会话密钥的生成方法、锚点功能网元以及系统与流程

1.本公开涉及通信技术领域，特别涉及一种会话密钥的生成方法、锚点功能网元以及系统。


背景技术：

2.在5g网络环境下，移动终端与移动网络之间通过aka(authentication and key agreement，认证与密钥协商)技术可以为应用的客户端和应用功能网元提供初始的共享会话密钥，从而保证了客户端与应用功能网元之间的安全通信，这种技术称之为面向应用的认证和密钥管理(akma)。其基本思想是利用5g网络的ue注册接入网络时的双向认证鉴权(eap-aka'或者5g-aka)以及层次化的密钥生成体系能力，通过密钥协商和密钥生成算法分别在终端和移动网络侧为应用生成初始会话密钥k
af
。初始会话密钥k
af
用于对终端和应用功能网元之间的会话加密，保证会话安全性。


技术实现要素：

3.发明人发现：5g akma技术虽然可以实现终端和应用功能网元的安全通信。但是如果启动akma的用户即应用的使用用户为非法用户，那么终端和应用功能网元通信的安全性将被破坏，从而导致真正的合法用户的信息存在安全风险，如虚拟资产损失等。
4.本公开所要解决的一个技术问题是：如何提高终端和应用功能网元会话的安全性。
5.根据本公开的一些实施例，提供的一种会话密钥的生成方法，包括：锚点功能网元接收应用功能网元发送的可信认证及密钥请求，其中，可信认证及密钥请求包括：终端的数字身份信息的第一加密信息，k
akma
id和应用功能网元的标识，第一加密信息，k
akma
id是从终端处获取，k
akma
id为终端和锚点功能网元之间的密钥的标识；锚点功能网元根据第一加密信息对终端进行数字身份验证；锚点功能网元在终端的数字身份验证成功的情况下，向终端发送身份验证指示，身份验证指示包括：终端的数字身份信息的第二加密信息；锚点功能网元接收终端返回的身份验证结果，其中，身份验证结果是终端存储的用户的身份验证信息与用户输入的身份验证信息的比对结果，终端存储的用户的身份验证信息是根据第二加密信息确定的；锚点功能网元在身份验证结果表示验证成功的情况下，根据k
akma
id生成初始会话密钥k
af
，并发送至应用功能网元。
6.在一些实施例中，第一加密信息为采用移动网络侧的公钥对数字身份信息加密后的信息，可信认证及密钥请求还包括：终端的标识；锚点功能网元根据第一加密信息对终端进行数字身份验证包括：锚点功能网元根据终端的标识查找本地存储的终端的数字身份信息；锚点功能网元向核心网网元发送解密请求，解密请求包括：第一加密信息；锚点功能网元接收核心网网元返回的终端的数字身份信息，数字身份信息是核心网网元利用移动网络侧的私钥对第一加密信息解密的结果；锚点功能网元将核心网网元返回的终端的数字身份信息与本地存储的终端的数字身份信息进行对比，对比一致的情况下，对终端进行数字身
份验证成功。
7.在一些实施例中，终端的数字身份信息是锚点功能网元根据终端用户的身份信息、终端的标识、终端的公钥中至少一项生成的摘要信息。
8.在一些实施例中，可信认证及密钥请求还包括：终端的标识，锚点功能网元向终端发送身份验证指示包括：锚点功能网元根据终端的标识查找本地存储的终端的公钥；锚点功能网元利用终端的公钥对终端数字身份信息进行加密，得到第二加密信息。
9.在一些实施例中，锚点功能网元根据k
akma
id生成初始会话密钥k
af
包括：锚点功能网元向核心网网元发送面向应用的认证和密钥管理akma密钥请求，akma密钥请求包括k
akma
id；锚点功能网元接收核心网网元返回的k
akma
，根据k
akma
生成初始会话密钥k
af
。
10.在一些实施例中，该方法还包括：终端接收锚点功能网元发送的身份验证指示；终端向终端中的用户卡发送数字身份验证请求，数字身份验证请求包括：第二加密信息；终端接收用户卡返回的数字身份验证结果，数字身份验证结果是用户卡对第二加密信息解密，并将解密信息与用户卡存储的终端的数字身份信息比对的结果；终端在数字身份验证结果表示验证成功的情况下，提示用户输入身份验证信息；终端接收用户输入的身份验证信息，将用户输入的身份验证信息与本地存储的第二加密信息绑定的身份验证信息进行对比，得到身份验证结果。
11.在一些实施例中，第二加密信息是利用终端的公钥进行加密生成的，终端的公钥是用户卡生成的，并利用移动网络侧的公钥加密后发送至锚点功能网元的；用户卡存储终端的私钥，解密信息是用户卡利用终端的私钥对第二加密信息进行解密得到的；终端存储第二加密信息与用户的身份验证信息的映射关系。
12.在一些实施例中，该方法还包括：终端启动akma协商功能，生成k
akma
id，和初始会话密钥k
af
；终端向终端中的用户卡发送数字身份获取请求；终端接收用户卡返回的终端的数字身份信息的第一加密信息；终端生成应用请求发送至应用功能网元，应用请求包括：终端的数字身份信息的第一加密信息，k
akma
id，终端的标识。
13.根据本公开的另一些实施例，提供的一种锚点功能网元，包括：第一接收模块，用于接收应用功能网元发送的可信认证及密钥请求，其中，可信认证及密钥请求包括：终端的数字身份信息的第一加密信息，k
akma
id和应用功能网元的标识，第一加密信息，k
akma
id是从终端处获取，k
akma
id为终端和锚点功能网元之间的密钥的标识；验证模块，用于根据第一加密信息对终端进行数字身份验证；发送模块，用于在终端的数字身份验证成功的情况下，向终端发送身份验证指示，身份验证指示包括：终端的数字身份信息的第二加密信息；第二接收模块，用于接收终端返回的身份验证结果，其中，身份验证结果是终端存储的用户的身份验证信息与用户输入的身份验证信息的比对结果，终端存储的用户的身份验证信息是根据第二加密信息确定的；密钥生成模块，用于在身份验证结果表示验证成功的情况下，根据k
akma
id生成初始会话密钥k
af
，并发送至应用功能网元。
14.根据本公开的又一些实施例，提供的一种锚点功能网元，包括：处理器；以及耦接至处理器的存储器，用于存储指令，指令被处理器执行时，使处理器执行如前述任意实施例的会话密钥的生成方法。
15.根据本公开的再一些实施例，提供的一种会话密钥的生成系统，包括：前述任意实施例的锚点功能网元；以及终端，用于接收锚点功能网元发送的身份验证指示，身份验证指
示包括：终端的数字身份信息的第二加密信息，根据第二加密信息确定存储的用户的身份验证信息，根据存储的用户的身份验证信息与用户输入的身份验证信息的比对结果，得到身份验证结果，并将身份验证结果发送至锚点功能网元。
16.在一些实施例中，终端用于向终端中的用户卡发送数字身份验证请求，数字身份验证请求包括：第二加密信息，接收用户卡返回的数字身份验证结果，在数字身份验证结果表示验证成功的情况下，提示用户输入身份验证信息，并接收用户输入的身份验证信息，将用户输入的身份验证信息与本地存储的第二加密信息绑定的身份验证信息进行对比，得到身份验证结果。
17.在一些实施例中，终端还包括用户卡；用户卡用于接收终端发送的数字身份验证请求，对第二加密信息解密，并将解密信息与用户卡存储的终端的数字身份信息比对，得到数字身份验证结果。
18.在一些实施例中，第二加密信息是利用终端的公钥进行加密生成的，终端的公钥是用户卡生成的，并利用移动网络侧的公钥加密后发送至锚点功能网元的；用户卡存储终端的私钥，解密信息是用户卡利用终端的私钥对第二加密信息进行解密得到的；终端存储第二加密信息与用户的身份验证信息的映射关系。
19.在一些实施例中，终端还用于启动akma协商功能，生成k
akma
id，和初始会话密钥k
af
；向终端中的用户卡发送数字身份获取请求；接收用户卡返回的终端的数字身份信息的第一加密信息；生成应用请求发送至应用功能网元，应用请求包括：终端的数字身份信息的第一加密信息，k
akma
id，终端的标识。
20.在一些实施例中，该系统还包括：应用功能网元，用于向锚点功能网元发送可信认证及密钥请求，接收锚点功能网元发送的初始会话密钥k
af
。
21.在一些实施例中，该系统还包括：核心网网元，用于接收锚点功能网元发送的解密请求，解密请求包括：第一加密信息，利用移动网络侧的私钥对第一加密信息解密，将解密的结果发送至锚点功能网元。
22.根据本公开的又一些实施例，提供的一种非瞬时性计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现前述任意实施例方法的步骤。
23.本公开在终端和应用功能网元之间的初始会话密钥生成过程中，锚点功能网元接收应用功能网元发送的可信认证及密钥请求，对终端进行数字身份验证，在所述终端的数字身份验证成功的情况下，向终端发起身份验证指示，终端根据存储的用户的身份验证信息与用户输入的身份验证信息的比对结果生成身份验证结果并返回锚点功能网元。锚点功能网元在所述身份验证结果表示验证成功的情况下，根据所述k
akma
id生成初始会话密钥k
af
，并发送至应用功能网元。
24.在初始会话密钥的生成过程中移动网络侧的锚点功能网元对终端的数字身份进行验证，并且终端再次对用户输入的身份验证信息进行验证，双重认证保证了终端和用户的合法性，这种情况下，生成初始会话密钥用于后续终端与应用功能网元的会话，保证了整个会话过程的安全性。此外，终端存储的身份验证信息与数字身份信息密切相关，数字身份加密传输，数字身份验证由移动网络侧锚点功能网元进行认证，进一步提高了认证过程的安全性，以及用户数字身份存储和交互的安全性。
25.通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其
优点将会变得清楚。
附图说明
26.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1示出本公开的一些实施例的会话密钥的生成方法的流程示意图。
28.图2示出本公开的另一些实施例的会话密钥的生成方法的流程示意图。
29.图3示出本公开的一些实施例的锚定功能网元的结构示意图。
30.图4示出本公开的另一些实施例的锚定功能网元的结构示意图。
31.图5示出本公开的又一些实施例的锚定功能网元的结构示意图。
32.图6示出本公开的一些实施例的会话密钥的生成系统的结构示意图。
具体实施方式
33.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
34.本公开提出一种会话密钥的生成方法，下面结合图1～2进行描述。
35.图1为本公开会话密钥的生成方法一些实施例的流程图。如图1所示，该实施例的方法包括：步骤s102～s110。
36.在步骤s102中，应用功能网元(af)向锚点功能网元(akma anchor function，aanf)发送可信认证及密钥请求，相应的，锚点功能网元接收应用功能网元发送的可信认证及密钥请求。
37.可信认证及密钥请求包括：终端的数字身份信息的第一加密信息，k
akma
id和应用功能网元的标识。第一加密信息，k
akma
id是从终端处获取。终端向应用功能网元发送的应用请求中包括：第一加密信息，k
akma
id。第一加密信息是终端从用户卡中获取的。k
akma
id为终端和锚点功能网元之间的密钥的标识，是终端根据k
ausf
生成的，终端接入5g网络后，终端和5g网络的ausf(authentication server function，鉴权服务功能)已存储有密钥k
ausf
。具体生成k
akma
id的方法可以参考现有标准，在此不再赘述。
38.在步骤s104中，锚点功能网元根据第一加密信息对终端进行数字身份验证。
39.在一些实施例中，可信认证及密钥请求还包括：终端的标识。第一加密信息为采用移动网络侧的公钥对数字身份信息加密后的信息。锚点功能网元根据终端的标识查找本地存储的终端的数字身份信息；锚点功能网元向核心网网元发送解密请求，解密请求包括：第一加密信息；锚点功能网元接收核心网网元返回的终端的数字身份信息；锚点功能网元将核心网网元返回的终端的数字身份信息与本地存储的终端的数字身份信息进行对比，对比一致的情况下，对终端进行数字身份验证成功。数字身份信息是核心网网元利用移动网络
侧的私钥对第一加密信息解密的结果。核心网网元例如为5g核心网网元，包括udm(unified data management，统一数据管理功能)和ausf(authentication server function，鉴权服务功能)。核心网网元处存储移动网络侧的私钥。
40.在一些实施例中，终端的数字身份信息是锚点功能网元根据终端用户的身份信息、终端的标识、终端的公钥中至少一项生成的摘要信息。终端用户的身份信息例如包括：身份证信息(例如，身份证号、姓名、头像至少一项)，终端的标识例如包括：手机号、iccid(integrate circuit card identity集成电路卡识别码)至少一项。数字身份信息例如采用sha1，sha256等摘要生成算法生成。锚点功能网元存储终端的标识与数字身份信息的对应关系。锚点功能网元将数字身份信息通过安全通道传输至用户卡进行存储。例如，锚点功能网元将数字身份信息利用终端的公钥加密，将加密后的信息通过终端发送至用户卡，用户卡采用终端的私钥解密后对数字身份信息进行存储。
41.通过锚点功能网元生成终端的数字身份信息，并存储在用户卡中，保证了数字身份信息的安全性。
42.在步骤s106中，锚点功能网元在终端的数字身份验证成功的情况下，向终端发送身份验证指示。
43.身份验证指示包括：终端的数字身份信息的第二加密信息。在一些实施例中，锚点功能网元根据终端的标识查找本地存储的终端的公钥；利用终端的公钥对终端数字身份信息进行加密，得到第二加密信息。
44.在一些实施例中，终端接收锚点功能网元发送的身份验证指示；向终端中的用户卡发送数字身份验证请求，数字身份验证请求包括：第二加密信息；接收用户卡返回的数字身份验证结果，终端在数字身份验证结果表示验证成功的情况下，提示用户输入身份验证信息；接收用户输入的身份验证信息，将用户输入的身份验证信息与本地存储的第二加密信息绑定的身份验证信息进行对比，得到身份验证结果。
45.终端中可以存储第二加密信息与用户的身份验证信息的映射关系。身份验证信息例如，用户名和密码或用户的生物特征信息等。终端预先采集用户的身份验证信息，与第二加密信息对应存储。数字身份验证结果是用户卡对第二加密信息解密，并将解密信息与用户卡存储的终端的数字身份信息比对的结果。用户卡存储终端的私钥，解密信息是用户卡利用终端的私钥对第二加密信息进行解密得到的。
46.用户卡生成终端侧公私密钥对eph.public key和eph.private key，生成公私密钥对的方法可以采用椭圆曲线集成加密方案，终端与移动网络侧均采用同一条椭圆曲线，具有终端的私钥
·
移动网络侧公钥＝移动网络侧私钥
·
终端公钥的特性(密钥之间的乘法是椭圆曲线上的标量乘法)。终端的公钥可以由用户卡利用移动网络侧的公钥加密后发送至锚点功能网元，锚点功能网元可以通过核心网网元利用移动网络侧的私钥进行解密，得到终端的公钥进行存储。
47.在整个过程中终端获取的都是加密后的数字身份信息，数字身份信息的加密和解密都在用户卡中，保证了数字身份信息的安全性，不容易被获取和篡改。
48.在步骤s108，终端向锚点功能网元发送身份验证结果，相应的，锚点功能网元接收终端返回的身份验证结果。
49.身份验证结果是终端存储的用户的身份验证信息与用户输入的身份验证信息的
比对结果。
50.在步骤s110，锚点功能网元在身份验证结果表示验证成功的情况下，根据k
akma
id生成初始会话密钥k
af
，并发送至应用功能网元。
51.在一些实施例中，锚点功能网元向核心网网元发送akma密钥请求，akma密钥请求包括k
akma
id，接收核心网网元返回的k
akma
，根据k
akma
生成初始会话密钥k
af
。核心网网元例如为ausf，根据k
akma
id得到k
akma
，具体可以参考现有技术，在此不再赘述。
52.上述实施例中，在终端和应用功能网元之间的初始会话密钥生成过程中，锚点功能网元接收应用功能网元发送的可信认证及密钥请求，对终端进行数字身份验证，在终端的数字身份验证成功的情况下，向终端发起身份验证指示，终端根据存储的用户的身份验证信息与用户输入的身份验证信息的比对结果生成身份验证结果并返回锚点功能网元。锚点功能网元在身份验证结果表示验证成功的情况下，根据k
akma
id生成初始会话密钥k
af
，并发送至应用功能网元。
53.在初始会话密钥的生成过程中移动网络侧的锚点功能网元对终端的数字身份进行验证，并且终端再次对用户输入的身份验证信息进行验证，双重认证保证了终端和用户的合法性，这种情况下，生成初始会话密钥用于后续终端与应用功能网元的会话，保证了整个会话过程的安全性。此外，终端存储的身份验证信息与数字身份信息密切相关，数字身份加密传输，数字身份验证由移动网络侧锚点功能网元进行认证，进一步提高了认证过程的安全性，以及用户数字身份存储和交互的安全性。
54.下面结合图2描述本公开会话密钥的生成方法的另一些实施例。
55.图2为本公开会话密钥的生成方法另一些实施例的流程图。如图2所示，该实施例的方法包括：步骤s202～s252。
56.在步骤s202中，用户卡生成终端的公私密钥对，并将终端的公钥通过终端发送至锚点功能网元。
57.用户卡例如为sim卡、usim卡等，不限于所举示例。
58.在步骤s204中，锚点功能网元根据终端的用户信息生成终端的数字身份信息，并通过安全通道发送至用户卡进行存储。
59.用户信息例如包括：终端用户的身份信息、终端的标识、终端的公钥中至少一项。
60.在步骤s206中，用户卡利用终端的公钥对数字身份信息加密，得到第二加密信息。
61.在步骤s208中，用户卡将第二加密信息发送至终端，相应的，终端接收第二加密信息，并将第二加密信息与用户的身份验证信息绑定存储。
62.在步骤s210中，终端启动akma协商功能，生成k
akma
id，和初始会话密钥k
af
。
63.在步骤s212中，终端向用户卡发送数字身份获取请求。
64.在步骤s214中，用户卡利用移动网络侧的公钥对数字身份信息加密，得到第一加密信息。
65.在步骤s216中，用户卡向终端返回终端的数字身份信息的第一加密信息，相应的，终端接收用户卡返回的终端的数字身份信息的第一加密信息。
66.在步骤s218中，终端生成应用请求发送至应用功能网元。应用请求包括：终端的数字身份信息的第一加密信息，k
akma
id，终端的标识。
67.在步骤s220中，应用功能网元向锚点功能网元发送可信认证及密钥请求。可信认
证及密钥请求包括：终端的数字身份信息的第一加密信息，k
akma
id和应用功能网元的标识
68.在步骤s222中，锚点功能网元根据终端的标识查找本地存储的终端的数字身份信息。
69.在步骤s224中，锚点功能网元向核心网网元发送解密请求。解密请求包括：第一加密信息。
70.核心网网元例如为udm。
71.在步骤s226中，核心网网元利用移动网络侧的私钥对第一加密信息解密，得到终端的数字身份信息。
72.在步骤s228中，核心网网元将终端的数字身份信息发送至锚点功能网元。
73.在步骤s230中，锚点功能网元将核心网网元返回的终端的数字身份信息与本地存储的终端的数字身份信息进行对比，对比一致的情况下，对终端进行数字身份验证成功。
74.在步骤s232中，锚点功能网元向终端发送身份验证指示，身份验证指示包括：终端的数字身份信息的第二加密信息。
75.锚点功能网元根据终端的标识查找本地存储的终端的公钥；利用终端的公钥对终端数字身份信息进行加密，得到第二加密信息。
76.在步骤s234中，终端向用户卡发送数字身份验证请求，数字身份验证请求包括：第二加密信息。
77.在步骤s236中，用户卡利用终端的私钥对第二加密信息解密，并将解密信息与用户卡存储的终端的数字身份信息进行比对，得到数字身份验证结果。
78.在步骤s238中，终端接收用户卡返回的数字身份验证结果。
79.在步骤s240中，终端在数字身份验证结果表示验证成功的情况下，提示用户输入身份验证信息；接收用户输入的身份验证信息，将用户输入的身份验证信息与本地存储的第二加密信息绑定的身份验证信息进行对比，得到身份验证结果。
80.在步骤s242中，终端将身份验证结果发送至锚点功能网元。
81.在步骤s244中，锚点功能网元向核心网网元发送面向应用的认证和密钥管理akma密钥请求，akma密钥请求包括k
akma
id。
82.核心网网元例如为ausf。
83.在步骤s246中，锚点功能网元接收核心网网元返回的k
akma
。
84.在步骤s248中，锚点功能网元根据k
akma
生成初始会话密钥k
af
。
85.在步骤s250中，锚点功能网元将初始会话密钥k
af
发送至应用功能网元。
86.在步骤s252中，应用功能网元通知终端，初始会话密钥k
af
准备好。
87.可以通过终端中的sdk执行上述实施例中由终端执行的方法。上述实施例的方法，终端与应用功能网元在进行akma密钥协商时，通过数字身份信息的验证，用户身份信息的验证，保证了协商过程的安全性。并且，协商过程中数字身份信息都通过非对称加密的方式在移动网络侧和终端之间进行传输，数字身份信息存储在移动网络侧和用户卡，从各个方面提升了安全性。
88.本公开还提供一种锚点功能网元，下面结合图3进行描述。
89.图3为本公开锚点功能网元的一些实施例的结构图。如图3所示，该实施例的锚点功能网元30包括：第一接收模块310，验证模块320，发送模块330，第二接收模块340，密钥生
成模块350。
90.第一接收模块310用于接收应用功能网元发送的可信认证及密钥请求，其中，可信认证及密钥请求包括：终端的数字身份信息的第一加密信息，k
akma
id和应用功能网元的标识，第一加密信息，k
akma
id是从终端处获取，k
akma
id为终端和锚点功能网元之间的密钥的标识。
91.在一些实施例中，终端的数字身份信息是锚点功能网元根据终端用户的身份信息、终端的标识、终端的公钥中至少一项生成的摘要信息。
92.验证模块320用于根据第一加密信息对终端进行数字身份验证。
93.在一些实施例中，验证模块320用于根据终端的标识查找本地存储的终端的数字身份信息；向核心网网元发送解密请求，解密请求包括：第一加密信息；接收核心网网元返回的终端的数字身份信息，数字身份信息是核心网网元利用移动网络侧的私钥对第一加密信息解密的结果；将核心网网元返回的终端的数字身份信息与本地存储的终端的数字身份信息进行对比，对比一致的情况下，对终端进行数字身份验证成功。
94.发送模块330用于在终端的数字身份验证成功的情况下，向终端发送身份验证指示，身份验证指示包括：终端的数字身份信息的第二加密信息。
95.在一些实施例中，发送模块330用于根据终端的标识查找本地存储的终端的公钥；利用终端的公钥对终端数字身份信息进行加密，得到第二加密信息。
96.第二接收模块340用于接收终端返回的身份验证结果，其中，身份验证结果是终端存储的用户的身份验证信息与用户输入的身份验证信息的比对结果，终端存储的用户的身份验证信息是根据第二加密信息确定的。
97.密钥生成模块350用于在身份验证结果表示验证成功的情况下，根据k
akma
id生成初始会话密钥k
af
，并发送至应用功能网元。
98.在一些实施例中，密钥生成模块350用于向核心网网元发送面向应用的认证和密钥管理akma密钥请求，akma密钥请求包括k
akma
id；接收核心网网元返回的k
akma
，根据k
akma
生成初始会话密钥k
af
。
99.本公开的实施例中的锚点功能网元可各由各种计算设备或计算机系统来实现，下面结合图4以及图5进行描述。
100.图4为本公开锚点功能网元的一些实施例的结构图。如图4所示，该实施例的锚点功能网元40包括：存储器410以及耦接至该存储器410的处理器420，处理器420被配置为基于存储在存储器410中的指令，执行本公开中任意一些实施例中由锚点功能网元执行的会话密钥的生成方法。
101.其中，存储器410例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(boot loader)、数据库以及其他程序等。
102.图5为本公开锚点功能网元的另一些实施例的结构图。如图5所示，该实施例的锚点功能网元50包括：存储器510以及处理器520，分别与存储器410以及处理器420类似。还可以包括输入输出接口530、网络接口540、存储接口550等。这些接口530，540，550以及存储器510和处理器520之间例如可以通过总线560连接。其中，输入输出接口530为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口540为各种联网设备提供连接接口，例如可以连接到数据库服务器或者云端存储服务器等。存储接口550为sd卡、u盘等外置存
储设备提供连接接口。
103.本公开的终端、应用功能网元、核心网网元也可以由各种计算设备或计算机系统来实现，具体结构与图4、图5类似，在此不再赘述。
104.本公开还提供一种会话密钥的生成系统，下面结合图6进行描述。
105.图6为本公开会话密钥的生成系统的一些实施例的结构图。如图6所示，该实施例的会话密钥的生成系统6包括：前述任意实施例的锚点功能网元30/40/50，以及终端62。
106.终端62用于接收锚点功能网元30/40/50发送的身份验证指示，身份验证指示包括：终端的数字身份信息的第二加密信息，根据第二加密信息确定存储的用户的身份验证信息，根据存储的用户的身份验证信息与用户输入的身份验证信息的比对结果，得到身份验证结果，并将身份验证结果发送至锚点功能网元30/40/50。
107.在一些实施例中，终端62用于向终端中的用户卡发送数字身份验证请求，数字身份验证请求包括：第二加密信息，接收用户卡返回的数字身份验证结果，在数字身份验证结果表示验证成功的情况下，提示用户输入身份验证信息，并接收用户输入的身份验证信息，将用户输入的身份验证信息与本地存储的第二加密信息绑定的身份验证信息进行对比，得到身份验证结果。
108.在一些实施例中，终端62包括用户卡620，用户卡620用于接收终端62发送的数字身份验证请求，对第二加密信息解密，并将解密信息与用户卡620存储的终端62的数字身份信息比对，得到数字身份验证结果。
109.在一些实施例中，第二加密信息是利用终端62的公钥进行加密生成的，终端62的公钥是用户卡生成的，并利用移动网络侧的公钥加密后发送至锚点功能网元30/40/50的。用户卡620存储终端的私钥，解密信息是用户卡620利用终端的私钥对第二加密信息进行解密得到的。终端62存储第二加密信息与用户的身份验证信息的映射关系。
110.在一些实施例中，终端62还用于启动akma协商功能，生成k
akma
id，和初始会话密钥k
af
；向终端62中的用户卡630发送数字身份获取请求；接收用户卡620返回的终端的数字身份信息的第一加密信息；生成应用请求发送至应用功能网元，应用请求包括：终端的数字身份信息的第一加密信息，k
akma
id，终端的标识。
111.在一些实施例中，系统6还包括：应用功能网元64，用于向锚点功能网元30/40/50发送可信认证及密钥请求，接收锚点功能网元30/40/50发送的初始会话密钥k
af
。
112.在一些实施例中，系统6还包括：核心网网元66，用于接收锚点功能网元30/40/50发送的解密请求，解密请求包括：第一加密信息，利用移动网络侧的私钥对第一加密信息解密，将解密的结果发送至锚点功能网元30/40/50。
113.本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
114.本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程
序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
115.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
116.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
117.以上所述仅为本公开的较佳实施例，并不用以限制本公开，凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。