[发明专利]密钥的管理方法和装置

说明书

本申请实施例提供一种密钥的管理方法和装置，包括：AUSF或者UDM获取第一指示信息，并向UE发送该第一指示信息，该第一指示信息用于指示UE存储K_AUSF，UE接收到第一指示信息后，根据第一指示信息存储K_AUSF。从而使得UE能够根据网络侧的指示存储K_AUSF，保证UE的归属网络后续在更新UE信息时，能够使用与网络侧相同的K_AUSF，保证更新流程的完成。另外，当UE注册到多个服务网络时，AUSF和UE通过存储K_AUSF、K_AUSF的状态以及UE所在的第一服务网络的第一对应关系，分别对各服务网络中认证生成的K_AUSF分别进行存储和状态管理，便于后续更新UE信息时能够使用正确的K_AUSF进行安全保护。

技术领域

本申请实施例涉及通信技术，尤其涉及一种密钥的管理方法和装置。

背景技术

为了保证用户设备(user equipment，UE)和接入网以及核心网之间通信的安全性，UE和网络之间需要进行鉴权和密钥协商(Authentication and Key Agreement，AKA)流程，AKA流程为一个双向鉴权流程，包括用户鉴权和网络鉴权。用户鉴权是指网络对用户进行鉴权，防止非法用户占用网络资源，网络鉴权是指用户对网络进行鉴权，防止用户接入了非法网络，被调取关键信息。

在新空口(New Radio，NR)系统中，常用的AKA鉴权方法包括基于第五代移动通信(5-generation5G)系统的AKA(以下简称5G-AKA)和基于可扩展的鉴权协议(ExtensibleAuthentication Protocol，EAP)的AKA’(以下简称EAP-AKA’)。在漫游操作(Steering ofRoaming，SoR)流程中，网络侧和UE侧均需要用到在认证过程中生成安全密钥：K_AUSF。现有技术中，网络侧可以根据UE的归属网络策略(policy)决策是否存储K_AUSF，UE是否存储K_AUSF是可选的。UE侧和网络侧针对同一密钥K_AUSF的策略不一致，容易导致后续在使用该密钥时出现解密失败的问题。

发明内容

本申请实施例提供一种密钥的管理方法和装置，使得UE能够根据网络侧的指示存储K_AUSF，保证UE的归属网络后续在更新UE信息时，能够使用与网络侧相同的K_AUSF，保证更新流程的完成。

本申请第一方面提供一种密钥的管理方法，包括：

第一网元获取第一指示信息，所述第一指示信息用于指示用户设备UE存储安全密钥K_AUSF，所述第一网元为认证服务功能AUSF或者统一数据管理UDM；

所述第一网元向所述UE发送所述第一指示信息。

一种示例性的方式中，所述方法还包括：

所述第一网元获取第二指示信息，所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息；

所述第一网元向所述UE发送所述第二指示信息。

一种示例性的方式中，所述第一网元获取第一指示信息包括：

所述第一网元根据策略生成所述第一指示信息。

一种示例性的方式中，当所述第一网元为AUSF时，所述第一网元获取第一指示信息包括：

所述AUSF接收所述UDM发送的所述第一指示信息。

一种示例性的方式中，所述第一网元获取第二指示信息，包括：

所述第一网元根据策略生成所述第二指示信息。