密钥不同步的问题，能够使得UE与AUSF使用的应用层密钥同步，从而保护应用层传输的数据。

作为一种可能的实施方式，所述UE从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥，包括：

所述UE根据预先配置的与AUSF相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥。

本实施例在终端与网络的主认证流程存在多注册的场景下能够保证UE与网络选择的AUSF密钥是相同的，从而确定的应用层密钥是相同的。一种方式是通过预先配置的方式选择AUSF密钥，另一种方式是通过网络侧的指示信息选择AUSF密钥，两种方式都能够保证UE侧和网络侧使用的AUSF密钥相同，从而保证确定的应用层密钥是相同的。

作为一种可能的实施方式，所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥之前，还包括：

所述UE直接接收AUSF发送的指示信息或接收AMF转发的AUSF的指示信息。

本实施例提供多种接收指示信息的方式，使得确定AUSF密钥的方式更加灵活。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

本发明实施例提供多种标识信息，用于UE选择与该标识信息对应的AUSF密钥确定应用层密钥，由于使用标识信息通知UE所使用的AUSF密钥，能够一定程度上保证密钥传输的安全性。

第二方面，本发明实施例提供的第二种应用层密钥确定的方法，该方法包括：

若UE与AF发起生成应用层密钥会话之前，AUSF与所述UE通过不同的接入网执行多次主认证流程，则确定UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

所述AUSF根据所述使用的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述AUSF从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥，包括：

所述AUSF根据预先配置的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

所述AUSF根据收到的UDM或PCF发送的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

所述AUSF根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥。

作为一种可能的实施方式，所述AUSF根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥之后，还包括：

所述AUSF向UE发送携带标识信息的AUSF的指示信息，以使所述UE 根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述标识信息对应的AUSF密钥。

作为一种可能的实施方式，所述AUSF向UE发送携带标识信息的AUSF的指示信息，包括：

所述AUSF直接向UE发送携带标识信息的AUSF的指示信息；或，

所述AUSF通过AMF向UE发送携带标识信息的AUSF的指示信息。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

第三方面，本发明实施例还提供一种应用层密钥确定的终端，该终端包括：存储器，收发机，处理器：

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

若与AF发起生成应用层密钥会话之前，通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

根据选择的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述处理器具体被配置为执行：

根据预先配置的与AUSF相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥。

作为一种可能的实施方式，所述处理器具体还被配置为执行：

直接接收AUSF发送的指示信息或接收AMF转发的AUSF的指示信息。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

第四方面，本发明实施例还提供一种应用层密钥确定的网络设备，该网络侧设备包括处理器和存储器，所述存储器用于存储所述处理器可执行的程序，所述处理器用于读取所述存储器中的程序并执行如下步骤：

该设备包括存储器，收发机，处理器：

若UE与AF发起生成应用层密钥会话之前，与所述UE通过不同的接入网执行多次主认证流程，则确定UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

根据所述使用的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述处理器具体被配置为执行：

根据预先配置的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据收到的UDM或PCF发送的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥。

向UE发送携带标识信息的AUSF的指示信息，以使所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述标识信息对应的AUSF密钥。

作为一种可能的实施方式，所述处理器具体被配置为执行：

直接向UE发送携带标识信息的AUSF的指示信息；或，

通过AMF向UE发送携带标识信息的AUSF的指示信息。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

第五方面，本发明实施例中还提供了第一种应用层密钥确定的装置，该装置包括：选择模块、确定模块，其中：

所述选择模块，用于若与AF发起生成应用层密钥会话之前，通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

所述确定模块，用于根据选择的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述选择模块具体用于：

作为一种可能的实施方式，所述选择模块具体还用于：

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

第六方面，本发明实施例中还提供了第二种应用层密钥确定的装置，该装置包括：第一确定模块、第二确定模块，其中：

所述第一确定模块，用于若UE与AF发起生成应用层密钥会话之前，与所述UE通过不同的接入网执行多次主认证流程，则确定UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

所述第二确定模块，用于根据所述使用的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述第一确定模块具体用于：

作为一种可能的实施方式，所述第一确定模块具体还用于：

作为一种可能的实施方式，所述第一确定模块具体用于：

直接向UE发送携带标识信息的AUSF的指示信息；或，

通过AMF向UE发送携带标识信息的AUSF的指示信息。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

第七方面，本发明实施例还提供计算机存储介质，其上存储有计算机程序，该程序被处理器执行时用于实现上述第一方面或第二方面所述方法的步骤。

本申请的这些方面或其他方面在以下的实施例的描述中会更加简明易懂。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种AKMA的架构示意图；

图2为本发明实施例提供的一种AKMA密钥推衍层级示意图；

图3为本发明实施例提供的一种应用层密钥确定的***示意图；

图4为本发明实施例提供的第一种应用层密钥确定的交互流程图；

图5为本发明实施例提供的第二种应用层密钥确定的交互流程图；

图6为本发明实施例提供的第三种应用层密钥确定的交互流程图；

图7为本发明实施例提供的第一种应用层密钥确定的方法流程图；

图8为本发明实施例提供的第二种应用层密钥确定的方法流程图；

图9为本发明实施例提供的一种应用层密钥确定的终端示意图；

图10为本发明实施例提供的一种应用层密钥确定的网络设备示意图；

图11为本发明实施例提供的第一种应用层密钥确定的装置示意图；

图12为本发明实施例提供的第二种应用层密钥确定的装置示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本申请实施例提供的技术方案可以适用于多种***，尤其是5G***。例如适用的***可以是全球移动通讯(global system of mobile communication，GSM)***、码分多址(code division multiple access，CDMA)***、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)通用分组无线业务(general packet radio service，GPRS)***、长期演进(long term evolution，LTE)***、LTE频分双工(frequency division duplex，FDD)***、LTE时分双工(time division duplex，TDD)***、高级长期演进(long term evolution advanced，LTE-A)***、通用移动***(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)***、5G新空口(New Radio,NR)***等。这多种***中均包括终端设备和网络设备。***中还可以包括核心网部分，例如演进的分组***(Evloved Packet System,EPS)、5G***(5GS)等。

本申请实施例涉及的终端设备，可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的***中，终端设备的名称可能也不相同，例如在5G***中，终端设备可以称为用户设备(User Equipment，UE)。无线终端设备可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网(Core Network,CN)进行通信，无线终端设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(Personal Communication Service，PCS)电话、无绳电话、会话发起协议(Session Initiated Protocol，SIP)话机、无线本地环路(Wireless Local Loop，WLL)站、个人数字助理(Personal Digital Assistant，PDA)等设备。无线终端设备也可以称为***、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户装置(user device)，本申请实施例中并不限定。

本申请实施例涉及的网络设备，可以是基站，该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同，基站又可以称为接入点，或者可以是接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备，或者其它名称。网络设备可用于将收到的空中帧与网际协议(Internet Protocol，IP)分组进行相互更换，作为无线终端设备与接入网的其余部分之间的路由器，其中接入网的其余部分可包括网际协议(IP)通信网络。网络设备还可协调对空中接口的属性管理。例如，本申请实施例涉及的网络设备可以是全球移动通信***(Global System for Mobile communications，GSM)或码分多址接入(Code Division Multiple Access，CDMA)中的网络设备(Base Transceiver Station，BTS)，也可以是带宽码分多址接入(Wide-band Code Division Multiple Access，WCDMA)中的网络设备(NodeB)，还可以是长期演进(long term evolution，LTE)***中的演进型网络设备(evolutional Node B，eNB或e-NodeB)、5G网络架构(next generation system)中的5G基站(gNB)，也可以是家庭演进基站(Home evolved Node B，HeNB)、中继节点(relay node)、家庭基站(femto)、微微基站(pico)等，本申请实施例中并不限定。在一些网络结构中，网络设备可以包括集中单元(centralized unit，CU)节点和分布单元(distributed unit，DU)节点，集中单元和分布单元也可以地理上分开布置。

网络设备与终端设备之间可以各自使用一或多根天线进行多输入多输出(Multi Input Multi Output,MIMO)传输，MIMO传输可以是单用户MIMO(Single User MIMO,SU-MIMO)或多用户MIMO(Multiple User MIMO,MU-MIMO)。根据根天线组合的形态和数量，MIMO传输可以是2D-MIMO、3D-MIMO、FD-MIMO或massive-MIMO，也可以是分集传输或预编码传输或波束赋形传输等。

本发明实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

本申请实施例中术语“多个”是指两个或两个以上，其它量词与之类似。

本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，并不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例1

如图1所示，在现有AKMA的架构中，网络开放功能(Network Exposure Function，NEF)提供安全地将3GPP网络提供的业务和能力暴露给外部网络相关的功能；AKMA锚点功能(AKMA Anrchor Function，AAnF)用于产生在UE和应用功能(Application Function，AF)之间使用的应用层密钥；其中，锚点可以理解成代理或者与外界接口的端点。

如图2所示，网络侧和UE侧使用图2中所示的密钥层级进行密钥推衍。AUSF(Authorization Server Function，认证服务器功能)支持5G***认证功能，支持用户从3GPP和非3GPP网络接入5G网络时的认证，能根据服务网络请求提供认证参数，完成对UE的认证。AUSF会在UE注册过程中基于主认证流程的AUSF密钥K _AUSF产生AKMA锚点密钥(即AKMA密钥，K _AKMA)和密钥标识A-KID。UE会在与AF发起AKMA会话之前通过相同的方法产生AKMA锚点密钥(K _AKMA)和密钥标识A-KID。

其中，具体的计算方法是K _AKMA＝KDF(K _AUSF,"AKMA",SUPI)；其中，KDF(Keyderavation Function)是密钥获取功能的缩写，SUPI(签约永久标识)是UE的身份标识。

在现有AKMA的架构中，对于UE与网络的主认证流程存在多注册场景，也就是说，UE与AF发起生成应用层密钥会话之前，UE通过不同的接入网执行多次主认证流程；

一种场景是，UE通过不同的接入网络(3GPP网络和非3GPP网络)注册到不同的PLMN(公共陆地移动网络)，这种场景下，UE与3GPP网络维护一套安全上下文，UE与非3GPP网络维护另一套安全上下文，每套安全上下文分别是通过成功的主认证，即UE上会保存两个基于主认证流程的密钥(KAUSF2、KAUSF1)，若UE需要与应用功能AF使用AKMA产生密钥保护应用层的数据，则在UE侧推衍K _AUSF时，会导致UE不知道应使用K _AUSF2还是K _AUSF1密钥推衍K _AKMA密钥，UE侧和网络侧的密钥无法匹配；

另一种场景是，UE通过不同的接入网络先后注册到相同的PLMN，这种场景下，若网络侧(AMF)发现该UE存在可用的5G上下文，但仍运行主认证流程时，UE侧和网络侧都将保存有两套K _AUSF，即一个是通过3GPP接入产生的K _AUSF1，一个是通过非3GPP接入产生的K _AUSF2，则在UE与网络层推衍K _AKMA时，不知道应该使用哪个K _AUSF推衍密钥，若网络侧使用的K _AUSF和UE侧不同，则导致UE侧和网络侧推衍出的K _AKMA不同步，导致后续应用层密钥K _AF的不同步，影响应用密钥的使用以及应用层保护，可能导致完整性保护验证失败。

为了解决上述技术问题，本发明实施例提供了一种应用层密钥确定的***，用于UE侧和网络侧基于本实施的方法，使用相同的应用层密钥对应用层进行保护，如图3所示，该***包括UE300、AUSF301，其中：

UE侧用于执行如下方法：

若与AF发起生成应用层密钥会话之前，UE通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；所述UE根据选择的AUSF密钥确定应用层密钥。

本实施例提供的方法，能够解决UE与网络的主认证流程存在多注册的场景下UE选择的密钥和AUSF选择的密钥不同步的问题，即UE通过不同的接入网执行多次主认证流程，得到多个基于主认证流程的AUSF密钥，并且保存下来，在UE与AF发起生成应用层密钥会话后，从多个AUSF密钥中，选择一个与AUSF使用的相同的AUSF密钥，进而根据AUSF密钥推衍出与 AUSF使用的相同的AKMA密钥，根据AKMA密钥推衍出与AUSF使用的相同的AF密钥(即应用层密钥)，这样能够使得UE与AUSF使用的应用层密钥同步，从而保护应用层传输的数据。

作为一种可选的实施方式，本发明实施例通过如下两种方式选择AUSF密钥，具体方式如下所示：

方式1、所述UE根据预先配置的与AUSF相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

该方式下，UE选择AUSF密钥是基于预先配置的选择规则，并且该选择规则与AUSF选择AUSF密钥的规则相同，因此，本实施例在终端与网络的主认证流程存在多注册的场景下能够保证UE与网络选择的AUSF密钥是相同的，从而确定的应用层密钥是相同的，一种可选的实施方式是，所述选择规则为：选择最新或最近生成的AUSF密钥。由于最新或最近生成的AUSF密钥更加安全，所以本实施中基于最新或最近生成的AUSF密钥，确定应用层密钥的方法，能够提高应用数据的安全性。

方式2、所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥。

该方式下，所述UE选择的AUSF密钥是基于AUSF确定的，AUSF确定后会向UE发送指示信息，UE根据所述指示信息中的标识信息选择与所述标识信息对应的AUSF密钥。因此，本实施例在终端与网络的主认证流程存在多注册的场景下能够保证UE与网络选择的AUSF密钥是相同的，从而保证确定的应用层密钥是相同的。

作为一种可选的实施方式，所述UE直接接收AUSF发送的指示信息或接收AMF转发的AUSF的指示信息。

本实施例中AUSF可以直接向UE发送指示信息，也可以向将指示信息发送给AMF，由AMF将所述指示信息发送给UE。

作为一种可选的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或

密钥标识ngKSI。

容易理解的是，UE可以根据指示信息中的接入网络类型，确定与所述接入网络类型对应的AUSF密钥；也就是说，若网络类型为3GPP，则说明AUSF密钥是在3GPP网络类型下生成的，UE可以根据3GPP，选择在3GPP网络类型下生成的AUSF密钥；

同样的，UE可以根据指示信息中的NAS连接ID，确定与所述NAS连接ID对应的AUSF密钥；UE可以根据PLMN ID，选择与PLMN ID对应的AUSF密钥；UE可以根据ngKSI，选择与ngKSI对应的AUSF密钥。

实施中，所述UE根据选择的AUSF密钥确定应用层密钥，具体实施方式为：所述UE根据选择的AUSF密钥推衍AKMA密钥，根据AKMA密钥推衍AF密钥(即应用层密钥)。

本实施例提供的方法，能够解决UE在上述两种多注册场景下无法选择AUSF密钥或者选择的AUSF密钥与网络侧选择的AUSF密钥不相同的问题。

AUSF侧用于执行如下方法：

若UE与AF发起生成应用层密钥会话之前，AUSF与所述UE通过不同的接入网执行多次主认证流程，则确定UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；所述AUSF根据所述使用的AUSF密钥确定应用层密钥。

AUSF能够解决在上述多注册场景中，AUSF侧选择的AUSF密钥与UE侧选择的AUSF密钥不相同的问题。若AUSFUE与AF发起生成应用层密钥会话之前，也保存了多个AUSF密钥，则AUSF能够确定使用的AUSF密钥，从而使得UE根据AUSF使用的AUSF密钥，确定自身的AUSF密钥，保证UE侧和AUSF侧使用相同的AUSF密钥，从而保证了UE侧和AUSF侧使用相同的应用层密钥。

作为一种可选的实施方式，所述AUSF通过如下任一方式，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥：

方式1、所述AUSF根据预先配置的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

该方式下，AUSF选择AUSF密钥是基于预先配置的选择规则，并且该选择规则与UE侧预先配置的选择规则相同，因此，本实施例在终端与网络的主认证流程存在多注册的场景下能够保证UE与网络选择的AUSF密钥是相同的，从而确定的应用层密钥是相同的，一种可选的实施方式是，所述选择规则为：选择最新或最近生成的AUSF密钥。由于最新或最近生成的AUSF密钥更加安全，所以本实施中基于最新或最近生成的AUSF密钥，确定应用层密钥的方法，能够提高应用数据的安全性。

方式2、所述AUSF根据收到的UDM或PCF发送的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

该方式下，所述AUSF可以根据收到的UDM或PCF发送的与所述UE相同的选择规则，确定选择哪个AUSF密钥进行AKMA密钥推衍，从而根据推衍得到的AKMA密钥对应用层密钥进行推衍，得到应用层密钥。

一种可选的实施方式是，本实施例中UDM或PCF可以预先配置与UE相同的选择规则，在AUSF产生AUSF密钥之前，AUSF向UDM或PCF发送请求消息，UDM或PCF收到请求消息后，将预先配置的选择规则发送给AUSF。

同样的，由于该方式下，AUSF收到的选择规则和UE预先配置的选择规则是相同的，因此，本实施例在终端与网络的主认证流程存在多注册的场景下能够保证UE与网络选择的AUSF密钥是相同的，从而确定的应用层密钥是相同的，一种可选的实施方式是，所述选择规则为：选择最新或最近生成的AUSF密钥。由于最新或最近生成的AUSF密钥更加安全，所以本实施中基于最新或最近生成的AUSF密钥，确定应用层密钥的方法，能够提高应用数据的安全性。

方式3、所述AUSF根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥。

该方式下，AUSF自身可根据预设规则直接确定使用的AUSF密钥，可选的，所述预设规则为将最新或最近生成的AUSF密钥确定为使用的AUSF密钥；也可以随机选择一个AUSF密钥。

作为一种可选的实施方式，所述AUSF确定使用的AUSF密钥之后，还可以通知UE自身使用的AUSF密钥，具体的通知方式如下：

所述AUSF向UE发送携带标识信息的AUSF的指示信息，以使所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述标识信息对应的AUSF密钥。

该方式下，基于AUSF确定UE选择的AUSF密钥，AUSF确定后会向UE发送指示信息，UE根据所述指示信息中的标识信息选择与所述标识信息对应的AUSF密钥。因此，本实施例在终端与网络的主认证流程存在多注册的场景下能够保证UE与网络选择的AUSF密钥是相同的，从而确定的应用层密钥是相同的。

作为一种可选的实施方式，所述AUSF可以直接或通过AMF转发的方式向UE发送携带标识信息的AUSF的指示信息，具体包括如下两种情况：

情况1、所述AUSF直接向UE发送携带标识信息的AUSF的指示信息；

情况2、所述AUSF通过AMF向UE发送携带标识信息的AUSF的指示信息。

作为一种可选的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

容易理解的是，AUSF可以根据指示信息中的接入网络类型，通知UE使用与所述接入网络类型对应的AUSF密钥；也就是说，若网络类型为3GPP，则说明AUSF密钥是在3GPP网络类型下生成的，UE可以根据3GPP，选择在3GPP网络类型下生成的AUSF密钥；

同样的，AUSF可以根据指示信息中的NAS连接ID，通知UE使用与所述NAS连接ID对应的AUSF密钥；AUSF可以根据指示信息中的PLMN ID，通知UE使用与所述PLMN ID对应的AUSF密钥；AUSF可以根据指示信息中的ngKSI，通知UE使用与所述ngKSI对应的AUSF密钥；

实施中，所述AUSF根据使用的AUSF密钥确定应用层密钥，具体实施方式为：所述AUSF根据使用的AUSF密钥推衍AKMA密钥，根据AKMA密钥推衍AF密钥(即应用层密钥)。

本实施例提供的方法，能够解决AUSF在上述两种多注册场景下选择的AUSF密钥与UE侧选择的AUSF密钥不相同的问题。

如图4所示，本实施例还提供第一种应用层密钥确定的交互流程，具体的实施流程如下所示：

步骤400、UE与AUSF预先配置了相同的选择规则；或，UE与UDM或PCF预先配置了相同的选择规则；

步骤401、UE通过不同的接入网发起注册请求，与AUSF执行多次主认证流程；

步骤402、UE与AF发起生成应用层密钥会话；

步骤403、UE根据所述选择规则，从执行多次主认证流程得到的AUSF密钥中选择最新生成的AUSF密钥；

步骤404、AUSF根据所述选择规则，从执行多次主认证流程得到的AUSF密钥中选择最新生成的AUSF密钥；或，AUSF根据收到的UDM或PCF发送的所述选择规则，从执行多次主认证流程得到的AUSF密钥中选择最新生成的AUSF密钥；

具体的，AUSF在生成AUSF密钥之前，向UDM或PCF发送请求AKMA 密钥推衍的策略信息，UDM或PCF收到所述策略信息后，向AUSF发送携带所述选择规则的响应消息。

需要说明的是，本实施例对上述步骤403和步骤404的先后顺序不作过多限定，这里仅为一种示例。

步骤405、UE根据所述最新生成的AUSF密钥确定AKMA密钥，根据所述AKMA密钥确定应用层密钥；

步骤406、AUSF根据所述最新生成的AUSF密钥确定AKMA密钥，根据所述AKMA密钥确定应用层密钥。

需要说明的是，本实施例对上述步骤405和步骤406的先后顺序不作过多限定，这里仅为一种示例。

如图5所示，本实施例还提供第二种应用层密钥确定的交互流程，具体的实施流程如下所示：

步骤500、UE通过不同的接入网发起注册请求，与AUSF执行多次主认证流程；

步骤501、UE与AF发起生成应用层密钥会话；

步骤502、AUSF根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

步骤503、AUSF根据确定的AUSF密钥确定AKMA密钥，根据所述AKMA密钥确定应用层密钥；

步骤504、AUSF向UE发送携带标识信息的AUSF的指示信息；

需要说明的是，本实施例对上述步骤503和步骤504的先后顺序不作过多限定，这里仅为一种示例，也可以先执行步骤504再执行步骤503，也可以同时执行。

步骤505、所述UE接收AUSF发送的指示信息；

步骤506、从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥；

步骤507、UE根据与标识信息对应的AUSF密钥确定AKMA密钥，根据所述AKMA密钥确定应用层密钥。

如图6所示，本实施例还提供第三种应用层密钥确定的交互流程，具体的实施流程如下所示：

步骤600、UE通过不同的接入网发起注册请求，与AUSF执行多次主认证流程；

步骤601、UE与AF发起生成应用层密钥会话；

步骤602、AUSF根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

步骤603、AUSF根据确定的AUSF密钥确定AKMA密钥，根据所述AKMA密钥确定应用层密钥；

步骤604、AUSF向AMF发送携带标识信息的AUSF的指示信息；

所述标识信息包括：接入网络类型；或，非接入层NAS连接ID；或，PLMN ID；或密钥标识ngKSI。

需要说明的是，本实施例对上述步骤603和步骤604的先后顺序不作过多限定，这里仅为一种示例，也可以先执行步骤604再执行步骤603，也可以同时执行。

步骤605、AMF向UE转发所述指示信息；

步骤606、UE接收AMF转发的指示信息；

步骤607、从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥；

步骤608、UE根据与标识信息对应的AUSF密钥确定AKMA密钥，根据所述AKMA密钥确定应用层密钥。

综上所述，本实施例提供的一种应用层密钥确定的方法，终端侧能够基于预配置的选择规则或接收的携带标识信息的指示信息确定AUSF密钥，AUSF侧能够基于预配置的选择规则或接收UDM或PCF的选择规则确定 AUSF密钥，也可以自身选择一个AUSF密钥并通过携带标识信息的指示信息通知UE选择使用的AUSF密钥，能够避免在多注册场景下，UE与网络侧选择不同的AUSF密钥导致锚点密钥(即AKMA密钥)失步，从而导致应用层密钥失步的问题。

实施例2

基于同一发明构思，本发明实施例中还提供了第一种应用层密钥确定的方法，如图7所示，该方法的具体实施步骤如下：

步骤700、若与AF发起生成应用层密钥会话之前，UE通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

步骤701、所述UE根据选择的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

实施例3

基于同一发明构思，本发明实施例中还提供了第二种应用层密钥确定的方法，如图8所示，该方法的具体实施步骤如下：

步骤800、若UE与AF发起生成应用层密钥会话之前，AUSF与所述UE通过不同的接入网执行多次主认证流程，则确定UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

步骤801、所述AUSF根据所述使用的AUSF密钥确定应用层密钥。

所述AUSF直接向UE发送携带标识信息的AUSF的指示信息；或，

所述AUSF通过AMF向UE发送携带标识信息的AUSF的指示信息。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

实施例4、基于同一发明构思，本发明实施例中还提供了一种应用层密钥确定的终端，由于该终端是本发明实施例方法对应的终端，并且该终端解决问题的原理与该方法相似，因此该终端的实施可以参见方法的实施，重复之处不再赘述。

如图9所示，本发明实施例还提供一种应用层密钥确定的终端，该终端包括：存储器920，收发机900，处理器910：

根据选择的AUSF密钥确定应用层密钥。

其中，在图9中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器910代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机900可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括，这些传输介质包括无线信道、有线信道、光缆等传输介质。针对不同的用户设备，用户接口930还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。

处理器910负责管理总线架构和通常的处理，存储器920可以存储处理器910在执行操作时所使用的数据。

可选的，处理器910可以是CPU(中央处埋器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)或CPLD(Complex Programmable Logic Device，复杂可编程逻辑器件)，处理器也可以采用多核架构。

处理器通过调用存储器存储的计算机程序，用于按照获得的可执行指令执行本申请实施例提供的任一所述方法。处理器与存储器也可以物理上分开布置。

作为一种可能的实施方式，所述处理器具体被配置为执行：

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

在此需要说明的是，本发明实施例提供的上述终端，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

实施例5、基于同一发明构思，本发明实施例中还提供了一种应用层密钥确定的网络设备，由于该设备是本发明实施例方法对应的设备，并且该设备解决问题的原理与该方法相似，因此该设备的实施可以参见方法的实施，重复之处不再赘述。

如图10所示，本发明实施例还提供一种应用层密钥确定的网络设备，该设备包括存储器1020，收发机1000，处理器1010：

根据所述使用的AUSF密钥确定应用层密钥。

其中，在图10中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1010代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1000可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元，这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器1010负责管理总线架构和通常的处理，存储器1020可以存储处理器1010在执行操作时所使用的数据。

处理器1010可以是中央处埋器(CPU)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)，处理器也可以采用多核架构。

作为一种可能的实施方式，所述处理器具体被配置为执行：

直接向UE发送携带标识信息的AUSF的指示信息；或，

通过AMF向UE发送携带标识信息的AUSF的指示信息。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

在此需要说明的是，本发明实施例提供的上述设备，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

实施例6、基于同一发明构思，本发明实施例中还提供了第一种应用层密钥确定的装置，由于该装置是本发明实施例方法对应的装置，并且该装置解决问题的原理与该方法相似，因此该装置的实施可以参见方法的实施，重复之处不再赘述。

需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

如图11所示，该装置包括：选择模块1100、确定模块1101，其中：

所述选择模块1100，用于若与AF发起生成应用层密钥会话之前，通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；

所述确定模块1101，用于根据选择的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述选择模块1100具体用于：

作为一种可能的实施方式，所述选择模块1100具体还用于：

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

在此需要说明的是，本发明实施例提供的上述装置，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。

实施例7、基于同一发明构思，本发明实施例中还提供了第二种应用层密钥确定的装置，由于该装置是本发明实施例方法对应的装置，并且该装置解决问题的原理与该方法相似，因此该装置的实施可以参见方法的实施，重复之处不再赘述。

如图12所示，该装置包括：第一确定模块1200、第二确定模块1201，其中：

所述第一确定模块1200，用于若UE与AF发起生成应用层密钥会话之前，与所述UE通过不同的接入网执行多次主认证流程，则确定UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

所述第二确定模块1201，用于根据所述使用的AUSF密钥确定应用层密钥。

作为一种可能的实施方式，所述第一确定模块1200具体用于：

作为一种可能的实施方式，所述第一确定模块1200具体还用于：

作为一种可能的实施方式，所述第一确定模块1200具体用于：

直接向UE发送携带标识信息的AUSF的指示信息；或，

通过AMF向UE发送携带标识信息的AUSF的指示信息。

作为一种可能的实施方式，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接ID；或，

PLMN ID；或，

密钥标识ngKSI。

本实施例还提供一种计算机存储介质，所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

本实施例还提供一种计算机存储介质，该程序被处理器执行时实现如下方法的步骤：

根据选择的AUSF密钥确定应用层密钥。

根据所述使用的AUSF密钥确定应用层密钥。

以上参照示出根据本申请实施例的方法、装置(***)和/或计算机程序产品的框图和/或流程图描述本申请。应理解，可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置，以产生机器，使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。

相应地，还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地，本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式，其具有在介质中实现的计算机可使用或计算机可读程序代码，以由指令执行***来使用或结合指令执行***而使用。在本申请上下文中，计算机可使用或计算机可读介质可以是任意介质，其可以包含、存储、通信、传输、或传送程序，以由指令执行***、装置或设备使用，或结合指令执行***、装置或设备使用。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种应用层密钥确定的方法，其特征在于，该方法包括：

若与应用功能AF发起生成应用层密钥会话之前，用户终端UE通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的认证服务器功能AUSF密钥中选择AUSF使用的AUSF密钥；

所述UE根据选择的AUSF密钥确定应用层密钥。
根据权利要求1所述的方法，其特征在于，所述UE从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥，包括：

所述UE根据预先配置的与AUSF相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥。
根据权利要求2所述的方法，其特征在于，所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥之前，还包括：

所述UE直接接收AUSF发送的指示信息或接收接入和移动管理功能AMF转发的AUSF的指示信息。
根据权利要求2或3所述的方法，其特征在于，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接标识ID；或，

公共陆地移动网络标识PLMN ID；或，

密钥标识ngKSI。
一种应用层密钥确定的方法，其特征在于，该方法包括：

若用户终端UE与应用功能AF发起生成应用层密钥会话之前，认证服务器功能AUSF与所述UE通过不同的接入网执行多次主认证流程，则确定UE 与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

所述AUSF根据所述使用的AUSF密钥确定应用层密钥。
根据权利要求5所述的方法，其特征在于，所述AUSF从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥，包括：

所述AUSF根据预先配置的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

所述AUSF根据收到的统一数据管理UDM或控制策略功能PCF发送的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

所述AUSF根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥。
根据权利要求6所述的方法，其特征在于，所述AUSF根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥之后，还包括：

所述AUSF向UE发送携带标识信息的AUSF的指示信息，以使所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述标识信息对应的AUSF密钥。
根据权利要求7所述的方法，其特征在于，所述AUSF向UE发送携带标识信息的AUSF的指示信息，包括：

所述AUSF直接向UE发送携带标识信息的AUSF的指示信息；或，

所述AUSF通过接入和移动管理功能AMF向UE发送携带标识信息的AUSF的指示信息。
根据权利要求7或8所述的方法，其特征在于，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接标识ID；或，

公共陆地移动网络标识PLMN ID；或，

密钥标识ngKSI。
一种应用层密钥确定的终端，其特征在于，包括存储器，收发机，处理器：

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

若与应用功能AF发起生成应用层密钥会话之前，通过不同的接入网执行多次主认证流程，则与AF发起生成应用层密钥会话后，从执行多次主认证流程得到的认证服务器功能AUSF密钥中选择AUSF使用的AUSF密钥；

根据选择的AUSF密钥确定应用层密钥。
根据权利要求10所述的终端，其特征在于，所述处理器具体被配置为执行：

根据预先配置的与AUSF相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥。
根据权利要求11所述的终端，其特征在于，所述处理器具体还被配置为执行：

直接接收AUSF发送的指示信息或接收接入和移动管理功能AMF转发的AUSF的指示信息。
根据权利要求11或12所述的终端，其特征在于，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接标识ID；或，

公共陆地移动网络标识PLMN ID；或，

密钥标识ngKSI。
一种应用层密钥确定的网络设备，其特征在于，包括存储器，收发机，处理器：

存储器，用于存储计算机程序；收发机，用于在所述处理器的控制下收发数据；处理器，用于读取所述存储器中的计算机程序并执行以下操作：

若用户终端UE与应用功能AF发起生成应用层密钥会话之前，与所述UE通过不同的接入网执行多次主认证流程，则确定UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥；

根据所述使用的AUSF密钥确定应用层密钥。
根据权利要求14所述的网络设备，其特征在于，所述处理器具体被配置为执行：

根据预先配置的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据收到的统一数据管理UDM或控制策略功能PCF发送的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥。
根据权利要求15所述的网络设备，其特征在于，所述处理器具体还被配置为执行：

向UE发送携带标识信息的AUSF的指示信息，以使所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述标识信息对应的AUSF密钥。
根据权利要求16所述的网络设备，其特征在于，所述处理器具体被配置为执行：

直接向UE发送携带标识信息的AUSF的指示信息；或，

通过接入和移动管理功能AMF向UE发送携带标识信息的AUSF的指示信息。
根据权利要求16或17所述的网络设备，其特征在于，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接标识ID；或，

公共陆地移动网络标识PLMN ID；或，

密钥标识ngKSI。
一种应用层密钥确定的装置，其特征在于，该装置包括：选择模块、确定模块，其中：

所述选择模块，用于若与应用功能AF发起生成应用层密钥会话之前，通过不同的接入网执行多次主认证流程，则与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的认证服务功能AUSF密钥中选择AUSF使用的AUSF密钥；

所述确定模块，用于根据选择的所述AUSF密钥确定应用层密钥。
根据权利要求19所述的装置，其特征在于，所述选择模块，具体用于：

根据预先配置的与所述AUSF相同的选择规则，从执行多次主认证流程得到的所述AUSF密钥中选择所述AUSF使用的所述AUSF密钥；或，

根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥。
根据权利要求20所述的装置，其特征在于，所述选择模块，在根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述指示信息中携带的标识信息对应的AUSF密钥之前，还用于：

直接接收所述AUSF发送的指示信息或接收接入和移动管理功能AMF转发的所述AUSF的指示信息。
根据权利要求20或21所述的装置，其特征在于，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接标识ID；或，

公共陆地移动网络标识PLMN ID；或，

密钥标识ngKSI。
一种应用层密钥确定的装置，其特征在于，该装置包括：第一确定模块、第二确定模块，其中：

所述第一确定模块，用于若用户终端UE与应用功能AF发起生成应用层密钥会话之前，与所述UE通过不同的接入网执行多次主认证流程，则确定所述UE与所述AF发起生成应用层密钥会话后，从执行多次主认证流程得到的认证服务器功能AUSF密钥中确定使用的AUSF密钥；

所述第二确定模块，用于根据所述使用的AUSF密钥确定应用层密钥。
根据权利要求23所述的装置，其特征在于，所述第一确定模块，具体用于：

根据预先配置的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据收到的统一数据管理UDM或控制策略功能PCF发送的与所述UE相同的选择规则，从执行多次主认证流程得到的AUSF密钥中选择AUSF使用的AUSF密钥；或，

根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥。
根据权利要求24所述的装置，其特征在于，所述第一确定模块，在根据预设规则，从执行多次主认证流程得到的AUSF密钥中确定使用的AUSF密钥之后，还用于：

向所述UE发送携带标识信息的AUSF的指示信息，以使所述UE根据收到的AUSF的指示信息，从执行多次主认证流程得到的AUSF密钥中，选择与所述标识信息对应的AUSF密钥。
根据权利要求25所述的装置，其特征在于，所述第一确定模块，具体用于：

直接向所述UE发送携带标识信息的AUSF的指示信息；或，

通过AMF向所述UE发送携带标识信息的AUSF的指示信息。
根据权利要求25或26所述的装置，其特征在于，所述标识信息包括：

接入网络类型；或，

非接入层NAS连接标识ID；或，

公共陆地移动网络标识PLMN ID；或，

密钥标识ngKSI。
一种处理器可读存储介质，其特征在于，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使所述处理器执行权利要求1至4任一项所述的方法或权利要求5至9任一项所述的方法。