安全认证方法、系统、网元和存储介质与流程

1.本公开涉及网络安全技术领域，特别是一种安全认证方法、系统、网元和存储介质。

背景技术：

2.5g akma(authentication and key management for applications,应用程序的身份验证和密钥管理)是3gpp定义的一种基于5g网络、轻量级的安全基础设施，为应用层提供认证和安全通道密钥服务。akma功能不需要额外的ue(user equipment，用户终端)认证，只需要重用5g主认证来认证ue，例如在ue注册期间执行5g主认证过程，通过安全通道密钥为应用和应用服务器之间进行安全通信提供保障。
3.5g akma可广泛应用于物联网应用和移动终端应用的接入等。

技术实现要素：

4.本公开的一个目的在于提高基于akma的通信的安全性。
5.根据本公开的一些实施例的一个方面，提出一种由网络侧执行的安全认证方法，包括：认证锚点aanf网元接收来自af网元的应用密钥请求，应用密钥请求中包括密钥标识；aanf网元根据密钥标识确定关联的锚点密钥；aanf网元将锚点密钥反馈给af网元，以便af网元根据锚点密钥和af网元的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，用户标识对应的终端根据af网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成应用密钥。
6.在一些实施例中，密钥标识为af网元从来自终端的应用会话请求中获取。
7.在一些实施例中，由网络侧执行的安全认证方法还包括：ausf网元接收来自终端的认证请求；ausf网元在对终端认证通过的情况下，生成鉴权密钥，其中，终端独立生成鉴权密钥；ausf网元根据鉴权密钥生成锚点密钥和密钥标识，其中，终端独立生成锚点密钥和密钥标识；ausf网元将锚点密钥和密钥标识发送给aanf网元存储。
8.根据本公开的一些实施例的一个方面，提出一种由应用功能网元执行的安全认证方法，包括：向aanf网元发送应用密钥请求，应用密钥请求中包括密钥标识；获取aanf网元反馈的锚点密钥，其中，aanf网元根据密钥标识确定关联的锚点密钥；根据锚点密钥和af网元自身的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，用户标识对应的终端根据af网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成应用密钥；根据应用密钥与终端通信。
9.在一些实施例中，由应用功能网元执行的安全认证方法还包括：接收来自终端的应用会话请求，触发执行向aanf网元发送应用密钥请求的操作，其中，应用会话请求中包括密钥标识。
10.在一些实施例中，根据应用密钥与终端通信包括：向终端发送应用会话建立响应，以便终端根据af网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成
应用密钥；建立与终端间基于应用密钥的会话。
11.根据本公开的一些实施例的一个方面，提出一种安全认证方法，包括：af网元向aanf网元发送应用密钥请求，应用密钥请求中包括密钥标识；aanf网元根据密钥标识确定关联的锚点密钥，并将锚点密钥反馈给af网元；af网元根据锚点密钥和af网元的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，用户标识对应的终端根据af网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成应用密钥；af网元根据应用密钥与终端通信。
12.在一些实施例中，af网元根据应用密钥与终端通信包括：af网元向终端发送应用会话建立响应；终端根据af网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成应用密钥；af网元与终端建间立基于应用密钥的会话。
13.在一些实施例中，安全认证方法还包括：终端向ausf网元发送认证请求；ausf在对终端认证通过的情况下，生成鉴权密钥，其中，终端独立生成鉴权密钥；ausf根据鉴权密钥生成锚点密钥和密钥标识，其中，终端独立生成锚点密钥和密钥标识；ausf将锚点密钥和密钥标识发送给aanf存储。
14.根据本公开的一些实施例的一个方面，提出一种安全认证装置，包括：密钥请求接收单元，被配置为接收来自af网元的应用密钥请求，应用密钥请求中包括密钥标识；锚点密钥确定单元，被配置为根据密钥标识确定关联的锚点密钥；密钥反馈单元，被配置为将锚点密钥反馈给af网元，以便af网元根据锚点密钥和af网元的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，用户标识对应的终端根据af网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成应用密钥。
15.根据本公开的一些实施例的一个方面，提出一种应用功能网元，包括：密钥请求单元，被配置为向aanf网元发送应用密钥请求，应用密钥请求中包括密钥标识；锚点密钥获取单元，被配置为获取aanf网元反馈的锚点密钥，其中，aanf网元根据密钥标识确定关联的锚点密钥；应用密钥生成单元，被配置为根据锚点密钥和af网元自身的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，用户标识对应的终端根据af网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成应用密钥；通信单元，被配置为根据应用密钥与终端通信。
16.根据本公开的一些实施例的一个方面，提出一种网元，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行上文中任意一种安全认证方法。
17.根据本公开的一些实施例的一个方面，提出一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上文中任意一种安全认证方法的步骤。
18.根据本公开的一些实施例的一个方面，提出一种安全认证系统，包括：安全认证装置，被配置为执行上文中任意一种由网络侧执行的安全认证方法；和af网元，被配置为执行上文中任意一种由应用功能网元执行的安全认证方法。
附图说明
19.此处所说明的附图用来提供对本公开的进一步理解，构成本公开的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：
20.图1为5g akma架构示意图。
21.图2为本公开的由网络侧执行的安全认证方法的一些实施例的流程图。
22.图3为本公开的由应用功能网元执行的安全认证方法的一些实施例的流程图。
23.图4为本公开的安全认证方法的另一些实施例的流程图。
24.图5为本公开的安全认证方法的一些实施例的信令流程图。
25.图6为本公开的安全认证装置的一些实施例的示意图。
26.图7为本公开的应用功能网元的一些实施例的示意图。
27.图8为本公开的网元的一些实施例的示意图。
28.图9为本公开的网元的另一些实施例的示意图。
29.图10为本公开的安全认证系统的一些实施例的示意图。
具体实施方式
30.下面通过附图和实施例，对本公开的技术方案做进一步的详细描述。
31.5g akma架构如图1所示，主要包括af(application function，应用功能)、aanf、ausf(authentication server function，鉴权服务功能)、移动终端ue及usim(universal subscriber identity module，全球用户识别卡)等。af网元执行第三方应用服务功能；aanf是部署在归属网络里的锚点功能，为akma服务存储akma锚点密钥(k
akma
)；ausf为5g系统的身份验证服务器功能，在ue成功完成5g主认证之后，ausf将密钥发送给aanf。
32.5g akma的基本思想包括两部分：
33.第一部分是5g主认证后进行akma锚点密钥推衍和锚定。终端ue成功完成5g主认证之后，在ue和ausf内部生成密钥k
ausf
。ue和ausf分别基于相同的参数和算法生成akma锚点密钥k
akma
和akma密钥标识a-kid；之后，ausf会将属于该ue的锚点密钥向锚点功能aanf进行注册。
34.第二步是当应用需要建立会话时，进行应用密钥k
af
的推衍和获取操作。af将应用af_id(应用功能标识)、a-kid等信息发送给aanf。aanf基于k
akma
推衍生成应用层密钥k
af
，并发送给af。
35.发明人发现，上述流程中，锚点aanf能够掌握哪个用户在使用哪个应用的关联信息，不利于用户隐私保护；应用密钥需要在aanf与af之间传输，存在用户隐私泄露和应用密钥传输安全的风险和问题。
36.本公开的由网络侧执行的安全认证方法的一些实施例的流程图如图2所示。
37.在步骤211中，aanf网元接收来自af网元的应用密钥请求，应用密钥请求中包括密钥标识。在一些实施例中，密钥标识为5g主认证过程中，ue与ausf网元同步生成。在一些实施例中，密钥标识为akma密钥标识a-kid。在一些实施例中，密钥标识为af网元从来自终端的应用会话请求中获取。
38.在步骤212中，aanf网元根据密钥标识确定关联的锚点密钥。在一些实施例中，aanf网元存储有来自ausf网元的锚点密钥与a-kid的关联关系。在一些实施例中，aanf网元可以将a-kid作为索引，在已存储的关联关系中进行查询，确定对应的锚点密钥。
39.在步骤213中，aanf网元将锚点密钥反馈给af网元。在一些实施例中，af网元存储有根据锚点密钥和应用功能标识推演出应用密钥的算法，本公开中称为预定应用密钥算
法。在一些实施例中，用户终端也存储有相同的预定密钥算法。
40.在一些实施例中，af网元可以在获得锚点密钥，或生成应用密钥后，向终端反馈应用会话建立响应，触发终端根据自身存储的锚点密钥和预定应用密钥算法以及af网元的应用功能标识，生成应用密钥。
41.通过这样的方法，aanf网元无需具备应用密钥生成的功能，能够直接将锚点密钥反馈给af网元，供af网元自身生成应用密钥，降低了aanf网元的运算负担；aanf网元不具备用户与应用的关联信息，提高了用户隐私保护；应用密钥无需在aanf网元与af网元之间传输，降低了被盗取的风险，提高了信息安全。
42.在一些实施例中，在上述步骤211之前，5g终端接入过程中，用户需先向网络侧进行安全人认证。当ausf网元收到来自终端的认证请求后，对终端进行认证。在一些实施例中，ausf网元可以向udm(unified data management，统一数据管理功能)网元发起认证请求，提供supi(subscription permanent identifier，订阅永久标识符)、suci(subscription concealed identifier，订阅隐藏标识符)信息，获得udm的认证反馈信息。在验证通过的情况下，ausf网元根据预存的算法生成鉴权密钥k
ausf
，进而基于鉴权密钥生成锚点密钥k
akma
，并生成密钥标识a-kid。在这一过程中，终端会基于自身的能力生成相同的k
akma
和a-kid。进一步的，ausf将锚点密钥和密钥标识发送给aanf存储。
43.通过这样的方法，终端与ausf同步进行鉴权，操作过程中不会通过网络进行密钥传输，提高了密钥的安全性。
44.本公开的由应用功能网元执行的安全认证方法的一些实施例的流程图如图3所示。
45.在步骤321中，af网元向aanf网元发送应用密钥请求，应用密钥请求中包括密钥标识。在一些实施例中，密钥标识来自于请求应用服务的终端。在一些实施例中，af网元可以在收到来自终端的应用会话请求后，触发执行向aanf网元发送应用密钥请求的操作，其中，应用会话请求中包括密钥标识。
46.在步骤322中，af网元获取aanf网元反馈的锚点密钥。
47.在步骤323中，af网元根据锚点密钥和af网元自身的应用功能标识，基于预定应用密钥算法生成应用密钥。
48.在步骤324中，根据应用密钥与终端通信。在一些实施例中，af网元可以先向终端反馈应用会话建立响应，触发终端根据自身存储的锚点密钥和预定应用密钥算法，以及af网元的应用功能标识，生成与af网元所生成的相同的应用密钥。进一步的，af网元与终端之间建立应用会话，基于应用密钥进行加密通信。
49.通过这样的方法，aanf网元无需具备应用密钥生成的功能，能够直接将锚点密钥反馈给af网元，供af网元自身生成应用密钥，降低了aanf网元的运算负担；aanf网元不具备用户与应用的关联信息，提高了用户隐私保护；应用密钥无需在aanf网元与af网元之间传输，降低了被盗取的风险，提高了信息安全。
50.本公开的安全认证方法的另一些实施例的流程图如图4所示。
51.在步骤401中，af网元在收到用户的应用会话请求后，基于应用会话请求中的密钥标识，向aanf网元发送应用密钥请求，应用密钥请求中携带有该密钥标识。
52.在步骤402中，aanf网元基于来自ausf网元的认证信息，根据密钥标识确定关联的
锚点密钥，并将查询到的锚点密钥反馈给af网元。
53.在步骤403中，af网元基于自身存储的预定应用密钥算法，根据锚点密钥和af网元的应用功能标识生成应用密钥。
54.在步骤404中，af网元根据应用密钥与终端通信。在一些实施例中，af网元向终端发送应用会话建立响应，终端在收到该响应后，根据af网元的应用功能标识和终端存储的锚点密钥，基于与af网元中存储的相同的预定应用密钥算法生成应用密钥，进而af网元与终端间建立基于应用密钥的会话。
55.通过这样的方法，在af网元与终端的基于akma的会话建立过程中，aanf网元能够直接将锚点密钥反馈给af网元，供af网元自身生成应用密钥，降低了aanf网元的运算负担；aanf网元不具备用户与应用的关联信息，提高了用户隐私保护；应用密钥无需在aanf网元与af网元之间传输，降低了被盗取的风险，提高了信息安全。
56.本公开的安全认证方法的一些实施例的信令流程图如图5所示。
57.在步骤s501中，终端ue发起5g主认证流程，ue主认证成功，ue和ausf网元内分别生成鉴权密钥k
ausf
。
58.在步骤s502a中，ue和ausf网元基于相同的参数和锚点密钥，分别生成算法生成锚点密钥k
akma
；
59.在步骤s502b中，ue和ausf网元分别生成akma密钥标识a-kid。
60.在步骤s503中，ausf向aanf网元请求注册ue的锚点密钥k
akma
的相关信息。在一些实施例中，ausf网元将k
akma
和密钥标识a-kid提供给锚点密钥k
akma
存储。
61.在步骤s504中，aanf网元向ausf网元返回注册成功的响应消息。
62.在步骤s505中，当ue需要与应用建立会话连接时，向af网元发送建立应用会话和应用密钥同步请求的消息(如上文中提到的应用会话建立请求)，携带密钥标识a-kid；
63.在步骤s506中，af网元收到来自ue的请求消息后，向aanf网元发送获取该ue的akma锚点密钥的请求信息，仅携带a-kid标识。
64.在步骤s507中，aanf网元收到来自af网元的锚点密钥请求消息后，基于a-kid标识查相应的锚点密钥k
akma
，并返回给af；
65.在步骤s508中，af网元基于锚点密钥k
akma
和af-id等参数，基于预定应用密钥算法推衍出应用密钥k
af
。
66.在步骤s509中，af网元向移动终端ue发送应用会话建立和应用密钥同步的响应消息(如上文中提到的应用会话建立响应)。
67.在步骤s510中，ue收到响应消息后，基于锚点密钥k
akma
和af-id等参数，基于预定应用密钥算法生成应用密钥k
af
。
68.在步骤s511中，移动终端ue与af网元基于应用密钥k
af
进行安全通信。
69.通过这样的方法，对af网元增加基于锚点密钥生成应用密钥的功能，能够使移动终端应用在基于5g网络akma进行认证和密钥协商时，用户标识和应用功能标识不同时存在于同一个认证和密钥管理功能实体中，提高了信息私密性；由af网元生成最终的应用层密钥，避免了应用密钥在锚点aanf和af之间的传输，增强了用户隐私和应用层密钥的安全性。
70.本公开的安全认证装置61的一些实施例的示意图如图6所示。
71.密钥请求接收单元611能够接收来自af网元的应用密钥请求，应用密钥请求中包
括密钥标识。在一些实施例中，密钥标识为5g主认证过程中，ue与ausf网元同步生成。在一些实施例中，密钥标识为akma密钥标识a-kid。在一些实施例中，密钥标识为af网元从来自终端的应用会话请求中获取。
72.锚点密钥确定单元612能够根据密钥标识确定关联的锚点密钥。在一些实施例中，aanf网元存储有来自ausf的锚点密钥与a-kid的关联关系。在一些实施例中，aanf可以将a-kid作为索引，在已存储的关联关系中进行查询，确定对应的锚点密钥。
73.密钥反馈单元613能够将锚点密钥反馈给af网元。在一些实施例中，af网元存储有根据锚点密钥和应用功能标识推演出应用密钥的算法，称为预定应用密钥算法。在一些实施例中，用户终端也存储有相同的预定密钥算法。
74.这样的安全认证装置中，aanf网元无需具备应用密钥生成的功能，能够直接将锚点密钥反馈给af网元，供af网元自身生成应用密钥，降低了aanf的运算负担；aanf不具备用户与应用的关联信息，提高了用户隐私保护；应用密钥无需在aanf与af之间传输，降低了被盗取的风险，提高了信息安全。
75.本公开的应用功能af网元72的一些实施例的示意图如图7所示。
76.密钥请求单元721能够在收到用户的应用会话请求后，基于应用会话请求中的密钥标识，向aanf网元发送应用密钥请求，应用密钥请求中携带有该密钥标识。
77.锚点密钥获取单元722能够基于来自ausf网元的认证信息，根据密钥标识确定关联的锚点密钥，并将查询到的锚点密钥反馈给af网元。
78.应用密钥生成单元723能够基于自身存储的预定应用密钥算法，根据锚点密钥和af网元的应用功能标识生成应用密钥。
79.通信单元724能够根据应用密钥与终端通信。在一些实施例中，af网元向终端发送应用会话建立响应，终端在收到该响应后，根据af网元的应用功能标识和终端存储的锚点密钥，基于与af网元中存储的相同的预定应用密钥算法生成应用密钥，进而af网元与终端间建立基于应用密钥的会话。
80.这样的af网元具备根据锚点密钥生成应用密钥的能力，从而无需要求网络侧的安全认证装置中的aanf网元具备应用密钥生成的功能，降低了aanf网元的运算负担，提高了用户隐私保护；应用密钥无需在aanf与af之间传输，降低了被盗取的风险，提高了信息安全。
81.本公开网元的一个实施例的结构示意图如图8所示。该网元可以为位于网络侧的安全认证装置，如包括认证锚点aanf和ausf，也可以为af网元，也可以包括安全认证装置和af网元。网元包括存储器801和处理器802。其中：存储器801可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储上文中安全认证方法(包括由网络侧或应用功能网元侧、以及系统的安全认证方法)的对应实施例中的指令。处理器802耦接至存储器801，可以作为一个或多个集成电路来实施，例如微处理器或微控制器。该处理器802用于执行存储器中存储的指令，能够提高用户隐私保护和信息安全。
82.在一个实施例中，还可以如图9所示，网元900包括存储器901和处理器902。处理器902通过bus总线903耦合至存储器901。该网元900还可以通过存储接口904连接至外部存储装置905以便调用外部数据，还可以通过网络接口906连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
83.在该实施例中，通过存储器存储数据指令，再通过处理器处理上述指令，能够提高用户隐私保护和信息安全。
84.在另一个实施例中，一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现安全认证方法对应实施例中的方法的步骤。本领域内的技术人员应明白，本公开的实施例可提供为方法、装置、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
85.本公开的安全认证系统1000的一些实施例的示意图如图10所示。
86.安全认证装置1010可以为上文中提到的任意一种位于网络侧的安全认证装置，执行任意一种由网络侧执行的安全认证方法。
87.af网元1020可以为上文中任意一种应用功能网元，执行任意一种由af网元执行的安全认证方法。
88.这样的安全认证系统中，aanf网元无需具备生成应用密钥的功能，由af网元自身生成应用密钥，降低了aanf的运算负担；aanf不具备用户与应用的关联信息，提高了用户隐私保护；应用密钥无需在aanf与af之间传输，降低了被盗取的风险，提高了信息安全。
89.本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
90.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
91.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
92.至此，已经详细描述了本公开。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。
93.可能以许多方式来实现本公开的方法以及装置。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
94.最后应当说明的是：以上实施例仅用以说明本公开的技术方案而非对其限制；尽管参照较佳实施例对本公开进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本公开的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本公开技术方案的精神，其均应涵盖在本公开请求保护的技术方案范围当中。

技术特征：

1.一种由网络侧执行的安全认证方法，包括：认证锚点aanf网元接收来自应用功能af网元的应用密钥请求，所述应用密钥请求中包括密钥标识；所述aanf网元根据所述密钥标识确定关联的锚点密钥；所述aanf网元将所述锚点密钥反馈给所述af网元，以便所述af网元根据所述锚点密钥和所述af网元的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，所述用户标识对应的终端根据所述af网元的应用功能标识和所述终端存储的所述锚点密钥，基于所述预定应用密钥算法生成所述应用密钥。2.根据权利要求1所述的方法，其中，所述密钥标识为所述af网元从来自所述终端的应用会话请求中获取。3.根据权利要求1所述的方法，还包括：鉴权服务功能ausf网元接收来自终端的认证请求；所述ausf网元在对所述终端认证通过的情况下，生成鉴权密钥，其中，所述终端独立生成所述鉴权密钥；所述ausf网元根据所述鉴权密钥生成所述锚点密钥和所述密钥标识，其中，所述终端独立生成所述锚点密钥和所述密钥标识；所述ausf网元将所述锚点密钥和所述密钥标识发送给所述aanf网元存储。4.一种由应用功能网元执行的安全认证方法，包括：向认证锚点aanf网元发送应用密钥请求，所述应用密钥请求中包括密钥标识；获取所述aanf网元反馈的锚点密钥，其中，所述aanf网元根据所述密钥标识确定关联的锚点密钥；根据所述锚点密钥和应用功能af网元自身的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，所述用户标识对应的终端根据所述af网元的应用功能标识和所述终端存储的所述锚点密钥，基于所述预定应用密钥算法生成所述应用密钥；根据所述应用密钥与所述终端通信。5.根据权利要求4所述的方法，还包括：接收来自终端的应用会话请求，触发执行所述向所述aanf网元发送应用密钥请求的操作，其中，所述应用会话请求中包括所述密钥标识。6.根据权利要求5所述的方法，其中，所述根据所述应用密钥与所述终端通信包括：向所述终端发送应用会话建立响应，以便所述终端根据所述af网元的应用功能标识和所述终端存储的所述锚点密钥，基于预定应用密钥算法生成所述应用密钥；建立与所述终端间基于所述应用密钥的会话。7.一种安全认证方法，包括：应用功能af网元向认证锚点aanf网元发送应用密钥请求，所述应用密钥请求中包括密钥标识；所述aanf网元根据所述密钥标识确定关联的锚点密钥，并将所述锚点密钥反馈给所述af网元；所述af网元根据所述锚点密钥和所述af网元的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，所述用户标识对应的终端根据所述af网元的应用功能标识和所述终
端存储的所述锚点密钥，基于所述预定应用密钥算法生成所述应用密钥；所述af网元根据所述应用密钥与所述终端通信。8.根据权利要求7所述的方法，其中，所述af网元根据所述应用密钥与所述终端通信包括：所述af网元向所述终端发送应用会话建立响应；所述终端根据所述af网元的应用功能标识和所述终端存储的所述锚点密钥，基于预定应用密钥算法生成所述应用密钥；所述af网元与所述终端间建立基于所述应用密钥的会话。9.根据权利要求7所述的方法，还包括：所述终端向鉴权服务功能ausf网元发送认证请求；所述ausf网元在对所述终端认证通过的情况下，生成鉴权密钥，其中，所述终端独立生成所述鉴权密钥；所述ausf网元根据所述鉴权密钥生成所述锚点密钥和所述密钥标识，其中，所述终端独立生成所述锚点密钥和所述密钥标识；所述ausf网元将所述锚点密钥和所述密钥标识发送给所述aanf存储。10.一种安全认证装置，包括：密钥请求接收单元，被配置为接收来自应用功能af网元的应用密钥请求，所述应用密钥请求中包括密钥标识；锚点密钥确定单元，被配置为根据所述密钥标识确定关联的锚点密钥；密钥反馈单元，被配置为将所述锚点密钥反馈给所述af网元，以便所述af网元根据所述锚点密钥和所述af网元的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，所述用户标识对应的终端根据所述af网元的应用功能标识和所述终端存储的所述锚点密钥，基于所述预定应用密钥算法生成所述应用密钥。11.一种应用功能网元，包括：密钥请求单元，被配置为向认证锚点aanf网元发送应用密钥请求，所述应用密钥请求中包括密钥标识；锚点密钥获取单元，被配置为获取所述aanf网元反馈的锚点密钥，其中，所述aanf网元根据所述密钥标识确定关联的锚点密钥；应用密钥生成单元，被配置为根据所述锚点密钥和应用功能af网元自身的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，所述用户标识对应的终端根据所述af网元的应用功能标识和所述终端存储的所述锚点密钥，基于所述预定应用密钥算法生成所述应用密钥；通信单元，被配置为根据所述应用密钥与所述终端通信。12.一种网元，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至9任一项所述的方法。13.一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现权利要求1至9任意一项所述的方法的步骤。
14.一种安全认证系统，包括：安全认证装置，被配置为执行权利要求1～3任意一项所述的方法；和应用功能af网元，被配置为执行权利要求4～6任意一项所述的方法。

技术总结

本公开提出一种安全认证方法、系统、网元和存储介质，涉及网络安全技术领域。本公开的一种由网络侧执行的安全认证方法，包括：认证锚点AAnF接收来自AF网元的应用密钥请求，应用密钥请求中包括密钥标识；AAnF根据密钥标识确定关联的锚点密钥；AAnF将锚点密钥反馈给AF网元，以便AF网元根据锚点密钥和AF网元的应用功能标识，基于预定应用密钥算法生成应用密钥，其中，用户标识对应的终端根据AF网元的应用功能标识和终端存储的锚点密钥，基于预定应用密钥算法生成应用密钥。通过这样的方法，降低了AAnF的运算负担，提高了用户隐私保护，降低了被盗取的风险，提高了信息安全。提高了信息安全。提高了信息安全。