[发明专利]一种通信方法、装置及系统

说明书

一种通信方法、装置及系统，用于解决现有技术中AKMA鉴权，流程复杂，信令开销较大的问题。该方法的原理为：在终端设备的注册流程中，利用主鉴权，隐式表示AKMA鉴权。比如，主鉴权成功，可认为AKMA鉴权也成功。同时，在AKMA鉴权成功后，为终端设备分配AKMKA临时标识。采用本申请的方法、装置及系统，无需额外进行AKMA鉴权，简化流程，减少信令开销。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种通信方法、装置及系统。

背景技术

目前，终端设备可支持应用程序的身份验证和密钥管理(authentication andkey management for applications，AKMA)服务。一般采用以下方式对终端设备进行AKMA鉴权：在终端设备注册成功，主鉴权完成后，额外再对终端设备进行AKMA鉴权，AKMA鉴权的流程较复杂，信令开销较大。

发明内容

本申请实施例提供一种通信方法、装置及系统，以简化AKMA鉴权的流程，减少信令开销。

第一方面，提供一种通信方法，包括：终端设备向移动管理网元发送注册请求消息；

所述终端设备在通过主鉴权流程鉴权成功，且激活非接入层NAS安全保护后，接收所述移动管理网元发送的经过NAS安全保护的注册响应，所述注册响应包括所述终端设备的应用程序的身份验证和密钥管理AKMA临时标识；所述终端设备保存所述AKMA临时标识。

通过上述方法，在终端设备的注册流程中，即完成AKMA鉴权，无需额外进行AKMA鉴权，简化AKMA鉴权的流程，减少信令开销。

在一种可能设计中，所述AKMA临时标识包括随机数、归属网络指示和路由标识；其中，所述随机数是网络设备分配的，用于标识所述终端设备的参数；所述归属网络指示用于指示所述终端设备的归属网络；所述路由标识用于确定生成所述AKMA服务的密钥Kakma的网络功能实体。

在本申请实施例中，终端设备接收到的AKMA临时标识既包括了终端设备的标识信息，还包括了用于确定生成终端设备对应的AKMA服务的密钥Kakma的网络功能实体的信息。后续终端设备使用AKMA临时标识访问AKMA应用功能网元的时候，网络侧的AKMA鉴权功能网元可以根据AKMA临时标识，确定生成终端设备对应的AKMA服务的密钥Kakma的网络功能实体，进而获取Kakma，并根据获取的Kakma为AKMA应用功能网元分配与终端设备通信的通信密钥。

在一种可能的设计中，所述AKMA临时标识还包括AKMA鉴权功能网元的地址信息或AKMA应用功能网元的地址信息中的至少一个。

通过上述方法，网络中可能存在多个AKMA鉴权功能网元以及提供相同应用服务的多个AKMA应用功能网元，在AKMA鉴权成功之后(本申请实施例中主鉴权成功之后)，为终端设备分配临时标识的时候可以根据一定的因素，为终端设备分配合适的AKMA鉴权功能网元的地址信息或AKMA应用功能网元，并将它们的地址携带在AKMA临时标识中，以便于后续终端设备根据AKMA临时标识确定合适的AKMA应用功能网元或者便于后续AKMA应用功能网元根据AKMA临时标识确定合适的AKMA鉴权功能网元。

在一种可能的设计中，所述生成所述AKMA服务的密钥Kakma的网络功能实体为鉴权服务器功能网元。

第二方面，提供一种通信方法，包括：在终端设备的注册流程中，鉴权服务器功能网元接收统一数据管理网元发送的第一指示信息，所述第一指示信息用于指示所述终端设备支持应用程序的身份验证和密钥管理AKMA服务；在所述终端设备的主鉴权成功后，所述鉴权服务器功能网元确定所述终端设备的AKMA临时标识；所述鉴权服务器功能网元通过移动管理网元向所述终端设备发送所述AKMA临时标识。