一种从EPS到5GS互操作时鉴权UE的方法及系统与流程

本发明涉及eps与5gs之间互操作技术领域，尤其涉及一种从eps到5gs互操作时鉴权ue的方法及系统。

背景技术：

目前，5g(5th-generation，第五代移动通信技术)协议正在制定过程中，其中为5gs(5gsystem，5g系统)和eps(evolvedpacketsystem，演进分组系统)之间的互操作，新引入了注册模式的概念。5g中的注册模式分为单注册和双注册两种，单注册模式下ue(userequipment，用户设备)在5gs和eps维护单一的注册状态，双注册模式ue在5gc(5gcorenetwork，5g核心网)和epc(evolvedpacketcore，全ip的分组核心网即4g核心网)下分别维护各自独立的注册状态。5g中用于5gs和eps之间互操作的是n26接口，n26接口是amf(authenticationmanagementfunction，认证管理功能)和mme(mobilemanagemententity，移动管理实体)之间的接口，用于在互操作时传输上下文。

单注册有n26接口时，从eps到5gs的互操作，ue发起移动注册更新(mobilityregistration)流程：

ue在发送registrationrequest(注册请求消息)时，5g协议规定在消息中携带epsnas(non-accessstratum，非接入层)messagecontainer(消息容器)字段，内容为4g下的trackingareaupdaterequest(触发跟踪区更新请求，即tau请求消息)，并且tau请求消息是完整性保护过的。amf收到epsnasmessagecontainer字段后，把它转给mme。mme对字段中的tau请求消息做完整性校验，完整性校验通过后，把ue上下文转给amf，然后mme释放ue上下文。如果完整性校验失败，mme向amf提供原因值。

另外，mme要校验tau请求消息，实际上是对ue身份是否合法的一种鉴别，原因是基于安全方面的考虑：如果ue当前注册到epc，mme不做校验直接转交并释放ue上下文。那么攻击者可以伪造一个携带tau请求的5g移动注册请求消息，将导致epc释放ue上下文，在4g下不能正常提供服务。此时只有当ue在epc中重新注册，有可能还需要重新鉴权之后才能正常提供服务。因此，从本质上来说，注册请求消息携带的epsnasmessagecontainer字段是用于鉴权ue身份的。

由于，在5gnas消息中携带4gnastau请求消息，ue在5gnas中需要考虑如何获取或构造tau请求消息，tau请求消息包含必选字段和可选字段，而一些字段如guti(globallyuniquetemporaryueidentity，全球唯一临时ue标识)、uenetworkcapability(ue支持的数据传输能力)等长度较长，这些字段发送到mme之后，mme不会解析也不关心这些字段的具体内容，因此，携带这些字段不仅将造成空口资源的浪费，另外，在5gnas模块中使用4gnas消息，还大大增加了模块之间的耦合。

技术实现要素：

本发明提供的从eps到5gs互操作时鉴权ue的方法及系统，能够有效的减少空口携带的消息长度，从而能够在保证网络安全的基础上进一步节省空口资源，有效减少网络负担；另外，所述方法还能够携带和eps无关的信息，减少模块之间的耦合，进而促进4g和5g网络的高效融合。

第一方面，本发明提供一种从eps到5gs互操作时鉴权ue的方法，包括：

ue在5gs注册请求信息中携带加密信息、或加密信息和第一源信息经amf发送至mme，然后由mme对加密信息进行解密获取解密信息，并与ue的第一源信息进行比对验证用以完成ue鉴权；

或者，ue在5gs注册请求消息中携带的第二源信息和通过预设算法得出第二源信息对应的第一完整性校验结果经amf发送至mme；然后由mme将所获取的第二源信息通过预设算法得出第二源信息对应的第二完整性校验结果，并与所述第一完整性校验结果进行比对用以完成ue鉴权。

可选地，所述ue在注册请求信息中携带加密信息、或加密信息和第一源信息经amf发送至mme包括：

将由ue生成的随机数rand作为第一源信息，并将随机数rand按照预设加密算法和派生密钥加密生成第一加密信息res，并将第一加密信息res和随机数rand经amf发送至mme；

或者，将4g-guti或预设参数作为第一源信息，并将4g-guti按照预设加密算法和派生密钥加密生成第一加密信息，并将第一加密信息经amf发送至mme。

可选地，所述随机数rand或4g-guti按照预设加密算法和派生密钥加密生成第一加密信息res或第一加密信息包括：

直接采用usim或者hss/auc中存储的4g根密钥k或根密钥kasme作为第一派生密钥，然后由f2算法、或eea算法(epsencryptionalgorithm，演进型分组系统加密算法)、或epsnas层加密算法将随机数rand与第一派生密钥加密生成第一加密信息res；或者，由f2算法、或eea算法、或epsnas层加密算法将4g-guti与第一派生密钥加密生成第一加密信息；

或者，采用由epsnas加密密钥knasenc通过f2算法、或eea算法、或epsnas层加密算法作为密钥生成算法并生成一个第二派生密钥，然后，由ue生成的随机数rand执行设定操作生成第一加密信息res；或者，由4g-guti或预设参数与第二派生密钥执行设定操作生成第一加密信息。

可选地，所述由epsnas加密密钥knasenc通过eea算法作为密钥生成算法并生成一个第二派生密钥为由epsnas加密密钥knasenc和第一预设输入参数通过eea算法生成一个第二派生密钥，其中，所述第一预设输入参数包括上行nas信令计数值、随机数rand长度、方向指示参数、承载中一种或者任意组合。

可选地，所述ue在5gs注册请求消息中携带的第二源信息和通过预设算法得出第二源信息对应的第一完整性校验结果经amf发送至mme包括：

由ue生成的随机数rand作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果，并由ue将随机数rand和mac经amf发送至mme；

或者，将ue在注册请求消息中所携带长度最短的tau请求消息作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果经amf发送至mme。

可选地，所述ue在注册请求消息中所携带长度最短的tau请求消息包括6字节安全头和15字节必选参数，其中，所述15字节必选参数包括pd、或消息id、或guti。

可选地，所述将所携带的第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果为由所携带的源信息、密钥knasint和第二预设输入参数通过eia算法(epsintegrityalgorithm，演进型分组系统完整性保护算法)生成mac，其中，第二预设输入参数包括上行nas信令计数值、方向指示参数、承载一种或者任意组合。

第二方面，本发明提供一种从eps到5gs互操作时鉴权ue的系统，包括：

发送单元：用于由ue在5gs注册请求信息中携带加密信息、或加密信息和第一源信息经amf发送至mme；或者，由ue在5gs注册请求消息中携带的第二源信息和通过预设算法得出第二源信息对应的第一完整性校验结果经amf发送至mme；

解密单元：用于由mme对加密信息进行解密获取解密信息；或者，由mme将所获取的第二源信息通过预设算法得出第二源信息对应的第二完整性校验结果；

比对验证单元：用于将解密信息、与ue的第一源信息进行比对验证用以完成ue鉴权；或者，将第二完整性校验结果与所述第一完整性校验结果进行比对用以完成ue鉴权。

可选地，所述发送单元包括：

第一加密发送模块，用于将由ue生成的随机数rand作为第一源信息，并将rand按照预设加密算法和派生密钥加密生成第一加密信息res，并将第一加密信息res和随机数rand经amf发送至mme；

第二加密发送模块，用于将4g-guti或预设参数作为第一源信息，并将4g-guti按照预设加密算法和派生密钥加密生成第一加密信息，并将第一加密信息经amf发送至mme；

第三加密发送模块，用于由ue生成的随机数rand作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果，并由ue将随机数rand和mac经amf发送至mme；

第四加密发送模块，用于将ue在注册请求消息中所携带长度最短的tau请求消息作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果经amf发送至mme。

可选地，所述第一加密发送模块包括：

第一加密子模块：用于直接采用usim或者hss/auc中存储的4g根密钥k或根密钥kasme作为第一派生密钥，然后由f2算法、或eea算法、或epsnas层加密算法将随机数rand与第一派生密钥加密生成第一加密信息res；

第二加密子模块：用于直接采用usim或者hss/auc中存储的4g根密钥k或根密钥kasme作为第一派生密钥，然后由f2算法、或eea算法、或epsnas层加密算法将4g-guti与第一派生密钥加密生成第一加密信息；

优选地，所述第二加密发送模块包括：

第三加密子模块：用于采用由epsnas加密密钥knasenc通过f2算法、或eea算法、或epsnas层加密算法作为密钥生成算法并生成一个第二派生密钥，然后，由ue生成的随机数rand执行设定操作生成第一加密信息res；

第四加密子模块：采用由epsnas加密密钥knasenc通过f2算法、或eea算法、或epsnas层加密算法作为密钥生成算法并生成一个第二派生密钥，然后，由4g-guti或预设参数与第二派生密钥执行设定操作生成第一加密信息。

本发明实施例提供的从eps到5gs互操作时鉴权ue的方法及系统，所述方法主要是从eps到5gs互操作时通过采用在ue侧加密信息，mme解密并和第一源信息比对来进行校验，即ue在注册请求消息中携带第一源信息以及加密信息，或者只携带加密信息；然后mme收到后使用相同的方式对加密信息进行解密，并与ue的信息进行比对验证，如果一致则鉴权ue成功。

或者，通过mme对第二源信息进行完整性校验来鉴权ue，即ue在注册请求消息中携带第二源信息以及mac(第二源信息的第一完整性校验结果)。mme收到后使用相同的方式为第二源信息生成mac(第二完整性校验结果)，并与ue侧的mac(第一完整性校验结果)进行比对验证，如果一致则鉴权ue成功。

因此，所述方法通过采用在ue侧加密信息来鉴权ue或由mme对第二源信息进行完整性校验来鉴权ue能够有效的减少空口携带的消息长度，从而能够在保证网络安全的基础上进一步节省空口资源，有效减少网络负担；另外，所述方法还能够携带和eps无关的信息，减少模块之间的耦合，进而促进4g和5g网络的高效融合。

附图说明

图1为本发明一实施例从eps到5gs互操作时鉴权ue的方法的流程图；

图2为本发明实施例一采用在ue侧加密方法的流程图；

图3为本发明实施例一采用在ue侧对随机数rand加密方法的流程图；

图4为本发明实施例一采用在ue侧对随机数rand方法的流程图；

图5为本发明实施例一采用在ue侧对4g-guti加密方法的流程图；

图6为本发明实施例二中mme对第二源信息进行完整性校验来鉴权ue方法的流程图；

图7为本发明实施例二中mme对随机数rand进行完整性校验来鉴权ue方法的流程图；

图8为本发明实施例二中mme对长度最短的tau请求消息进行完整性校验来鉴权ue方法的流程图；

图9为本发明一实施例从eps到5gs互操作时鉴权ue的系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种从eps到5gs互操作时鉴权ue的方法及系统，如图1所示，所述方法包括：

ue在5gs注册请求信息中携带加密信息、或加密信息和第一源信息经amf发送至mme，然后由mme对加密信息进行解密获取解密信息，并与ue的第一源信息进行比对验证用以完成ue鉴权；

或者，ue在5gs注册请求消息中携带的第二源信息和通过预设算法得出第二源信息对应的第一完整性校验结果经amf发送至mme；然后由mme将所获取的第二源信息通过预设算法得出第二源信息对应的第二完整性校验结果，并与所述第一完整性校验结果进行比对用以完成ue鉴权。

本发明实施例提供的从eps到5gs互操作时鉴权ue的方法主要是从eps到5gs互操作时通过采用在ue侧加密信息，mme解密并和第一源信息比对来进行校验，即ue在注册请求消息中携带第一源信息以及加密信息，或者只携带加密信息；然后mme收到后使用相同的方式对加密信息进行解密，并与ue的信息进行比对验证，如果一致则鉴权ue成功。

或者，通过mme对第二源信息进行完整性校验来鉴权ue，即ue在注册请求消息中携带第二源信息以及mac(第二源信息的第一完整性校验结果)。mme收到后使用相同的方式为第二源信息生成mac(第二完整性校验结果)，并与ue侧的mac(第一完整性校验结果)进行比对验证，如果一致则鉴权ue成功。

因此，所述方法通过采用在ue侧加密信息来鉴权ue或由mme对第二源信息进行完整性校验来鉴权ue能够有效的减少空口携带的消息长度，从而能够在保证网络安全的基础上进一步节省空口资源，有效减少网络负担；另外，所述方法还能够携带和eps无关的信息，减少模块之间的耦合，进而促进4g和5g网络的高效融合。

实施例一

可选地，如图2所示，本实施例主要是ue在注册请求消息中携带第一源信息以及加密信息，或者只携带加密信息；然后mme收到后使用相同的方式对加密信息进行解密，并与ue的信息进行比对验证，如果一致则鉴权ue成功。

其中，所述加密信息能够通过预设派生密钥，或者使用密钥生成算法生成加密用的派生密钥，输入为参数1至参数n，输入参数的个数和具体内容可根据需要来设置。然后，使用派生密钥和加密算法对第一源信息进行加密，输出加密后的信息(第一加密信息res、第一加密信息)。

可选地，所述ue在注册请求信息中携带加密信息、或加密信息和第一源信息经amf发送至mme包括：

将由ue生成的随机数rand作为第一源信息，并将随机数rand按照预设加密算法和派生密钥加密生成第一加密信息res，并将第一加密信息res和随机数rand经amf发送至mme；

或者，将4g-guti或预设参数作为第一源信息，并将4g-guti按照预设加密算法和派生密钥加密生成第一加密信息，并将第一加密信息经amf发送至mme。

可选地，所述随机数rand或4g-guti按照预设加密算法和派生密钥加密生成第一加密信息res或第一加密信息包括：

直接采用usim或者hss/auc中存储的4g根密钥k或根密钥kasme作为第一派生密钥，然后由f2算法、或eea算法、或epsnas层加密算法将随机数rand与第一派生密钥加密生成第一加密信息res；或者，由f2算法、或eea算法、或epsnas层加密算法将4g-guti与第一派生密钥加密生成第一加密信息；

或者，采用由epsnas加密密钥knasenc通过f2算法、或eea算法、或epsnas层加密算法作为密钥生成算法并生成一个第二派生密钥，然后，由ue生成的随机数rand执行设定操作生成第一加密信息res；或者，由4g-guti或预设参数与第二派生密钥执行设定操作生成第一加密信息。

例如，如图3所示，所述第一源信息为ue生成的随机数rand，加密算法采用f2算法，f2算法(即epc鉴权ue的算法)，第一派生密钥则直接采用usim以及hss/auc中存储的4g根密钥k。随机数rand通过f2算法加密后生成第一加密信息res。

然后，将5gs注册请求消息中携带随机数rand和第一加密信息res，amf将随机数rand和第一加密信息res转给mme做校验。mme用同样的方法解密第一加密信息res，然后和注册请求消息中的随机数rand比对验证，如果相同则鉴权通过。

另外，随机数rand和第一加密信息res的长度可取16字节，更优选地，随机数rand和第一加密信息res的长度取4字节或8字节；进而能够更进一步减少空口信令开销。

再例如，如图4所示，5gs注册请求消息仍然是携带随机数rand和第一加密信息res，但生成第一加密信息res的步骤如下：

首先，将knasenc(epsnas加密密钥)和第一预设输入参数通过eea算法生成一个第二派生密钥，其中，第一预设输入参数包括上行nas信令计数值(count)、随机数rand长度(len)、方向指示参数(direction)、承载(bearer)等。其中，方向指示参数direction、承载bearer为常数值；方向指示参数direction用于指示方向(上行或下行)，一般取上行；承载bearer一般取srb2；上行nas信令计数值(count)包括nassequencenumber(关键字段)和nasoverflowcounter(溢出计数值)。

然后，将随机数rand和第二派生密钥做异或算法(即加密算法)，生成第一加密信息res。

其中，所述加密算法包括异或算法、同或算法、其它适用的加密算法等。

再例如，如图5所示，5gs注册请求消息中携带第一源信息4g-guti，将knasenc(epsnas加密密钥)和第一预设输入参数通过eea算法生成一个第二派生密钥，其中，第一预设输入参数包括上行nas信令计数值(count)、随机数rand长度(len)、方向指示参数(direction)、承载(bearer)等。其中，方向指示参数direction、承载bearer为常数值；方向指示参数direction用于指示方向(上行或下行)，一般取上行；承载bearer一般取srb2；上行nas信令计数值(count)包括nassequencenumber(关键字段)和nasoverflowcounter(溢出计数值)。

然后通过第一源信息4g-guti和第二派生密钥加密生成加密后的4g-guti(即第一加密信息)。mme对加密后的4g-guti进行解密，然后检查解密后的4g-guti是否正确来确认鉴权ue是否成功。

其中，加密的第一源信息包括4g-guti、其它ue或网侧均知晓的参数，例如eksi(keysetidentifierine-utran，e-utran的密钥组标识)、nascount等。

实施例二

如图6所示，本实施例所述方法通过mme对第二源信息进行完整性校验来鉴权ue，即ue在注册请求消息中携带第二源信息以及mac(第二源信息的第一完整性校验结果)。mme收到后使用相同的方式为第二源信息生成mac(第二完整性校验结果)，并与ue侧的mac(第一完整性校验结果)进行比对验证，如果一致则鉴权ue成功。

可选地，所述ue在5gs注册请求消息中携带的第二源信息和通过预设算法得出第二源信息对应的第一完整性校验结果经amf发送至mme包括：

由ue生成的随机数rand作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果，并由ue将随机数rand和mac经amf发送至mme；

或者，将ue在注册请求消息中所携带长度最短的tau请求消息作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果经amf发送至mme。

可选地，所述ue在注册请求消息中所携带长度最短的tau请求消息包括6字节安全头和15字节必选参数，其中，所述15字节必选参数包括pd、或消息id、或guti。

可选地，所述将所携带的第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果为由所携带的源信息、knasint和第二预设输入参数通过eia算法生成mac，其中，第二预设输入参数包括上行nas信令计数值、方向指示参数、承载一种或者任意组合。

例如，如图7所示，ue生成随机数rand作为所携带的第二源信息，并使用密钥knasint(epsnas完整性保护密钥)为随机数rand生成mac(第一完整性校验结果)，完整性保护算法为eia(epsnas完整性保护算法)。其中，第二预设输入参数包括上行nas信令计数值(count)、方向指示参数(direction)、承载(bearer)一种或者任意组合。

另外，密钥knasint由kasme生成；

方向指示参数direction为常数值；

承载bearer为常数值；

随机数rand和第一加密信息res的长度取4字节或8字节。

ue在5gs注册请求消息中携带随机数rand和第一完整性校验结果mac经amf发送至mme；优选地，所述完整性保护算法包括eia、其它适用算法等。

再例如，如图8所示，ue在注册请求消息中携带长度最短的tau请求消息(第二源信息)以及其对应第一完整性校验结果mac(第一完整性校验结果mac包含在tau请求消息内)。由所携带的长度最短的tau请求消息、knasint和第二预设输入参数通过eia算法生成第一完整性校验结果mac，其中，第二预设输入参数包括上行nas信令计数值(count)、方向指示参数(direction)、承载(bearer)一种或者任意组合。

另外，密钥knasint是epsnas完整性保护密钥，由kasme生成；

eia算法为epsnas完整性保护算法；

长度最短的tau请求消息包含6字节安全头和15字节必选参数如pd、消息id、guti等；

count为当前的上行nas信令计数；

direction指示上行；

bearer指示srb2。

本发明实施例还提供一种从eps到5gs互操作时鉴权ue的系统，如图9所示，所述系统包括：

发送单元11：用于由ue在5gs注册请求信息中携带加密信息、或加密信息和第一源信息经amf发送至mme；或者，由ue在5gs注册请求消息中携带的第二源信息和通过预设算法得出第二源信息对应的第一完整性校验结果经amf发送至mme；

解密单元12：用于由mme对加密信息进行解密获取解密信息；或者，由mme将所获取的第二源信息通过预设算法得出第二源信息对应的第二完整性校验结果；

比对验证单元13：用于将解密信息、与ue的第一源信息进行比对验证用以完成ue鉴权；或者，将第二完整性校验结果与所述第一完整性校验结果进行比对用以完成ue鉴权。

本发明实施例提供的从eps到5gs互操作时鉴权ue的系统主要是从eps到5gs互操作时通过发送单元采用在ue侧加密信息，mme解密并和第一源信息比对来进行校验，即ue在注册请求消息中携带第一源信息以及加密信息，或者只携带加密信息；然后mme收到后解密单元使用相同的方式对加密信息进行解密，并由比对验证单元将解密信息与ue的信息进行比对验证，如果一致则鉴权ue成功。

或者，发送单元通过mme对第二源信息进行完整性校验来鉴权ue，即ue在注册请求消息中携带第二源信息以及mac(第二源信息的第一完整性校验结果)。mme收到后解密单元使用相同的方式为第二源信息生成mac(第二完整性校验结果)，并由比对验证单元将第二完整性校验结果与ue侧的mac(第一完整性校验结果)进行比对验证，如果一致则鉴权ue成功。

因此，所述系统通过采用在ue侧加密信息来鉴权ue或由mme对第二源信息进行完整性校验来鉴权ue能够有效的减少空口携带的消息长度，从而能够在保证网络安全的基础上进一步节省空口资源，有效减少网络负担；另外，所述系统还能够携带和eps无关的信息，减少模块之间的耦合，进而促进4g和5g网络的高效融合。

可选地，所述发送单元11包括：

第一加密发送模块，用于将由ue生成的随机数rand作为第一源信息，并将rand按照预设加密算法和派生密钥加密生成第一加密信息res，并将第一加密信息res和随机数rand经amf发送至mme；

第二加密发送模块，用于将4g-guti或预设参数作为第一源信息，并将4g-guti按照预设加密算法和派生密钥加密生成第一加密信息，并将第一加密信息经amf发送至mme；

第三加密发送模块，用于由ue生成的随机数rand作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果，并由ue将随机数rand和mac经amf发送至mme；

第四加密发送模块，用于将ue在注册请求消息中所携带长度最短的tau请求消息作为所携带的第二源信息，然后将所述第二源信息和用于epsnas完整性保护的密钥knasint按照完整性保护算法生成mac作为第二源信息对应的第一完整性校验结果经amf发送至mme。

可选地，所述第一加密发送模块包括：

第一加密子模块：用于直接采用usim或者hss/auc中存储的4g根密钥k或根密钥kasme作为第一派生密钥，然后由f2算法、或eea算法、或epsnas层加密算法将随机数rand与第一派生密钥加密生成第一加密信息res；

第二加密子模块：用于直接采用usim或者hss/auc中存储的4g根密钥k或根密钥kasme作为第一派生密钥，然后由f2算法、或eea算法、或epsnas层加密算法将4g-guti与第一派生密钥加密生成第一加密信息；

优选地，所述第二加密发送模块包括：

第三加密子模块：用于采用由epsnas加密密钥knasenc通过f2算法、或eea算法、或epsnas层加密算法作为密钥生成算法并生成一个第二派生密钥，然后，由ue生成的随机数rand执行设定操作生成第一加密信息res；

第四加密子模块：采用由epsnas加密密钥knasenc通过f2算法、或eea算法、或epsnas层加密算法作为密钥生成算法并生成一个第二派生密钥，然后，由4g-guti或预设参数与第二派生密钥执行设定操作生成第一加密信息。

本实施例的系统，可以用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。