一种通信方法、装置及系统与流程

本申请实施例涉及通信技术领域，尤其涉及一种通信方法、装置及系统。

背景技术：

目前，终端设备可支持应用程序的身份验证和密钥管理(authenticationandkeymanagementforapplications，akma)服务。一般采用以下方式对终端设备进行akma鉴权：在终端设备注册成功，主鉴权完成后，即同时完成对终端设备的akma鉴权。akma鉴权后,终端设备和鉴权服务功能(authenticationserverfunction,ausf)分别生成应用程序的身份验证和密钥管理根密钥kakma和密钥标识信息keyidentifier。终端设备会向应用服务网元(applicationfunction,af)请求会话服务，应用服务网元则使用终端设备发送的密钥标识信息向应用程序的身份验证和密钥管理的锚点功能网元(akmaanchorfunction，aanf)请求应用密钥kaf。aanf则继续携带密钥标识信息向ausf请求kakma。ausf根据密钥标识信息确定kakma，并将kakma发送给aanf。最终，应用服务网元会从应用程序的身份验证和密钥管理的锚点功能网元处获得应用密钥和应用密钥的有效期。

因为kakma是生成kaf的输入参数。kaf有明确的有效期，但是kakma的有效期与主鉴权绑定。即主鉴权发生，kakma就需要重新生成，同时密钥标识信息也会重新生成。但是重新生成kakma并不会影响正在使用的kaf。也就是说，kaf的刷新和kakma的刷新是彼此独立的。因此，在kaf有效期到期的时候，kakma可能已经刷新，密钥标识信息也进行了刷新。密钥标识信息的刷新会导致ausf无法识别旧的密钥标识，因此会导致af在使用旧的密钥标识请求kaf密钥更新时失败，使服务中断。

技术实现要素：

本申请实施例提供一种通信方法、装置及系统，确保主鉴权发生后，终端和ausf密钥标识符更新了的情况下，ue和af在业务不终端的情况下进行kaf密钥更新。

本申请提供的实施例包括如下图2-图6任一实施例(本部分提供的各实施例的编号与本文其他部分提供的各实施例的编号并无明确的对应关系，仅为了此部分在表述上的方便)。

本申请实施例提供了一种网络设备，该网络设备具有实现上述任一方法实施例中网络设备的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能中各个子功能相对应的模块。该网络设备可以是应用功能网元af、应用鉴权和密钥管理服务网元aanf或者鉴权服务网元ausf。

本申请实施例提供了一种终端设备，该终端设备具有实现上述任一方法实施例中终端设备的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能中各个子功能相对应的模块。该终端设备可以是用户设备。

本申请实施例还提供了一种通信系统，该系统包括上述任一实施例所述的网络设备和终端设备。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例中与终端设备相关的方法流程。具体地，该计算机可以为上述终端设备。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例中与网络设备相关的方法流程。具体地，该计算机可以为上述网络设备。

本申请实施例还提供了一种计算机程序或包括计算机程序的一种计算机程序产品，该计算机程序在某一计算机上执行时，将会使所述计算机实现上述任一方法实施例中与终端设备相关的方法流程。具体地，该计算机可以为上述终端设备。

本申请实施例还提供了一种计算机程序或包括计算机程序的一种计算机程序产品，该计算机程序在某一计算机上执行时，将会使所述计算机实现上述任一方法实施例中与网络设备相关的方法流程。具体地，该计算机可以为上述网络设备。

本申请实施例还提供了一种装置，应用于终端设备中，所述装置与存储器耦合，用于读取并执行所述存储器中存储的指令，使得所述终端设备能执行上述任一方法实施例中与终端设备相关的方法流程。所述存储器可以集成在所述处理器中，也可以独立于所述处理器之外。所述装置可以为所述用户终端上的芯片(如片上系统soc(systemonachip))。

本申请实施例还提供了一种装置，应用于网络设备中，所述装置与存储器耦合，用于读取并执行所述存储器中存储的指令，使得所述网络设备能执行上述任一方法实施例中与网络设备相关的方法流程。所述存储器可以集成在所述处理器中，也可以独立于所述处理器之外。所述装置可以为所述网络设备上的芯片(如片上系统soc(systemonachip))。

附图说明

图1为本申请实施例提供的网络架构的一示意图；

图2为本申请实施例提供的kaf密钥分发的一示意图；

图3为本申请实施例提供的kaf密钥分发的一示意图；

图4为本申请实施例提供的kaf密钥分发的一示意图；

图5为本申请实施例提供的kaf密钥分发的一示意图；

图6为本申请实施例提供的kaf密钥分发的一示意图；

图7至图8为本申请实施例提供的通信装置的示意图；

图9为本申请实施例提供的通信装置的结构示意图。

具体实施方式

本申请实施例可以适用于4g(第四代移动通信系统)演进系统，如长期演进(longtermevolution，lte)系统，或者还可以为5g(第五代移动通信系统)系统，如采用新型无线接入技术(newradioaccesstechnology，newrat)的接入网；云无线接入网(cloudradioaccessnetwork，cran)等，或者，甚至未来的6g(第六代移动通信系统)等通信系统。

参见图1，为本申请实施例提供的网络架构，该网络架构至少包括终端设备、接入网(accessnetwork，an)、核心网和数据服务网络。可以理解的是，图1仅为示意性说明，并不作为对本申请的限定。

其中，终端设备可以简称为终端，是一种具有无线收发功能的设备，终端设备可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobilephone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality，vr)终端设备、增强现实(augmentedreality，ar)终端设备、工业控制(industrialcontrol)中的无线终端设备、无人驾驶(selfdriving)中的无线终端设备、远程医疗(remotemedical)中的无线终端设备、智能电网(smartgrid)中的无线终端设备、运输安全(transportationsafety)中的无线终端设备、智慧城市(smartcity)中的无线终端设备、智慧家庭(smarthome)中的无线终端设备，以及还可以包括用户设备(userequipment，ue)等。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiationprotocol，sip)电话、无线本地环路(wirelesslocalloop，wll)站、个人数字助理(personaldigitalassistant，pda)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来第五代(the5thgeneration，5g)网络中的终端设备或者未来演进的公用陆地移动通信网络(publiclandmobilenetwork，plmn)中的终端设备等。终端设备有时也可以称为终端设备、用户设备(userequipment，ue)、接入终端设备、车载终端设备、工业控制终端设备、ue单元、ue站、移动站、移动台、远方站、远程终端设备、移动设备、ue终端设备、终端设备、无线通信设备、ue代理或ue装置等。终端设备也可以是固定的或者移动的。本申请实施例对此并不限定。

接入网an，可以采用不同类型的接入技术。比如，接入网可采用第三代合作伙伴计划(3rdgenerationpartnershipproject，3gpp)接入技术(例如3g、4g或5g系统中采用的无线接入技术)。或者，非第三代合作伙伴计划(none3rdgenerationpartnershipproject，non-3gpp)接入技术。其中，采用3gpp接入技术的接入网称为无线接入网(radioaccessnetwork，ran)。例如，5g系统中的接入网设备称为下一代基站节点(nextgenerationnodebasestation，gnb)等。非3gpp接入技术是指不符合3gpp标准规范的接入技术，例如，以无线保真接入点(wirelessfidelityaccesspoint，wifiap)为代表的空口技术等。

核心网可包括鉴权服务器功能网元、移动管理网元、会话功能网元、应用程序的身份验证和密钥管理(authenticationandkeymanagementforapplications，akma)锚点功能网元、统一数据管理网元或用户面功能网元等中的一个或多个。其中，用户面功能网元为用户面数据出口，主要用于连接外部网络。鉴权功能服务器网元，为网络认证ue的功能实体，主要用于网络验证ue的真实性。移动管理网元，主要负责移动性管理。会话功能网元主要用于为用户面分配会话资源。统一数据管理网元，用于存储用户的签约数据，生成用于鉴权用户的长期密钥。akma锚点功能网元，主要用于提供kaf和kaf有效期给akma应用功能网元的功能。

需要说明的是，在不同的通信系统中，上述核心网中的网元可有不同的名称。比如，在第四代移动通信系统中，上述移动管理网元可称为移动管理实体(mobilitymanagemententity，mme)。在第五代移动通信系统中，上述移动管理网元可称为接入和移动性管理功能(accessandmobilitymanagementfunction，amf)等。在本申请实施例中，以第五代移动通信系统为例，介绍上述核心网网元，并不作为对本申请实施例的限定。比如，在第五代移动通信系统中，用户面功能网元可称为用户功能(userplanefunction，upf)，鉴权服务器功能网元可称为鉴权服务器功能(authenticationserverfunction，ausf)、移动管理网元可称为amf、会话管理功能网元可称为会话管理功能(sessionmanagementfunction，smf)、统一数据管理网元可称为统一数据管理(unifieddatamanagement，udm)、akma的锚点功能网元，又可以成为akma的鉴权功能网元可称为akma的鉴权功能(akmaauthenticationfunction，aauf)等。

可以理解的是，图1的核心网网元仅为示意性的说明，并不作为限定。比如，在本申请实施例中核心网，除包括图1所示的核心网网元外，还可包括网络切片选择功能(networksliceselectionfunction，nssf)、网络开放功能(networkexposurefunction，nef)、网络存储器功能(networkrepositoryfunction，nrf)、策略控制功能(policycontrolfunction，pcf)、应用功能(applicationfunction，af)或scp等中的一个或多个网元。

数据服务网络可具体为数据网络(datanetwork，dn)等。akma应用功能(akmaapplicationfunction，aapf)网元，又可以直接叫做应用功能(application，function)可以部署在dn中的一个或多个服务器中，为3gpp用户终端提供数据服务。可以理解的是，akma应用功能网元可部署在dn的服务器中，还可布署于核心网内，不作限定。在本申请实施例中，是以akma应用网元部署在dn的服务器中为例进行说明的。

针对图1所示的架构，本申请实施例提供一种应用场景，在该应用场景中，终端设备可支持akma服务，核心网设备可对终端设备进行akma鉴权。如图2所示，提供一种akma密钥分发流程，在该流程中ue可具体为上述图1所示架构中的终端设备，aanf可具体为上述图1所示架构中的akma鉴权功能网元，ausf可具体为上述图1所示架构中的鉴权功能服务网元，该流程包括：

s201：ue与鉴权服务网元ausf完成主鉴权流程。主鉴权的流程又可以叫做双向鉴权流程在标准ts33.501中第6章进行了定义。主鉴权的作用是完成ue和网络的双向鉴权.根据ts33.501标准定义。ausf和ue之间进行双向鉴权，所述双向鉴权可具体为可扩展鉴权协议(extensibleauthenticationprotocol，eap)交换(exchange)具体方法为eap-aka’,或者5g鉴权和密钥管理协议(5gauthenticationandkeymanagement,5gaka)。ue和ausf双向鉴权成功，可认为终端设备的akma鉴权成功。

s202：在完成主鉴权后，ausf会获得kausf，ue会自己生成kausf。这2个kausf是相同的。之后，ue和ausf分别使用kausf生成第一应用程序的鉴权和密钥管理根密钥kakma-1和第一密钥标识信息keyidentifier-1。具体kakma和keyidentifier的生成方法与本发明无关，在此不做过多解释。

具体的，密钥标识信息用于标识ue的应用程序的鉴权和密钥管理根密钥kakma，kakma作为根密钥用于生成其他akma密钥(例如，ue对应的不同应用的应用密钥)。密钥标识信息还可以用于af和aanf识别ue，密钥标识信息是af和aanf在5gc内确定具体ue的标识。

s203：在ue和ausf分别生成kakma-1和keyidentifier-1后，当ue要使用一个业务的时候，ue向af发送应用会话建立请求(applicationsessionestablishmentrequest)消息。消息中携带第一密钥标识信息keyidentifier-1。

s204：af在确定本地没有第一密钥标识信息对应的应用密钥kaf后，会向应用程序的身份验证和密钥管理服务网元(akmaanchorfunction,aanf)发送密钥请求(keyrequest)消息。消息中携带第一密钥标识信息和af身份信息afid。

s205：aanf向ausf发送应用程序的鉴权和密钥管理密钥请求(akmakeynotificationrequest)消息，消息中携带有第一密钥标识信息。

s206：ausf回复应用程序的鉴权和密钥管理密钥响应(akmakeynotificationresponse)消息。消息携带第一应用服务的第一应用程序的鉴权和密钥管理根密钥kakma-1。

s207:aanf根据收到的kakma-1，为所述ue生成第一应用密钥kaf-1，并确定第一密钥有效期。

s208：aanf回复密钥响应(keyresponse)消息。消息中携带第一应用密钥kaf-1和第一应用密钥有效期。

s209：af回复应用会话建立响应(applicationsessionestablishmentresponse)消息。

s210：ausf收到鉴权请求消息。鉴权请求消息用于触发网络和ue的双向鉴权。

s211：ausf在鉴权成功后，生成第二应用服务的鉴权和密钥管理根密钥kakma-2和第二密钥标识信息keyidentifier-2。

s212：可选的，kakma-2和keyidentifier-2的生成不需要影响kaf-1的使用。因此不需要通知af进行密钥更新。

s213：kaf-1密钥到期，则af删除kaf-1。

通过上述方法，可以发现，kakma的更新与kaf的更新是独立开的。kaf在密钥到期后，会直接被删除。如果ue和af有正在进行的业务，那么业务会因为密钥的过期而中断。这样会影响ue的体验。

基于此，本申请提供一种通信方法，该通信方法的原理为：让af在密钥kaf过期前获得ue的最新的keyidentifier，af可以基于最新的keyidentifier向ausf请求更新kaf。这样可以保证ue和af的业务不中断，提升了用户的体验。

需要说明的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序，例如，“第一请求消息”和“第二请求消息”等。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b的情况，其中a,b可以是单个或者多个。a、b、或c中的至少一项(个)，可以表示：a；b；c；a和b；a和c；b和c；或a、b和c。其中，a、b、c可以是单个，也可以是多个。

参照图3所示，提供一种通信方法的流程，该流程中的终端设备可为图1架构中的终端设备，移动管理网元可为图1架构中的移动管理网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，统一数据管理网元可为图1架构中的统一数据管理网元，该流程具体为：

s300：终端设备和鉴权服务网元完成双向鉴权，并分别获得应用程序的鉴权和密钥管理根密钥kakma-1和密钥标识信息keyidentifier-1。ue发起业务，应用功能网元获得kaf-1和kaf-1的有效期。具体流程可以参考步骤s201到s208的描述。

s301：在aanf向ausf请求kakma后，ausf本地保存一个映射关系。映射关系用于体现哪个aanf请求了哪个keyidentifer对应的kakma。这个映射关系的存储的作用是当主鉴权发生的时候，ausf可以通知使用了keyidentifier-的aanf，以便于aanf及时获知kakma不可以再继续使用。

一种可选的实现方法是：ausf内部保存aanfid，keyidentifier,kakma的对应关系。其中，aanfid的形式本发明不做规定。比如，其可以是运营商分配的id，也可以是一个全球统一的id，还可以是ip地址。总之，ausf可以根据aanfid唯一定位到过去根据keyidentifier请求kakma的那个aanf。其中，keyidentifier和kakma是在主鉴权后生成的。在本发明中，ausf在第一次鉴权后，生成keyidentifier-1，kakma-1。如果网络中只有一个aanf，则aanf的信息可以不显示的保存在映射关系中。

s302：ausf收到鉴权请求消息。鉴权请求消息用于触发网络和ue的双向鉴权。

可选的，ue和ausf会删除kakma-1和keyidentifier-1。

s303：ausf向相关的aanf发送应用服务的鉴权和密钥管理通知请求(akmakeynotificationrequest)消息。

具体的，akmakeynotificationrequest中携带keyidentifier-1。可选地，ausf根据步骤301保存的映射关系确定请求过keyidentifier-1的aanf。需要说明的是，如果网络中只有1个aanf，那么ausf不需要根据映射关系，可以直接确定aanf，然后发送消息。如果网络有多个aanf，则ausf要向不同的aanf发送kmakeynotificationrequest消息。可选地，该akmakeynotificationrequest中携带一个指示信息，指示信息用于指示keyidentifier-1对应的kakma-1不再有效。指示信息的具体形式本发明不做规定，比如可以是indicator，可以是原因值(causevalue)。如果akmakeynotificationrequest消息只有告知aanf删除密钥一个作用，那么指示信息不需要携带。如果akmakeynotificationrequest消息有多种不同的作用，那么指示信息是必选的。

s304：aanf根据akmakeynotificationrequest，或根据akmakeynotificationrequest中携带的指示信息，删掉kakma-1和keyidentifier-1；或者将kakma-1与keyidentifier-1标识为无效的；亦或者是删除kakma-1，并将keyidentifier-1标识为无效的。

即，本实施例规定keyidentifier的有效期与kakma一样。与直接删掉相比，标识无效的可以方便后面的流程。具体地，aanf本地可以保持一个映射关系，映射关系至少包括keyidentifier-1,kakma-1,kaf,kaf的有效期和afid中的至少4项。在aanf收到步骤303消息后，将keyidentifier-1和kakma-1标识为invlaid，这样在kaf到期的时候，aanf可以在本发明的步骤309直接回复identifier过期的指示信息。然后再删掉keyidentifier-1,kakma-1和kaf。如果没有这种标识，aanf可能不清楚是af请求的keyidentifier是错误的，还是过期的。也就是会造成原因不明。因此，将keyidentifier-1多保留一段时间，并且标记为invalid可以使aanf明确的知道原因。

s305:aanf在删除kakma-1和keyidentifier-1后，回复应用服务的鉴权和密钥管理通知响应(akmakeynotificationresponse)消息。

s306：ue和ausf完成主鉴权，又生成了kakma-2和对应的keyidentifier-2.。需要说明的是，步骤s303到s305可以发生在步骤s306之前，也可以之后。本发明不做具体规定。步骤s303到s305发生在步骤s306之前，是因为鉴权发生，需要删除kakma-1，因此没必要等鉴权结果。比如，ausf可以在发送鉴权向量给ue后，就发起步骤s303。再比如，ausf在收到步骤s302消息后，立即发起步骤s303。步骤s303到s305发生在步骤s306之后，会使ausf的处理逻辑变得简单。

s307：af确定kaf-1即将到期。

例如，af可以根据kaf-1有效期提前预设时长，确定kaf-1即将到期的时间点。

s308：af根据keyidentifier-1，向aanf发送keyupdate消息。消息中携带keyidentifier-1。该消息的目的是向aanf请求更新的应用密钥kaf。

s309：如果步骤304中aanf中将keyidentifier-1设置为无效的，则aanf确定keyupdate消息中的keyidentifier-1是无效的。或者如果步骤304中keyidentifier-1被删除，则aanf无法再找到keyidentifier-1对应的kakma。

s310：aanf回复keyresponse消息给af。消息中指示keyidentifier-1对应的kakma无法找到，或者无效或者不携带更新的应用密钥。

当aanf向af发送的keyresponse消息中不携带更新的应用密钥时，可以隐式的指示keyidentifier-1对应的kakma无法找到，或者无效。

s311：af向ue发送应用服务的密钥标识信息请求(akmaidentifierrequest)消息。该消息的作用是使ue知道kaf-1到期，需要生成新的kaf-2。该消息还可以触发ue发送新的keyidentifier给af。消息的名称本发明不做具体限制，即不需要一定叫做akmaidentifierrequest。可选地，消息中携带指示信息，指示信息用于告知ue过去使用的keyidentifier-1已经失效和/或kaf-1已失效。指示信息的形式本发明不做限制，比如，可以是indicator，也可以是原因值(causevalue)。

可选地，消息携带keyidentifier-1.

可选地，消息携带afid。因为ue和af之前已经有过交互，并且提供了afid，所以消息中也可以不用提供afid。

s312：ue发送应用服务的密钥标识信息响应(akmaidentifierresponse)消息给af。消息中携带最新的keyidentifier-2。

这里，最新的是指如果在ue收到第11步消息前，发生了多次主鉴权。那么ue在收到第步骤s311步消息后，将最后一次主鉴权生成的keyidentifier发送给af。在本实施例中，因为只发生了一次主鉴权，因此最新的是keyidentifier-2。

可选地，在步骤s312发生前，ue需要确定kaf-2。如果已经通过kakma-2已经获得了kaf-2，则ue可以直接确定将要使用这个kaf-2。如果之前没有获得kaf-2，则kakma-2生成新的kaf-2。准备使用kaf-2。可选地，如果消息携带keyidentifier-1,则ue确定keyidentifier-1对应的kakma-1。如果keyidentifier-1无法找到，则ue确定最新的keyidentifier-2.

s313到s317的过程参考步骤s204到s208。区别在于，s313过程使用的是从ue收到的最新的密钥标识消息。

s318：af在获取新的kaf-2后，再向ue发送applicationkeyupdaterequest消息，使ue同步开始使用kaf-2。若ue之前没有生成kaf-2，则新生成kaf-2。如果在之前生成了kaf-2，则直接使用。

s319：ue回复applicationkeyupdateacknowledge消息给af。

需要说明的是：步骤s318和步骤s319可以是执行具体安全协议的应用层消息进行替代。比如为tls相关的应用层消息。

通过上述方法，af在密钥过期的时候，可以通过终端设备最新的密钥标识符向aanf请求更新kaf。这样保证了终端设备和af之间的业务连续性。

在本申请实施例中，在发生主鉴权之后，ausf和ue分别更新ue对应的应用程序的鉴权和密钥管理根密钥kakma-new以及密钥标识信息keyidentifier-new。ausf通知aanfkeyidentifier-old对应的应用程序的鉴权和密钥管理根密钥无效/过期，aanf将原先保存的keyidentifier-old和kakma-old的对应关系设置为无效或者删除。

后续当af确定ue的应用密钥kaf即将过期时，af使用keyidentifier-old向aanf请求更新应用密钥，由于aanf已经将keyidentifier-old删除或者将keyidentifier-old设置为无效，所以aanf无法为af更新应用密钥，此时aanf通知af密钥更新失败，可选的可以携带密钥更新失败的原因值。af确定应用密钥更新失败的情况下，向ue请求获取新的密钥标识信息keyidentifier-new，并使用keyidentifier-new重新向aanf请求更新应用密钥。在从aanf获得新的应用密钥和对应的有效期之后，触发ue也更新应用密钥。

参见图4所示，提供一种通信方法的流程，该流程中的终端设备可为图1架构中的终端设备，移动管理网元可为图1架构中的移动管理网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，统一数据管理网元可为图1架构中的统一数据管理网元，该流程具体为：

s401同图3实施例中s301，相关步骤请参考图3实施例相关描述，这里不再赘述。

s402同图2实施例中s209，相关步骤请参考图2实施例相关描述，这里不同之处在于，af会将kaf-1的有效期发送给终端设备。

可选的，在步骤402之前还包括步骤201-步骤208的相关步骤。

s403-s407同图3实施例中s302-s306，相关步骤请参考图3实施例相关描述，这里不再赘述。

s408ue在发现kaf-1即将过期的时候，ue主动触发应用服务的密钥标识信息更新请求消息。

例如，ue可以根据kaf-1有效期提前预设时长，确定kaf-1即将到期的时间点。

s409：ue向af发送应用服务的密钥标识信息更新请求(akmaidentifierupdaterequest)消息。消息携带最新的keyidentifier。该消息的作用是使af知道最新的keyidentifier。本发明以keyidentifier-2举例。消息的名称本发明不做具体限制，即不需要一定叫做akmaidentifierrequest。可选地，消息还携带keyidentifier-1。

若在kaf-1到期之前，ue和网络侧进行了多次主认证，并且ue和af的业务还一直在使用的情况下，ue将最新的keyidentifier携带在本步消息中。

s410：af保存收到的新的keyidentifier-2.可选地，af将keyidentifier-1标识为无效的，或删除keyidentifier-1。

s411:af发送应用服务的密钥标识信息更新响应(akmaidentifierresponse)消息给ue。

s412：af确定kaf-1即将到期。

例如，af可以根据kaf-1有效期提前预设时长，确定kaf-1即将到期的时间点。

需要说明的是，ue侧判断kaf-1即将到期的时间要早于af侧。比如，af发送的kaf-1过期时间要比从aanf收到的早，这样便于ue侧提早触发。再比如，通过具体配置实现ue侧触发发送步骤s409的时机要早于af侧触发kaf-1的时机(例如，af判断kaf-1即将到期的提前时长小于ue判断kaf-1即将到期的提前时长)。具体的实现方法本发明不做规定。

s413-s420同图3实施例中s313-s319，相关步骤请参考图3实施例相关描述，这里不再赘述。

由于在现有技术中，将kaf过期时间发送给ue，使ue侧在即将过期前发送最新的密钥标识符给af，整个过程更流畅，与图3实施例相比进一步减少了时延。

在本申请实施例中，在ue建立到af的会话过程中，af将ue的应用密钥有效期告诉ue。在发生主鉴权之后，ausf和ue分别更新ue对应的应用程序的鉴权和密钥管理根密钥kakma-new以及密钥标识信息keyidentifier-new。ausf通知aanfkeyidentifier-old对应的应用程序的鉴权和密钥管理根密钥无效/过期，aanf将原先保存的keyidentifier-old和kakma-old的对应关系设置为无效或者删除。当ue确定自身的应用密钥即将过期时，ue主动将keyidentifier-new通知给af。后续在ue对应的应用密钥kaf即将过期时，af使用kakma-new向aanf请求更新的应用密钥，并且从aanf获得更新的应用密钥和对应的有效期之后，触发ue也更新应用密钥。

参见图5所示，提供一种通信方法的流程，该流程中的终端设备可为图1架构中的终端设备，移动管理网元可为图1架构中的移动管理网元，鉴权服务器功能网元可为图1架构中的鉴权服务器功能网元，统一数据管理网元可为图1架构中的统一数据管理网元，该流程具体为：

s501-s506同图3实施例中s301-s306，相关步骤请参考图3实施例相关描述，这里不再赘述。

s507-s509同图4实施例中s409-s411，相关步骤请参考图4实施例相关描述，区别在于，当ue发现主鉴权完成，生成新的密钥标识信息后，主动发起akmaidentifier更新流程，将最新的identifier发送给af。具体地，如果在kaf到期前，发生了多次主鉴权，则ue每次都要将最新的keyidentifier发送给af。在本实施例中，只有一次主鉴权发生，因此只触发一遍akmaidentifier更新流程。

s510-s517同图4实施例中s412-s419，相关步骤请参考图4实施例相关描述，区别在于使用的keyidentifier要是ue侧发送的最新的keyidentifier。可选地af在步骤s508中只保留最新的密钥标识信息。

需要说明的是，在本申请实施例中，通过上述图3、图4和图5的方法，af要从终端设备处获得最新的密钥标识信息。在下述图6中，将继续描述，af可以从aanf处获得最新的密钥标识信息的方法，以确保ue和af之间的业务连续性。。

在本申请实施例中，在发生主鉴权之后，ausf更新ue对应的应用程序的鉴权和密钥管理根密钥kakma-new以及密钥标识信息keyidentifier-new。ausf通知aanfkeyidentifier-old对应的应用程序的鉴权和密钥管理根密钥无效/过期，aanf将原先保存的keyidentifier-old和kakma-old的对应关系设置为无效或者删除。当ue生成新的应用程序的鉴权和密钥管理根密钥kakma-new核密钥标识信息keyidentifier-new之后，ue主动将keyidentifier-new通知给af。后续在ue对应的应用密钥kaf即将过期时，af使用kakma-new向aanf请求更新的应用密钥，并且从aanf获得更新的应用密钥和对应的有效期之后，触发ue也更新应用密钥。s601-s602同图3实施例中s301-s302，相关步骤请参考图3实施例相关描述，这里不再赘述。

s603：鉴权服务网元向终端设备发送鉴权成功消息。

s604同图3实施例中s306，相关步骤请参考图3实施例相关描述，这里不再赘述。

s605：ausf向相关的aanf发送应用服务的鉴权和密钥管理通知请求(akmakeynotificationrequest)消息。消息中携带keyidentifier-1，s604生成的keyidentifier-2和kakma-2。

s606：aanf将新收到的keyidentifier-2和kakma-2进行保存。可选地，af可以将keyidentifier-2和kakma-2保存，继续保存keyidentifier-1和kakma-1并将它们标记为无效的(invalid)。或者，将keyidentifier-1继续保存并标记为无效的，将kakma-1删掉。

s607：aanf回复应用服务的鉴权和密钥管理通知响应(akmakeynotificationresponse)消息。

s608：af侧的kaf-1即将到期。

例如，af可以根据kaf-1有效期提前预设时长，确定kaf-1即将到期的时间点。

s609：af根据keyidentifier-1，向aanf发送keyupdate消息。消息中携带keyidentifier-1.该消息的目的是向aanf请求更新应用密钥kaf。

s610：aanf根据keyidentifier-1确定出kakma-2，并且删除keyidentifier-1。aanf根据kakma-2生成kaf-2，并确定kaf-2的有效期。

s611：aanf回复keyresponse消息给af。消息中携带第二应用密钥kaf-2和kaf-2有效期。

s612-s613同图3实施例中s318-s319，相关步骤请参考图3实施例相关描述，这里不再赘述

在本申请实施例中，在发生主鉴权之后，ausf更新ue对应的应用程序的鉴权和密钥管理根密钥kakma-new以及密钥标识信息keyidentifier-new。ausf把更新之后的kakma-new，keyidentifier-new以及ue对应的老的密钥标识信息keyidentifier-old一起发送给aanf。aanf收到ausf发送的keyidentifier-new、kakma-new以及keyidentifier-old之后，保存keyidentifier-new、kakma-new和keyidentifier-old的对应关系。可选的，aanf将原先保持的keyidentifier-old和kakma-old的对应关系设置为无效或者删除。后续af在确定ue的应用密钥kaf即将过期的时候，使用keyidentifier-old向aanf请求应用密钥更新。aanf可以根据keyidentifier-old以及自身保持的keyidentifier-new、kakma-new和keyidentifier-old的对应关系，确定所述ue更新后的应用程序的鉴权和密钥管理根密钥kakma-new，并使用kakma-new生成新的应用密钥kaf_new，且确定kaf_new对应的有效期。aanf将新的应用密钥kaf_new和对应的有效期发送给af。af收到新的应用密钥kaf_new和对应的有效期之后，触发ue更新对应的应用密钥kaf。

基于与方法实施例同一发明构思，本申请实施例还提供一种装置800，用于执行上述图3至图6所示的方法实施例中终端设备执行的方法，相关特征可参见上述方法实施例，在此不再赘述。作为一种示例，如图7所示，所述装置800包括收发模块801和处理模块802。

关于收发模块801和处理模块802的具体功能，可参见上述方法实施例中的记载，在此不再说明。

基于与方法实施例同一发明构思，本申请实施例还提供一种装置900，用于执行上述图3至图6所示的方法实施例中其他网元(例如应用功能网元af、应用鉴权和密钥管理服务网元aanf或者鉴权服务网元ausf)执行的方法，相关特征可参见上述方法实施例，在此不再赘述。作为一种示例，如图8所示，所述装置900包括收发模块901和处理模块902。

关于收发模块901和处理模块902的具体功能，可参见上述方法实施例中的记载，在此不再说明。

在此不再说明。本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能单元可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备(可以是个人计算机，手机，或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

在本申请实施例中，终端设备、应用功能网元af、应用鉴权和密钥管理服务网元aanf或者鉴权服务网元ausf均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定asic，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。

在一个简单无实施例中，如图9所示的通信装置1200，包括至少一个处理器1201、存储器1202，可选的，还可包括通信接口1203。

存储器1202可以是易失性存储器，例如随机存取存储器；存储器也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘(harddiskdrive，hdd)或固态硬盘(solid-statedrive，ssd)、或者存储器1202是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1202可以是上述存储器的组合。

本申请实施例中不限定上述处理器1201以及存储器1202之间的具体连接介质。本申请实施例在图中以存储器1202和处理器1201之间通过总线1204连接，总线1204在图中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。该总线1204可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器1201可以具有数据收发功能，能够与其他设备进行通信，在如图9装置中，也可以设置独立的数据收发模块，例如通信接口1203，用于收发数据；处理器1201在与其他设备进行通信时，可以通过通信接口1203进行数据传输。

一种示例中，当所述终端设备采用图9所示的形式时，图9中的处理器可以通过调用存储器1202中存储的计算机执行指令，使得所述终端设备执行上述任一方法实施例中的所述终端设备执行的方法。

具体的，图7的处理模块和收发模块的功能/实现过程均可以通过图9中的处理器1201调用存储器1202中存储的计算机执行指令来实现。或者，图7的处理模块的功能/实现过程可以通过图9中的处理器1201调用存储器1202中存储的计算机执行指令来实现，图7的收发模块的功能/实现过程可以通过图9中的通信接口1203来实现。

另一种示例中，当所述应用功能网元af、应用鉴权和密钥管理服务网元aanf或者鉴权服务网元ausf采用图9所示的形式时，图9中的处理器可以调用存储器1202中存储的计算机执行指令，使得所述鉴权服务器功能执行上述任一方法实施例中的所述鉴权服务器功能执行的方法。

本申请实施例还提供一种通信系统，该通信系统可包括应用功能网元af、应用鉴权和密钥管理服务网元aanf或者鉴权服务网元ausf中的至少一个。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。