信令操作及其指示方法、装置及计算机存储介质与流程

本申请涉及通信
技术领域：
，尤其涉及一种信令操作及其指示方法、装置及计算机存储介质。
背景技术：
：第三代合作项目(3rdgenerationpartnershipproject，3gpp)安全组(sa3)已经确定使用公钥加密技术，实现对签约用户永久标识符(subscriberpermanentidentifier，supi)的加密保护，但具体的实现方案还没有明确。技术实现要素：本申请实施例提供了一种信令操作及其指示方法、装置及计算机存储介质，用以实现对supi的加密保护方案，提高supi的使用安全性。本申请实施例提供的一种信令操作方法，包括：接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；根据所述信令进行相应操作。本申请实施例在ue侧，通过接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；根据所述信令进行相应操作，从而实现了对supi的加密保护方案，进而可以提高supi的使用安全性。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，根据所述信令进行相应操作，具体包括：解析所述sici，获取需要执行的操作的请求指令；根据所述请求指令进行相应操作。可选地，根据所述请求指令进行相应操作，具体包括：根据所述请求指令，对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，根据所述信令进行相应操作，还包括：根据所述操作的操作结果，生成响应指令，并将所述响应指令封装在sici中。可选地，所述sici是经过安全性保护的sici。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。可选地，根据所述信令进行相应操作，具体包括：确定当前需要采取的supi保护方案，以及应用于当前需要采取的supi保护方案的对supi进行加密的密钥；根据当前需要采取的supi保护方案，利用应用于当前需要采取的supi保护方案的对supi进行加密的密钥，对supi进行加密保护。相应地，在网络侧，本申请实施例提供的一种信令操作指示方法，包括：生成密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；发送所述信令。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，所述生成密钥相关的信令，具体包括：生成用户设备ue需要执行的操作的请求指令；将所述请求指令封装在sici中。可选地，所述sici是经过安全性保护的sici。可选地，在生成所述请求指令之前，该方法还包括：生成用于supi加密和解密的密钥对，并标识该密钥对；向签约标识符解密功能sidf实体提供supi解密密钥，向所述siekpf实体提供supi加密密钥。可选地，所述ue需要执行的操作，具体包括：对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。本申请实施例提供的一种信令操作装置，包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行：通过收发机接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；根据所述信令进行相应操作。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，所述处理器根据所述信令进行相应操作，具体包括：解析所述sici，获取需要执行的操作的请求指令；根据所述请求指令进行相应操作。可选地，所述处理器根据所述请求指令进行相应操作，具体包括：根据所述请求指令，对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，所述处理器根据所述信令进行相应操作，还包括：根据所述操作的操作结果，生成响应指令，并将所述响应指令封装在sici中。可选地，所述sici是经过安全性保护的sici。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。可选地，所述处理器根据所述信令进行相应操作，具体包括：确定当前需要采取的supi保护方案，以及应用于当前需要采取的supi保护方案的对supi进行加密的密钥；根据当前需要采取的supi保护方案，利用应用于当前需要采取的supi保护方案的对supi进行加密的密钥，对supi进行加密保护。本申请实施例提供的一种信令操作指示装置，包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行：生成密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；通过收发机发送所述信令。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，所述处理器生成密钥相关的信令，具体包括：生成用户设备ue需要执行的操作的请求指令；将所述请求指令封装在sici中。可选地，所述sici是经过安全性保护的sici。可选地，在生成所述请求指令之前，所述处理器还用于：生成用于supi加密和解密的密钥对，并标识该密钥对；向签约标识符解密功能sidf实体提供supi解密密钥，向所述siekpf实体提供supi加密密钥。可选地，所述ue需要执行的操作，具体包括：对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。本申请实施例提供的另一种信令操作装置，包括：接收单元，用于接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；操作单元，用于根据所述信令进行相应操作。本申请实施例提供的另一种信令操作指示装置，包括：生成单元，用于生成密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；发送单元，用于发送所述信令。本申请另一实施例提供了一种计算机存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述任一种方法。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例提供的supi加密密钥的供应和配置的流程示意图；图2为本申请实施例提供的supi的加密和解密的流程示意图；图3为本申请实施例提供的一种ue与cn之间进行的与supi隐藏配置相关的交互方法的流程示意图；图4为本申请实施例提供的另一种ue与cn之间进行的与supi隐藏配置相关的交互方法的流程示意图；图5为本申请实施例提供的一种信令操作方法的流程示意图；图6为本申请实施例提供的一种信令操作指示方法的流程示意图；图7为本申请实施例提供的一种信令操作装置的结构示意图；图8为本申请实施例提供的一种信令操作指示装置的结构示意图；图9为本申请实施例提供的另一种信令操作装置的结构示意图；图10为本申请实施例提供的另一种信令操作指示装置的结构示意图。具体实施方式本申请实施例提供了一种信令操作及其指示方法、装置及计算机存储介质，用以实现对supi的加密保护方案，提高supi的使用安全性。本申请实施例中，在用户设备(userequipment，ue)中设有签约标识符隐藏配置文件(subscriptionidentifierconcealingconfigurationfile，siccf)和签约标识符加密密钥列表(subscriptionidentifierencryptionkeylist，siekl)。通过对这两个文件的配置和修改，来控制ue是否使用supi，以保护ue的隐私。为达到对ue中这两个文件的配置和修改，设计了通过非接入层(non-accessstratum，nas)消息传送的新参数，即签约标识符隐藏指令(subscriptionidentifierconcealinginstruction，sici)。核心网(corenetwork，cn)通过隐私密钥供应功能(privacykeyprovisionfunction)利用该参数sici向ue传送各种与隐私保护相关的控制指令。需要说明的是，本申请实施例中的supi也可以简称为签约标识符。下面介绍一下本申请实施例中涉及的术语或功能实体的介绍：签约标识符隐藏指令(subscriptionidentifierconcealinginstruction，sici)：用于封装在ue和cn之间交互的与签约标识符隐藏功能配置相关的请求和响应信息，以便通过nas信令进行传送。ue签约标识符隐藏系统(uesubscriptionidentifierconcealingsystem)执行与签约用户永久标识符(subscriberpermanentidentifier，supi)隐藏相关的功能，其包含如下功能或功能实体，其中，签约标识符隐藏管理功能(subscriptionidentifierconcealingmanagementfunction，sicmf)：负责维护签约标识符隐藏配置文件(subscriptionidentifierconcealingconfigurationfile，siccf)和签约标识符加密密钥列表(subscriptionidentifierencryptionkeylist，siekl)，生成和解析签约标识符隐藏指令(sici)，并可在需要时调用相应的安全功能对sici提供机密性或完整性保护。签约标识符隐藏功能(subscriptionidentifierconcealingfunction，sicf)：根据签约标识符隐藏配置文件(siccf)提供的信息，利用签约标识符加密密钥列表(siekl)中给出的密钥加密supi或supi中的部分信息。签约标识符隐藏配置文件(subscriptionidentifierconcealingconfigurationfile，siccf)：用于存储使用哪种加密方案保护supi。其中，“空方案(null-scheme)”为一种特殊的加密方案，表示不使用任何supi保护方案。当选择任何非“空方案”时，表示使用某种supi保护方案。系统根据该文件中提供的信息确定是否对supi进行保护和采用何种方案进行保护。签约标识符加密密钥列表(subscriptionidentifierencryptionkeylist，siekl)：存储用于加密supi的密钥列表。列表所包含的内容如下面的表一所示。其中的各参数说明如下：密钥标识符(keyidentity)：密钥的唯一标识。密钥(key)：密钥值。加密方案(scheme)：加密方案标识。(可选)失效期(expirationtime)：密钥失效时间。(可选)使用标识(inuse)：密钥当前是否可用。(可选)keyidentitykeyschemeexpirationtimeinuse.............................................表一cn签约标识符隐藏系统(cnsubscriptionidentifierconcealingsystem)执行与签约用户永久标识符(supi)隐藏相关的功能，其包含如下的功能或功能实体：签约标识符密钥生成功能(subscriptionidentifierkeygenerationfunction，sikgf)：负责加密密钥和解密密钥对的生成；向签约标识符加密密钥供应功能(siekpf)提供加密密钥列表(encryptionkeylist)，向签约标识符解密功能(sidf)实体提供解密密钥列表(decryptionkeylist)。加密密钥与对应的解密密钥的密钥标识相同。需要说明的是，本申请实施例中所述加密密钥，例如可以是公钥，相应的解密密钥，例如可以是私钥。当然采用其他加密方式也可以，例如加密密钥和解密密钥相同的方式。签约标识符加密密钥供应功能(subscriptionidentifierencryptionkeyprovisionfunction，siekpf)实体：1)、向ue提供用于supi加密的密钥列表；2)、设置使用何种加密方案和使用哪个加密密钥；3)、询问ue中签约标识符隐藏系统的配置情况；4)、生成和解析签约标识符隐藏指令(sici)，并可在需要时调用相应的安全功能，对sici提供机密性或完整性保护。签约标识符解密功能(subscriptionidentifierde-concealingfunction，sidf)实体：选择与加密密钥相对应的解密密钥，并根据使用的加密方案对加密内容进行解密。下面举例说明本申请实施例提供的基本操作过程：一个典型的签约标识符加密密钥供应和配置流程如图1所示，具体包括：步骤1、签约标识符密钥生成功能(sikgf)实体，生成用于supi加密和解密的密钥对，并标识生成的密钥对，即分别对加密密钥和解密密钥进行标识，建立该加密密钥和解密密钥的对应关系。生成的加解密密钥可以是基于非对称密码算法，此时公钥是加密密钥，私钥是解密密钥。生成的加解密密密钥也可以是基于对称密码算法，此时加密和解密密钥相同。步骤2.1、sikgf向签约标识符解密功能(sidf)提供supi解密密钥；步骤2.2、sikgf向签约标识符加密密钥供应功能(siekpf)提供supi加密密钥。步骤3、签约标识符加密密钥供应功能siekpf实体，生成ue中的签约标识符隐藏管理功能(sicmf)需要执行的操作的请求指令，例如密钥更新、保护方案设置、配置状态查询等；若系统要求对传送的指令提供机密性或完整性保护，则siekpf调用相关的安全功能完成指令的机密性或完整性保护操作；siekpf将生成的操作请求指令封装在签约标识符隐藏指令(sici)中。步骤4、siekpf实体将生成的sici提供给接入和移动性管理功能(accessandmobilitymanagementfunction，amf)。其中，amf为5g中已定义的网元，属于cn侧。步骤5、amf实体将sici作为nas信令的一个可选参数放在合适的nas信令中，并发送给ue。步骤6、ue中的签约标识符隐藏管理功能(sicmf)实体，获取nas信令中的sici；sicmf实体解析收到的sici，若sici有机密性或完整性保护，则sicmf实体调用相关的安全功能完成解密或完整性验证，进而获取到siekpf实体发送的操作请求。步骤7、sicmf实体依据指令中的内容，对签约标识符隐藏配置文件(siccf)和/或签约标识符加密密钥列表(siekl)进行所要求的操作。步骤8、sicmf实体根据操作结果生成操作请求响应指令；若系统要求对传送的响应指令提供机密性或完整性保护，则sicmf实体调用相关的安全功能完成响应指令的机密性或完整性保护操作；sicmf实体将生成的指令封装在签约标识符隐藏指令(sici)中。步骤9、ue(具体的可以是现有的功能实体，也可以是sicmf实体)将sici作为nas信令的一个可选参数放在合适的nas信令中，并发送给amf实体。步骤10、amf实体将nas信令中的sici提供给siekpf实体。步骤11、siekpf实体解析收到的sici；若sici有机密性或完整性保护，则sicmf实体调用相关的安全功能完成解密或完整性验证，进而获取到ue发送的操作响应。需要说明的是，本申请实施例中所述的密钥，都是针对supi而言的密钥。一个典型的签约标识符加密和解密流程如图2所示，具体包括：步骤21.1、ue中的签约标识符隐藏功能(sicf)实体，查询签约标识符隐藏配置文件(siccf)，获得应该使用何种supi保护方案的信息；步骤21.2、例如sicf实体获取方案(scheme)标识，利用该标识在siekl表中查询可用的密钥(key)。若查询结果要求使用某种非“空方案”时，ue查询签约标识符加密密钥列表(siekl)，获得可用的加密密钥，具体地，首先找到scheme标识，然后根据scheme标识在siekl密钥列表里找到可用的密钥。选择的规则应该是该密钥适用于规定的保护方案，且密钥未过期和/或处于可用状态。若签约标识符加密密钥列表siekl没有任何可选字段(例如scheme，expirationtime，inuse)，则可选择位于siekl列表首位的密钥作为supi加密密钥。步骤22、ue中的签约标识符隐藏功能sicf实体，按照规定的保护方案利用加密密钥对supi进行加密，从而得到隐藏的签约标识(subscriptionconcealedidentifier，suci)，即生成suci(generatingsuci)。suci中包含有加密密钥的标识。步骤23、ue(具体可以是ue中的现有功能实体)将suci发送给cn。步骤24、cn中的amf实体将suci提供给签约标识符解密功能(sidf)实体。步骤25、签约标识符解密功能sidf实体，利用suci中的密钥标识查找到与加密密钥对应的解密密钥，同时获得所使用的supi保护方案，进而对suci进行解密，即去隐藏suci(de-concealingsuci)，从而获得supi。步骤26、sidf实体将supi提供给amf实体。以上内容中，签约标识符加密密钥供应功能(siekpf)发送给ue中的签约标识符隐藏管理功能(sicmf)实体的请求(即图1所示流程的步骤3中的请求)可包含如下指令之一或组合(不限于这些)：状态上报请求：用于请求上报配置文件(siccf)中的内容，以及上报签约标识符加密密钥列表(siekl)中的密钥标识符。隐私保护方案设定请求：用于请求将当前需要使用的隐私保护方案标识写入配置文件(siccf)中。隐私保护密钥写入请求：用于请求将隐私保护加密密钥及相关信息写入签约标识符加密密钥列表(siekl)中。隐私保护密钥删除请求：用于请求将签约标识符加密密钥列表(siekl)中的全部或部分记录删除。相应地，ue中的签约标识符隐藏管理功能(sicmf)发送给签约标识符加密密钥供应功能(siekpf)的响应可包含如下指令之一或组合(不限于这些)：状态上报响应：用于上报配置文件(siccf)中的内容和签约标识符加密密钥列表中的密钥标识符。隐私保护方案设定响应：用于返回将当前需要使用的隐私保护方案标识写入配置文件中的结果，例如，成功或失败。隐私保护密钥写入响应：用于返回将隐私保护加密密钥及相关信息写入签约标识符加密密钥列表中的结果，例如，成功或失败。隐私保护密钥删除响应：用于返回将签约标识符加密密钥列表中某些记录删除的结果，例如，成功或失败。其中，当ue中的签约隐私隐藏保护方案设定为非“空方案”，且没有任何可用密钥时，ue也可以主动发送“状态上报响应”。也就是说，配置文件(siccf)要求ue进行supi进行加密，也就是使用suci，但ue总没有可以使用的加密密钥，从而需要主动向cn上报ue中当前的状态，以便cn向其提供所需的加密密钥。系统的实际部署主要与签约标识符加密密钥供应功能(siekpf)的部署有关。例如：签约标识符加密密钥供应功能(siekpf)与5g安全架构中的认证服务器功能(authenticationserverfunction，ausf)实体在一起(在一个服务器中，或不需对接口进行标准化)的场景。在这种场景中ue与cn之间进行的与签约标识符隐藏配置相关的交互可以放在ue认证的流程中完成。这种场景下的一种实现方式如图3所示，具体包括：步骤31、ue向网络侧发送注册请求，该请求路由至接入和移动性管理功能amf实体。步骤32、接入和移动性管理功能amf实体，向认证服务器功能ausf实体发送认证向量或认证请求。步骤33、与认证服务器功能ausf实体在一起的siekpf实体，通过认证向量响应或其它消息，携带提供给amf的sici。该参数可以通过多种nas信令进行传送。步骤34、ue与cn完成双向认证，并建立nas安全连接。步骤35、amf向ue发送注册接受消息，其中携带有sici参数。步骤36、ue向cn发送认证完成消息，其中携带有sici参数。本申请实施例中，ue与amf都是通过nas信令传送sici参数的。步骤37、amf将sici提供给sekpf实体。再例如，对于签约标识符加密密钥供应功能(siekpf)实体与amf单独连接的场景，在这种场景中ue与cn之间进行的与签约标识符隐藏配置相关的交互，可在nas安全连接建立之后通过nas信令完成。这种场景下的一种实现方式如图4所示。此实施例还假设ue没有有效的supi加密密钥。那么，具体的处理流程包括：步骤41、ue向网络发送注册请求，该请求路由至amf。因假设ue没有加密supi的密钥，所以ue在注册请求中携带有表示注册标识隐藏配置状态的sici。也就是说，因为运营商要求加密supi，但ue没有密钥，并通过这个场景通知cn。步骤42、ue与cn完成双向认证，并建立nas安全连接。步骤43、amf实体将收到的sici提供给siekpf实体。步骤44、siekpf实体将supi加密密钥封装在sici中，并将该sici提供给amf实体。步骤45、amf实体向ue发送携带有该sici参数的nas信令。步骤46、ue将sici中携带的supi加密密钥写入签约标识符加密密钥列表(siekl)中，并将写入成功的信息封装在sici中，然后通过携带有该sici参数的nas信令发送给amf实体。步骤47、amf实体将sici提供给sekpf实体。综上所述，参见图5，在ue侧，本申请实施例提供的一种信令操作方法，包括：s501、接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；s502、根据所述信令进行相应操作。本申请实施例在ue侧，通过接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；根据所述信令进行相应操作，从而实现了对supi的加密保护方案，进而可以提高supi的使用安全性。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，根据所述信令进行相应操作，具体包括：解析所述sici，获取需要执行的操作的请求指令；根据所述请求指令进行相应操作。例如，可以由sicmf实体解析所述sici，获取需要执行的操作的请求指令；并根据所述请求指令进行相应操作。当然，根据所述信令进行相应操作的执行主体也可以是ue中的其他功能实体。可选地，根据所述请求指令进行相应操作，具体包括：根据所述请求指令，对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，根据所述信令进行相应操作，还包括：根据所述操作的操作结果，生成响应指令，并将所述响应指令封装在sici中。例如，sicmf实体根据所述请求指令，对签约标识符隐藏配置文件siccf和/或签约标识符加密密钥列表siekl进行操作。可选地，所述sici是经过安全性保护的sici。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。可选地，根据所述信令进行相应操作，具体包括：确定当前需要采取的supi保护方案，以及应用于当前需要采取的supi保护方案的对supi进行加密的密钥；根据当前需要采取的supi保护方案，利用应用于当前需要采取的supi保护方案的对supi进行加密的密钥，对supi进行加密保护。例如，签约标识符隐藏功能sicf实体，根据siccf提供的supi保护方案，利用siekl给出的密钥，对supi进行加密保护。相应地，在网络侧，例如可以在核心网侧，参见图6，本申请实施例提供的一种信令操作指示方法，包括：s601、生成密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；s602、发送所述信令。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，所述生成密钥相关的信令，具体包括：生成用户设备ue需要执行的操作的请求指令；将所述请求指令封装在sici中。例如：签约标识符加密密钥供应功能siekpf实体，生成用户设备ue中的签约标识符隐藏管理功能sicmf实体需要执行的操作的请求指令；所述siekpf实体将所述请求指令封装在sici中。可选地，所述sici是经过安全性保护的sici。可选地，在生成所述请求指令之前，该方法还包括：生成用于supi加密和解密的密钥对，并标识该密钥对；向签约标识符解密功能sidf实体提供supi解密密钥，向所述siekpf实体提供supi加密密钥。例如：签约标识符密钥生成功能sikgf实体，生成用于supi加密和解密的密钥对，并标识该密钥对；所述sikgf实体向签约标识符解密功能sidf实体提供supi解密密钥，向所述siekpf实体提供supi加密密钥。可选地，所述ue需要执行的操作，具体包括：对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。与上述信令操作方法相对应的，参见图7，在终端侧，本申请实施例提供的一种信令操作装置，包括：存储器620，用于存储程序指令；处理器600，用于调用所述存储器中存储的程序指令，按照获得的程序执行：通过收发机610接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；根据所述信令进行相应操作。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，所述处理器根据所述信令进行相应操作，具体包括：解析所述sici，获取需要执行的操作的请求指令；根据所述请求指令进行相应操作。可选地，所述处理器根据所述请求指令进行相应操作，具体包括：根据所述请求指令，对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，所述处理器根据所述信令进行相应操作，还包括：根据所述操作的操作结果，生成响应指令，并将所述响应指令封装在sici中。可选地，所述sici是经过安全性保护的sici。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。可选地，所述处理器根据所述信令进行相应操作，具体包括：确定当前需要采取的supi保护方案，以及应用于当前需要采取的supi保护方案的对supi进行加密的密钥；根据当前需要采取的supi保护方案，利用应用于当前需要采取的supi保护方案的对supi进行加密的密钥，对supi进行加密保护。收发机610，用于在处理器600的控制下接收和发送数据。其中，在图7中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器600代表的一个或多个处理器和存储器620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机610可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口630还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。处理器600负责管理总线架构和通常的处理，存储器620可以存储处理器600在执行操作时所使用的数据。可选的，处理器600可以是cpu(中央处埋器)、asic(applicationspecificintegratedcircuit，专用集成电路)、fpga(field－programmablegatearray，现场可编程门阵列)或cpld(complexprogrammablelogicdevice，复杂可编程逻辑器件)。参见图8，在网络侧，与上述信令操作指示方法相对应地，本申请实施例提供的一种信令操作指示装置，包括：存储器520，用于存储程序指令；处理器500，用于调用所述存储器中存储的程序指令，按照获得的程序执行：生成密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；通过收发机510发送所述信令。可选地，所述信令为非接入层nas信令。可选地，所述信令中携带签约标识符隐藏指令sici。可选地，所述处理器生成密钥相关的信令，具体包括：生成用户设备ue需要执行的操作的请求指令；将所述请求指令封装在sici中。可选地，所述sici是经过安全性保护的sici。可选地，在生成所述请求指令之前，所述处理器还用于：生成用于supi加密和解密的密钥对，并标识该密钥对；向签约标识符解密功能sidf实体提供supi解密密钥，向所述siekpf实体提供supi加密密钥。可选地，所述ue需要执行的操作，具体包括：对签约标识符隐藏配置文件和/或签约标识符加密密钥列表进行操作。可选地，所述签约标识符隐藏配置文件用于存储supi保护方案；所述签约标识符加密密钥列表用于存储应用于supi保护方案中的加密密钥。收发机510，用于在处理器500的控制下接收和发送数据。其中，在图8中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器500代表的一个或多个处理器和存储器520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机510可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器500负责管理总线架构和通常的处理，存储器520可以存储处理器500在执行操作时所使用的数据。处理器500可以是中央处埋器(cpu)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field－programmablegatearray，fpga)或复杂可编程逻辑器件(complexprogrammablelogicdevice，cpld)。在ue侧，参见图9，本申请实施例提供的另一种信令操作装置，包括：接收单元91，用于接收密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；操作单元92，用于根据所述信令进行相应操作。在cn侧，参见图10，本申请实施例提供的另一种信令操作指示装置，包括：生成单元101，用于生成密钥相关的信令；其中，所述密钥为签约用户永久标识符supi对应的密钥；发送单元102，用于发送所述信令。上述本申请实施例提供的信令操作方法可以应用于终端设备，终端设备也可称之为用户设备(userequipment，简称为“ue”)、移动台(mobilestation，简称为“ms”)、移动终端(mobileterminal)等，可选的，该终端可以具备经无线接入网(radioaccessnetwork，ran)与一个或多个核心网进行通信的能力，例如，终端可以是移动电话(或称为“蜂窝”电话)、或具有移动性质的计算机等，例如，终端还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。本申请另一实施例提供了一种计算机存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述任一种方法。所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(mo)等)、光学存储器(例如cd、dvd、bd、hvd等)、以及半导体存储器(例如rom、eprom、eeprom、非易失性存储器(nandflash)、固态硬盘(ssd))等。综上所述，本申请实施例提供的技术方案中，包括如下实体：签约标识符密钥生成功能(sikgf)，签约标识符加密密钥供应功能(siekpf)，签约标识符隐藏管理功能(sicmf)，签约标识符隐藏功能(sicf)，签约标识符隐藏配置文件(siccf)，签约标识符加密密钥列表(siekl)。本申请实施例提供的技术方案中定义了一个命名为：签约标识符隐藏指令(subscriptionidentifierconcealinginstruction，sici)的nas参数，该参数用来携带ue和cn之间传递的与签约标识符隐藏功能配置相关的指令或消息。cn侧的siekpf负责：向ue发送用于签约标识符隐藏方案中使用的密钥；删除不再使用的密钥；设置使用何种签约标识符隐藏方案；查询ue中签约标识符隐藏配置信息；将发送的指令封装在sici中；在需要对sici中的内容提供机密性或完整性保护时，调用相应的安全功能完成对sici的安全保护。ue侧的siccf用于存储采用何种签约标识符保护方案；ue侧的siekl用于存储应用于签约标识符保护方案中的加密密钥。ue侧的sicmf负责：处理接收cn发送来的封装在sici中的操作指令，并按照指令的指示对siccf和siekl进行更新操作；sicmf还负责将发送给cn的信息封装在sici中；若需要对sici中的内容提供机密性或完整性保护，则其还负责调用相应的安全功能完成对sici的安全保护。ue侧的sicf负责：根据siccf给出的指示信息(签约标识符保护方案)，利用siekl给出的密钥对签约标识符(supi)进行加密保护。cn侧的sikgf负责：生成用于签约标识符加密和解密的密钥对，并标识生成的密钥对，然后将加密密钥提供给siekpf。目前3gppsa35g安全ts中已经明确采用公钥加密supi来保护用户的隐私，本申请实施例提供了具体的解决方案，提供了如何将密钥以及密钥相关信息提供给ue，以及如何管理这些密钥的技术方案。本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。当前第1页12