一种网络密钥处理的方法、相关设备及系统与流程

本申请涉及移动通信网络的网络安全技术领域，尤其涉及一种网络密钥处理的方法、相关设备及系统。

背景技术：

当前移动通信网络(如3g/lte)主要提供了三个层面的安全：终端和网络之间的双向认证、nas(nonaccessstratum，非接入层)安全、as(accessstratum，接入层)安全。终端和网络首先是经过双向认证来确认彼此身份的真实性，并生成可以用来建立nas安全及as安全的根密钥(k_asme)。nas层位于3gppeps(evolvedpacketsystem，演进分组系统)协议栈中控制面的最高层，它是用来传递终端与核心网之间的非无线接入相关的信令，主要包括了用于移动性管理(mm，mobilitymanagement)和会话管理(sm，sessionmanagement)的信令协议及流程。而as层主要是用于终端和基站之间交互的无线接入协议栈。nas安全和as安全所需要的密钥都是从k_asme派生而来的。

在3gpp下一代无线通信网络架构中，引入了网络切片(networkslicing)的架构。一个网络切片是一种虚拟化的逻辑专网，可以根据不同业务需求而定制。为了更好的支持网络切片的定制化，首先需要将当前的网元进行细化。当前lte核心网中的mme(mobilitymanagemententity，移动性管理网元)的功能网元，在下一代网络中将会被细化为多个功能。比如在3gppsa2tr23.799v14.0.0(2016-12)的技术报告中，mme功能被分解为接入及移动管理功能(amf，accessandmobilitymanagementfunction)、安全锚点功能(seaf)、会话管理功能(smf)等网络功能。

当一个终端接入网络时，网络会根据某些方法选择一个或多个切片给这个终端，当一个终端同时接入多个切片时，终端与切片之间的信令交互都是经过amf，amf为nas信令的加解密终结点，amf属于多切片共享功能，上述第一点说明，当一个终端同时接入多个切片时，amf是一个交汇点。这一限制是来源于终端移动性和对网络架构的复杂性的考虑。一方面，终端不管接入几个切片，它的移动性是一致的或唯一的；另一方面，如果允许一个ue同时接入多个amf，会显著增加网络功能或网元间链接、接口的数目及复杂性。

切片在同终端交互nas信令时，如切片1(或切片2)发送nas信息给终端，nas信息对于amf来说是没有加密的明文。当攻击者入侵了amf时，它可以轻易获得smf发出的信息，从而容易造成了切片的nas信息泄露。

技术实现要素：

本申请实施例提供了一种网络密钥处理的方法、相关设备及系统，用于提高网络信令交互的安全性。

本申请第一方面提供一种网络密钥处理的系统，包括：用户设备、安全锚点网元、接入及移动管理网元，其中：

所述安全锚点网元用于从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片，并根据所述第一密钥参数生成n个切片专用密钥；其中，n为大于或等于1的整数，n个网络切片为用户设备在与核心网进行双向认证时核心网所选择给用户设备的一个或多个网络切片。或者由用户设备先发送需要接入的网络切片的标识给核心网，再由核心网中的网元，比如切片选择功能的网元根据用户设备发送的网络切片的标识确定所对应的网络切片，其中，该切片选择功能的网元还可以先判断该标识所对应的网络切片是否可以分配给该用户设备，若可以，则将其分配给用户设备，若不可以，则不将其分配给所述用户设备。

所述安全锚点网元还用于将所述n个切片专用密钥分别发送给相对应的所述n个网络切片；安全锚点网元可以根据n个网络切片的标识信息将所生成的n个专用密钥分别发送给所对应的n个网络切片，每个网络切片接收到与其标识对应的专用密钥，若接收成功，则可以向安全锚点网元发送接收成功的确认信息。

所述接入及移动管理网元用于从所述切片选择网元或者所述安全锚点网元获取所述第一密钥参数，并将所述第一密钥参数发送给所述用户设备；第一密钥参数包括n个网络切片的标识信息，核心网中的切片选择网元与安全锚点网元均已获得该标识信息，所以可以由安全锚点将该标识信息发送给接入及移动管理网元，或者由切片选择网元将该标识信息发送给接入及移动管理网元。

所述用户设备用于根据所述第一密钥参数生成所述n个网络切片的n个切片专用密钥，并根据所生成的所述n个切片专用密钥访问所述n个网络切片。用户设备与安全锚点网元预先约定使用相同的密钥生成规则进行专用密钥的生成，当用户设备与安全锚点网元均使用同样的第一密钥参数进行专用密钥生成时，那么用户设备所生成的n个切片专用密钥则与安全锚点网元所生成的n个切片专用密钥是相同的，从而使得用户设备能够根据n个切片专用密钥去依次访问该n个网络切片。这样，在本申请中，针对不同的网络切片设置了不同的专用密钥，并且用户设备能够生产相同的网络切片的专用密钥，使得用户设备能够与网络切片进行信令交互，从而降低了使用共享密钥进行信令交互时的安全隐患。

一种可能的实现方式中，所述安全锚点网元还用于根据第二密钥参数为所述接入及移动管理网元生成共享密钥，并将所述第二密钥参数发送给所述接入及移动管理网元，所述共享密钥用于所述n个网络切片的共享网络功能使用；

所述接入及移动管理网元还用于接收所述安全锚点网元发送的所述第二密钥参数；

所述用户设备还用于从所述接入及移动管理网元接收到所述第二密钥参数后，并生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。由于在实际应用中，不同的网络切片也可能会存在相同的网络功能，比如一些普遍的基础功能一般均设置为共享网络功能，这类的功能一般每个用户设备在接入时都具备，从而这些网络功能不必要设置在网络切片内被网络切片进行专用保护，从而可以通过设置共享密钥的方式进行与所有合法用户设备进行信令交互。

另一种可能的实现方式中，所述接入及移动管理网元还用于：

在将所述第一密钥参数发送给所述用户设备之前，通过所述共享密钥为所述第一密钥参数进行加密；

所述接入及移动管理网元具体用于：

所述接入及移动管理网元通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备；

所述用户设备具体用于接收所述接入及移动管理网元通过切片安全模式命令发送的进行加密后的所述第一密钥参数。

由于在接入及移动管理网元发送第一密钥参数给用户设备的过程中，可能会导致数据包被拦截，从而使得攻击者获取该数据包中第一密钥参数的内容信息，由于该第一密钥参数包含所述用户设备所接入的网络切片的标识信息，从而获知所述用户设备所接入的网络切片的类型，则可能导致所述用户设备的个人信息泄露，甚至可能造成攻击者直接通过该第一密钥参数接入所对应的网络切片，从而进行不法行为的操作。因此，在本申请中，在接入及移动管理网元发送第一密钥给用户设备之前，还可以对该第一密钥进行加密，具体可以通过共享密钥对该第一密钥进行加密，用户设备在接收到共享密钥的密钥参数后，则能够推演解析出加密数据包的内容，从而获取第一密钥参数。这样，提高了网络通信的安全性。

另一种可能的实现方式中，所述系统还包括网络切片，其中：

所述网络切片用于接收所述安全锚点网元发送的专用密钥；

所述网络切片还用于根据加密参数对m个网络功能进行加密，所述加密参数包括所述专用密钥以及所述m个网络功能的功能标识；

所述网络切片还用于将所述加密参数发送给所述接入及移动管理网元；

所述接入及移动管理网元还用于将所述加密参数发送给用户设备；

所述用户设备还用于接收所述加密参数，并能够根据所述加密参数访问所述网络切片的所述m个网络功能。

每个网络切片可能包含多个网络功能，不同的网络功能的重要性程度不一样，更重要的网络功能应该设置更复杂的加密方法，在本申请中，可以通过对每个网络切片中的各个网络功能进行加密，从而提高不同网络功能的安全性。具体的，每个网络功能的加密算法可以相同，也可以不同，加密后，将加密的参数发送给用户设备，从而使得用户设备能够根据加密的参数访问该加密后的网络功能。

本申请第第二方面提供一种安全锚点网元，所述网元包括：

获取单元，用于从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；

生成单元，用于根据所述第一密钥参数生成n个专用密钥；

发送单元，用于将所述n个切片专用密钥分别发送给相对应的所述n个网络切片，以使得用户设备从接入及移动管理网元接收到所述第一密钥参数后，生成相同的所述n个切片专用密钥从而能够访问所述n个网络切片。

一种可能的实现方式中，所述发送单元还用于：

将所述第一密钥参数发送给接入及移动管理网元，用于所述接入及移动管理网元发送所述第一密钥参数至用户设备。

另一种可能的实现方式中，所述生成单元还用于：

根据第二密钥参数为所述接入及移动管理网元生成共享密钥，并将所述第二密钥参数发送给所述接入及移动管理网元，所述共享密钥用于所述n个网络切片的共享网络功能使用，以使得所述用户设备从所述接入及移动管理网元接收到所述第二密钥参数后，生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

本申请第三方面提供一种接入及移动管理网元，所述网元包括：

获取单元，用于从切片选择网元或者安全锚点网元获取所述第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；所述第一密钥参数用于安全锚点网元生成n个切片专用密钥，并将所述n个切片专用密钥发送给相对应的所述n个网络切片。

发送单元，用于将所述第一密钥参数发送给所述用户设备，以使得所述用户设备根据所述第一密钥参数生成相同的所述n个切片专用密钥，从而能够访问所述n个网络切片。

一种可能的实现方式中，所述网元还包括：

接收单元，用于接收所述安全锚点网元发送的第二密钥参数，所述第二密钥参数用于所述安全锚点网元为所述接入及移动管理网元生成共享密钥，所述共享密钥用于所述n个网络切片的共享网络功能使用；

所述发送单元还用于，将所述第二密钥参数发送给所述用户设备，以使得所述用户设备根据所述第二密钥参数生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

另一种可能的实现方式中，所述网元还包括：

加密单元，在所述发送单元通过切片安全模式命令将所述第一密钥参数发送给所述用户设备之前，用于所述接入及移动管理网元通过所述共享密钥为所述第一密钥参数进行加密；

所述发送单元具体还用于：

通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备。

另一种可能的实现方式中，所述所述接收单元还用于：

在所述发送单元通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备之前，接收所述n个网络切片发送的加密参数，所述加密参数为所述n个网络切片中每个网络切片为m个网络功能进行加密所使用的参数；

所述发送单元还用于：

通过切片安全模式命令将将进行加密后的所述第一密钥参数以及所述加密参数发送给所述用户设备，以使得所述用户设备根据所述加密参数访问所述n个网络切片的所述m个网络功能。

本申请第四方面提供一种网络切片，所述网络切片包括：

接收单元，用于接收安全锚点网元发送的专用密钥；

加密单元，用于根据加密参数对m个网络功能进行加密，所述加密参数包括所述专用密钥以及所述m个网络功能的功能标识；

发送单元，用于将所述加密参数发送给接入及移动管理网元，以使得所述接入及移动管理网元将所述加密参数发送给用户设备，使得所述用户设备根据所述加密参数访问所述网络切片的所述m个网络功能。

本申请第五方面提供一种用户设备，所述用户设备包括：

接收单元，用于接收所述接入及移动管理网元发送的第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；所述第一密钥参数用于安全锚点网元生成n个切片专用密钥，并将所述n个切片专用密钥发送给相对应的所述n个网络切片；

生成单元，用于根据所述第一密钥参数生成相同的所述n个切片专用密钥，从而能够访问所述n个网络切片。

一种可能的实现方式中，所述接收单元还用于：

接收所述接入及移动管理网元发送的第二密钥参数，所述第二密钥参数用于所述安全锚点网元为所述接入及移动管理网元生成共享密钥，所述共享密钥用于所述n个网络切片的共享网络功能使用；

所述用户设备还包括：

生成单元，用于根据所述第二密钥参数生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

另一种可能的实现方式中，所述接收单元具体还用于：

接收所述接入及移动管理网元通过切片安全模式命令发送的根据所述共享密钥进行加密后的所述第一密钥参数。

另一种可能的实现方式中，所述接收单元具体还用于：

接收所述接入及移动管理网元通过切片安全模式命令发送的根据所述共享密钥进行加密后的所述第一密钥参数以及加密参数，所述加密参数为所述n个网络切片中每个网络切片为m个网络功能进行加密所使用的参数；

所述用户设备还包括：

访问单元，用于根据所述加密参数访问所述n个网络切片的所述m个网络功能。

本申请第六方面提供一种网络密钥处理的方法，应用于安全锚点网元侧，所述方法包括：

安全锚点网元从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；

所述安全锚点网元根据所述第一密钥参数生成n个专用密钥；

所述安全锚点网元将所述n个切片专用密钥分别发送给相对应的所述n个网络切片，以使得用户设备从接入及移动管理网元接收到所述第一密钥参数后，生成相同的所述n个切片专用密钥从而能够访问所述n个网络切片。

一种可能的实现方式中，所述方法还包括：

所述安全锚点网元将所述第一密钥参数发送给接入及移动管理网元，用于所述接入及移动管理网元发送所述第一密钥参数至用户设备。

另一种可能的实现方式中，所述方法还包括：

所述安全锚点网元根据第二密钥参数为所述接入及移动管理网元生成共享密钥，并将所述第二密钥参数发送给所述接入及移动管理网元，所述共享密钥用于所述n个网络切片的共享网络功能使用，以使得所述用户设备从所述接入及移动管理网元接收到所述第二密钥参数后，生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

本申请第七方面提供一种网络密钥处理的方法，应用于接入及移动管理网元侧，所述方法包括：

接入及移动管理网元从切片选择网元或者安全锚点网元获取所述第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所选择的网络切片；所述第一密钥参数用于安全锚点网元生成n个切片专用密钥，并将所述n个切片专用密钥发送给相对应的所述n个网络切片。

所述接入及移动管理网元将所述第一密钥参数发送给所述用户设备，以使得所述用户设备根据所述第一密钥参数生成相同的所述n个切片专用密钥，从而能够访问所述n个网络切片。

一种可能的实现方式中，所述方法还包括：

所述接入及移动管理网元接收所述安全锚点网元发送的第二密钥参数，所述第二密钥参数用于所述安全锚点网元为所述接入及移动管理网元生成共享密钥，所述共享密钥用于所述n个网络切片的共享网络功能使用；

所述接入及移动管理网元将所述第二密钥参数发送给所述用户设备，以使得所述用户设备根据所述第二密钥参数生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

另一种可能的实现方式中，所述接入及移动管理网元将所述第二密钥参数发送给所述用户设备，包括：

所述接入及移动管理网元通过所述切片安全模式命令将所述第二密钥参数发送给所述用户设备。

另一种可能的实现方式中，在所述接入及移动管理网元通过切片安全模式命令将所述第一密钥参数发送给所述用户设备之前，所述方法还包括：

所述接入及移动管理网元通过所述共享密钥为所述第一密钥参数进行加密；

所述接入及移动管理网元通过切片安全模式命令将所述第一密钥参数发送给所述用户设备，包括：

所述接入及移动管理网元通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备。

另一种可能的实现方式中，在所述接入及移动管理网元通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备之前，所述方法还包括：

接收所述n个网络切片发送的加密参数，所述加密参数为所述n个网络切片中每个网络切片为m个网络功能进行加密所使用的参数；

所述接入及移动管理网元通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备，包括：

所述接入及移动管理网元通过切片安全模式命令将将进行加密后的所述第一密钥参数以及所述加密参数发送给所述用户设备，以使得所述用户设备根据所述加密参数访问所述n个网络切片的所述m个网络功能。

本申请第八方面提供一种网络密钥处理的方法，应用网络切片侧，所述方法包括：

所述网络切片接收安全锚点网元发送的专用密钥；

所述网络切片根据加密参数对m个网络功能进行加密，所述加密参数包括所述专用密钥以及所述m个网络功能的功能标识；

所述网络切片将所述加密参数发送给接入及移动管理网元，以使得所述接入及移动管理网元将所述加密参数发送给用户设备，使得所述用户设备根据所述加密参数访问所述网络切片的所述m个网络功能。

本申请第九方面提供一种网络密钥处理的方法，应用于用户设备侧，所述方法包括：

所述用户设备接收所述接入及移动管理网元发送的第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；所述第一密钥参数用于安全锚点网元生成n个切片专用密钥，并将所述n个切片专用密钥发送给相对应的所述n个网络切片；

所述用户设备根据所述第一密钥参数生成相同的所述n个切片专用密钥，从而能够访问所述n个网络切片。

一种可能的实现方式中，所述方法还包括：

所述用户设备接收所述接入及移动管理网元发送的第二密钥参数，所述第二密钥参数用于所述安全锚点网元为所述接入及移动管理网元生成共享密钥，所述共享密钥用于所述n个网络切片的共享网络功能使用；

所述用户设备根据所述第二密钥参数生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

另一种可能的实现方式中，所述用户设备接收所述接入及移动管理网元发送的第二密钥参数，包括：

所述用户设备接收所述接入及移动管理网元通过所述切片安全模式命令发送的所述第二密钥参数。

另一种可能的实现方式中，所述用户设备接收所述接入及移动管理网元通过所述切片安全模式命令发送的所述第二密钥参数，包括：

所述用户设备接收所述接入及移动管理网元通过切片安全模式命令发送的根据所述共享密钥进行加密后的所述第一密钥参数。

另一种可能的实现方式中，所述用户设备接收所述接入及移动管理网元通过切片安全模式命令发送的根据所述共享密钥进行加密后的所述第一密钥参数，包括：

所述用户设备接收所述接入及移动管理网元通过切片安全模式命令发送的根据所述共享密钥进行加密后的所述第一密钥参数以及加密参数，所述加密参数为所述n个网络切片中每个网络切片为m个网络功能进行加密所使用的参数；

所述用户设备根据所述加密参数访问所述n个网络切片的所述m个网络功能。

本申请第十方面提供一种安全锚点设备，所述安全锚点设备包括收发器、处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第六方面的任意实现方式描述的网络密钥处理的方法。

本申请第十一方面提供一种接入及移动管理设备，所述接入及移动管理设备包括收发器、处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第七方面的任意实现方式描述的网络密钥处理的方法。

本申请第十二方面提供一种网络切片设备，所述网络切片设备包括收发器、处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第八方面的任意实现方式描述的网络密钥处理的方法。

本申请第十三方面提供一种用户设备，所述用户设备包括收发器、处理器和存储器，所述存储器用于存储程序和数据；所述处理器调用所述存储器中的程序用于执行第九方面的任意实现方式描述的网络密钥处理的方法。

本申请第十四方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本申请第十五方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

从以上技术方案可以看出，本申请实施例具有以下优点：

在本申请中，针对不同的网络切片设置了不同的专用密钥，并且用户设备能够生产相同的网络切片的专用密钥，使得用户设备能够与网络切片进行信令交互，从而降低了使用共享密钥进行信令交互时的安全隐患。

附图说明

图1为本申请实施例中提供的网络密钥处理的架构示意图；

图2为本申请实施例中提供的用户设备10、安全锚点设备30、接入及移动管理设备40及网络切片50对应的结构示意图；

图3为本申请实施例中提供的网络密钥处理的方法的第一个实施例的流程示意图；

图4为本申请实施例中提供的网络密钥处理的方法的第二个实施例的流程示意图；

图5为本申请实施例中提供的网络密钥处理的方法的第三个实施例的流程示意图；

图6为本申请实施例中提供的网络密钥处理的方法的第四个实施例的流程示意图；

图7为本申请实施例中提供的网络密钥处理的方法的第五个实施例的流程示意图；

图8为本申请实施例中提供的一个密钥架构的示意图；

图9为本申请实施例中提供的另一个密钥架构的示意图；

图10为本申请实施例中提供的网络密钥处理的系统及网络密钥处理的系统中相关网元的结构示意图；

图11a-图11f为本申请实施例中提供的第一设备进行密钥推演的六种示意图；

图12为本申请实施例中提供的第一设备进行密钥生成与分发的一个流程示意图；

图13为本申请实施例中提供的总体密钥架构示意图。

具体实施方式

本申请实施例提供了一种网络密钥处理的方法、相关设备及系统，用于提高网络信令交互的安全性。

本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释，而非旨在限定本申请。

网络切片是一种虚拟化的逻辑专网，可以根据不同业务需求而定制。网络切片的运营、管理方式是多样的。mno(mobilenetworkoperator,移动网络运营商)可以自行运营、管理切片，一个切片可以由不同用户共享。当然，为了配合垂直行业的发展，mno的一个或多个网络切片也可以出租给垂直行业，由其自行运营、管理、认证用户设备(移动终端或iot设备等)。对于接入切片的用户设备，首先用户设备需要通过mno的服务去接入切片，然后由切片对用户设备进行管理。也就是说，用户设备既要和mno网络交互，也要和网络切片有交互。

为了更好的支持网络切片的定制化，首先会将当前的网络功能进行细化。比如在3gppsa2tr23.799v14.0.0(2016-12)的技术报告中，mme功能被分解为amf、seaf、smf)等网络功能。需要指出的是，本申请中所述的各个网络功能，如amf(accessandmobilitymanagementfunction，接入及移动管理功能)、smf(sessionmanagementfunction，会话管理功能)、seaf(securityanchorfunction，安全锚点功能)等，是目前3gppsa2和sa3标准工作组的文稿及技术报告(tr)中所采用的名称。这些名称还有可能更改，如更名、网络功能合并、分拆等，本申请并不局限于这些网络功能的名称及其位置(设在或合设于哪个网元中，比如，在4g网络中，mmf和seaf是合设在一起的，即mme)。在后续通信标准的制定中，上述功能网元的划分方式可能发生变化，这种变化不影响本申请实施例的实施。

图1是本发明实施例提供的一种网络密钥处理的架构示意图。如图1所示，网络密钥处理的系统100可包括：用户设备10、接入网网元20、安全锚点网元30以、接入及移动管理网元40以及网络切片50。其中：

接入网网元20可用于为用户设备10提供网络接入服务。具体实现中，接入网网元20可包括基站(nodeb)、基站控制器(radionetworkcontroller，rnc)或接入网关等。具体实现中，用户设备10可以包括手机、平板电脑、笔记本电脑、移动互联网设备(mobileinternetdevice，mid)、可穿戴设备(例如智能手表、智能手环、计步器等)等用户终端，也可以包括iot设备，还可以包括其他可接入mno网络的通信设备。

安全锚点网元30可用于为所有接入网络的ue提供网络认证、密钥生成等服务，具体可包括配置在核心网cn中的seaf等网络功能。

本发明实施例中，安全锚点网元30用于为接入及移动管理网元生成共享密钥，还用于为用户设备10所接入的多个网络切片50生成专用密钥。

接入及移动管理网元40用于将安全锚点网元30生成共享密钥的参数以及生成专用密钥的参数发送给用户设备10，用户设备则能够推演出网络切片的专用密钥，从而能够访问所接入的网络切片。这样，每个网络切片都设置有专用密钥，使得用户设备与网络切片所交互的nas信令不易被获取，提高了网络通信的安全性。

应理解的，当接入网网元20只包括一个网络实体(例如基站)时，后续描述到的接入网网元20所执行的操作均由该一个网络实体完成。当接入网网元20包括多个网络实体(例如基站和基站控制器)时，后续描述到的接入网网元20所执行的操作由所述多个网络实体协作完成。

应理解的，当安全锚点网元30只包括一个网络实体(例如seaf)时，后续描述到的安全锚点网元30所执行的操作均由该一个网络实体完成。当该安全锚点网元30包括多个网络实体(例如seaf和amf)时，后续描述到的安全锚点网元30所执行的操作由所述多个网络实体协作完成。

应理解的，当接入及移动管理网元40只包括一个网络实体(例如amf)时，后续描述到的接入及移动管理网元40所执行的操作均由该一个网络实体完成。当该接入及移动管理网元40包括多个网络实体(例如seaf和amf)时，后续描述到的接入及移动管理网元40所执行的操作所述多个网络实体协作完成。

这里，所述协作完成是指多个网络实体各执行一些操作，执行操作所产生的数据、参数均可以根据需要在这多个网络实体各之间传输。

需要说明的是，不限于图1所示，安全锚点网元30还可包括更多或更少网络功能，接入及移动管理网元40还可包括更多或更少切片网络功能。

需要说明的是，本申请中的所描述的安全锚点网元、接入及移动管理网元、接入网网元等名称在实际应用中可能为其它的名称，这些网元名称并不能对本申请构成限定，只要是具备本申请实施例中所描述的功能和作用，均属于本申请所保护的范围。

图2是本发明实施例提供的通信装置示意图。图1中的用户设备10或者安全锚点设备30或者接入及移动管理设备40或者网络切片50可以通过图2所示的通信装置(或系统)200来实现。

如图2所示，通信装置(或系统)200可包括至少一个处理器401，存储器403以及至少一个通信接口404。这些部件可在一个或多个通信总线402上通信。

需要说明的，图2仅仅是本发明实施例的一种实现方式，实际应用中，通信装置200还可以包括更多或更少的部件，这里不作限制。

通信接口404用于接收和发送射频信号，耦合于通信装置200的接收器和发射器。通信接口404通过射频信号与通信网络和其他通信设备通信，如以太网(ethernet)，无线接入网(radioaccesstechnology，ran)，无线局域网wirelesslocalareanetworks，wlan)等。具体实现中，通信接口404支持的通信协议可包括但不限于：2g/3g、lte、wi-fi、5gnewradio(nr)等等。

存储器403与处理器401耦合，用于存储各种软件程序和/或多组指令。具体实现中，存储器403可包括高速随机存取的存储器，并且也可包括非易失性存储器，例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器403可以存储操作系统(下述简称系统)，例如android，ios，windows，或者linux等嵌入式操作系统。存储器403可用于存储本发明实施例的实现程序。存储器403还可以存储网络通信程序，该网络通信程序可用于与一个或多个附加设备，一个或多个终端设备，一个或多个网络设备进行通信。

处理器401可以是一个通用中央处理器(centralprocessingunit，cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制本发明方案程序执行的集成电路。

在一些实施例中，通信装置200还可以包括输出设备405和输入设备406。输出设备405和处理器401通信，可以以多种方式来显示信息。例如，输出设备405可以是液晶显示器(liquidcrystaldisplay，lcd)，发光二级管(lightemittingdiode，led)显示设备，阴极射线管(cathoderaytube，crt)显示设备，或投影仪(projector)等。输入设备406和处理器401通信，可以以多种方式接受用户的输入。例如，输入设备406可以是鼠标、键盘、触摸屏设备或传感设备等。为了便于输出设备405和输入设备406的用户使用，在一些实施例中，存储器202还可以存储用户接口程序，该用户接口程序可以通过图形化的操作界面将应用程序的内容形象逼真的显示出来，并通过菜单、对话框以及按键等输入控件接收用户对应用程序的控制操作。

当图2所示的通信装置200实现为图1所示的用户设备10时，通信装置200的存储器中可以存储了一个或多个软件模块，可用于提供接入请求、用户认证响应等功能，具体可参考后续方法实施例。当图2所示的通信装置200实现为图1所示的安全锚点设备30时，通信装置200的存储器中可以存储了一个或多个软件模块，可用于提供生成密钥等功能，具体可参考后续方法实施例。当图2所示的通信装置200实现为图1所示的接入及移动管理设备40时，通信装置200的存储器中可以存储了一个或多个软件模块，可用于提供对密钥参数进行加密的功能，具体可参考后续方法实施例。当图2所示的通信装置200实现为图1所示的网络切片50时，通信装置200的存储器中可以存储了一个或多个软件模块，可用于提供对网络功能进行加密的功能，具体可参考后续方法实施例。

下面结合图3-7的几个实施例详细描述本发明实施例提供的网络密钥处理的方法。

图3是本发明实施例提供的网络密钥处理的方法的第一实施例的流程示意图。图3实施例中，安全锚点网元生成了切片专用控制面密钥，下面展开描述：

s101、用户设备和核心网(seaf)、网络切片进行双向认证。

具体的，用户设备进行认证时，核心网生成根密k_seaf。核心网中的切片选择网元(如nssf)为用户设备选择了n个网络切片(如确定了切片id)slc-id1…slc-idn。即切片选择网元获取了所确定的n个网络切片的标识信息。

s102、所述安全锚点网元根据k_seaf以及第二密钥参数为接入及移动管理网元生成共享密钥，所述共享密钥为控制面共享密钥。

其中，所述控制面共享密钥用于所述n个网络切片的控制面的共享网络功能使用，所述第二密钥参数包括密钥算法类型区分码(algorithmdistinguisher)、密钥算法id(algorithmid)等信息。

s103、所述安全锚点网元从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息。

s104、所述安全锚点网元根据k_seaf以及所述第一密钥参数生成n个切片专用密钥，所述专用密钥为控制面专用密钥。

其中，第一密钥参数可以包括网络切片id：slc-id1…slc-idn，分别为网络切片n＝1…n生成切片专用的控制面根密钥(kcp-s1…kcp-sn)。

需要说明的是，安全锚点网元在为每个网络切片生成专用密钥时，还可以根据第二密钥参数包括密钥算法类型区分码、密钥算法id等作为密钥参数进行生成。其中，密钥算法类型区分码需要设定为切片专用的控制面密钥算法所对应的值。

s105、所述安全锚点网元于将所述n个切片专用密钥分别发送给相对应的所述n个网络切片。

需要说明的是，网络切片在接收到专用控制面密钥后也可以分别回复接收成功的消息给安全锚点网元。

s106、所述接入及移动管理网元接收所述安全锚点网元发送的第二密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数。

s107、所述接入及移动管理网元将所述第二密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数发送给用户设备。

s108、所述安全锚点网元发送的所述第一密钥参数给所述接入及移动管理网元。

需要说明的是，第一密钥参数也可以由切片选择网元(如nssf)发送给接入及移动管理网元。

s109、所述接入及移动管理网元将所述第一密钥参数发送给所述用户设备。

第一密钥参数可以包括(如切片id：slc-id1…slc-idn)和密钥算法类型区分码设定为切片专用的控制面密钥算法(nas-slc)所对应的值等信息，由于其中包含切片的标识信息，现有的发送命令无法携带该标识信息，因此本申请所定义的发送命令为切片安全模式命令ssmc(slicesecuritymodecommand)，通过该ssmc来发送所述第一密钥给用户设备。

s110、用户设备根据收到第二密钥参数以及k_seaf标识码等参数，推演控制面切片共享密钥(amf或ccnf)。

s111、用户设备根据收到的第一密钥参数、第二密钥参数(其中，密钥算法类型区分码需要设定为切片专用的控制面密钥算法所对应的值)以及k_seaf标识码等参数，推演控制面切片专用密钥。

如，生成第n个切片的密钥的生成函数kdf的参数为：kdf(k_seaf,slc-id1,nas-slc,alg-id)，其中，kdf为安全锚点网元为每个网络切片生成专用密钥所使用的生成函数，nas-slc为密钥算法类型区分码参数设定为切片专用的控制面密钥算法所对应的值，alg-id为密钥算法id)。

这样，用户设备获取到安全锚点网元为每个网络切片所生成专用控制面密钥的密钥参数，则能够根据该密钥参数生成相应的密钥并访问所接入的每个网络切片，即提高了网络通信的安全性，又保证了用户设备的正常通信。

图4是本发明实施例提供的网络密钥处理的方法的第二实施例的流程示意图。图4实施例中，进一步对生成切片专用的控制面密钥的参数在发送给用户设备之前进行加密，下面展开描述：

s201、用户设备和核心网(seaf)、网络切片进行双向认证。

s202、所述安全锚点网元根据k_seaf以及第二密钥参数为接入及移动管理网元生成控制面共享密钥。

s203、所述安全锚点网元从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息。

s204、所述安全锚点网元根据k_seaf以及所述第一密钥参数生成n个切片专用的控制面密钥。

s205、所述安全锚点网元于将所述n个切片专用的控制面密钥分别发送给相对应的所述n个网络切片。

s206、所述接入及移动管理网元接收所述安全锚点网元发送的第二密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数。

s207、所述接入及移动管理网元将所述第二密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数发送给用户设备。

s208、所述安全锚点网元发送的所述第一密钥参数给所述接入及移动管理网元。

s209、所述接入及移动管理网元使用所述共享密钥为所述第一密钥参数进行加密。

由于第一密钥参数中包含了用户设备所接入的网络切片的标识信息，在实际应用中，网络切片的标识信息具有一定私密性，当攻击者获取到了用户设备所接入的网络切片的标识，从而则可能获取该用户设备所接入的网络切片的类型，从而展开其它攻击，对该用户设备造成一定的安全隐患。因此在传输该第一密钥参数之前，对该第一密钥参数进行加密处理。

需要说明的是，在对该第一密钥参数进行加密时，还需进行加密完整性保护，即可通过生成一段数据添加到加密后的数据包中，从而让接收端判断该数据包是否被修改。

s210、所述接入及移动管理网元将加密后的第一密钥参数嵌入ssmc命令，通过接入网网元发给所述用户设备。

s211、用户设备根据收到第二密钥参数以及k_seaf标识码等参数，推演控制面切片共享密钥(amf或ccnf)。

s212、用户设备根据所述推演得到的控制面切片共享密钥对第一密钥参数进行解密，根据解密得到的第一密钥参数以及第二密钥参数(其中，密钥算法类型区分码需要设定为切片专用的控制面密钥算法所对应的值)、k_seaf标识码等参数推演控制面切片专用密钥。

图5是本发明实施例提供的网络密钥处理的方法的第三实施例的流程示意图。图5实施例中，用于优化、减少信令传送的个数，通过发送一个ssmc信令来传送切片控制面共享密钥的参数和切片专用的控制面密钥的参数，从而达到节省空口资源的目的，下面展开描述：

s301、用户设备和核心网(seaf)、网络切片进行双向认证。

s302、所述安全锚点网元根据k_seaf以及第二密钥参数为接入及移动管理网元生成共享密钥。

s303、所述安全锚点网元从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息。

s304、所述安全锚点网元根据所述第一密钥参数k_seaf以及生成n个切片专用密钥。

s305、所述安全锚点网元于将所述n个切片专用的控制面密钥分别发送给相对应的所述n个网络切片。

s306、所述接入及移动管理网元接收所述安全锚点网元发送的第二密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数。

s307、所述安全锚点网元发送所述第一密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数给所述接入及移动管理网元。

s308、所述接入及移动管理网元将所述第二密钥参数、k_seaf标识码、终端安全能力、nas消息认证码等参数以及第一密钥参数通过ssmc发送给用户设备。

这样，通过发送一个ssmc信令来传送切片控制面共享密钥的参数和切片专用的控制面密钥的参数，从而达到节省空口资源的目的。

s309、用户设备根据收到第二密钥参数以及k_seaf标识码等参数，推演控制面切片共享密钥(amf或ccnf)。

s310、用户设备根据收到的第一密钥参数、第二密钥参数(其中，密钥算法类型区分码需要设定为切片专用的控制面密钥算法所对应的值)以及k_seaf标识码等参数，推演控制面切片专用密钥。

图6是本发明实施例提供的网络密钥处理的方法的第四实施例的流程示意图。图6实施例中，用于优化、减少信令传送的个数，通过发送一个ssmc信令来传送切片共享密钥的参数和切片专用密钥的参数，从而达到节省空口资源的目的，并在发送ssmc之前，对切片专用密钥的参数进行加密处理，下面展开描述：

s401、用户设备和核心网(seaf)、网络切片进行双向认证。

s402、所述安全锚点网元根据k_seaf以及第二密钥参数为接入及移动管理网元生成切片控制面共享密钥。

s403、所述安全锚点网元从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息。

s404、所述安全锚点网元根据所述k_seaf以及第一密钥参数生成n个切片专用的控制面密钥。

s405、所述安全锚点网元于将所述n个切片专用的控制面密钥分别发送给相对应的所述n个网络切片。

s406、所述接入及移动管理网元接收所述安全锚点网元发送的第二密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数。

s407、所述安全锚点网元发送的所述第一密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数给所述接入及移动管理网元。

s408、所述接入及移动管理网元通过所述切片控制面共享密钥为所述第一密钥参数进行加密。

s409、所述接入及移动管理网元将所述第二密钥参数、k_seaf标识码、终端安全能力、nas消息认证码等参数以及进行加密后的第一密钥参数通过ssmc发送给用户设备。

s410、用户设备根据收到第二密钥参数以及k_seaf标识码等参数，推演控制面切片共享密钥(amf或ccnf)。

s411、用户设备根据所述推演得到的控制面切片共享密钥对第一密钥参数进行解密，根据解密得到的第一密钥参数以及第二密钥参数(其中，密钥算法类型区分码需要设定为切片专用的控制面密钥算法所对应的值)、k_seaf标识码等参数推演控制面切片专用密钥。

图7是本发明实施例提供的网络密钥处理的方法的第五实施例的流程示意图。图7实施例中，用于优化、减少信令传送的个数，通过发送一个ssmc信令来传送切片共享密钥的参数和切片专用密钥的参数，从而达到节省空口资源的目的，并在发送ssmc之前，对切片专用密钥的参数进行加密处理，并且，针对每个切片内包含多个控制面网络功能的情况，进行网元粒度的加密(及密钥生成、分发)，下面展开描述：

s501、用户设备和核心网(seaf)、网络切片进行双向认证。

s502、所述安全锚点网元根据k_seaf以及第二密钥参数为接入及移动管理网元生成切片控制面共享密钥。

s503、所述安全锚点网元从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息。

s504、所述安全锚点网元根据所述k_seaf以及第一密钥参数生成n个切片专用密钥。

s505、所述安全锚点网元于将所述n个切片专用的控制面密钥分别发送给相对应的所述n个网络切片。

s506、所述n个网络切片根据所述n个切片控制面专用密钥以及切片中的m个网络功能的id：nf-id1…nf-idm推演出每个切片内m个网元功能的控制面密钥。比如，推演函数可以是kdf(kcp-sn,nf-idm,slc-nf,alg-id)。然后，用每个切片专用的控制面密钥来加密用于生成网元功能密钥的加密参数，所述加密参数包括所述m个网络功能的功能标识。比如enc(kcp-sn,nf-idm)，其中，kcp-sn为该网络切片的控制面专用密钥，nf-idm为第m个网络功能的功能标识。

s507、所述网络切片将所述加密后的网元密钥生成参数以及其他生成参数如slc-nf和alg-id等发送给接入及移动管理网元。

s508、所述接入及移动管理网元接收所述安全锚点网元发送的第二密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数。

s509、所述安全锚点网元发送的所述第一密钥参数以及k_seaf标识码、终端安全能力、nas消息认证码等参数给所述接入及移动管理网元。

s510、所述接入及移动管理网元通过所述切片控制面共享密钥为所述第一密钥参数进行加密。

s511、所述接入及移动管理网元将所述加密后的网元密钥生成参数以及其他生成参数如slc-nf和alg-id等参数、第二密钥参数以及进行加密后的第一密钥参数通过ssmc发送给用户设备。

s512、用户设备根据收到的第二密钥参数以及k_seaf标识码等参数，推演控制面切片共享密钥(amf或ccnf)。

s513、用户设备根据所述推演的控制面切片共享密钥对加密的第一密钥参数进行解密，根据解密的第一密钥参数以及第二密钥参数、k_seaf标识码等参数推演控制面切片专用密钥。根据所述推演得到的控制面切片专用密钥，对所述切片内加密的网络功能生成参数进行解密并继续推演出控制面切片内网络功能的专用密钥。对每个切片n:用密钥生成函数生成第m个网络功能的密钥kdf(kcp-sn,nf-id1,slc-nf,alg-id)。

在本申请中，通过密钥的推演，最终得到的密钥及其相互推演关系，可以用一个树状的结构图(即密钥架构)来表示。图8中是第一至第四个实施例所对应的切片密钥架构(同样的)，而图9是第五个实施例所对应的切片密钥架构。其中，enc代表加密密钥，int代表完整性保护密钥(即生成消息认证码mac所需密钥)，“cp”是指控制面。kcp-c表示控制面共享密钥，kcp-s1表示切片1的控制面专用密钥，kcp-c-nf1-enc表示控制面共享网络功能1的加密密钥，kcp-c-nf1-int表示控制面共享网络功能1的完整性保护密钥，kcp-s1-nf1-enc表示切片1的控制面专用网络功能1的加密密钥，kcp-s1-nf1-enc表示切片1的控制面专用网络功能1的完整性保护密钥。

图10是本发明实施例提供的网络认证系统以及所述网络认证系统中的相关网元的结构示意图。如图10所示，网络密钥处理的系统300可包括：安全锚点网元301、接入及移动管理网元302、网络切片303、用户设备304以及接入网网元305。下面展开描述。

如图10所示，安全锚点网元301可以包括获取单元3011、生成单元3012和发送单元3013，其中：

获取单元3011，用于从切片选择网元获取第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；

生成单元3012，用于根据所述第一密钥参数生成n个专用密钥；

发送单元3013，用于将所述n个切片专用密钥分别发送给相对应的所述n个网络切片，以使得用户设备从接入及移动管理网元接收到所述第一密钥参数后，生成相同的所述n个切片专用密钥从而能够访问所述n个网络切片。

可选的，所述发送单元3013还用于：

将所述第一密钥参数发送给接入及移动管理网元，用于所述接入及移动管理网元发送所述第一密钥参数至用户设备。

可选的，所述生成单元3012还用于：

根据第二密钥参数为所述接入及移动管理网元生成共享密钥，并将所述第二密钥参数发送给所述接入及移动管理网元，所述共享密钥用于所述n个网络切片的共享网络功能使用，以使得所述用户设备从所述接入及移动管理网元接收到所述第二密钥参数后，生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

如图10所示，接入及移动管理网元302可以包括获取单元3021、发送单元3022、接收单元3023以及加密单元3024，其中：

获取单元3021，用于从切片选择网元或者安全锚点网元获取所述第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；所述第一密钥参数用于安全锚点网元生成n个切片专用密钥，并将所述n个切片专用密钥发送给相对应的所述n个网络切片。

发送单元3022，用于将所述第一密钥参数发送给所述用户设备，以使得所述用户设备根据所述第一密钥参数生成相同的所述n个切片专用密钥，从而能够访问所述n个网络切片。

可选的，所述发送单元3022具体用于：

通过切片安全模式命令将所述第一密钥参数发送给所述用户设备。

可选的，所述接收单元3023，用于接收所述安全锚点网元发送的第二密钥参数，所述第二密钥参数用于所述安全锚点网元为所述接入及移动管理网元生成共享密钥，所述共享密钥用于所述n个网络切片的共享网络功能使用；

所述发送单元3022还用于，将所述第二密钥参数发送给所述用户设备，以使得所述用户设备根据所述第二密钥参数生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

可选的，所述发送单元3022具体还用于：

通过所述切片安全模式命令将所述第二密钥参数发送给所述用户设备。

可选的，所述加密单元3024，在所述发送单元3022通过切片安全模式命令将所述第一密钥参数发送给所述用户设备之前，用于所述接入及移动管理网元通过所述共享密钥为所述第一密钥参数进行加密；

所述发送单元3022具体还用于：

通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备。

可选的，所述所述接收单元3023还用于：

在所述发送单元3022通过切片安全模式命令将进行加密后的所述第一密钥参数发送给所述用户设备之前，接收所述n个网络切片发送的加密参数，所述加密参数为所述n个网络切片中每个网络切片为m个网络功能进行加密所使用的参数；

所述发送单元3022还用于：

通过切片安全模式命令将将进行加密后的所述第一密钥参数以及所述加密参数发送给所述用户设备，以使得所述用户设备根据所述加密参数访问所述n个网络切片的所述m个网络功能。

如图10所示，网络切片303可以包括接收单元3031、加密单元3032以及发送单元3033，其中：

接收单元3031，用于接收安全锚点网元发送的专用密钥；

加密单元3032，用于根据加密参数对m个网络功能进行加密，所述加密参数包括所述专用密钥以及所述m个网络功能的功能标识；

发送单元3033，用于将所述加密参数发送给接入及移动管理网元，以使得所述接入及移动管理网元将所述加密参数发送给用户设备，使得所述用户设备根据所述加密参数访问所述网络切片的所述m个网络功能。

如图10所示，用户设备304可以包括接收单元3041、生成单元3042以及访问单元3043，其中：

接收单元3041，用于接收所述接入及移动管理网元发送的第一密钥参数，所述第一密钥参数包括n个网络切片的标识信息，所述n个网络切片为所述切片选择网元为所述用户设备所确定的网络切片；所述第一密钥参数用于安全锚点网元生成n个切片专用密钥，并将所述n个切片专用密钥发送给相对应的所述n个网络切片；

生成单元3042，用于根据所述第一密钥参数生成相同的所述n个切片专用密钥，从而能够访问所述n个网络切片。

可选的，所述接收单元3041具体用于：

接收所述接入及移动管理网元通过切片安全模式命令发送的所述第一密钥参数。

可选的，所述接收单元3041还用于：

接收所述接入及移动管理网元发送的第二密钥参数，所述第二密钥参数用于所述安全锚点网元为所述接入及移动管理网元生成共享密钥，所述共享密钥用于所述n个网络切片的共享网络功能使用；

生成单元3042，用于根据所述第二密钥参数生成相同的所述共享密钥从而能够访问所述n个网络切片的共享网络功能。

可选的，所述接收单元3041具体还用于：

接收所述接入及移动管理网元通过所述切片安全模式命令发送的所述第二密钥参数。

可选的，所述接收单元3041具体还用于：

接收所述接入及移动管理网元通过切片安全模式命令发送的根据所述共享密钥进行加密后的所述第一密钥参数。

可选的，所述接收单元3041具体还用于：

接收所述接入及移动管理网元通过切片安全模式命令发送的根据所述共享密钥进行加密后的所述第一密钥参数以及加密参数，所述加密参数为所述n个网络切片中每个网络切片为m个网络功能进行加密所使用的参数；

可选的，访问单元3043，用于根据所述加密参数访问所述n个网络切片的所述m个网络功能。

需要说明的，安全锚点网元301、接入及移动管理网元302、网络切片303及用户设备304中各个功能单元的具体实现还可参考图3-7分别对应实施例中所述网络密钥的处理方法所对应的描述，这里不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

下面结合图11a至图11f说明本发明实施例提供的几种第一设备根据中间密钥推衍出至少一个密钥的实施方式。

在第一种实施方式中，如图11a所示，假设本实施方式的应用场景为包括s1～sn个切片，每个切片包括h1～hm个会话，则第一设备可以根据中间密钥为每个切片的每个会话生成一组用户平面密钥，每组用户平面密钥包括用户面加密性密钥kij-uenc、用户面完整性密钥kij-uint、其中，i表示切片的序号，j表示会话在切片中的序号。第一设备可以根据中间密钥为每个切片生成一组控制面密钥，每组控制面密钥包括控制面加密性密钥ki-cenc以及控制面完整性密钥ki-uint，其中，i表示切片的序号。例如，第一设备可以根据中间密钥kan为第一切片的第一会话生成用户面加密性密钥k11-uenc以及用户面完整性密钥k11-uint，第一设备可以根据中间密钥kan为第一切片的第二会话生成用户面加密性密钥k12-uenc以及用户面完整性密钥k12-uint，依次类推，第一设备可以根据中间密钥kan为第n切片的第m会话生成用户面加密性密钥knm-uenc以及用户面完整性密钥knm-uint。第一设备可以根据中间密钥kan为第一切片生成控制面加密性密钥k1-cenc以及控制面完整性密钥k1-cint，第一设备可以根据中间密钥kan为第二切片生成控制面加密性密钥k2-cenc以及控制面完整性密钥k2-cint，依次类推，第一设备可以根据中间密钥kan为第n切片生成控制面加密性密钥kn-cenc以及控制面完整性密钥kn-cint。

在第二种实施方式中，如图11b所示，假设本实施方式的应用场景为包括切片s1～sn，每个切片包括h1～hm个会话，则第一设备可以根据中间密钥为每个切片的每个会话生产一组用户平面密钥，每组用户平面密钥包括用户面加密性密钥kij-uenc、用户面完整性密钥kij-uint、其中，i表示切片的序号，j表示会话在切片的序号。第一设备可以根据中间密钥为生成一组控制面密钥，该组控制面密钥包括控制面加密性密钥kcenc以及控制面完整性密钥kcint。该组控制面密钥用于对切片s1～sn的控制面数据进行安全性保护，即，每个切片的控制面数据使用相同的控制面密钥进行安全性保护。例如，第一设备可以根据中间密钥kan为第一切片的第一会话生成用户面加密性密钥k11-uenc以及用户面完整性密钥k11-uint，第一设备可以根据中间密钥kan为第一切片的第二会话生成用户面加密性密钥k12-uenc以及用户面完整性密钥k12-uint，依次类推，第一设备可以根据中间密钥kan为第n切片的第m会话生成用户面加密性密钥knm-uenc以及用户面完整性密钥knm-uint。第一设备可以根据中间密钥kan为生成控制面加密性密钥kcenc以及控制面完整性密钥kcint。

在第三种实施方式中，如图11c所示，假设本实施方式的应用场景为包括s1～sn个切片，每个切片包括h1～hm个会话，则第一设备可以根据中间密钥为每个切片的生产一组用户平面密钥，每组用户平面密钥包括用户面加密性密钥ki-uenc、用户面完整性密钥ki-uint、其中，i表示切片的序号。每组用户平面密钥用于对对应切片的每个会话进行安全性保护，即，同一切片内的会话使用相同的用户平面密钥进行安全性保护。第一设备可以根据中间密钥为每个切片生成一组控制面密钥，每组控制面密钥包括控制面加密性密钥ki-cenc以及控制面完整性密钥ki-uint，其中，i表示切片的序号。例如，第一设备可以根据中间密钥kan为第一切片生成用户面加密性密钥k1-uenc以及用户面完整性密钥k1-uint，第一设备可以根据中间密钥kan为第二切片生成用户面加密性密钥k2-uenc以及用户面完整性密钥k2-uint，依次类推，第一设备可以根据中间密钥kan为第n切片生成用户面加密性密钥kn-uenc以及用户面完整性密钥kn-uint。第一设备可以根据中间密钥kan为第一切片生成控制面加密性密钥k1-cenc以及控制面完整性密钥k1-cint，第一设备可以根据中间密钥kan为第二切片生成控制面加密性密钥k2-cenc以及控制面完整性密钥k2-cint，依次类推，第一设备可以根据中间密钥kan为第n切片生成控制面加密性密钥kn-cenc以及控制面完整性密钥kn-cint。

在第四种实施方式中，如图11d所示，假设本实施方式的应用场景为包括切片s1～sn，每个切片包括h1～hm个会话，则第一设备可以根据中间密钥为每个切片的生成一组用户平面密钥，每组用户平面密钥包括用户面加密性密钥ki-uenc、用户面完整性密钥ki-uint、其中，i表示切片的序号。每组用户平面密钥用于对对应切片的每个会话进行安全性保护，即，同一切片内的会话使用相同的用户平面密钥进行安全性保护。第一设备可以根据中间密钥为生成一组控制面密钥，该组控制面密钥包括控制面加密性密钥kcenc以及控制面完整性密钥kcint。该组控制面密钥用于对切片s1～sn的控制面数据进行安全性保护，即，每个切片的控制面数据使用相同的控制面密钥进行安全性保护。例如，第一设备可以根据中间密钥kan为第一切片生成用户面加密性密钥k1-uenc以及用户面完整性密钥k1-uint，第一设备可以根据中间密钥kan为第二切片生成用户面加密性密钥k2-uenc以及用户面完整性密钥k2-uint，依次类推，第一设备可以根据中间密钥kan为第n切片生成用户面加密性密钥kn-uenc以及用户面完整性密钥kn-uint。第一设备可以根据中间密钥kan为生成控制面加密性密钥kcenc以及控制面完整性密钥kcint。

在第五种实施方式中，如图11e所示，假设本实施方式的应用场景为包括切片s1～sn，每个切片包括h1～hm个会话，则第一设备可以根据中间密钥为每个切片生成一个切片根密钥ki-root，其中，i表示切片的序号。第一设备根据切片i的根密钥ki-root为切片i中的每个会话生成一个用户面密钥ij-root，其中，i表示切片的序号，j为会话在切片中的序号。第一设备再根据每个会话的用户面密钥ij-root为每个会话生成用户面加密性密钥kij-uenc以及用户面完整性密钥kij-uint。第一设备可以根据切片根密钥ki-root为每个切片生成一组控制面密钥，每组控制面密钥包括控制面加密性密钥ki-cenc以及控制面完整性密钥ki-uint，其中，i表示切片的序号。即，每个切片的每个会话的用户面控制密钥ij-root以及切片的控制面密钥都是根据切片的根密钥生成的。

在第六种实施方式中，如图11f所示，本实施例主要是用来补充描述多切片、多会话(切片内)场景下的密钥生成方法及流程。本实施例的核心思想是由k_seaf推衍生成不同切片的会话根密钥，并进一步推衍对应于加密终结点在up-gw的会话密钥，生成的密钥架构如下图所示。其中，“sn”用来标识第n个切片，“up-gwm”用来标识切片中的第m个会话。为了简单起见，假设每个切片有同样个数的(m个)会话。实际当中，不同切片可以有不同数量的会话。

参照图12所示，图11f的密钥生成与分发的具体步骤如下所述：

801、ue和核心网(如，认证网元(seaf)和/或切片认证网元)进行双向认证，并生成根密钥k_seaf。核心网为ue确定切片，切片的id可以表示为slc-id1…slc-idn。

802、在会话建立过程，核心网内通过会话安全策略的协商，确定需要生成终结点在up-gw的用户面密钥。

803、核心网(如seaf)生成每个切片的根密钥k_up-s1…k_up-sn，并分别发送给各个切片(只发送每个切片所对应的密钥，如发送k_up-sn给切片n)。基于切片根密钥，每个切片推衍所有会话密钥(如：第n个切片的m个会话密钥为kup-sn-gwm(-enc,-int)，“enc”代表加解密密钥，“int”代表完整性保护密钥)。加解密和完整性保护密钥的生成函数分别为kdf(up-gw-enc-alg,bearerm,sliceidn…)和kdf(up-gw-int-alg,bearerm,sliceidn…)。其中kdf代表密钥生成函数，bearerm和sliceidn分别为承载id和切片id作为kdf的输入。其他输入包括up-gw-enc-alg和up-gw-int-alg，分别代表加密和完保所使用的算法。

804、每个切片给up-gw发送生成的密钥。

805、up-gw收到后应答。

806、每个切片把密钥生成所需输入参数发送给ccnf(amf)。

807、amf将上述参数通过ssmc经过an发送给ue。

808、ue根据收到的参数，生成所有密钥(类似第803步骤的生成方法)。

参照图13所示，图13为本申请实施例中所提供的总体密钥架构示意图，其中，核心网控制面密钥架构部分如图9实施例所示，核心网用户面密钥架构部分如图11f实施例所示，接入网密钥架构部分如图11a至图11e实施例所示，此处不做赘述。

可以理解的是，为了陈述简便，上述例子中是以每个切片具有的会话的数量相等来进行描述的，在实际应用中，每个切片具有的会话的数量可以均不相等，或者，至少两个切片具有的会话数量相等，本申请不作具体的限定。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。