一种终端与服务器的通信方法和装置与流程

本申请涉及通信技术领域，特别是涉及一种终端与服务器的通信方法、一种终端与服务器的通信装置。

背景技术：

物联网技术是继计算机和互联网之后的第三次信息技术革命，具有实时性和交互性的特点，已经被广泛应用于城市管理、数字家庭、定位导航、物流管理、安保系统等多个领域。物联网安全课题变得越来越重要。物联网设备需要通过一套安全机制来与应用服务器之间进行通信，保障服务以及用户隐私数据的安全。

为了解决应用服务器和物联网设备之间的鉴权以及安全通道建立等问题，3gpp(第三代移动通信标准化组织)定义了一种通用认证机制，即基于3gpp凭证的应用鉴权以及密钥管理(authenticationandkeymanagementforapplicationsbasedon3gppcredentials,akma)。akma提供了一种在ue和服务器之间建立共享密钥的通用机制，它基于5gaka鉴权机制来实现。5gaka鉴权机制是5g网络中使用的一种相互鉴权和密钥协商的机制，akma充分利用了5gaka鉴权机制的优点来完成业务的安全引导过程。

在akma中，akma锚点功能(akmaanchorfunction,aanf)为新引入的网元。akma可以与用户设备(ue,userequipment)通过认证与密钥协商aka(authenticationandkeyagreement)协议进行双向鉴权，并且在成功鉴权后，生成共享密钥。akma会将该共享密钥以及相关密钥参数、用户数据等传递给网络应用功能akmaaf(akmaapplicationfunction)。共享密钥将用于ue和akmaaf之间信息的安全传输。

akma方案虽然能够为ue和akmaaf之间建立一条安全的通信管道，但是共享密钥的生成和5gaka协议强耦合，使得建立安全通路的成本以及维护费用过高。

技术实现要素：

鉴于上述问题，提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种终端与服务器的通信方法、一种终端与服务器的通信装置。

为了解决上述问题，本申请实施例公开了一种终端与服务器的通信方法，包括：

第一服务器接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息；

所述第一服务器接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥，所述第二请求消息由第一密钥加密；

所述第一服务器根据所述第一密钥解密所述第二请求消息；

所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥；

所述第一服务器删除所述第一密钥。

本申请实施例还公开了一种终端与服务器的通信方法，包括：

所述终端向第一服务器发送第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从第二服务器获取第一密钥；

所述终端接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息；

所述终端向所述第一服务器发送第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

所述终端接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

可选地，所述终端向第一服务器发送第二请求消息，所述第二请求消息包括第二标识，还包括：

所述第二请求消息由所述第一密钥加密。

可选地，所述终端接收所述第一服务器发送的对应于第一请求消息的第一请求应答消息，还包括：

所述第一请求应答消息包括第二标识。

可选地，所述第一请求消息还包括第二标识，所述终端向第一服务器发送第一请求消息的步骤包括：

所述终端向第一服务器发送第一请求消息，所述第一请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥。

可选地，在所述终端接收所述第一服务器发送对应于所述第二请求消息的所述第二请求应答消息之后，还包括：

所述终端删除所述第一密钥。

本申请实施例还公开了一种终端与服务器的通信方法，包括：

第一服务器接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息；

所述第一服务器接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

可选地，在所述第一服务器接收所述终端发送的第二请求消息之后，在所述第一服务器向所述终端发送第二请求应答消息之前，还包括：

所述第一服务器根据所述第一密钥解密所述第二请求消息；

所述第一服务器根据所述第一密钥加密所述第二请求应答消息。

可选地，所述第一服务器接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，还包括：

所述第二请求消息由第一密钥加密。

可选地，所述第一服务器向终端发送第二请求消息对应的第二请求应答消息，所述第二请求应答消息包括所述第二密钥，还包括：

所述第二请求应答消息包括第二标识。

可选地，所述第一请求消息还包括第二标识，所述第一服务器接收所述终端发送的所述第一请求消息的步骤包括：

所述第一服务器接收所述终端发送的所述第一请求消息，所述第一请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥。

可选地，在所述第一服务器向所述终端发送第二请求应答消息之后，还包括：

所述第一服务器删除所述第一密钥。

本申请实施例还公开了一种终端与服务器的通信方法，包括：

所述终端向第三服务器发送第三请求消息，所述第三请求消息用于使得第三服务器向第四服务器发送认证请求，并且从第四服务器获取第三密钥；

所述终端接收所述第三服务器发送的第三请求消息对应的第三请求应答消息；

所述终端向第三服务器发送第四请求消息，所述第四请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

所述终端接收所述第三服务器发送的所述第四请求应答消息，所述第四请求应答消息包括第四密钥，所述第四密钥为第三服务器接收所述终端发送的第四请求消息后，向第五服务器发送请求，并且从所述第五服务器获取的。

可选地，所述终端向所述第三服务器发送第四请求消息，所述第四请求消息包括第四标识，还包括：

所述第四请求消息由第三密钥加密。

可选地，所述终端接收所述第三服务器发送的所述第三请求消息对应的所述第三请求应答消息，还包括：

所述第三请求应答消息包括第四标识。

可选地，所述第三请求消息还包括第四标识，所述终端向所述第三服务器发送所述第三请求消息的步骤包括：

所述终端向所述第三服务器发送所述第三请求消息，所述第三请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥。

可选地，在所述终端接收所述第三服务器发送的所述第四请求应答消息之后，还包括：

所述终端删除所述第三密钥。

本申请实施例还公开了一种终端与服务器的通信方法，包括：

第三服务器接收所述终端发送的第三请求消息，所述第三请求消息用于使得第三服务器向第四服务器发送认证请求，并且从第四服务器获取第三密钥；

所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息；

所述第三服务器接收所述终端发送的第四请求消息，所述第四请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

所述第三服务器向终端发送所述第四请求应答消息，所述第四请求应答消息包括所述第四密钥，所述第四密钥为第三服务器接收所述终端发送的第四请求消息后，向第五服务器发送请求，并且从第五服务器获取的。

可选地，所述第三服务器接收所述终端发送的第四请求消息，所述第四请求消息包括第四标识，还包括：

所述第四请求消息由第三密钥加密。

可选地，所述第三服务器向终端发送第三请求消息对应的第三请求应答消息，还包括：

所述第三请求应答消息包括第四标识。

可选地，所述第三请求消息还包括第四标识，所述第三服务器接收所述终端发送的第三请求消息的步骤包括：

所述第三服务器接收所述终端发送的第三请求消息，所述第三请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥。

可选地，在所述第三服务器向所述终端发送所述第四请求应答消息之后，还包括：

所述第三服务器删除所述第三密钥。

本申请实施例还公开了一种终端与服务器的通信装置，包括：

位于第一服务器的接收模块，用于接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

位于所述第一服务器的发送模块，用于向所述终端发送第一请求消息对应的第一请求应答消息；

位于所述第一服务器的接收模块，用于接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥，所述第二请求消息由第一密钥加密；

位于所述第一服务器的处理模块，用于根据所述第一密钥解密所述第二请求消息；

位于所述第一服务器的发送模块，用于向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥；

位于所述第一服务器的处理模块，用于删除所述第一密钥。

本申请实施例还公开了一种终端与服务器的通信装置，包括：

位于所述终端的发送模块，用于向第一服务器发送第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从第二服务器获取第一密钥；

位于所述终端的接收模块，用于接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息；

位于所述终端的发送模块，用于向所述第一服务器发送第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

位于所述终端的接收模块，接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

可选地，所述第二请求消息由所述第一密钥加密。

可选地，所述第一请求应答消息包括第二标识。

可选地，所述第一请求消息还包括第二标识，所述终端向第一服务器发送第一请求消息的步骤包括：

位于所述终端的发送模块，用于向第一服务器发送第一请求消息，所述第一请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥。

可选地，还包括：

位于所述终端的删除模块，用于在接收所述第一服务器发送对应于所述第二请求消息的所述第二请求应答消息之后删除所述第一密钥。

本申请实施例还公开了一种终端与服务器的通信装置，包括：

位于第一服务器的接收模块，用于接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

位于所述第一服务器的发送模块，用于向所述终端发送第一请求消息对应的第一请求应答消息；

位于所述第一服务器的接收模块，用于接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

位于所述第一服务器的发送模块，用于向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

本申请实施例还公开了一种终端与服务器的通信装置，包括：

位于所述终端的发送模块，用于向第三服务器发送第三请求消息，所述第三请求消息用于使得第三服务器向第四服务器发送认证请求，并且从第四服务器获取第三密钥；

位于所述终端的接收模块，用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息；

位于所述终端的发送模块，用于向第三服务器发送第四请求消息，所述第四请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

位于所述所述终端的接收模块，用于接收所述第三服务器发送的所述第四请求应答消息，所述第四请求应答消息包括第四密钥，所述第四密钥为第三服务器接收所述终端发送的第四请求消息后，向第五服务器发送请求，并且从所述第五服务器获取的。

本申请实施例还公开了一种终端与服务器的通信装置，包括：

位于第三服务器的接收模块，用于接收所述终端发送的第三请求消息，所述第三请求消息用于使得第三服务器向第四服务器发送认证请求，并且从第四服务器获取第三密钥；

位于所述第三服务器的发送模块，用于向所述终端发送第三请求消息对应的第三请求应答消息；

位于所述第三服务器的接收模块，用于接收所述终端发送的第四请求消息，所述第四请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

位于所述第三服务器的发送模块，用于向终端发送所述第四请求应答消息，所述第四请求应答消息包括所述第四密钥，所述第四密钥为第三服务器接收所述终端发送的第四请求消息后，向第五服务器发送请求，并且从第五服务器获取的。

本申请实施例还公开了一种装置，包括：

一个或多个处理器；和

其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行如上所述的一个或多个的方法。

本申请实施例还公开了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得装置执行如权上所述的一个或多个的方法。

本申请实施例包括以下优点：

在本申请实施例中，终端可以用空中下载的方式，从应用服务器获得鉴权以及加密密钥，解决了终端和应用服务器之间密钥的生成和运营商aka协议强耦合的问题，使得密钥的生成和使用更加灵活。

附图说明

图1是本申请的一种终端与服务器的通信方法实施例1的步骤流程图；

图2是本申请的一种终端与服务器的通信方法实施例2的步骤流程图；

图3是本申请的一种终端与服务器的通信方法实施例3的步骤流程图；

图4是本申请的一种终端与服务器的通信方法实施例4的步骤流程图；

图5是本申请的一种终端与服务器的通信方法实施例4的系统架构图；

图6是本申请的一种终端与服务器的通信装置实施例1的结构框图；

图7是本申请的一种终端与服务器的通信装置实施例2的结构框图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

本申请实施例的核心构思之一在于，终端通过5gaka的方式和akma生成共享密钥。共享密钥用于建立终端、运营商网络以及应用服务器之间的安全通道。应用服务器通过空中下载的方式将应用层和终端之间的鉴权以及加密密钥发送至终端。本发明方案中，应用服务器也可以是边缘计算使能服务器。

以下，首先从服务器的角度介绍终端与服务器的通信流程。

参照图1，示出了本申请的一种终端与服务器的通信方法实施例1的步骤流程图，具体可以包括如下步骤：

步骤101，第一服务器接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

具体地，第一服务器为应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者是edgeenablerserver。第一请求消息可以是应用请求(applicationrequest)。应用请求中携带临时标识(temporaryidentifier)，临时标识可以是区别终端的唯一临时标识。可选的，应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前，终端可以根据5gaka协议生成的共享密钥kakma来衍生出共享密钥kaf。并且通过共享密钥kaf来加密第二请求消息。第二服务器可以是aanf。第一密钥可以是共享密钥kaf。akmanf在收到第一请求消息后，向aanf发送认证请求(authenticationrequest)，认证请求包括临时标识以及可选的，akmaaf标识或者边缘使能服务器标识。aanf根据临时标识找到在与终端进行aka协商中生成的共享密钥kakma。具体的，kakma可以是aanf通过向鉴权服务器功能(authenticationserverfunction,ausf)请求获得的。aanf根据共享密钥kakma衍生出共享密钥kaf。之后aanf向第一服务器发送认证响应消息(authenticationanswer)，响应消息中包括共享密钥kaf。可选的，认证响应消息中还可以包括kaf使用期限(key_lifetime)。当试用期到期后，终端需要和aanf之间重新通过共享密钥kakma衍生出新的共享密钥kaf。第一服务器在收到共享密钥kaf后，会存储共享密钥kaf。并且在终端和第一服务器之间利用利用共享密钥kaf来实现双向鉴权以及加解密空口消息。

步骤102，所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息；

具体地，第一请求应答消息可以是应用应答(applicationanswer)消息。请求应答消息中包括随机数nonce，kaf的使用期限(key_lifetime)以及几个消息校验信息(messageauthenticationcode，mac)。终端可以通过随机数、临时标识、akmaaf标识以及kakma生成kaf。

步骤103，所述第一服务器接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥，所述第二请求消息由第一密钥加密；

具体地，第二请求消息可以是应用请求消息，也可以是密钥获取请求消息。第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。

第二请求消息可以由共享密钥kaf加密。可选的，第二请求消息也可以由共享密钥kapp加密。当用共享密钥kapp来加密时，第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥kapp来解密第二请求消息。

第二密钥可以是应用层共享密钥kapp。共享密钥kapp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时，第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥kapp。并且通过第一请求应答消息将共享密钥kapp发送至终端。同时，第一服务器也会存储共享密钥kapp。可选的，第一请求应答消息可以由第一密钥，即共享密钥kaf加密。由于akmaaf和终端都拥有共享密钥kaf，第一请求应答消息可以由共享密钥kaf加密并且发送至终端，并且由终端解密。可选的，应用层密钥管理服务器也可以是第一服务器的一个功能。

步骤104，所述第一服务器根据所述第一密钥解密所述第二请求消息；

具体地，第二请求消息可以是应用请求消息。第一密钥为共享密钥kaf。第二请求消息可以由共享密钥kaf加密。

步骤105，所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥；

具体地，第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。第二密钥为应用层共享密钥kapp。第一服务器获取第二标识后，将对应生成的kapp通过第二请求应答消息发送给终端。第二请求应答消息可以由kaf加密。

步骤106，所述第一服务器删除所述第一密钥。

具体地，第一服务器可以是应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者edgeenablerserver。第一服务器向终端发送的第二请求应答消息可以由kaf加密。可选的，第二请求应答消息中可以包括第二密钥kapp。终端在获取kapp后可以选择删除kaf。删除操作可以在终端利用kapp与第一服务器完成双向鉴权后执行。

当终端和第一服务器都拥有应用层共享密钥kapp后，没有必要再存储共享密钥kaf。因此，第一服务器可以在发送第二请求应答消息后，删除共享密钥kaf。

参照图2，示出了本申请的一种终端与服务器的通信方法实施例2的步骤流程图，具体可以包括如下步骤：

步骤201，所述终端向第一服务器发送第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从第二服务器获取第一密钥；

具体地，第一服务器为应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者是edgeenablerserver。第一请求消息可以是应用请求(applicationrequest)。应用请求中携带临时标识(temporaryidentifier)，临时标识可以是区别终端的唯一临时标识。可选的，应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前，终端可以根据5gaka协议生成的共享密钥kakma来衍生出共享密钥kaf。并且通过共享密钥kaf来加密第二请求消息。第二服务器可以是aanf。第一密钥可以是共享密钥kaf。akmanf在收到第一请求消息后，向aanf发送认证请求(authenticationrequest)，认证请求包括临时标识以及可选的，akmaaf标识或者边缘使能服务器标识。aanf根据临时标识找到在与终端进行aka协商中生成的共享密钥kakma。具体的，kakma可以是aanf通过向鉴权服务器功能(authenticationserverfunction,ausf)请求获得的。aanf根据共享密钥kakma衍生出共享密钥kaf。之后aanf向第一服务器发送认证响应消息(authenticationanswer)，响应消息中包括共享密钥kaf。可选的，认证响应消息中还可以包括kaf使用期限(key_lifetime)。当试用期到期后，终端需要和aanf之间重新通过共享密钥kakma衍生出新的共享密钥kaf。第一服务器在收到共享密钥kaf后，会存储共享密钥kaf。并且在终端和第一服务器之间利用利用共享密钥kaf来实现双向鉴权以及加解密空口消息。

在本申请实施例中，所述步骤201可以包括如下子步骤：

子步骤s2011，所述终端向第一服务器发送第一请求消息，所述第一请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

具体地，第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。第二标识可以预置在终端上。第二标识可以包括在终端发送给第一服务器的第一请求消息或者是第二请求消息中。并且可以指示第一服务器将第二标识对应的第二密钥通过第一请求应答消息或者是第二请求应答消息发送给终端。可选的，第一服务器也可以先从应用层密钥管理服务器获取共享密钥kapp。并且通过第一请求应答消息将共享密钥kapp发送至终端。

步骤202，所述终端接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息；

具体地，第一请求应答消息可以是应用应答(applicationanswer)消息。请求应答消息中包括随机数nonce，kaf的使用期限(key_lifetime)以及几个消息校验信息(messageauthenticationcode，mac)。终端可以通过随机数、临时标识、akmaaf标识以及kakma生成kaf。

在本申请实施例中，所述步骤202可以包括如下子步骤：

子步骤s2021，所述第一请求应答消息包括第二标识；

具体地，第一请求应答消息可以是应用应答(applicationanswer)消息或者密钥获取请求消息。第二标识可以是应用层共享密钥kapp的标识。第二标识可以作为指示来使得第一服务器用第二标识对应的共享密钥kapp来解密第二请求消息。可选的，第二标识可以指示第一服务器在第一请求应答消息或者是第二请求应答消息中下发kapp。

步骤203，所述终端向所述第一服务器发送第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

具体地，第二请求消息可以是应用请求消息，也可以是密钥获取请求消息。第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。

第二请求消息可以由共享密钥kaf加密。可选的，第二请求消息也可以由共享密钥k2加密。当用共享密钥k2来加密时，第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥kapp来解密第二请求消息。

第二密钥可以是应用层共享密钥kapp。共享密钥kapp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时，第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥kapp。并且通过第一请求应答消息将共享密钥kapp发送至终端。同时，第一服务器也会存储共享密钥kapp。可选的，第一请求应答消息可以由第一密钥，即共享密钥kaf加密。由于akmaaf和终端都拥有共享密钥kaf，第一请求应答消息可以由共享密钥kaf加密并且发送至终端，并且由终端解密。可选的，应用层密钥管理服务器也可以是第一服务器的一个功能。

在本申请实施例中，所述步骤203可以包括如下子步骤：

子步骤s2031，所述第二请求消息由第一密钥加密；

具体地，第一密钥为共享密钥kaf。第二请求消息可以由共享密钥kaf加密。

步骤204，所述终端接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

具体地，第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。第二密钥为应用层共享密钥kapp。第一服务器获取第二标识后，将对应生成的kapp通过第二请求应答消息发送给终端。第二请求应答消息可以由kaf加密。

在本申请实施例中，所述步骤204可以包括如下子步骤：

子步骤s2041，所述终端删除所述第一密钥；

具体地，第一服务器可以是应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者edgeenablerserver。第一服务器向终端发送的第二请求应答消息可以由kaf加密。可选的，第二请求应答消息中可以包括第二密钥kapp。终端在获取kapp后可以选择删除kaf。删除操作可以在终端利用kapp与第一服务器完成双向鉴权后执行。

当终端和第一服务器都拥有应用层共享密钥kapp后，没有必要再存储共享密钥kaf。因此，第一服务器可以在发送第二请求应答消息后，删除共享密钥kaf。

参照图3，示出了本申请的一种终端与服务器的通信方法实施例3的步骤流程图，具体可以包括如下步骤：

步骤301，第一服务器接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

具体地，第一服务器为应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者是edgeenablerserver。第一请求消息可以是应用请求(applicationrequest)。应用请求中携带临时标识(temporaryidentifier)，临时标识可以是区别终端的唯一临时标识。可选的，应用请求中还可以包括应用层数据载荷。在发送第一请求消息之前，终端可以根据5gaka协议生成的共享密钥kakma来衍生出共享密钥kaf。并且通过共享密钥kaf来加密第二请求消息。第二服务器可以是aanf。第一密钥可以是共享密钥kaf。akmanf在收到第一请求消息后，向aanf发送认证请求(authenticationrequest)，认证请求包括临时标识以及可选的，akmaaf标识或者边缘使能服务器标识。aanf根据临时标识找到在与终端进行aka协商中生成的共享密钥kakma。具体的，kakma可以是aanf通过向鉴权服务器功能(authenticationserverfunction,ausf)请求获得的。aanf根据共享密钥kakma衍生出共享密钥kaf。之后aanf向第一服务器发送认证响应消息(authenticationanswer)，响应消息中包括共享密钥kaf。可选的，认证响应消息中还可以包括kaf使用期限(key_lifetime)。当试用期到期后，终端需要和aanf之间重新通过共享密钥kakma衍生出新的共享密钥kaf。第一服务器在收到共享密钥kaf后，会存储共享密钥kaf。并且在终端和第一服务器之间利用利用共享密钥kaf来实现双向鉴权以及加解密空口消息。

在本申请实施例中，所述步骤301可以包括如下子步骤：

子步骤s3011，所述第一服务器接收终端发送的第一请求消息，所述第一请求消息包括第二标识，所述第二标识于向所述第一服务器请求获取第二密钥；

具体地，第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。第二标识可以预置在终端上。第二标识可以包括在终端发送给第一服务器的第一请求消息或者是第二请求消息中。并且可以指示第一服务器将第二标识对应的第二密钥通过第一请求应答消息或者是第二请求应答消息发送给终端。可选的，第一服务器也可以先从应用层密钥管理服务器获取共享密钥kapp。并且通过第一请求应答消息将共享密钥kapp发送至终端。

步骤302，所述第一服务器向所述终端发送第一请求消息对应的第一请求应答消息；

具体地，第一请求应答消息可以是应用应答(applicationanswer)消息。请求应答消息中包括随机数nonce，kaf的使用期限(key_lifetime)以及几个消息校验信息(messageauthenticationcode，mac)。终端可以通过随机数、临时标识、akmaaf标识以及kakma生成kaf。

在本申请实施例中，所述步骤302可以包括如下子步骤：

子步骤s3021，所述第一请求应答消息包括第二标识；

具体地，第一请求应答消息可以是应用应答(applicationanswer)消息。第二标识可以是应用层共享密钥kapp的标识。第二标识可以作为指示来使得第一服务器用第二标识对应的共享密钥kapp来解密第二请求消息。可选的，第二标识可以指示第一服务器在第一请求应答消息或者是第二请求应答消息中下发kapp。

步骤303，所述第一服务器接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

具体地，第二请求消息可以是应用请求消息，也可以是密钥获取请求消息。第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。

第二请求消息可以由共享密钥kaf加密。可选的，第二请求消息也可以由共享密钥kapp加密。当用共享密钥kapp来加密时，第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥kapp来解密第二请求消息。

第二密钥可以是应用层共享密钥kapp。共享密钥kapp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时，第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥kapp。并且通过第一请求应答消息将共享密钥kapp发送至终端。同时，第一服务器也会存储共享密钥kapp。可选的，第一请求应答消息可以由第一密钥，即共享密钥kaf加密。由于akmaaf和终端都拥有共享密钥kaf，第一请求应答消息可以由共享密钥kaf加密并且发送至终端，并且由终端解密。可选的，应用层密钥管理服务器也可以是第一服务器的一个功能。

在本申请实施例中，所述步骤303之后，所述步骤304之前可以包括如下子步骤：

子步骤s3031，所述第一服务器根据所述第一密钥解密所述第二请求消息；

具体地，第二请求消息可以是应用请求消息。第一密钥为共享密钥kaf。第二请求消息可以由共享密钥kaf加密。

在本申请实施例中，所述步骤303可以包括如下子步骤：

子步骤s3033，所述第二请求消息由第一密钥加密；

第二请求消息可以由共享密钥kaf加密。可选的，第二请求消息也可以由共享密钥kapp加密。当用共享密钥kapp来加密时，第二标识可以不加密。第二标识可以作为指示来使得服务器用第二标识对应的共享密钥kapp来解密第二请求消息。

第二密钥可以是应用层共享密钥kapp。共享密钥kapp可以是由第一服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时，第一服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥kapp。并且通过第一请求应答消息将共享密钥kapp发送至终端。同时，第一服务器也会存储共享密钥kapp。可选的，第一请求应答消息可以由第一密钥，即共享密钥kaf加密。由于akmaaf和终端都拥有共享密钥kaf，第一请求应答消息可以由共享密钥kaf加密并且发送至终端，并且由终端解密。可选的，应用层密钥管理服务器也可以是第一服务器的一个功能。

步骤304，所述第一服务器向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

具体地，第二标识可以是应用层共享密钥kapp的唯一标识。第二标识也可以是表示向第一服务器请求获取共享密钥kapp的指示标识。第二密钥为应用层共享密钥kapp。第一服务器获取第二标识后，将对应生成的kapp通过第二请求应答消息发送给终端。第二请求应答消息可以由kaf加密。

在本申请实施例中，所述步骤304可以包括如下子步骤：

子步骤s3041，所述第一服务器删除所述第一密钥；

具体地，第一服务器可以是应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者edgeenablerserver。第一服务器向终端发送的第二请求应答消息可以由kaf加密。可选的，第二请求应答消息中可以包括第二密钥kapp。终端在获取kapp后可以选择删除kaf。删除操作可以在终端利用kapp与第一服务器完成双向鉴权后执行。

当终端和第一服务器都拥有应用层共享密钥kapp后，没有必要再存储共享密钥kaf。因此，第一服务器可以在发送第二请求应答消息后，删除共享密钥kaf。

参照图4，示出了本申请的一种终端与服务器的通信方法实施例4的步骤流程图，具体可以包括如下步骤：

步骤501，第三服务器接收所述终端发送的第三请求消息，所述第三请求消息用于使得第三服务器向第四服务器发送认证请求，并且从第四服务器获取第三密钥；

具体地，第三服务器为应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者是edgeenablerserver。第三请求消息可以是应用请求(applicationrequest)。应用请求中携带临时标识(temporaryidentifier)，临时标识可以是区别终端的唯一临时标识。可选的，应用请求中还可以包括应用层数据载荷。在发送第三请求消息之前，终端可以根据5gaka协议生成的共享密钥kakma来衍生出共享密钥kaf。并且通过共享密钥kaf来加密第四请求消息。第四服务器可以是aanf。第三密钥可以是共享密钥kaf。akmanf在收到第三请求消息后，向aanf发送认证请求(authenticationrequest)，认证请求包括临时标识以及可选的，akmaaf标识或者边缘使能服务器标识。aanf根据临时标识找到在与终端进行aka协商中生成的共享密钥kakma。具体的，kakma可以是aanf通过向鉴权服务器功能(authenticationserverfunction,ausf)请求获得的。aanf根据共享密钥kakma衍生出共享密钥kaf。之后aanf向第三服务器发送认证响应消息(authenticationanswer)，响应消息中包括共享密钥kaf。可选的，认证响应消息中还可以包括kaf使用期限(key_lifetime)。当试用期到期后，终端需要和aanf之间重新通过共享密钥kakma衍生出新的共享密钥kaf。第三服务器在收到共享密钥kaf后，会存储共享密钥kaf。并且在终端和第三服务器之间利用利用共享密钥kaf来实现双向鉴权以及加解密空口消息。

在本申请实施例中，所述步骤501可以包括如下子步骤：

子步骤s5011，所述第三服务器接收所述终端发送的第三请求消息，所述第三请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

具体地，第四标识可以是应用层共享密钥kapp的唯一标识。第四标识也可以是表示向第三服务器请求获取共享密钥kapp的指示标识。第四标识可以预置在终端上。第四标识可以包括在终端发送给第三服务器的第三请求消息或者是第四请求消息中。并且可以指示第三服务器将第四标识对应的第四密钥通过第三请求应答消息或者是第四请求应答消息发送给终端。可选的，第三服务器也可以先从应用层密钥管理服务器获取共享密钥kapp。并且通过第三请求应答消息将共享密钥kapp发送至终端。

步骤502，所述第三服务器向所述终端发送第三请求消息对应的第三请求应答消息；

具体地，第三服务器为应用层密钥管理服务器或者是akmaaf，又或者是edgeenablerserver。第三请求应答消息可以是应用应答(applicationanswer)消息或者是密钥获取请求消息。第四密钥可以是应用层共享密钥kapp。应用层共享密钥kapp可以由应用层密钥管理服务器管理。应用密钥管理服务器可以将应用层共享密钥kapp下发给终端，以使得终端和应用层密钥管理服务器之间可以通过应用层共享密钥kapp建立安全通路。应用层密钥管理服务器可以单独于akmaaf或者边缘计算使能服务器存在，也可以是akmaaf或者是边缘计算使能服务器中的一部分。

在本申请实施例中，所述步骤502可以包括如下子步骤：

子步骤s5021，所述第三请求应答消息包括第四标识；

具体地，第三请求应答消息可以是应用应答(applicationanswer)消息或者是密钥获取请求消息。第二标识可以是应用层共享密钥kapp的标识。第二标识可以作为指示来使得第三服务器用第四标识对应的共享密钥kapp来解密第四请求消息。可选的，第二标识可以指示第三服务器在第三请求应答消息或者是第四请求应答消息中下发kapp。

步骤503，所述第三服务器接收所述终端发送的第四请求消息，所述第四请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

具体地，第四请求消息可以是应用请求消息，也可以是密钥获取请求消息。第四标识可以是应用层共享密钥kapp的唯一标识。第四标识也可以是表示向第三服务器请求获取共享密钥kapp的指示标识。

第四请求消息可以由共享密钥kaf加密。可选的，第四请求消息也可以由共享密钥k2加密。当用共享密钥k2来加密时，第四标识可以不加密。第四标识可以作为指示来使得服务器用第四标识对应的共享密钥kapp来解密第四请求消息。

第四密钥可以是应用层共享密钥kapp。共享密钥kapp可以是由第三服务器自己管理。也可以是由一个应用层密钥管理服务器管理。当使用应用层密钥管理服务器进行管理时，第三服务器首先通过发送请求消息从应用层密钥管理服务器获取共享密钥kapp。并且通过第三请求应答消息将共享密钥kapp发送至终端。同时，第三服务器也会存储共享密钥kapp。可选的，第三请求应答消息可以由第三密钥，即共享密钥kaf加密。由于akmaaf和终端都拥有共享密钥kaf，第三请求应答消息可以由共享密钥kaf加密并且发送至终端，并且由终端解密。可选的，应用层密钥管理服务器也可以是第三服务器的一个功能。

在本申请实施例中，所述步骤503可以包括如下子步骤：

子步骤s5031，所述第四请求消息由第三密钥加密；

具体地，第三密钥为共享密钥kaf。第四请求消息可以由共享密钥kaf加密。

步骤504，所述第三服务器向终端发送所述第四请求应答消息，所述第四请求应答消息包括所述第四密钥，所述第四密钥为第三服务器接收所述终端发送的第四请求消息后，向第五服务器发送请求，并且从第五服务器获取的。

具体地，第三服务器可以是应用层密钥管理服务器或者是akmaaf，又或者是edgeenablerserver。第五服务器可以是应用服务器。参照图5为本申请的一种终端与服务器的通信方法实施例4的系统架构图。如图5所示，第五密钥可以是应用层服务器的密钥或者根密钥。终端通过akma建立起和应用密钥管理服务器的安全连接后，应用层密钥管理服务器可以在接收到第四应用请求消息后，向所述应用服务器发送请求消息，并且根据请求消息对应的应答消息来获取应用服务器密钥(appkey或kapp)。应用密钥管理服务器可以是一个独立的服务器，也可以是实现在akmaaf或者是边缘使能服务器(edgeenablerserver)上的一个功能。可选的，应用服务器密钥也可以叫做应用密钥。应用服务器标识也可以叫做应用标识。应用层密钥管理服务器可以根据应用标识与应用服务器标识的映射关系确定应用服务器标识以及对应的地址，并且向应用服务器发送请求消息。请求消息可以是密钥请求消息。第三服务器向终端发送的第四请求应答消息可以由应用层共享密钥kapp加密。在本申请实施例中，所述步骤504可以包括如下子步骤：

子步骤s5041，所述第三服务器删除所述第三密钥；

具体地，第一服务器可以是应用服务器或者是边缘计算使能服务器，也可以叫做akmaaf或者edgeenablerserver。第一服务器向终端发送的第二请求应答消息可以由kaf加密。可选的，第二请求应答消息中可以包括第二密钥kapp。终端在获取kapp后可以选择删除kaf。删除操作可以在终端利用kapp与第一服务器完成双向鉴权后执行。

当终端和第一服务器都拥有应用层共享密钥kapp后，没有必要再存储共享密钥kaf。因此，第一服务器可以在发送第二请求应答消息后，删除共享密钥kaf。

参照图6，示出了本申请的一种终端与服务器的通信装置实施例1的结构框图，具体可以包括如下模块：

位于所述终端的发送模块1001，用于向第一服务器发送第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从第二服务器获取第一密钥；

位于所述终端的接收模块1002，用于接收所述第一服务器发送的对应于所述第一请求消息的第一请求应答消息；

位于所述终端的发送模块1001，用于向所述第一服务器发送第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

位于所述终端的接收模块1002，接收所述第一服务器发送的对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

参照图7，示出了本申请的一种终端与服务器的通信装置实施例2的结构框图，具体可以包括如下模块：

位于第一服务器的接收模块2002，用于接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

位于所述第一服务器的发送模块2001，用于向所述终端发送第一请求消息对应的第一请求应答消息；

位于所述第一服务器的接收模块2002，用于接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥，所述第二请求消息由第一密钥加密；

位于所述第一服务器的处理模块2003，用于根据所述第一密钥解密所述第二请求消息；

位于所述第一服务器的发送模块2001，用于向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥；

位于所述第一服务器的处理模块2003，用于删除所述第一密钥。

本申请还公开了一种终端与服务器的通信装置实施例，具体可以包括如下模块：

位于第一服务器的接收模块，用于接收所述终端发送的第一请求消息，所述第一请求消息用于使得第一服务器向第二服务器发送认证请求，并且从所述第二服务器获取第一密钥；

位于所述第一服务器的发送模块，用于向所述终端发送第一请求消息对应的第一请求应答消息；

位于所述第一服务器的接收模块，用于接收所述终端发送的第二请求消息，所述第二请求消息包括第二标识，所述第二标识用于向所述第一服务器请求获取第二密钥；

位于所述第一服务器的发送模块，用于向所述终端发送对应于所述第二请求消息的第二请求应答消息，所述第二请求应答消息包括所述第二密钥。

本申请还公开了一种终端与服务器的通信装置实施例，具体可以包括如下模块：

位于所述终端的发送模块，用于向第三服务器发送第三请求消息，所述第三请求消息用于使得第三服务器向第四服务器发送认证请求，并且从第四服务器获取第三密钥；

位于所述终端的接收模块，用于接收所述第三服务器发送的第三请求消息对应的第三请求应答消息；

位于所述终端的发送模块，用于向第三服务器发送第四请求消息，所述第四请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

位于所述所述终端的接收模块，用于接收所述第三服务器发送的所述第四请求应答消息，所述第四请求应答消息包括第四密钥，所述第四密钥为第三服务器接收所述终端发送的第四请求消息后，向第五服务器发送请求，并且从所述第五服务器获取的。

本申请还公开了一种终端与服务器的通信装置实施例，具体可以包括如下模块：

位于第三服务器的接收模块，用于接收所述终端发送的第三请求消息，所述第三请求消息用于使得第三服务器向第四服务器发送认证请求，并且从第四服务器获取第三密钥；

位于所述第三服务器的发送模块，用于向所述终端发送第三请求消息对应的第三请求应答消息；

位于所述第三服务器的接收模块，用于接收所述终端发送的第四请求消息，所述第四请求消息包括第四标识，所述第四标识用于向所述第三服务器请求获取第四密钥；

位于所述第三服务器的发送模块，用于向终端发送所述第四请求应答消息，所述第四请求应答消息包括所述第四密钥，所述第四密钥为第三服务器接收所述终端发送的第四请求消息后，向第五服务器发送请求，并且从第五服务器获取的。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请实施例还提供了一种装置，包括：

一个或多个处理器；和

其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行本申请实施例所述的方法。

本申请实施例还提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得所述处理器执行本申请实施例所述的方法。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的机器可读介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种终端与服务器的通信方法、一种终端与服务器的通信装置，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。