[发明专利]一种通信方法及装置

说明书

一种通信方法及装置，其中方法包括：归属网络安全节点可接收来自用户设备的第一请求，第一请求包括用户设备的第一标识。归属网络安全节点还可向第一网络功能发送第二请求，第二请求包括用户设备的第二标识，并接收来自于第一网络功能的第一密钥，第一密钥根据加密密钥、完整性密钥和第一信息生成。归属网络安全节点可根据第一密钥生成第二密钥，第二密钥包括机密性保护密钥和/或完整性保护密钥。其中，第一信息包括用户设备的服务网络名称、归属网络安全节点的标识、用户设备的SUPI，以及BEST服务标识中的至少一个。该过程提供了适用于5G网络架构的安全密钥获取方式，能够降低用户设备的数据安全风险。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

在无线通信领域，为了低吞吐量的机器类型通信设备，4G技术中定义了省电的安全方案，称为为低吞吐量机器类型通信设备设计的省电安全(battery efficientsecurity for very low throughput machine type communication devices，BEST)。其主要目的是通过4G网络架构中的归属公共陆地移动网(home public land mobilenetwork，HPLMN)安全节点(HPLMN security endpoint，HSE)与用户设备(user equipment，UE)分别根据UE的加密密钥(cipher key，CK)和完整性密钥(integrity key，IK)推导出用于保护UE数据的安全密钥，用于保护UE的数据安全。

然而，在5G架构下，HSE是不能获取到UE的CK和IK的，无法根据CK和IK推导安全密钥，因此，4G技术的BEST认证方式不能完全适用在5G架构，导致UE的数据安全风险增加。

发明内容

本申请实施方式的目的在于提供一种通信方法及装置，用以提供适用于5G等网络架构的安全密钥获取方式，以降低5G等网络架构下用户设备的数据安全风险。

第一方面，本申请实施例提供一种通信方法。该方法可由归属网络安全节点执行，包括：归属网络安全节点可接收来自用户设备的第一请求，第一请求包括用户设备的第一标识。归属网络安全节点还可向第一网络功能发送第二请求，第二请求包括用户设备的第二标识，第二标识根据第一标识确定，或者第二标识与第一标识相同。归属网络安全节点接收来自于第一网络功能的第一密钥，第一密钥根据加密密钥、完整性密钥和第一信息生成。归属网络安全节点可根据第一密钥生成第二密钥，第二密钥包括用户设备与归属网络安全节点之间的机密性保护密钥和/或完整性保护密钥。其中，第一信息包括：用户设备的服务网络名称、归属网络安全节点的标识、用户设备的SUPI，以及BEST服务标识中的至少一个。

通过上述方法，归属网络安全节点可获取第一密钥，其中，第一密钥是根据加密密钥、完整性密钥和第一信息生成的，因此，归属网络安全节点不需要获取UE的加密密钥和完整性密钥就能够获得第一密钥，后续可根据第一密钥生成用于保护用户设备数据的安全密钥。因此该方案能够提供适用于5G及其他网络架构的安全密钥获取方式，能够降低用户设备的数据安全风险。

一种可能的设计中，用户设备的第一标识包括用户设备的SUCI，用户设备的第二标识包括用户设备的SUPI，归属网络安全节点向第一网络功能发送第二请求之前，还可包括：归属网络安全节点根据SUCI获取用户设备的SUPI。或者，归属网络安全节点根据归属网络安全节点的私钥解密SUCI获得SUPI，其中，SUCI是根据归属网络安全节点的公钥加密SUPI获得的。

一种可能的设计中，用户设备的第一标识包括归属网络安全节点为用户设备分配的标识，用户设备的第二标识包括用户设备的SUPI，归属网络安全节点向第一网络功能发送第二请求之前，还可包括：归属网络安全节点根据归属网络安全节点为用户设备分配的标识获取用户设备的SUPI。