通信系统、方法及装置与流程

1.本技术涉及通信技术领域，尤其涉及一种通信系统、方法及装置。


背景技术：

2.在终端设备向核心网注册过程中，接入网络设备在接收到来自终端设备的注册请求时，选择移动管理网元，向该移动管理网元转发注册请求，注册请求可携带终端设备的身份信息；该移动管理网元在接收到来自接入网络设备的注册请求时，可根据注册请求携带的终端设备的身份信息，选择鉴权服务器功能网元；该鉴权服务器功能网元可根据终端设备的身份信息，确定为终端设备服务的统一数据管理网元。
3.目前，终端设备可支持应用程序的身份验证和密钥管理(authentication and key management for applications，akma)服务。在akma服务中，终端设备与应用功能网元进行数据传输，可以不经过移动管理网元，这样应用功能网元需要获知与终端设备之间的通信密钥。应用功能网元从akma的锚点功能网元获取，该应用功能网元与终端设备之间的通信密钥，akma的锚点功能网元根据终端设备的akma服务的密钥和该应用功能网元的标识，生成该应用功能网元与终端设备之间的通信密钥。akma的锚点功能网元从终端设备对应的鉴权服务器功能网元获取，终端设备的akma服务的密钥，终端设备对应的鉴权服务器功能网元保存了主鉴权过程中生成的中间密钥，终端设备对应的鉴权服务器功能网元根据该中间密钥生成终端设备的akma服务的密钥。
4.网络中存在多个鉴权服务器功能网元，akma的锚点功能网元如何确定终端设备对应的鉴权服务器功能网元是亟待解决的技术问题。


技术实现要素：

5.本技术提供一种通信系统、方法及装置，使得akma的锚点功能网元可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
6.本技术第一方面提供一种通信系统，该系统用于实现终端设备与应用功能网元之间，基于akma服务的数据传输，该系统包括akma的锚点功能网元和网络开放功能网元；
7.网络开放功能网元，用于从统一数据管理网元，获取第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；向akma的锚点功能网元发送第一标识信息；
8.akma的锚点功能网元，用于根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息。
9.其中，终端设备对应的鉴权服务器功能网元为终端设备的中间密钥对应的鉴权服务器功能网元，保存有该鉴权服务器功能网元在主鉴权过程中生成的该中间密钥。中间密钥，例如kausf。
10.本技术第一方面，对于位于核心网外部的应用功能网元，网络开放功能网元从统一数据管理网元获取第一标识信息，并发送至akma的锚点功能网元；akma的锚点功能网元
根据第一标识信息从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息，从而可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
11.在一种可能的实现方式中，第一标识信息用于确定终端设备对应的鉴权服务器功能网元，可以是网络功能开放网元直接确定或辅助确定终端设备对应的鉴权服务器功能网元，也可以是akma的锚点功能网元直接确定或辅助确定终端设备对应的鉴权服务器功能网元。直接确定的方式，表示不需要获取额外的信息，直接根据第一标识信息便能确定，实现简便。辅助确定的方式，表示需要获取额外的信息，结合第一标识信息进行确定。
12.在一种可能的实现方式中，网络开放功能网元具体用于接收来自应用功能网元的第二标识信息；在确定出应用功能网元授权网络开放功能网元进行密钥请求时，向统一数据管理网元发送第一请求消息；第一请求消息包括第二标识信息，用于请求统一数据管理网元根据第二标识信息确定第一标识信息；接收来自统一数据管理网元的第一响应消息，第一响应消息包括第一标识信息。从而实现网络开放功能网元从统一数据管理网元获取第一标识信息，以便核心网网元根据第一标识信息从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息。
13.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息，akma服务的密钥的标识信息具有唯一性；第一标识信息包括终端设备的永久身份标识supi。
14.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息和终端设备的临时身份信息，akma服务的密钥的标识信息不具有唯一性；第一标识信息包括终端设备的supi。
15.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息和终端设备的临时身份信息，akma服务的密钥的标识信息不具有唯一性；第一标识信息包括终端设备的supi。
16.在一种实现方式中，统一数据管理网元根据akma服务的密钥的标识信息，可以确定中间信息，中间信息例如可以是终端设备的supi，即根据第二标识信息确定第一标识信息，将终端设备的supi发送至网络开放功能网元，网络开放功能网元可将终端设备的supi发送至akma的锚点功能网元；akma的锚点功能网元可利用终端设备的supi从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息。该种方式可以理解为辅助确定方式。
17.在一种实现方式中，统一数据管理网元根据akma服务的密钥的标识信息，可以直接确定出akma服务的签约数据和/或终端设备对应的鉴权服务器功能网元的标识信息，进而akma的锚点功能网元可以从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息。若只确定出akma服务的签约数据，那么akma服务的签约数据可包括终端设备对应的鉴权服务器功能网元的标识信息。该种方式可以理解为直接确定方式。
18.上述akma服务的密钥可以是kakma，终端设备的临时身份信息可以是隐藏的身份标识(subscriber concealed identifier，suci)或通用公共用户标识符(generic public subscription identifier，gpsi)等。
19.在一种可能的实现方式中，akma的锚点功能网元具体用于向统一数据管理网元发送第二请求消息，第二请求消息包括终端设备的supi，第二请求用于请求统一数据管理网元根据终端设备的supi确定终端设备对应的鉴权服务器功能网元的标识信息；接收来自统
一数据管理网元的第二响应消息，第二响应消息包括终端设备对应的鉴权服务器功能网元的标识信息。从而实现akma的锚点功能网元从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息，进而可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
20.在一种可能的实现方式中，网络开放功能网元，还用于接收应用功能网元的标识；向akma的锚点功能网元发送应用功能网元的标识；
21.akma的锚点功能网元，还用于从终端设备对应的鉴权服务器功能网元，获取akma服务的密钥的标识信息所标识的akma服务的密钥；根据应用功能网元的标识和akma服务的密钥生成应用功能网元与终端设备之间的通信密钥；通过网络开放功能网元向应用功能网元发送通信密钥。从而应用功能网元可以采用该通信密钥对发送至终端设备的数据进行加密，进而有利于提高数据传输的安全性。
22.在一种可能的实现方式中，akma的锚点功能网元，还用于对终端设备或应用功能网元进行授权检测，并在完成授权检测的情况下，确定终端设备对应的鉴权服务器功能网元。可选的，akma的锚点功能网元，还用于对终端设备或应用功能网元进行授权检测，并在完成授权检测的情况下，生成应用功能网元与终端设备之间的通信密钥。进行授权检测，可以提高网络的安全性。
23.本技术第二方面提供一种通信方法，该方法用于实现终端设备与应用功能网元之间，基于akma服务的数据传输，该方法可以由akma的锚点功能网元执行，也可以由akma的锚点功能网元的部件(例如处理器、芯片、或芯片系统等)执行，该方法可包括：
24.akma的锚点功能网元接收来自网络开放功能网元的第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息。
25.其中，终端设备对应的鉴权服务器功能网元为终端设备的中间密钥对应的鉴权服务器功能网元，保存有该鉴权服务器功能网元在主鉴权过程中生成的该中间密钥。中间密钥，例如kausf。
26.本技术第二方面，akma的锚点功能网元根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息，从而可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
27.在一种可能的实现方式中，第一标识信息包括终端设备的supi；
28.akma的锚点功能网元向统一数据管理网元发送第二请求消息，第二请求消息包括终端设备的supi；第二请求用于请求统一数据管理网元根据终端设备的supi确定终端设备对应的鉴权服务器功能网元的标识信息；接收来自统一数据管理网元的第二响应消息，第二响应消息包括终端设备对应的鉴权服务器功能网元的标识信息。从而实现akma的锚点功能网元从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息，进而可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
29.在一种可能的实现方式中，第二响应消息还包括终端设备的akma服务的签约数据。akma的锚点功能网元可根据终端设备的akma服务的签约数据对终端设备或应用功能网元进行授权检测，可以提高网络的安全性。
30.在一种可能的实现方式中，akma的锚点功能网元接收来自网络开放功能网元的应
用功能网元的标识；从终端设备对应的鉴权服务器功能网元，获取akma服务的密钥的标识信息所标识的akma服务的密钥；根据应用功能网元的标识和akma服务的密钥，生成应用功能网元与终端设备之间的通信密钥；通过网络开放功能网元向应用功能网元发送通信密钥。从而应用功能网元可以采用该通信密钥对发送至终端设备的数据进行加密，进而有利于提高数据传输的安全性。
31.在一种可能的实现方式中，akma的锚点功能网元对终端设备或应用功能网元进行授权检测，并在完成授权检测的情况下，确定终端设备对应的鉴权服务器功能网元。可选的，akma的锚点功能网元，还用于对终端设备或应用功能网元进行授权检测，并在完成授权检测的情况下，生成应用功能网元与终端设备之间的通信密钥。进行授权检测，可以提高网络的安全性。
32.本技术第三方面提供一种通信方法，该方法用于实现终端设备与应用功能网元之间，基于akma服务的数据传输，该方法可以由网络开放功能网元执行，也可以由网络开放功能网元的部件(例如处理器、芯片、或芯片系统等)执行，该方法可包括：
33.网络开放功能网元从统一数据管理网元，获取第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；向akma的锚点功能网元发送第一标识信息。
34.其中，终端设备对应的鉴权服务器功能网元为终端设备的中间密钥对应的鉴权服务器功能网元，保存有该鉴权服务器功能网元在主鉴权过程中生成的该中间密钥。中间密钥，例如kausf。
35.本技术第三方面，网络开放功能网元将其获取的第一标识信息发送至akma的锚点功能网元，以便akma的锚点功能网元根据第一标识信息从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息，从而akma的锚点功能网元可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
36.在一种可能的实现方式中，网络开放功能网元接收来自应用功能网元的第二标识信息；在确定出应用功能网元授权网络开放功能网元进行密钥请求时，向统一数据管理网元发送第一请求消息；第一请求消息包括第二标识信息，用于请求统一数据管理网元根据第二标识信息确定第一标识信息；接收来自统一数据管理网元的第一响应消息，第一响应消息包括第一标识信息。从而实现网络开放功能网元从统一数据管理网元获取第一标识信息，以便核心网网元根据第一标识信息从统一数据管理网元获取终端设备对应的鉴权服务器功能网元。
37.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息，akma服务的密钥的标识信息具有唯一性；第一标识信息包括终端设备的supi。
38.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息和终端设备的临时身份信息，akma服务的密钥的标识信息不具有唯一性；第一标识信息包括终端设备的supi。
39.在一种可能的实现方式中，网络开放功能网元接收应用功能网元的标识，向akma的锚点功能网元发送应用功能网元的标识，以便akma的锚点功能网元在从终端设备对应的鉴权服务器功能网元获取到akma服务的密钥时，生成应用功能网元与终端设备之间的通信密钥。
40.本技术第四方面提供一种通信系统，该系统用于实现终端设备与应用功能网元之
间，基于akma服务的数据传输，该系统包括akma的锚点功能网元和网络开放功能网元；
41.网络开放功能网元，用于从统一数据管理网元，获取第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息，向akma的锚点功能网元发送终端设备对应的鉴权服务器功能网元的标识信息；
42.akma的锚点功能网元，用于接收来自网络开放功能网元的终端设备对应的鉴权服务器功能网元的标识信息。
43.其中，终端设备对应的鉴权服务器功能网元为终端设备的中间密钥对应的鉴权服务器功能网元，保存有该鉴权服务器功能网元在主鉴权过程中生成的该中间密钥。中间密钥，例如kausf。
44.本技术第四方面，对于位于核心网外部的应用功能网元，网络开放功能网元从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息，并将其发送至akma的锚点功能网元，以便akma的锚点功能网元可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
45.在一种可能的实现方式中，网络开放功能网元用于接收来自应用功能网元的第二标识信息；在确定出应用功能网元授权网络开放功能网元进行密钥请求时，向统一数据管理网元发送第一请求消息；第一请求消息包括第二标识信息，用于请求统一数据管理网元根据第二标识信息确定第一标识信息；接收来自统一数据管理网元的第一响应消息，第一响应消息包括第一标识信息。从而实现网络开放功能网元从统一数据管理网元获取第一标识信息，以便根据第一标识信息从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息。
46.在一种可能的实现方式中，网络开放功能网元用于向统一数据管理网元发送第一请求消息；第一请求消息包括第二标识信息，用于请求统一数据管理网元根据第二标识信息确定终端设备对应的鉴权服务器功能网元的标识信息；接收来自统一数据管理网元的第一响应消息，第一响应消息包括终端设备对应的鉴权服务器功能网元的标识信息。从而实现网络开放功能直接从统一数据管理网元获取终端设备对应的鉴权服务器功能网元的标识信息。
47.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息，akma服务的密钥的标识信息具有唯一性；第一标识信息包括终端设备的supi。
48.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息和终端设备的临时身份信息，akma服务的密钥的标识信息不具有唯一性；第一标识信息包括终端设备的supi。
49.本技术第五方面提供一种通信方法，该方法用于实现终端设备与应用功能网元之间，基于akma服务的数据传输，该方法可以由akma的锚点功能网元执行，也可以由akma的锚点功能网元的部件(例如处理器、芯片、或芯片系统等)执行，该方法可包括：
50.akma的锚点功能网元，用于接收来自网络开放功能网元的终端设备对应的鉴权服务器功能网元的标识信息；根据终端设备对应的鉴权服务器功能网元的标识信息，确定终端设备对应的鉴权服务器功能网元。
51.本技术第五方面，akma的锚点功能网元直接从网络开放功能网元获取终端设备对
应的鉴权服务器功能网元的标识信息，从而可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
52.本技术第六方面提供一种通信方法，该方法用于实现终端设备与应用功能网元之间，基于akma服务的数据传输，该方法可以由网络开放功能网元执行，也可以由网络开放功能网元的部件(例如处理器、芯片、或芯片系统等)执行，该方法可包括：
53.网络开放功能网元，用于从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息，向akma的锚点功能网元发送终端设备对应的鉴权服务器功能网元的标识信息。
54.本技术第六方面，网络开放功能网元从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息，并告知akma的锚点功能网元，以便akma的锚点功能网元可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
55.在一种可能的实现方式中，网络开放功能网元从统一数据管理网元，获取第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息，向akma的锚点功能网元发送终端设备对应的鉴权服务器功能网元的标识信息。
56.在一种可能的实现方式中，网络开放功能网元用于向统一数据管理网元发送第一请求消息；第一请求消息包括第二标识信息，用于请求统一数据管理网元根据第二标识信息确定终端设备对应的鉴权服务器功能网元的标识信息；接收来自统一数据管理网元的第一响应消息，第一响应消息包括终端设备对应的鉴权服务器功能网元的标识信息。
57.本技术第七方面一种通信系统，该系统用于实现终端设备与应用功能网元之间，基于akma服务的数据传输，该系统包括akma的锚点功能网元和网络开放功能网元；
58.网络开放功能网元，用于接收来自应用功能网元的密钥请求消息，向akma的锚点功能网元发送密钥请求消息，密钥请求消息包括第二标识信息；
59.akma的锚点功能网元，用于根据第二标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息。
60.其中，终端设备对应的鉴权服务器功能网元为终端设备的中间密钥对应的鉴权服务器功能网元，保存有该鉴权服务器功能网元在主鉴权过程中生成的该中间密钥。中间密钥，例如kausf。
61.本技术第七方面，对于位于核心网外部的应用功能网元，网络开放功能网元将应用功能网元发送的密钥请求消息直接转发至akma的锚点功能网元，akma的锚点功能网元根据第二标识信息自主从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息，从而可以快速、准确地确定出终端设备对应的鉴权服务器功能网元。
62.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息，akma服务的密钥的标识信息具有唯一性。
63.在一种可能的实现方式中，第二标识信息包括akma服务的密钥的标识信息和终端设备的临时身份信息，akma服务的密钥的标识信息不具有唯一性。
64.本技术实施例第八方面提供一种通信装置，该通信装置可以是akma的锚点功能网元，也可以是akma的锚点功能网元中的部件，或者是能够与akma的锚点功能网元匹配使用的装置。一种设计中，该装置可以包括执行第二方面或第五方面中所描述的方法/操作/步
骤/动作所对应的模块，该模块可以是硬件电路，也可是软件，也可以是硬件电路结合软件实现。一种设计中，该装置可以包括处理模块和收发模块。示例性的，
65.处理模块用于利用收发模块：接收来自网络开放功能网元的第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息。
66.本技术实施例第九方面提供一种通信装置，该装置包括处理器，用于实现上述第二方面描述的方法。该装置还可以包括存储器，用于存储指令和数据。该存储器与该处理器耦合，该处理器执行该存储器中存储的指令时，可以使该装置实现上述第二方面或第五方面描述的方法。该装置还可以包括通信接口，该通信接口用于该装置与其它设备进行通信，示例性的，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口，其它设备可以为统一数据管理网元、网络开放功能网元等。在一种可能的设计中，该装置包括：
67.存储器，用于存储程序指令；
68.处理器，用于控制通信接口接收来自网络开放功能网元的第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息。
69.本技术实施例第十方面提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行第二方面或第五方面提供的方法。
70.本技术实施例第十一方面提供一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述第二方面或第五方面提供的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。
71.本技术实施例第十二方面提供一种通信装置，该通信装置可以是网络开放功能网元，也可以是网络开放功能网元中的部件，或者是能够与网络开放功能网元匹配使用的装置。一种设计中，该装置可以包括执行第三方面或第六方面中所描述的方法/操作/步骤/动作所对应的模块，该模块可以是硬件电路，也可是软件，也可以是硬件电路结合软件实现。一种设计中，该装置可以包括处理模块和收发模块。示例性的，
72.处理模块用于利用收发模块：从统一数据管理网元，获取第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；向akma的锚点功能网元发送第一标识信息。
73.本技术实施例第十三方面提供一种通信装置，该装置包括处理器，用于实现上述第三方面描述的方法。该装置还可以包括存储器，用于存储指令和数据。该存储器与该处理器耦合，该处理器执行该存储器中存储的指令时，可以使该装置实现上述第三方面或第六方面描述的方法。该装置还可以包括通信接口，该通信接口用于该装置与其它设备进行通信，示例性的，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口，其它设备可以为统一数据管理网元、网络开放功能网元等。在一种可能的设计中，该装置包括：
74.存储器，用于存储程序指令；
75.处理器，用于控制通信接口从统一数据管理网元，获取第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；向akma的锚点功能网元发送第一标识信息。
76.本技术实施例第十四方面提供一种计算机可读存储介质，包括指令，当其在计算
机上运行时，使得计算机执行第三方面或第六方面提供的方法。
77.本技术实施例第十五方面提供一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述第三方面或第六方面提供的方法。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。
附图说明
78.图1为一种5g通信系统的网络架构示意图；
79.图2为一种akma服务的网络架构示意图；
80.图3为一种生成akma服务的密钥的流程示意图；
81.图4为一种生成af与ue之间的通信密钥的流程示意图；
82.图5为应用本技术的网络架构示意图；
83.图6为本技术提供的一种通信方法的流程示意图；
84.图7为图6的步骤601之前的流程示意图；
85.图8为本技术提供的另一种通信方法的流程示意图；
86.图9为本技术提供的又一种通信方法的流程示意图；
87.图10为本技术提供的一种通信装置的结构示意图；
88.图11为本技术提供的另一种通信装置的结构示意图。
具体实施方式
89.为了更好地理解本技术提供的技术方案，首先对本技术涉及的技术术语进行介绍。
90.(1)第五代(5
th-generation，5g)系统
91.5g系统可包括终端设备、接入网和核心网。示例性的，可参见图1所示的5g系统的网络架构示意图。
92.其中，终端设备是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持、穿戴或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，vr)终端设备、增强现实(augmented reality，ar)终端设备、工业控制(industrial control)中的无线终端、车载终端设备、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、可穿戴终端设备等等。终端设备有时也可以称为终端、用户设备(user equipment，ue)、接入终端设备、车载终端、工业控制终端、ue单元、ue站、移动站、移动台、远方站、远程终端设备、移动设备、ue代理或ue装置等。终端设备也可以是固定的或者移动的。图1以及本技术中终端设备以ue为例进行介绍。
93.其中，接入网用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能。接入网在终端设备与核心网之间转发控制信号和用户数据。接入网可以包括接入网络设备，接入网络设备可以是为终端设备提供接入的设备，可以包括无线接入网(radio access network，ran)设备和an设备。ran设备主要是3gpp网络中的无线网络设备，an设备
可以是非3gpp定义的接入网络设备。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如，在5g系统中，称为ran或者下一代基站(next-generation node basestation，gnb)；在长期演进(long term evolution，lte)系统中，称为演进的节点b(evolved nodeb，enb或enodeb)。
94.其中，核心网负责维护移动网络的签约数据，为ue提供会话管理、移动性管理、策略管理以及安全认证等功能。核心网可以包括如下网元：用户面功能(user plane function，upf)、认证服务功能(authentication server function，ausf)、接入和移动性管理功能(access and mobility management function，amf)、会话管理功能(session management function，smf)、网络开放功能(network exposure function，nef)、网络功能仓储功能(network function repository function，nrf)、策略控制功能(policy control function，pcf)、统一数据管理(unified data management，udm)和应用功能(application function，af)。
95.amf，主要负责移动网络中的移动性管理，例如用户位置更新、用户注册网络、用户切换等。smf，主要负责移动网络中的会话管理，例如会话建立、修改、释放。upf，负责终端设备中用户数据的转发和接收，可以从数据网络接收用户数据，通过接入网络设备传输给终端设备；还可以通过接入网络设备从终端设备接收用户数据，转发至数据网络。pcf，主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。ausf，用于执行ue的安全认证。nef，主要用于支持能力和事件的开放。nrf，用于为其它网元提供网络功能实体信息的存储功能和选择功能。udm，用于存储用户数据，例如签约数据、鉴权/授权数据等。af与3gpp核心网交互用于提供应用层服务，例如提供关于应用层数据路由，提供接入网络能力开放功能，与策略框架进行交互以提供策略控制，与5g网络的ip多媒体子系统(ip multimedia subsystem，ims)交互等。
96.其中，数据网络(data network，dn)用于为用户提供业务服务，可以是私有网络，例如局域网；也可以是不受运营商管控的外部网络，例如互联网(internet)；还可以是运营商共同部署的专有网络，例如ims的网络。终端设备可通过建立的协议数据单元(protocol data unit，pdu)会话，来访问dn。
97.(2)akma服务
98.支持akma服务的ue，在与支持akma服务的af进行数据传输时，可以基于akma流程的安全保护以提高数据传输的安全性。例如，af对应于某个视频应用程序，支持akma服务的ue与该af进行数据传输时，相比于传统ue和af的无保护的传输方法，使用akma服务可提高数据传输的安全性。示例性的，可参见图2所示的akam服务的网络架构示意图。图2所示的网络架构包括ue、(r)an、ausf、amf、af、nef、akma的锚点功能网元(akma anchor function，aanf)和udm。
99.图2中，ue与af进行通信存在三种方式，一种是ue通过(r)an和amf与af进行通信，一种是ue通过amf与af进行通信，一种是ue通过ua*接口直接与af进行通信。其中，ua*接口为ue与af之间的通信接口。
100.图2中，ausf，在akma服务中，可以生成akma服务的密钥，并向aanf提供ue的akma服务的密钥。其中，akma服务的密钥可以是kakma，也可以称为akma服务的根密钥。ue侧也会自己生成相同的akma服务的密钥，即生成相同的kakma。
101.示例性的，生成akma服务的密钥的过程可参见图3所示。ue在向5g核心网注册的过程中，ue通过ran向amf发送注册请求，注册请求携带ue的身份信息，amf根据ue的身份信息(例如隐藏的身份标识(subscriber concealed identifier，suci))，选择ausf，向该ausf发送消息触发主鉴权流程；该ausf对ue进行鉴权，向amf发送鉴权参数；amf通过ran向ue发送鉴权参数，ue根据鉴权参数对ausf进行鉴权，通过ran向amf发送响应，amf对比响应，符合则鉴权成功。图3中的主鉴权(primary authentication)，即为注册过程中，ausf对ue进行鉴权，ue对ausf进行鉴权的过程，主鉴权也可以描述为双向鉴权。图3中，在主鉴权之后，ausf可以使用主鉴权过程中生成的中间密钥，如kausf，生成kakma，以及为kakma生成密钥标识信息。密钥标识信息可用于标识kakma，例如可以是kakma标识(identifier，id)。ue可在主鉴权之后，发起akma服务之前，使用主鉴权过程中生成的中间密钥，如kausf，生成kakma和以及为kakma生成密钥标识信息。
102.图2中，aanf可以与ausf进行交互，从ausf获取akma服务的密钥，并根据akma服务的密钥和af的标识，生成该af与ue之间的通信密钥以及该通信密钥的有效时间。aanf可将该通信密钥以及该通信密钥的有效时间发送至该af，以便该af可以使用该通信密钥与ue进行数据传输，从而提高该af与ue之间的数据传输的安全性。其中，af与ue之间的通信密钥，例如可以是kaf。
103.示例性的，生成af与ue之间的通信密钥的过程可参见图4所示。图4中，ue在向af发送应用会话建立请求之前，执行主鉴权和生成kakma的过程。在生成kakma以及kakma id之后，aanf可能会保存kakma id对应的kakma。ue向af发送携带kakma id的应用会话建立请求(例如application session establishment request)，af在接收到该应用会话建立请求时，向aanf发送密钥请求(例如key request)，密钥请求用于请求af与ue之间的kaf，密钥请求携带kakma id和af id。若aanf保存有kakma id对应的kakma，那么aanf直接根据kakma和af id生成kaf和kaf的有效时间。若aanf未保存kakma id对应的kakma，那么aanf向ausf发送携带kakma id的kama密钥请求(例如akma key request)；ausf根据kakma id查找对应的kakma，向aanf发送携带kakma的kama密钥响应；aanf根据kakma和af id生成kaf和kaf的有效时间。aanf向af发送密钥响应(例如key response)，携带kaf和kaf的有效时间；af在接收到密钥响应之后，向ue发送应用会话建立响应(例如application session establishment response)。
104.对于不同af与同一ue之间的kaf可以不同，例如af1与ue1之间的kaf为kaf1，af2与ue1之间的kaf为kaf2。图2中，af可以与3gpp核心网网元交互。例如，af可以从pcf获得服务质量(quality of service，qos)参数，或者af向pcf提供qos参数，进而可以影响应用程序的数据传输。再例如，af可以与nef交互。在akma服务的场景中，af从aanf获取该af与ue之间的通信密钥以及该通信密钥的有效时间。af可以位于5g核心网内部，也可以位于5g核心网外部。若af位于5g核心网内部，那么af可直接与pcf进行交互；若af位于5g核心网外部，那么af可通过nef与pcf进行交互。
105.图2中，nef可以作为中间媒介，为位于5g核心网外部的af与5g核心网中的aanf提供交互服务，还可以为位于5g核心网外部的af与5g核心网中的pcf提供交互服务。
106.5g系统包括一个ausf，该ausf保存有kausf的情况下，该ausf可以根据该kausf生成kakma，aanf可以从该ausf获取kakma，进而生成af与ue之间的kaf。但是实际应用中，5g系
统可以包括多个ausf，aanf如何确定保存有kausf的ausf是亟待解决的技术问题。
107.鉴于此，本技术提供一种通信系统、方法及装置，使得aanf可以快速、准确地确定出保存有kausf的ausf。
108.请参见图5，为应用本技术的网络架构示意图。图5所示的网络架构用于实现终端设备与应用功能网元之间，基于akma服务的数据传输。
109.在一种实现方式中，图5所示的网络架构可包括终端设备101、鉴权服务器功能网元102、统一数据管理网元103、akma的锚点功能网元104、网络开放功能网元105和应用功能网元106。该种方式中，应用功能网元位于核心网外部，通过网络开放功能网元与核心网网元进行通信。这种方式中，网络开放功能网元也可以称为akma协作功能(interworking function)网元。
110.在一种实现方式中，图5所示的网络架构可包括终端设备101、鉴权服务器功能网元102、统一数据管理网元103、akma的锚点功能网元104和应用功能网元106。该种方式中，应用功能网元位于核心网内部，可直接与核心网网元进行通信。
111.本技术以应用功能网元位于核心网外部为例进行介绍，对于应用功能网元位于核心网内部的情况，可省略本技术中应用功能网元与网络开放功能网元之间的交互流程。
112.需要说明的是，图5中各网元的数量用于举例，并不构成对本技术实施例的限定，例如实际应用中，可以包括多个终端设备，多个鉴权服务器功能网元，多个应用功能网元等。
113.图5中，终端设备101的描述可参见前述5g系统中对终端设备的具体描述；鉴权服务器功能网元102可以是5g核心网中的ausf，也可以是未来通信系统中用于实现ausf的功能的网元；统一数据管理网元103可以是5g核心网中的udm，也可以是未来通信系统中用于实现udm的功能的网元；akma的锚点功能网元104可以是图2中的aanf，也可以是未来通信系统中用于实现aanf的功能的网元；网络开放功能网元105可以是5g核心网中的nef，也可以是未来通信系统中用于实现nef的功能的网元；应用功能网元106可以是5g系统中的af，也可以是未来通信系统中用于实现af的功能的网元。在本技术中，终端设备101以ue为例，鉴权服务器功能网元102以ausf为例，统一数据管理网元103以udm为例，akma的锚点功能网元104以aanf为例，网络开放功能网元105以nef为例，应用功能网元106以af为例，进行描述。
114.在一种可能的实现方式中，nef从udm获取第一标识信息，nef向aanf发送第一标识信息；第一标识信息用于nef或aanf直接确定或者辅助确定保存有相关ue的kausf对应的ausf。ue的kausf对应的ausf，也可以描述为ue对应的ausf。直接确定是指nef或者aanf可以直接使用第一标识信息确定出保存有kausf的ausf，即不需要再利用第一标识信息去获取额外信息的情况下，就可确定出保存有kausf的ausf。辅助确定是指nef或aanf在接收到第一标识信息后，还需要再获取额外的信息才可以确定出保存有kausf的ausf。
115.例如，一种直接确定ue的kausf对应的ausf方法可以是：第一标识信息为、或者包含有ausf的标识信息，比如ausf id。ausf的标识信息即为ue的kausf对应的ausf在主鉴权过程中生成kausf并保存了kausf的ausf的信息，该信息可以被udm保存。amf、smf、nef、aanf等功能实体可以根据ausf的标识信息确定出唯一一个ausf。在本技术中，该ausf即为ue的kausf对应的ausf在主鉴权过程中生成kausf并保存了kausf的ausf。再例如，一种辅助确定方法可以是：aanf在接收到第一标识信息时，根据第一标识信息，从udm获取ue的kausf对应
的ausf的标识信息，比如ausf实例化id(ausf instance identifier，ausf id)。ue的kausf对应的ausf在主鉴权过程中生成kausf并保存了kausf，从而aanf可以快速、准确地确定出保存有kausf的ausf。
116.在一种可能的实现方式中，nef从udm获取第一标识信息，nef向aanf发送第一标识信息；第一标识信息用于nef或aanf直接确定或者辅助确定保存有相关ue的kausf对应kausf的ausf。直接确定是指nef或者aanf可以直接使用第一标识信息确定出保存有kausf的ausf，即不需要再利用第一标识信息去获取额外信息的情况下，就可确定出保存有kausf的ausf。辅助确定是指nef或aanf在接收到第一标识信息后，还需要再获取额外的信息才可以确定出保存有kausf的ausf。例如，nef获得第一标识信息后，nef再根据第一标识信息，从udm获取保存有相关ue的kausf对应的ausf的标识信息，比如ausf id。nef向aanf发送保存有相关ue的kausf对应的ausf的标识信息；aanf接收来自nef的ausf的标识信息。ue的kausf对应的ausf在主鉴权过程中生成kausf并保存了kausf，从而aanf可以快速、准确地确定出保存有kausf的ausf。
117.在一种可能的实现方式中，nef接收来自af的密钥请求消息，向aanf发送密钥请求消息，密钥请求消息包括第二标识信息；aanf根据第二标识信息，从udm获取ue的kausf对应的ausf的标识信息，ue的kausf对应的ausf在主鉴权过程中生成kausf并保存了kausf，从而aanf可以准确地确定出保存有kausf的ausf。
118.aanf在准确确定出保存有kausf的ausf的情况下，从该ausf获取kakma，根据kakma和af id可以生成ue与af之间的kaf以及kaf的有效时间，将kaf以及kaf的有效时间发送至af，以便af采用kaf与ue进行数据传输，从而提高数据传输的安全性。
119.下面将结合图5所示的网络架构，对本技术提供的通信方法进行介绍。
120.请参见图6，为本技术提供的一种通信方法的流程示意图，该流程可包括但不限于如下步骤：
121.步骤601，ue向af发送应用会话建立请求消息。相应的，af接收来自ue的应用会话建立请求消息。
122.其中，应用会话建立请求消息，例如可以是application session establishment request消息，用于触发建立ue与af之间的连接，该连接可用于ue与af基于akma服务进行数据传输。应用会话建立请求消息可以包括第二标识信息。
123.在一种实现方式中，第二标识信息包括kakma id，kakma id具有唯一性。具有唯一性的kakma id可作为查找ue的kausf对应的ausf的路由信息。ausf的路由信息是指可以作为查找保存有相关ue的kausf对应的ausf的标识信息的初始条件。udm、nef、或aanf可使用ausf路由信息作为一种参考内容用于查找并最终获得保存相关ue的kausf对应的ausf的标识信息。查找的过程可以是直接的，也可以是间接的。直接的是指可以根据ausf的路由信息直接确定保存有相关ue的kausf对应的ausf的标识信息，如ausf id。例如，udm根据kakma id直接确定出ue的akma服务的签约数据和/或ausf的标识信息，进而可以确定出ue的kausf对应的ausf。若只有akma服务的签约数据，则意味着ausf的标识信息与akma服务的签约数据保存在一起。再例如，udm根据kakma id可以直接确定出ue的kausf对应的ausf的标识信息。间接的是指需要首先使用ausf的路由信息找到中间信息，再根据中间信息最终获得保存相关ue的kausf对应的ausf的标识信息的基本信息。中间信息可能有1个或多个，具体个
数本发明不做限制。例如，udm根据kakma id可以确定出ue的supi，根据ue的supi可以确定出ue的kausf对应的ausf的标识信息。此时，kakma id作为ausf路由信息的初始条件用于获取中间信息ue的supi，中间信息ue的supi可用于udm查找ue的akma服务的签约数据和/或ausf的标识信息，进而可以确定出ue的kausf对应的ausf。若只有akma服务的签约数据，则意味着ausf的标识信息与akma服务的签约数据保存在一起。再例如，udm根据kakma id可以直接确定出ue的kausf对应的ausf的标识信息。
124.具有唯一性的kakma id意味着kakma id可以唯一的标识出kakma和唯一的找出某个ue。kakma id的格式可以是一种可以被当做地址信息使用的格式。被当做地址信息可以理解为类似于电子邮件的形式，即用户名@地址。比如，其可以是一种网络接入标识符(network access identifier，nai)格式，nai格式具体表现为值@3gpp网络信息。其中，值部分是体现kakma id唯一性的关键，3gpp网络信息部分针对一个ue的每个kakma id都可能相同。kakma id的值部分可以有多种形式，具体形式可以是包括一个生成值，一个固定值的方式和一个稳定变化值中的至少一种值。其中，生成值代表每次生成kakma id都需要生成的。固定值为每次不变，具有特殊含义的值。稳定变化值则可以是一个稳定增长的计数器。一种生成值的方法可以为：生成值＝kdf(密钥，参数一，参数二)。其中kdf为key derived function，即密钥衍生功能。kdf在现有技术被ue和ausf使用生成密钥kseaf，本质是一种哈希函数，在3gpp同内用作密钥推演算法。密钥，这里可以是kausf，也可以是kakma，还可以是使用的除了5g鉴权和密钥管理(5g-authentication and key management，5g-aka)和增强的eap认证和密钥协商(eap authentication and key agreement，eap-aka’)以外的鉴权方法生成的中间密钥或中间密钥的一部分，比如为传输层安全扩展认证协议(extensible authentication protocol transport layer security，eap-tls)等鉴权过程产生扩展的主会话密钥(extended master session key，emsk)或emsk的一部分，或者主会话密钥(master session key,msk)或者msk的一部分。参数一可以表示用途，比如可以是字符串“akma”，也可以是“akma id”；参数一还可以表示是应用(application，app)信息，比如字符串“app id”。参数二可以是一个提供新鲜的参数，比如用户身份supi，再比如一个使用了而一次就自动加1的计数器。其中，参数一和参数二可以只需要一个，比如生成值＝kdf(密钥，参数一)，或者生成值＝kdf(密钥，参数二)。同时，可以有2个或2个以上的子参数一和2个或2个以上的子参数二，比如生成值＝kdf(密钥，子参数一，子参数一，参数二)，或kdf(密钥，子参数一，子参数二，子参数二)，或者kdf(密钥，子参数一，子参数一)，或kdf(密钥，子参数二，子参数二)。需要说明的是公式“生成值＝kdf(密钥，参数一，参数二)”中并没有限制kdf的输入参数不可以包括其参数，即还可以包括其他参数。比如，在3gpp密钥生成过程中，会使用fc值。类似于fc值等3gpp在密钥生成中传统使用的输入参数这里不一一列举。还需要说明的是，本发明不限制参数一和参数二的输入顺序。
125.在ausf生成kakma id后，ausf可以将kakma id发送给udm，udm进行存储。ausf可以通过服务化消息发送，比如udm鉴权结果确认请求消息(nudm_ueauthentication_resultconfirmation request)；也可以通过新定义的服务化消息发送，比如nudm_ueakma_informationupdate request消息。udm在收到kakma id后，存储这个值。
126.在一种实现方式中，第二标识信息包括kakma id和ausf的路由信息，kakma id不具有唯一性。该种方式下，查找方法有多种：可以使用kakma id和ausf的路由信息一起查找
ue的kausf对应的ausf的标识信息；或者单独使用ausf的路由信息查找ue的kausf对应的ausf的标识信息；或者单独使用kakma id查找ue的kausf对应的ausf的标识信息。ausf的路由信息可以包含ue的身份信息。比如可以是suci、通用公共用户标识符(generic public subscription identifier，gpsi)或ue的全球唯一临时标识(globally unique temporary ue identity，guti)中的一种或多种。其中，suci可以由ue生成，udm可以解密ue的suci获得ue的supi，进而udm可查找ue的akma服务的签约数据，进而可以确定出ue的kausf对应的ausf。gpsi可以预配置在ue和udm上，进而udm可根据gpsi查找ue的akma服务的签约数据，进而可以确定出ue的kausf对应的ausf。guti可由amf分配并发送至ue。guti可以被网络唯一的定位到一个amf，amf可以根据guti唯一的定位到ue的supi，进而可以查找到ue的supi对应的ausf，即ue的kausf对应的ausf。
127.进一步的，核心网网元可以根据gpsi或suci从udm获得保存kausf的ausf，即ue的kausf对应的ausf。核心网网元可以根据guti从amf获得保存kausf的ausf。核心网网元例如可以是aanf。
128.在ausf生成kakma id后，ausf可以将kakma id发送给udm，udm进行存储。ausf可以通过服务化消息发送，比如udm鉴权结果确认请求消息(nudm_ueauthentication_resultconfirmation request)发送；也可以通过新定义的服务化消息发送，比如nudm_ueakma_informationupdate request消息。udm在收到kakma id后，存储这个值。
129.在一种实现方式中，第二标识信息包括kakma id和ausf的假名，kakma id不具有唯一性。ausf的假名可以由运营商分配，nrf可以通过将ausf的假名结合移动国家码(mobile country code，mcc)、移动网络码(mobile network code，mnc)等内容定位确定出ue的kausf对应的ausf的标识信息，即保存kausf的ausf。核心网网元可以根据ausf的假名，从nrf获得保存kausf的ausf。
130.步骤602，af向nef发送密钥请求消息。相应的，nef接收来自af的密钥请求消息。
131.其中，密钥请求消息，例如可以是key request消息，用于请求af与ue之间的通信密钥，即af与ue之间的kaf。密钥请求消息可以包括第二标识信息，即af接收的来自ue的第二标识信息。密钥请求消息还可以包括af的标识信息，例如af id，用于标识ue与哪个af将基于akma服务进行数据传输。
132.本技术中af位于5g核心网外部，af与核心网网元进行通信时，需要通过nef，因此af向nef发送密钥请求消息。
133.af可以在接收到应用会话建立请求消息时，向nef发送密钥请求消息，也可以在af与ue之间的kaf失效的情况下，向nef发送密钥请求消息。kaf失效，例如当前系统时间不在kaf的有效时间范围内。
134.步骤603，nef确定af是否授权nef进行密钥请求。
135.nef在接收到来自af的密钥请求消息时，判断af是否授权nef进行密钥请求，即判断af是否授权nef，从aanf获取af与ue之间的kaf。nef判断af是否授权nef进行密钥请求的过程可参考现有技术的相关描述。
136.若nef被af授权进行密钥请求，则执行步骤604；若nef未被授权进行密钥请求，则nef向af反馈未授权通知消息，以便af授权nef进行密钥请求。
137.此步为可选步骤。也就意味着nef可以不对af是否授权进行检查。
138.步骤604，当步骤603的判断结果为是时，nef向udm发送第一请求消息。相应的，udm接收来自nef的第一请求消息。
139.其中，第一请求消息，例如可以是nudm_sdm_get消息，用于请求第一标识信息。第一请求消息可以包括第二标识信息。可选的，第一请求消息还可以包括af的标识信息，例如af id。
140.在一种实现方式中，第二标识信息包括具有唯一性的kakma id，udm在接收到第一请求消息时，可根据kakma id确定ue，进而确定出第一标识信息，第一标识信息包括ue的supi。
141.在一种实现方式中，第二标识信息包括不具有唯一性的kakma id和ue的身份信息，ue的身份信息包括gpsi或suci，udm在接收到第一请求消息时，可根据gpsi或suci确定ue，进而确定出第一标识信息，第一标识信息包括ue的supi。
142.在一种实现方式中，第二标识信息包括具有唯一性的kakma id和ue的身份信息，ue的身份信息包括gpsi，udm在接收到第一请求消息时，可根据gpsi确定ue，进而确定出第一标识信息，第一标识信息包括ue的supi。
143.udm确定出ue的supi，可以理解为udm确定出kakma id对应于哪个ue。ue的kakma id和/或supi可用于udm进一步查找ue的akma服务的签约数据，进而可以确定出ue的kausf对应的ausf的标识信息。可以理解的是，ue的kakma id和/或supi用于确定ue的kausf对应的ausf，即第一标识信息用于确定ue的kausf对应的ausf。
144.步骤605，udm向nef发送第一响应消息。相应的，nef接收来自udm的第一响应消息。
145.其中，第一响应消息，例如可以是nudm_sdm_get response消息，用于响应第一请求消息。第一响应消息包括udm确定的第一标识信息。
146.步骤606，nef向aanf发送第一标识信息。相应的，aanf接收来自nef的第一标识信息。
147.nef在接收到来自udm的第一标识信息的情况下，向aanf发送第一标识信息，例如通过submit key request消息向aanf发送第一标识信息，即第一标识信息携带在submit key request消息中。udm在接收到第一标识信息的情况下，即接收到ue的supi的情况下，可根据ue的supi确定ue，并查找ue的akma服务的签约数据；或可根据ue的supi，直接查找ue的akma服务的签约数据。
148.进一步的，submit key request消息还可以携带af的标识信息，例如af id，以便aanf在获得kakma的情况下，根据kakma和af id生成ue与af之间的kaf以及kaf的有效时间。
149.进一步的，submit key request消息还可以包括第二标识信息，即nef接收的来自af的第二标识信息，第二标识信息包括kakma id，以便aanf在确定出ue的kausf对应的ausf之后，从该ausf获取kakma id对应的kakma。
150.步骤607，aanf向udm发送第二请求消息。相应的，udm接收来自aanf的第二请求消息。
151.其中，第二请求消息，例如可以是akma服务请求(akma service request)消息，用于请求ue的kausf对应的ausf的标识信息。
152.在第二请求消息包括第一标识信息的情况下，第一标识信息用于获取ue的akma服务相关数据，可以包括ue的kausf对应的ausf的标识信息，还可能包括ue的akma服务的签约
数据。例如第一标识信息包括ue的supi，udm可以根据ue的supi，查找ue的akma服务的签约数据。
153.在第二请求消息包括第二标识信息的情况下，第二标识信息包括具有唯一性的kakma id，udm可以根据kakma id可以确定出ue，进而获取ue的akma服务相关数据，包括确定ue的kausf对应的ausf的标识信息，还可能包括ue的akma服务签约数据。
154.在一种实现方式中，ue的akma服务的签约数据可以包括ue的kausf对应的ausf的标识信息，ue的kausf对应的ausf的标识信息可以是ue的kausf对应的ausf id、ue的kausf对应的ausf的地址信息或ue的kausf对应的ausf的服务节点(serving node)信息等。ue的akma服务的签约数据还可以包括ue可以使用的akma服务、可以提供akma服务的af信息或切片信息等信息中的一种或多种。其中，ue可以使用的akma服务可以用数据网络名称(data network name，dnn)表示；af信息可以是af id与dnn绑定的信息；切片信息，例如可以是网络切片选择辅助信息(network slice selection assistance information，nssai)。
155.在一种实现方式中，ue的kausf对应的ausf的标识信息不携带在ue的akma服务的签约数据中。udm在确定出ue的akma服务的签约数据的情况下，可根据ue的akma服务的签约数据确定ue的kausf对应的ausf的标识信息。或者，udm可根据确定的ue，查找ue的kausf对应的ausf，从而确定出ue的kausf对应的ausf的标识信息。
156.步骤608，udm向aanf发送第二响应消息。相应的，aanf接收来自udm的第二响应消息。
157.udm在确定出ue的kausf对应的ausf的标识信息的情况下，向aanf发送第二响应消息。第二响应消息，例如可以是akma服务响应(akma service response)消息，用于响应第二请求消息。
158.在一种实现方式中，第二响应消息包括ue的akma服务的签约数据，ue的akma服务的签约数据包括ue的kausf对应的ausf的标识信息。
159.在一种实现方式中，第二响应消息包括ue的akma服务的签约数据和ue的kausf对应的ausf的标识信息。
160.aanf可以根据ue的akma服务的签约数据进行授权检测。具体地，aanf可以检查确定ue是否可以通过af id表示的af进行akma服务。若授权检测成功，则再执行步骤609。此处需要说明的是，本技术提供了3种aanf获得ue的akma服务的签约数据的方法，一种是aanf通过udm直接获得(步骤608)，一种是aanf通过nef获得ue的akma服务的签约数据(步骤808)，一种是aanf通过ausf获得ue的akma服务的签约数据(步骤611)。3种方法不需要一起实现，只需要使用其中一种即可。
161.步骤609，aanf确定ue的kausf对应的ausf。
162.aanf在接收到第二响应消息的情况下，可根据ue的kausf对应的ausf的标识信息确定出ue的kausf对应的ausf。
163.可选的，若步骤608中携带了ue的akma服务的签约数据，则在aanf确定ue的kausf对应的ausf之前，aanf对ue和/或af进行授权检测。
164.aanf对ue进行授权检测。具体的，aanf根据ue的akma服务的签约数据，判断ue是否可以使用akma服务。若判断出ue可以使用akma服务，则ue通过授权检测。若判断出ue不可以使用akma服务，则aanf不执行步骤610，并通过nef向af反馈ue不能使用akma服务的通知消
息。
165.aanf对af进行授权检测。具体的，aanf根据ue的akma服务的签约数据，判断af是否可以为ue提供akma服务，若可以，则af通过授权检测；若不可以，则aanf不执行步骤610，并通过nef向af反馈af不能为ue提供akma服务的通知消息。例如，ue的akma服务的签约数据中是否包括af id，若包括，则af可以为ue提供akma服务；若不包括，则af不能为ue提供akma服务。再例如，af可以提供的服务是否被包含在ue可以使用的akma服务中，若被包含，则af可以为ue提供akma服务；若不被包含，则af不能为ue提供akma服务。
166.在ue或af通过授权检测的情况下，aanf可根据ue的kausf对应的ausf的标识信息确定出ue的kausf对应的ausf。
167.步骤610，aanf向ausf发送akma密钥请求消息。相应的，ausf接收来自aanf的密钥请求消息。
168.aanf向ue的kausf对应的ausf发送akma密钥请求消息，akma密钥请求消息包括kakma id。其中，akma密钥请求消息，例如可以是akma key request消息，用于请求kakma id对应的kakma。
169.步骤611，ausf向aanf发送akma密钥响应消息。相应的，aanf接收来自ausf的akma密钥响应消息。
170.ausf在接收到携带kakma id的akma密钥请求消息时，根据kakma id确定kakma id对应的kakma，并通过akma密钥响应消息向aanf发送kakma id对应的kakma。即kakma携带在akma密钥响应消息中。其中，akma密钥响应消息，例如可以是akma key response消息，用于响应akma密钥请求消息。
171.可选地，若步骤608中未携带ue的akma服务的签约数据，则akma密钥响应消息可包括ue的akma服务的签约数据。
172.步骤612，aanf生成kaf和kaf的有效时间。
173.aanf根据kakma和af id生成kaf和kaf的有效时间。
174.若步骤611中携带ue的akma服务的签约数据，则aanf可以根据ue的akma服务的签约数据进行授权检测。具体地，aanf可以检查确定ue是否可以通过af id表示的af进行akma服务。具体的授权检测可以参考步骤609中对授权检测的描述。若授权检测成功，则再执行步骤612。
175.步骤613，aanf向nef发送kaf和kaf的有效时间。相应的，nef接收来自aanf的kaf和kaf的有效时间。
176.aanf可通过submit key respone confirm消息向nef发送kaf和kaf的有效时间，即向kaf和kaf的有效时间携带在submit key respone confirm消息中。
177.步骤614，nef向af发送密钥响应消息。相应的，af接收来自nef的密钥响应消息。
178.其中，密钥响应消息，例如可以是key response消息，用于响应步骤602的密钥请求消息。密钥响应消息包括kaf和kaf的有效时间。
179.步骤615，af向ue发送应用会话建立响应消息。相应的，ue接收来自af的应用会话建立响应消息。
180.其中，应用会话建立响应消息，例如可以是application session establishment response消息，用于响应步骤601的应用会话建立请求消息。
181.步骤615之后，af可以在kaf的有效时间内，使用kaf对其向ue发送的数据进行加密，从而可以提高数据传输的安全性。相应的，ue在接收到来自af的数据时，可以使用kaf对数据进行解密。ue生成kaf的过程与aanf生成kaf的过程类似，可参考现有技术的相关描述。
182.在图6所示的实施例中，nef从udm获取第一标识信息，并向aanf发送第一标识信息，aanf根据第一标识信息从udm获取ue的kausf对应的ausf的标识信息，从而aanf可以快速、准确地确定出保存kausf的ausf。
183.图6所示实施例以af位于核心网外部为例，若af位于核心网内部，那么可删除图6中与nef交互的相关步骤，例如步骤603和步骤606，并将步骤604和步骤605改为aanf与udm之间的交互流程。
184.可选的，步骤601之前还包括步骤701至步骤705，如图7所示。
185.步骤701，ue与ausf执行主鉴权过程。
186.ue与ausf执行主鉴权过程，可参考图3中对主鉴权过程的详细描述，在此不再赘述。
187.步骤702，ausf生成kakma和kakma id。
188.ausf在主鉴权过程之后，使用主鉴权过程中生成的kausf生成kakma，为kakma生成kakma id。
189.在一种实现方式中，ausf生成的kakma id具有唯一性，即kakma id具有全球唯一性，一个kakma id用于唯一标识一个kakma，不同kakma对应不同的kakma id。进一步的，kakma id具有唯一性，一个kakma id可以单独标识一个ue，不同ue对应不同的kakma id，可以理解为，ausf针对不同ue可以生成不同的kakma和kakma id。
190.在一种实现方式中，ausf生成的kakma id不具有唯一性，即kakma id不具有全球唯一性。进一步的，kakma id不具有唯一性，一个kakma id无法单独标识一个ue。
191.步骤703，ausf将kakma id发送给udm。ausf向udm发送ue鉴权结果确认请求消息，或者发送新定义的服务化消息。相应的，udm接收来自ausf的ue鉴权结果确认请求消息，或接收新定义的服务化消息。步骤703和步骤704以服务化消息分别为ue鉴权结果确认请求消息和ue鉴权结果确认响应消息为例进行说明。
192.其中，ue鉴权结果确认请求消息可包括ue的永久身份标识(subscriber permanent identifier，supi)、ausf id。ue的supi用于标识ue。ausf id用于标识ue的kausf对应的ausf，即用于标识保存kausf的ausf。
193.在kakma id具有唯一性的情况下，ue鉴权结果确认请求消息携带kakma id，可用于udm查找ue的akma服务的签约数据。在kakma id不具有唯一性的情况下，ue鉴权结果确认请求消息也可以包括kakma id。
194.其中，ue的akma服务的签约数据，可参见步骤607中对ue的akma服务的签约数据的具体描述。
195.步骤704，udm向ausf发送ue鉴权结果确认响应消息。相应的，ausf接收来自udm的ue鉴权结果确认响应消息。
196.可选的，udm在向ausf发送ue鉴权结果确认响应消息之前，在ue鉴权结果确认请求消息携带kakma id的情况下，udm将kakma id存储至ue的akma服务的签约数据中，以便udm在接收到第二请求消息时，可根据第一标识信息查找ue的akma服务的签约数据。
197.可选地，udm在ue鉴权结果确认响应消息中回复ue的akma服务签约数据。ausf在收到akma服务签约数据后保存ue的签约数据。ausf在步骤611中，可以将保存的kakma id对应的ue的akma服务签约数据发送至aanf。aanf可以根据akma服务签约数据进行授权检查。具体地，aanf可以检查确定ue是否可以通过af id表示的af做akma服务。具体描述可以参考步骤609。若授权检查成功，则再执行步骤612。当af在5gc内部的时候，aanf可以通过这个方法获得akma服务签约数据。
198.步骤705，ue生成kakma和kakma id。
199.ue在主鉴权过程之后，即将发起akma服务的情况下，使用kausf生成kakma，并为kakma生成kakma id。
200.请参见图8，为本技术提供的另一种通信方法的流程示意图，该流程可包括但不限于如下步骤：
201.步骤801，ue向af发送应用会话建立请求消息。相应的，af接收来自ue的应用会话建立请求消息。
202.步骤802，af向nef发送密钥请求消息。相应的，nef接收来自af的密钥请求消息。
203.步骤803，nef确定af是否授权nef进行密钥请求。
204.步骤804，当步骤803的判断结果为是时，nef向udm发送第一请求消息。相应的，udm接收来自nef的第一请求消息。
205.步骤805，udm向nef发送第一响应消息。相应的，nef接收来自udm的第一响应消息。
206.步骤801-步骤805的实现过程，可参见图6所示流程中步骤601-步骤605的具体描述，在此不再赘述。
207.步骤806，nef向udm发送第一标识信息。相应的，aanf接收来自nef的第一标识信息。
208.其中，nef向udm发送的第一标识信息可携带在nudm_uecm_get消息中。第一标识信息，例如ue的supi，用于请求ue的签约数据。nudm_uecm_get消息还可以携带akma服务指示信息。nudm_uecm_get消息携带ue的supi和akma服务指示信息，用于请求akam服务相关的数据，例如ue的akma服务的签约数据，ue的kausf对应的ausf的标识信息等。其中，akma服务指示信息用于指示请求的是akma服务的相关内容，具体的可以是使用“akma”作为指示信息。比如，nudm_uecm_get(supi，akma)。
209.步骤807，udm向nef发送ue的kausf对应的ausf的标识信息。相应的，nef接收来自udm的ue的kausf对应的ausf的标识信息。
210.udm在接收到nudm_uecm_get消息的情况下，根据ue的supi和akma服务指示信息，确定ue的akma服务的签约数据和/或ue的kausf对应的ausf的标识信息。
211.在一种实现方式中，ue的akma服务的签约数据可以包括ue的kausf对应的ausf的标识信息。在另一种实现方式中，ue的kausf对应的ausf的标识信息不携带在ue的akma服务的签约数据中。则此时可能携带ue的kausf对应的ausf的标识信息和/或ue的akma服务的签约数据。
212.udm确定ue的akma服务相关数据。包括至少确定ue的kausf对应的ausf的标识信息、ue的akma服务的签约数据中的一种。在确定ue的kausf对应的ausf标识信息的情况下，向nef发送ue的kausf对应的ausf的标识信息。例如，可通过nudm_uecm_get response消息
向nef发送ue的kausf对应的ausf的标识信息。
213.可选的，对于ue的kausf对应的ausf的标识信息不携带在ue的akma服务的签约数据中的情况，nudm_uecm_get response消息可以包括ue的kausf对应的ausf的标识信息和ue的akma服务的签约数据。
214.上述步骤804-步骤807是一种实现方式，即nef先从udm获取第一标识信息，nef再根据第一标识信息从udm获取ue的kausf对应的ausf的标识信息。在另一种实现方式中，步骤804和步骤806合并，步骤805和步骤807合并，即nef直接从udm获取第一标识信息和ue的kausf对应的ausf的标识信息。例如，nef向udm发送第一请求消息，第一请求消息包括第二标识信息，具体的包括kakma id和/或ue的身份信息；udm在接收到第一请求消息时，根据kakma id和/或ue的身份信息确定ue的supi，进而确定ue的akma服务相关数据，可以包括ue的kausf对应的ausf的标识信息，还可能包括ue的akma服务的签约数据；udm向nef发送第一响应消息，第一响应消息包括第一标识信息和ue的kausf对应的ausf的标识信息。ue的kausf对应的ausf的标识信息可以携带在ue的akma服务的签约数据中，也可以不携带在ue的akma服务的签约数据。
215.步骤808，nef向aanf发送ue的kausf对应的ausf的标识信息。相应的，aanf接收来自nef的ue的kausf对应的ausf的标识信息。
216.nef可通过submit key request消息向aanf发送ue的kausf对应的ausf的标识信息。submit key request消息还可以包括af id。submit key request消息还包括第二标识信息，例如kakma id，以便aanf在确定出ue的kausf对应的ausf之后，从该ausf获取kakma id对应的kakma。若步骤807获得了ue的akma服务的签约数据，则此步中还需要包含ue的akma服务的签约数据。
217.步骤809，aanf确定ue的kausf对应的ausf。
218.aanf在接收到ue的kausf对应的ausf的标识信息的情况下，可根据ue的kausf对应的ausf的标识信息确定出ue的kausf对应的ausf。
219.可选的，若步骤808中未携带ue的akma服务的签约数据，则在aanf确定ue的kausf对应的ausf之前，aanf对af进行授权检测。具体的，aanf可根据af id和预配置信息确定af是否可以为ue提供akma服务。预配置信息可以由运营商通过管理面进行配置。
220.可选的，若步骤808中携带了ue的akma服务的签约数据，则在aanf确定ue的kausf对应的ausf之前，aanf对ue和/或af进行授权检测。具体描述可以参考步骤609相应的描述。
221.步骤810，aanf向ausf发送akma密钥请求消息。相应的，ausf接收来自aanf的密钥请求消息。
222.步骤811，ausf向aanf发送akma密钥响应消息。相应的，aanf接收来自ausf的akma密钥响应消息。
223.步骤812，aanf生成kaf和kaf的有效时间。
224.步骤813，aanf向nef发送kaf和kaf的有效时间。相应的，nef接收来自aanf的kaf和kaf的有效时间。
225.步骤814，nef向af发送密钥响应消息。相应的，af接收来自nef的密钥响应消息。
226.步骤815，af向ue发送应用会话建立响应消息。相应的，ue接收来自af的应用会话建立响应消息。
227.步骤810-步骤815的实现过程，可参见图6所示流程中步骤610-步骤615的具体描述，在此不再赘述。
228.在图8所示的实施例中，nef从udm获取第一标识信息，并根据第一标识信息，从udm获取ue的kausf对应的ausf的标识信息，将ue的kausf对应的ausf的标识信息发送至aanf，从而aanf可以快速、准确地确定出保存kausf的ausf。
229.图8所示实施例以af位于核心网外部为例，若af位于核心网内部，那么可删除图8中与nef交互的相关步骤，例如步骤803和步骤808，并将步骤604-步骤607改为aanf与udm之间的交互流程。
230.可选的，步骤801之前还包括步骤701至步骤705，如图7所示，具体可参见对图7的描述。
231.请参见图9，为本技术提供的又一种通信方法的流程示意图，该流程可包括但不限于如下步骤：
232.步骤901，ue向af发送应用会话建立请求消息。相应的，af接收来自ue的应用会话建立请求消息。
233.步骤902，af向nef发送密钥请求消息。相应的，nef接收来自af的密钥请求消息。
234.步骤901和步骤902的实现过程，可参见图6所示流程中步骤601和步骤602的具体描述，在此不再赘述。
235.步骤903，nef向aanf发送密钥请求消息。相应的，aanf接收来自nef的密钥请求消息。
236.步骤903中密钥请求消息携带的内容可参考步骤602中密钥请求消息携带的内容，在此不再赘述。
237.步骤904，aanf向udm发送第二标识信息。相应的，udm接收来自aanf的第二标识信息。
238.aanf可通过nudm_uecm_get消息向udm发送第二标识信息。
239.在一种实现方式中，nudm_uecm_get消息包括第二标识信息和akma服务指示信息，akma服务指示信息可参考步骤806中对akma服务指示信息的描述。udm在接收到nudm_uecm_get消息的情况下，根据第二标识信息确定ue的supi，根据ue的supi和akma服务指示信息，确定ue的akma服务的签约数据和/或ue的kausf对应的ausf的标识信息。
240.在一种实现方式中，nudm_uecm_get消息包括第二标识信息。udm在接收到nudm_uecm_get消息的情况下，根据第二标识信息确定ue的supi，根据ue的supi确定ue的akma服务的签约数据和/或ue的kausf对应的ausf的标识信息。
241.步骤905，udm向aanf发送ue的kausf对应的ausf的标识信息。相应的，aanf接收来自udm的ue的kausf对应的ausf的标识信息。
242.udm可通过nudm_uecm_get response消息向aanf发送ue的kausf对应的ausf的标识信息。
243.可选的，对于ue的kausf对应的ausf的标识信息不携带在ue的akma服务的签约数据中的情况，nudm_uecm_get response消息可以包括ue的kausf对应的ausf的标识信息和ue的akma服务的签约数据。
244.步骤906，aanf确定ue的kausf对应的ausf。
245.在一种实现方式中，若aanf接收到ue的akma服务的签约数据，那么步骤906可参考步骤609中相应的描述，在此不再赘述。
246.在一种实现方式中，若aanf未接收到ue的akma服务的签约数据，那么步骤906可参考步骤809中相应的描述，在此不再赘述。
247.步骤907，aanf向ausf发送akma密钥请求消息。相应的，ausf接收来自aanf的密钥请求消息。
248.步骤908，ausf向aanf发送akma密钥响应消息。相应的，aanf接收来自ausf的akma密钥响应消息。
249.步骤909，aanf生成kaf和kaf的有效时间。
250.步骤910，aanf向nef发送kaf和kaf的有效时间。相应的，nef接收来自aanf的kaf和kaf的有效时间。
251.步骤911，nef向af发送密钥响应消息。相应的，af接收来自nef的密钥响应消息。
252.步骤912，af向ue发送应用会话建立响应消息。相应的，ue接收来自af的应用会话建立响应消息。
253.步骤907-步骤912的实现过程，可参见图6所示流程中步骤610-步骤615的具体描述，在此不再赘述。
254.在图9所示的实施例中，nef在接收到来自af的密钥请求消息时，直接将密钥请求消息转发至aanf，由aanf自主从udm获取ue的kausf对应的ausf的标识信息，进而可以快速、准确地确定出ue的kausf对应的ausf。
255.可选的，步骤901之前还包括步骤701至步骤705，如图7所示，具体可参见对图7的描述。
256.图9所示实施例与图6和图8所示实施例的不同之处在于，图9中，nef不判断af是否授权nef进行密钥请求，nef直接将af发送的密钥请求消息转发至aanf，实现过程更为简单。
257.若af位于核心网内部，则图9所示中可删除步骤903。
258.相应于上述方法实施例给出的方法，本技术实施例还提供了相应的装置，包括用于执行上述实施例相应的模块。所述模块可以是软件，也可以是硬件，或者是软件和硬件结合。
259.请参见图10，为本技术提供的一种通信装置的结构示意图。图10所示的通信装置1000包括收发模块1001和处理模块1002。
260.在一种设计中，装置1000为aanf：
261.示例性的，处理模块1002用于利用收发模块1001：接收来自网络开放功能网元的第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；根据第一标识信息，从统一数据管理网元，获取终端设备对应的鉴权服务器功能网元的标识信息。
262.可选的，第一标识信息包括终端设备的supi；
263.处理模块1002具体用于利用收发模块1001向统一数据管理网元发送第二请求消息，第二请求消息包括终端设备的supi；第二请求用于请求统一数据管理网元根据终端设备的supi确定终端设备对应的鉴权服务器功能网元的标识信息；接收来自统一数据管理网元的第二响应消息，第二响应消息包括终端设备对应的鉴权服务器功能网元的标识信息。
264.可选的，第二响应消息还包括终端设备的akma服务的签约数据。
265.可选的，处理模块1002利用收发模块1001，还用于接收来自网络开放功能网元的应用功能网元的标识；从终端设备对应的鉴权服务器功能网元，获取akma服务的密钥的标识信息所标识的akma服务的密钥；
266.处理模块1002还用于根据应用功能网元的标识和akma服务的密钥，生成应用功能网元与终端设备之间的通信密钥；
267.处理模块1002利用收发模块1001，还用于通过网络开放功能网元向应用功能网元发送通信密钥。
268.可选的，处理模块1002还用于对终端设备或应用功能网元进行授权检测，并在完成授权检测的情况下，确定终端设备对应的鉴权服务器功能网元的标识信息所标识的鉴权服务器功能网元。
269.可选的，终端设备对应的鉴权服务器功能网元为终端设备的中间密钥对应的鉴权服务器功能网元，保存有鉴权服务器功能网元在主鉴权过程中生成的中间密钥。
270.该示例用于实现图6所示实施例中aanf的功能，装置1000为aanf时，还用于实现图8和图9所示实施例中aanf的功能，具体可参见图6、图8和图9中aanf的相应描述。
271.在一种设计中，装置1000为nef：
272.示例性的，处理模块1002用于利用收发模块1001：从统一数据管理网元，获取第一标识信息，第一标识信息用于确定终端设备对应的鉴权服务器功能网元；向akma的锚点功能网元发送第一标识信息。
273.可选的，处理模块1002具体用于利用收发模块1001：接收来自应用功能网元的第二标识信息；在确定出应用功能网元授权网络开放功能网元进行密钥请求时，向统一数据管理网元发送第一请求消息；第一请求消息包括第二标识信息，用于请求统一数据管理网元根据第二标识信息确定第一标识信息；接收来自统一数据管理网元的第一响应消息，第一响应消息包括第一标识信息。
274.可选的，第二标识信息包括akma服务的密钥的标识信息；第一标识信息包括终端设备的supi。
275.可选的，第二标识信息包括akma服务的密钥的标识信息和终端设备的临时身份信息；第一标识信息包括终端设备的supi。
276.可选的，处理模块1002利用收发模块1001，还用于接收应用功能网元的标识，向akma的锚点功能网元发送应用功能网元的标识。
277.可选的，终端设备对应的鉴权服务器功能网元为终端设备的中间密钥对应的鉴权服务器功能网元，保存有鉴权服务器功能网元在主鉴权过程中生成的中间密钥。
278.该示例用于实现图6所示实施例中nef的功能，装置1000为nef时，还用于实现图8和图9所示实施例中nef的功能，具体可参见图6、图8和图9中nef的相应描述。
279.请参见图11，为本技术提供的另一种通信装置的结构示意图。图11所示的通信装置1100包括至少一个处理器1101、存储器1102，可选的，还可包括通信接口1103。
280.存储器1102可以是易失性存储器，例如随机存取存储器；存储器也可以是非易失性存储器，例如只读存储器，快闪存储器，硬盘(hard disk drive，hdd)或固态硬盘(solid-state drive，ssd)、或者存储器1102是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1102可以是上述
存储器的组合。
281.本技术实施例中不限定上述处理器1101以及存储器1102之间的具体连接介质。本技术实施例在图中以存储器1102和处理器1101之间通过总线1104连接，总线1104在图中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。该总线1104可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
282.处理器1101可以具有数据收发功能，能够与其他设备进行通信，在如图11装置中，也可以设置独立的数据收发模块，例如通信接口1103，用于收发数据；处理器1101在与其他设备进行通信时，可以通过通信接口1103进行数据传输。
283.一种示例中，当aanf采用图11所示的形式时，图11中的处理器可以通过调用存储器1102中存储的计算机执行指令，使得aanf执行上述任一方法实施例中的aanf执行的方法。
284.一种示例中，当nef采用图11所示的形式时，图11中的处理器可以通过调用存储器1102中存储的计算机执行指令，使得nef执行上述任一方法实施例中的nef执行的方法。
285.具体的，图10的处理模块和收发模块的功能/实现过程均可以通过图11中的处理器1101调用存储器1102中存储的计算机执行指令来实现。或者，图10的处理模块的功能/实现过程可以通过图11中的处理器1101调用存储器1102中存储的计算机执行指令来实现，图8的收发模块的功能/实现过程可以通过图11中的通信接口1103来实现。
286.本技术实施例还提供一种通信系统，该系统可以包括图6-图9中的aanf和nef，可选的，还可以包括图6-图9中的udm、ue、af和ausf。
287.可以理解的是，本技术实施例中的一些可选的特征，在某些场景下，可以不依赖于其他特征，比如其当前所基于的方案，而独立实施，解决相应的技术问题，达到相应的效果，也可以在某些场景下，依据需求与其他特征进行结合。相应的，本技术实施例中给出的装置也可以相应的实现这些特征或功能，在此不予赘述。
288.本领域技术人员还可以理解到本技术实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员对于相应的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本技术实施例保护的范围。
289.本技术所描述的方案可通过各种方式来实现。例如，这些技术可以用硬件、软件或者硬件结合的方式来实现。对于硬件实现，用于在通信装置(例如，基站，终端、网络实体、核心网网元或芯片)处执行这些技术的处理单元，可以实现在一个或多个通用处理器、数字信号处理器(digital signal processor，dsp)、数字信号处理器件、专用集成电路(application specific integrated circuit，asic)、可编程逻辑器件、现场可编程门阵列(field programmable gate array，fpga)、或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合中。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。
290.可以理解，本技术实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，rom)、可编程只读存储器(programmable rom，prom)、可擦除可编程只读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(random access memory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(static ram，sram)、动态随机存取存储器(dynamic ram，dram)、同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机存取存储器(double data rate sdram，ddr sdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，dr ram)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
291.本技术还提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被计算机执行时实现上述任一方法实施例的功能。
292.本技术还提供了一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。
293.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，dvd))、或者半导体介质(例如，固态硬盘(solid state disk，ssd))等。
294.可以理解，说明书通篇中提到的“实施例”意味着与实施例有关的特定特征、结构或特性包括在本技术的至少一个实施例中。因此，在整个说明书各个实施例未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。可以理解，在本技术的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
295.可以理解，在本技术中，“当
…
时”、“若”以及“如果”均指在某种客观情况下装置会做出相应的处理，并非是限定时间，且也不要求装置实现时一定要有判断的动作，也不意味着存在其它限定。
296.本技术中的“同时”可以理解为在相同的时间点，也可以理解为在一段时间段内，
还可以理解为在同一个周期内。
297.本技术中对于使用单数表示的元素旨在用于表示“一个或多个”，而并非表示“一个且仅一个”，除非有特别说明。本技术中，在没有特别说明的情况下，“至少一个”旨在用于表示“一个或者多个”，“多个”旨在用于表示“两个或两个以上”。
298.另外，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况，其中a可以是单数或者复数，b可以是单数或者复数。
299.可以理解，在本技术各实施例中，“与a相应的b”表示b与a相关联，根据a可以确定b。但还应理解，根据a确定b并不意味着仅仅根据a确定b，还可以根据a和/或其它信息确定b。
300.本技术中各表所示的对应关系可以被配置，也可以是预定义的。各表中的信息的取值仅仅是举例，可以配置为其他值，本技术并不限定。在配置信息与各参数的对应关系时，并不一定要求必须配置各表中示意出的所有对应关系。例如，本技术中的表格中，某些行示出的对应关系也可以不配置。又例如，可以基于上述表格做适当的变形调整，例如，拆分，合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称，其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时，也可以采用其他的数据结构，例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。
301.本技术中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。
302.本领域普通技术人员可以理解，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
303.本领域普通技术人员可以理解，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
304.可以理解，本技术中描述的系统、装置和方法也可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
305.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
306.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以
是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
307.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
308.本技术中各个实施例之间相同或相似的部分可以互相参考。在本技术中各个实施例、以及各实施例中的各个实施方式/实施方法/实现方法中，如果没有特殊说明以及逻辑冲突，不同的实施例之间、以及各实施例中的各个实施方式/实施方法/实现方法之间的术语和/或描述具有一致性、且可以相互引用，不同的实施例、以及各实施例中的各个实施方式/实施方法/实现方法中的技术特征根据其内在的逻辑关系可以组合形成新的实施例、实施方式、实施方法、或实现方法。以上所述的本技术实施方式并不构成对本技术保护范围的限定。
309.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。