WO2019066720A1

WO2019066720A1 - 秘钥管理方法和装置

Info

Publication number: WO2019066720A1
Application number: PCT/SG2017/050492
Authority: WO
Inventors: 王海光; 康鑫; 雷中定; 刘斐
Original assignee: Huawei International Pte Ltd
Current assignee: Huawei International Pte Ltd
Priority date: 2017-09-29
Filing date: 2017-09-29
Publication date: 2019-04-04
Anticipated expiration: 2020-03-29
Also published as: US20200084028A1; EP3557815A1; CN110166230A; EP3557815A4; US11159311B2; CN109845187B; CN110166230B; CN109845187A

Abstract

本申请提供一种秘钥管理方法和装置，该秘钥管理方法包括：用户设备根据第一公钥对用户身份信息进行加密；用户设备向第一网络设备发送第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，并通过第一网络设备向第二网络设备发送包括用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息，使得第二网络设备在接收到该第≡用户身份消息时，可以根据预先存储的公私钥对及参考标识之间的硖射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息迸行解密，提高了数据的解密效率。

Description

秘钥管理方法和装置技术领域

本申请涉及通信技术领域，尤其涉及一种秘钥管理方法和装置。背景技术

为了提高用户身份信息的安全性，在发送用户身份信息之前，通常使用家乡网络的公钥对用户身份信息进行加密，从而发送加密的用户身份信息。

现有的公钥加密系统可以包括用户设备、接入与移动性管理功能（Access and Mobility

Function, AMF) 设备、认证单元功能 (Authentication Unit Function, AUSF) 设备及认证信息功能（Authentication Repository Function， ARPF)设备，用户设备在发送用户永久身份（ Subscriber Permnent Information (SUPI) ) 信息之前，先使用公钥对用户身份信息进行加密处理，并将加密的用户身份信息发送给存放所述公钥对应的私钥的 AMF设备， AMF 设备在接收到加密的用户身份信息之后，将加密的用户身份信息发送至 AUSF设备，使得 AUSF或者其它解密设备使用该公钥对应的私钥对加密的用户身份信息进行解密，从而得到解密后的用户身份信息，再将得到的用户身份信息发送给 ARPF设备，以根据用户身份信息进行认证。

然而，在现有的网络系统中，任何一个用于加解密的公私钥对都是有生命周期的，在一个公私钥对的生命周期结束前，新的公私钥对分发需要一个过程，因此，现有的公钥加密系统同时允许至少一套公私钥对用户身份信息进行加解密操作，当存在至少一套公私钥对时， AUSF设备无法确定用户设备使用哪个公私钥对中的公钥对用户身份信息进行加密，从而无法确定使用哪个公私钥对中的私钥对加密的用户身份信息进行解密，从而降低了数据的解密效率。发明内容

本申请涉及一种秘钥管理方法和装置，以提高数据的解密效率。

第一方面，本申请实施例提供一种秘钥管理方法，该秘钥管理方法可以包括：用户设备根据第一公钥对用户身份信息进行加密；

用户设备向第一网络设备发送第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，以使得第一网络设备根据指示标识和参考标识对第一用户身份消息进行处理。

可以理解的是，第一公钥可以预存的，也可以是使用时临时获取的。

可以理解的是，用户设备中存储有很多公钥，用哪个公钥加密，就需用使用参考标识进行标识。可以说，公钥和参考标识是一一对应的关系；比如有 100个公钥，那么参考标识的取值范围就是 0-99。当然，参考标识还可以是截取的部分公钥，还可以是公钥某些位上的值的组合。比如公钥长度为 50位，那么参考标识可以是第 1， 2， 4， 8， 16， 32上值的组合。

其中，需要指出的是，虽然第一用户身份消息中包括三个参数，但是可以用两个值来表示，第一个值为用户身份信息，第二个值可以表示参考标识，也可以表示指示标识。

举例来说，比如指示标识为 0，表示用户身份信息没有被加密，那么参考标识此时也为 0，表示公钥的标识空。比如指示标识为非 0的数值（比如大于 0的值），非 0的数值表示用户身份信息被加密，那么该非 0数值可以表示用于加密的公钥的索引。比如该非 0 数值是 100，那么标识该用户标识被加密，用于加密的公钥的参考标识为 100。

另外，需要指出的是，第一用户身份消息中包括三个参数，可以用三个值来表示，第一个值为用户身份信息，第二标识表示指示标识，第三个值可以表示参考标识。本发明在此不做限制。由此可见，本申请实施例提供的公钥管理方法，用户设备根据第一公钥对用户身份信息进行加密，并通过第一网络设备向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息，使得第二网络设备在接收到该第三用户身份消息时，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

在一种可能的实现方式中，用户设备根据第一公钥对用户身份信息进行加密之前，该方法还可以包括：

用户设备确定是否对用户身份信息进行加密；

当确定不对用户身份信息进行加密时，用户设备向第一网络设备发送第二用户身份消息；第二用户身份消息包括未加密的用户身份信息以及指示标识。

在一种可能的实现方式中，用户设备根据第一公钥对用户身份信息进行加密之前，还可以包括：

用户设备判断第一公钥是否处于有效期；

用户设备根据第一公钥对用户身份信息进行加密，包括：

当第一公钥处于有效期时，用户设备根据第一公钥对用户身份信息进行加密，从而提高了用户身份信息的安全性。

可以理解的是，每个公钥都有对应的生成日期和失效日期，可以比较当前日期和失效日期确定该公钥是否位于有效期。

在一种可能的实现方式中，指示标识为 0时，表示用户身份信息处于未加密状态。可选的，指示标识可以用数字表示，也可以用字符串表示。用不同的数字或字符串区分是否处于加密状态即可。比如 0表示用户身份信息处于未加密状态； 1表示用户身份信息处于加密状态；反之亦可。

第二方面，本申请实施例提供一种秘钥管理方法，该方法可以包括：

第一网络设备接收用户设备发送的第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识；

若指示标识表示用户身份信息处于加密状态，则第一网络设备根据参考标识向第二网络设备发送第三用户身份消息；其中，第三用户身份消息包括用户身份信息和参考标识，以使第二网络设备根据参考标识对用户身份信息进行处理。

由此可见，第一网络设备在接收到用户设备发送的第一用户身份消息之后，向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息，使得第二网络设备在接收到该第三用户身份消息时，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

在一种可能的实现方式中，第一网络设备根据参考标识向第二网络设备发送第三用户身份消息，可以包括：

第一网络设备根据参考标识向第三网络设备发送第一用户身份消息；以使第三网络设备在指示标识表示用户身份信息处于加密状态时，向第二网络设备发送第三用户身份消息在一种可能的实现方式中，第一网络设备根据参考标识向第二网络设备发送第三用户身份消息，可以包括：

第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息；第一网络设备根据第二网络设备的标识信息，向第二网络设备发送第三用户身份消息在一种可能的实现方式中，该方法还可以包括：

第一网络设备接收第二网络设备发送的第四身份消息；第四用户身份消息包括解密后的用户身份信息和第一公钥；

第一网络设备利用第一公钥对解密后的用户身份信息进行加密，以生成需验证的用户身份信息；

第一网络设备将需验证的用户身份信息与用户身份信息进行比较；

若需验证的用户身份信息与用户身份信息相同，则第一网络设备向第三网络设备发送指示信息，指示消息包括解密后的用户身份信息，指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。

由此可见，第一网络设备通过将需验证的用户身份信息与加密的用户身份信息进行比较，从而根据比较结果确定是否对用户身份信息进行注册和认证，进而满足了合法监听对加密身份验证的需求。

在一种可能的实现方式中，第一网络设备接收第二网络设备的第四用户身份信息，可以包括：

第一网络设备接收通过第三网络设备转发的第四用户身份消息。

在一种可能的实现方式中，第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息之前，还可以包括：

第一网络设备接收第二网络设备发送的第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数；

第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息，包括：第一网络设备根据第二网络设备的标识信息与 N个参考标识之间的映射表，确定第一公钥对应的第二网络设备的标识信息。

第三方面，本申请实施例提供一种秘钥管理方法，该方法可以包括：第二网络设备接收第一网络设备发送的第三用户身份消息；其中，第三用户身份消息包括用户身份信息，及用于索引第一公钥的参考标识；

第二网络设备根据参考标识确定第一公钥对应的第一私钥；第一公钥和第一私钥为第一公私钥对；

第二网络设备根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息；第二网络设备向第三网络设备发送解密后的用户身份信息，以使第三网络设备对解密后的用户身份信息进行处理。

由此可见，第二网络设备在接收到包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

在一种可能的实现方式中，第二网络设备接收第一网络设备发送的第三用户身份消息，可以包括：

第二网络设备接收通过第三网络设备转发的第三用户身份消息。

在一种可能的实现方式中，第二网络设备根据参考标识确定第一公钥对应的第一私钥之前，还可以包括：

第二网络设备判断第一公钥是否处于有效期；

第二网络设备根据参考标识确定第一公钥对应的第一私钥，包括：

当第一公钥处于有效期时，第二网络设备根据参考标识确定第一公钥对应的第一私钥。由此可见，通过判断第一公钥是否处于有效期，当第一公钥处于有效期时，第二网络设备根据参考标识确定第一公钥对应的第一私钥，从而提高了数据的解密效率。

在一种可能的实现方式中，第二网络设备接收第一网络设备发送的第三用户身份消息之前，还可以包括：

第二网络设备获取 N对公私钥对及 N个参考标识， N个参考标识用于一一对应地索引 N个公私钥对，第一公私钥对为 N对公私钥对中的任一对， N为大于 0的整数。

在一种可能的实现方式中，第二网络设备获取 N对公私钥对及 N个参考标识，可以包括- 第二网络设备生成 N对公私钥对；

第二网络设备为 N对公私钥对中的公钥分配参考标识。

第二网络设备向第四网络设备发送参考标识请求消息，参考标识请求消息包括 N对公私钥对中的公钥，参考标识请求消息用于请求第四网络设备为 N对公私钥对中的公钥分配参考标识；

第二网络设备接收第四网络设备发送的 N对公私钥对中的公钥及 N个参考标识。

在一种可能的实现方式中，第二网络设备获取 N对公私钥对及 N个参考标识，可以包括- 第二网络设备接收第四网络设备发送的 N对公私钥对及 N个参考标识。在一种可能的实现方式中，第二网络设备接收第一网络设备发送的第三用户身份消息之前，还可以包括：

第二网络设备从 N个公私钥对中获取第一公钥，以及从 N个参考标识中获取参考标识; 第二网络设备向用户设备发送第一公钥及参考标识。

在一种可能的实现方式中，第二网络设备根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息之后，还可以包括：

第二网络设备向第一网络设备发送第四用户身份消息；其中，第四用户身份消息包括解密后的用户身份信息和第一公钥，以使第一网络设备根据第一公钥对第四用户身份消息进行处理。

在一种可能的实现方式中，第二网络设备向第一网络设备发送第四用户身份消息，可以包括：

第二网络设备通过第三网络设备向第一网络设备转发第四用户身份消息。

在一种可能的实现方式中，还可以包括：

当第一公钥不处于有效期时，则第二网络设备向用户设备发送公钥更新请求消息，公钥更新请求消息用于指示用户设备更新第一公钥，以通过有效的公钥对用户身份信息进行加密，从而提高了数据的安全性。

第二网络设备向第一网络设备发送第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数；

第二网络设备接收第一网络设备发送的第三用户身份消息，可以包括：

第二网络设备接收第一网络设备根据第二网络设备的标识信息与 N个参考标识之间的映射表发送第三用户身份消息。

第四方面，本申请实施例提供一种秘钥管理方法，该方法可以包括：

第三网络设备接收第一网络设备发送的第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识；

若指示标识表示用户身份信息处于加密状态，则第三网络设备根据参考标识确定参考标识对应的第二网络设备的标识信息；

第三网络设备根据第二网络设备的标识信息，向第二网络设备发送第三用户身份消息第三用户身份消息包括使用用户身份信息，及用于索引第一公钥的参考标识；以使第二网络设备根据参考标识对第三用户身份消息进行处理。

由此可见，第三网络设备在接收到用户设备发送的第一用户身份消息之后，向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息，使得第二网络设备在接收到该第三用户身份消息时，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

在一种可能的实现方式中，方法还包括：

第三网络设备接收第二网络设备发送的第四用户身份消息，其中，第四用户身份消息包括解密后的用户身份信息和第一公钥；

第三网络设备向第一网络设备发送第四用户身份消息，以使第一网络设备根据第一公钥对第四用户身份消息进行处理。

在一种可能的实现方式中，第三网络设备向第一网络设备发送第四用户身份消息之后，还包括：

第三网络设备接收第一网络设备发送的指示信息；指示消息包括解密后的用户身份信息，指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。

在一种可能的实现方式中，第三网络设备根据参考标识确定参考标识对应的第二网络设备的标识信息之前，还可以包括：

第三网络设备接收第二网络设备发送的第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数；

第三网络设备根据参考标识确定参考标识对应的第二网络设备的标识信息，包括：第三网络设备根据第二网络设备的标识信息与 N个参考标识之间的映射表，确定参考标识对应的第二网络设备的标识信息。

在一种可能的实现方式中，第三网络设备接收第二网络设备发送的第二网络设备的标识信息与 N个参考标识之间的映射表之后，还可以包括：

第三网络设备向第一网络设备发送第三网络设备的标识信息与 N个参考标识之间的映射表；

第三网络设备接收第一网络设备发送的第一用户身份消息，包括：

第三网络设备接收第一网络设备根据第三网络设备的标识信息与 N个参考标识之间的映射表转发的用户设备的第一用户身份消息。

第五方面，本申请实施例提供一种秘钥管理方法，该方法可以包括：

第四网络设备获取 N个公钥， N为大于 0的整数；

第四网络设备为 N个公钥分配 N个参考标识， N个参考标识用于一一对应地索引 N 个公钥；

第四网络设备向第二网络设备发送 N个公钥和 N个参考标识，以使第二网络设备获取 N个公钥和 N个参考标识。

由此可见，第四网络设备通过向第二网络设备发送 N个公钥和 N个参考标识，使得第二网络设备在接收到该第三用户身份消息时，可以根据参考标识确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

在一种可能的实现方式中，第四网络设备获取 N个公钥，可以包括：

第四网络设备生成 N个公私钥对，每个公私钥对包括公钥和私钥， N个公钥为 N个公私钥对中的公钥；

第四网络设备向第二网络设备发送 N个公钥和 N个参考标识，包括：

第四网络设备向第二网络设备发送 N个公私钥对及 N个参考标识。

第四网络设备接收第二网络设备发送的参考标识请求消息，参考标识请求消息包括 N 对公私钥对中的公钥，参考标识请求消息用于请求第四网络设备为 N对公私钥对中的公钥分配参考标识。

在一种可能的实现方式中，该方法还可以包括：

第四网络设备从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识；

第四网络设备向用户设备发送第一公钥及参考标识。

第六方面，本申请实施例提供一种秘钥管理装置，该装置可以包括：

加密单元，用于根据第一公钥对用户身份信息进行加密；

发送单元，用于向第一网络设备发送第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，以使得第一网络设备根据指示标识和参考标识对第一用户身份消息进行处理。

在一种可能的实现方式中，加密单元，还用于确定是否对用户身份信息进行加密；发送单元，还用于当确定不对用户身份信息进行加密时，用户设备向第一网络设备发送第二用户身份消息；第二用户身份消息包括未加密的用户身份信息以及指示标识。

在一种可能的实现方式中，该装置还可以包括：

判断单元，用于判断第一公钥是否处于有效期；

加密单元，具体用于当第一公钥处于有效期时，根据第一公钥对用户身份信息进行加密。

本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第一方面提供的秘钥管理方法的实施例，此处不再赘述。

第七方面，本申请实施例提供一种秘钥管理装置，该装置可以包括：

接收单元，用于接收用户设备发送的第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识；

发送单元，用于若指示标识表示用户身份信息处于加密状态，则根据参考标识向第二网络设备发送第三用户身份消息；其中，第三用户身份消息包括用户身份信息和参考标识，以使第二网络设备根据参考标识对用户身份信息进行处理。

在一种可能的实现方式中，发送单元，具体用于根据参考标识向第三网络设备发送第一用户身份消息；以使第三网络设备在指示标识表示用户身份信息处于加密状态时，向第二网络设备发送第三用户身份消息。

在一种可能的实现方式中，发送单元，具体用于根据参考标识确定第一公钥对应的第二网络设备的标识信息；并根据第二网络设备的标识信息，向第二网络设备发送第三用户身份消息。

在一种可能的实现方式中，该装置还可以包括：

接收单元，还用于接收第二网络设备发送的第四身份消息；第四用户身份消息包括解密后的用户身份信息和第一公钥；

加密单元，用于利用第一公钥对解密后的用户身份信息进行加密，以生成需验证的用户身份信息；

比较单元，用于将需验证的用户身份信息与用户身份信息进行比较；

发送单元，还用于若需验证的用户身份信息与用户身份信息相同，则向第三网络设备发送指示信息，指示消息包括解密后的用户身份信息，指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。

在一种可能的实现方式中，接收单元，具体用于接收通过第三网络设备转发的第四用户身份消息。

在一种可能的实现方式中，还可以包括：

接收单元，还用于接收第二网络设备发送的第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数；

确定单元，用于根据参考标识确定第一公钥对应的第二网络设备的标识信息，包括: 确定单元，还用于根据第二网络设备的标识信息与 N个参考标识之间的映射表，确定第一公钥对应的第二网络设备的标识信息。

本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第二方面提供的秘钥管理方法的实施例，此处不再赘述。

第八方面，本申请实施例提供一种秘钥管理装置，该装置可以包括：

接收单元，用于接收第一网络设备发送的第三用户身份消息；其中，第三用户身份消息包括用户身份信息，及用于索引第一公钥的参考标识；

确定单元，用于根据参考标识确定第一公钥对应的第一私钥；第一公钥和第一私钥为第一公私钥对；

解密单元，用于根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息; 发送单元，用于向第三网络设备发送解密后的用户身份信息，以使第三网络设备对解密后的用户身份信息进行处理。

在一种可能的实现方式中，接收单元，具体用于接收通过第三网络设备转发的第三用户身份消息。

在一种可能的实现方式中，该装置还可以包括：

判断单元，用于判断第一公钥是否处于有效期；

确定单元，具体用于当第一公钥处于有效期时，根据参考标识确定第一公钥对应的第一私钥。

在一种可能的实现方式中，还可以包括：

获取单元，用于获取 N对公私钥对及 N个参考标识， N个参考标识用于一一对应地索引 N个公私钥对，第一公私钥对为 N对公私钥对中的任一对， N为大于 0的整数。

在一种可能的实现方式中，获取单元，具体用于生成 N对公私钥对，并为 N对公私钥对中的公钥分配参考标识。

在一种可能的实现方式中，获取单元，具体用于生成 N对公私钥对；发送单元，还用于向第四网络设备发送参考标识请求消息，参考标识请求消息包括 N对公私钥对中的公钥，参考标识请求消息用于请求第四网络设备为 N对公私钥对中的公钥分配参考标识；

接收单元，还用于接收第四网络设备发送的 N对公私钥对中的公钥及 N个参考标识。在一种可能的实现方式中，接收单元，还用于接收第四网络设备发送的 N对公私钥对及 N个参考标识。

在一种可能的实现方式中，获取单元，还用于从 N个公私钥对中获取第一公钥，以及从 N个参考标识中获取参考标识；发送单元，还用于向用户设备发送第一公钥及参考标识。

在一种可能的实现方式中，发送单元，还用于向第一网络设备发送第四用户身份消息；其中，第四用户身份消息包括解密后的用户身份信息和第一公钥，以使第一网络设备根据第一公钥对第四用户身份消息进行处理。

在一种可能的实现方式中，发送单元，还用于通过第三网络设备向第一网络设备转发第四用户身份消息。

在一种可能的实现方式中，发送单元，还用于当第一公钥不处于有效期时，向用户设备发送公钥更新请求消息，公钥更新请求消息用于指示用户设备更新第一公钥。

在一种可能的实现方式中，发送单元，还用于向第一网络设备发送第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数；

接收单元，具体用于接收第一网络设备根据第二网络设备的标识信息与 N个参考标识之间的映射表发送第三用户身份消息。

本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第三方面提供的秘钥管理方法的实施例，此处不再赘述。

第九方面，本申请实施例提供一种秘钥管理装置，该装置可以包括：

接收单元，用于接收第一网络设备发送的第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识；确定单元，用于若指示标识表示用户身份信息处于加密状态，则根据参考标识确定参考标识对应的第二网络设备的标识信息；

发送单元，用于根据第二网络设备的标识信息，向第二网络设备发送第三用户身份消息，第三用户身份消息包括使用用户身份信息，及用于索引第一公钥的参考标识；以使第二网络设备根据参考标识对第三用户身份消息进行处理。

在一种可能的实现方式中，接收单元，还用于接收第二网络设备发送的第四用户身份消息，其中，第四用户身份消息包括解密后的用户身份信息和第一公钥；

发送单元，还用于向第一网络设备发送第四用户身份消息，以使第一网络设备根据第一公钥对第四用户身份消息进行处理。

在一种可能的实现方式中，接收单元，还用于接收第一网络设备发送的指示信息；指示消息包括解密后的用户身份信息，指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。

在一种可能的实现方式中，接收单元，还用于接收第二网络设备发送的第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数；

确定单元，具体用于根据第二网络设备的标识信息与 N个参考标识之间的映射表，确定参考标识对应的第二网络设备的标识信息。

在一种可能的实现方式中，发送单元，还用于向第一网络设备发送第三网络设备的标识信息与 N个参考标识之间的映射表；

接收单元，具体用于接收第一网络设备根据第三网络设备的标识信息与 N个参考标识之间的映射表转发的用户设备的第一用户身份消息。本实施例提供的秘钥管理装置中的各个单元的实现原理和有益效果可参照第四方面提供的秘钥管理方法的实施例，此处不再赘述。

第十方面，本申请实施例提供一种秘钥管理装置，该装置可以包括：

获取单元，用于获取 N个公钥， N为大于 0的整数；

分配单元，用于为 N个公钥分配 N个参考标识， N个参考标识用于一一对应地索引 N 个公钥；

发送单元，用于向第二网络设备发送 N个公钥和 N个参考标识，以使第二网络设备获取 N个公钥和 N个参考标识。

在一种可能的实现方式中，获取单元，具体用于生成 N个公私钥对，每个公私钥对包括公钥和私钥， N个公钥为 N个公私钥对中的公钥；

发送单元，还用于向第二网络设备发送 N个公私钥对及 N个参考标识。

在一种可能的实现方式中，接收单元，还用于接收第二网络设备发送的参考标识请求消息，参考标识请求消息包括 N对公私钥对中的公钥，参考标识请求消息用于请求第四网络设备为 N对公私钥对中的公钥分配参考标识。

在一种可能的实现方式中，获取单元，还用于从 N个公钥中获取第一公钥，以及从 N 个参考标识中获取用于索弓 I第一公钥的参考标识；

发送单元，还用于向用户设备发送第一公钥及参考标识。

第十一方面，本申请实施例还提供的一种设备，包括处理器和存储器。

存储器用于存储指令，处理器用于执行存储器存储的指令，当处理器执行存储器存储的指令时，该设备用于执行如上述第一方面至第五方面任意一个实施例所述的方法。

第十二方面，本申请实施例提供一种可读存储介质，可读存储介质中存储有指令，当用户设备的至少一个处理器执行该指令时，用户设备执行上述第一方面至第五方面方法实施例中提供的秘钥管理方法。

第十三方面，本申请实施例提供一种可读存储介质，可读存储介质中存储有指令，当网络设备的至少一个处理器执行该指令时，网络设备执行上述第一方面至第五方面方法实施例中提供的秘钥管理方法。

本申请实施例提供的秘钥管理方法和装置，在确定对用户身份信息进行加密时，用户设备根据第一公钥对用户身份信息进行加密，并向第一网络设备发送第一用户身份消息，该第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，使得第一网络设备在接收到第一用户身份信息时，根据指示标识判断用户身份信息是否处于加密状态，若指示标识表示用户身份信息处于加密状态，则第一网络设备根据参考标识确定第一公钥对应的第二网络设备的标识信息，并向第二网络设备发送第三用户身份消息，使得第二网络设备在接收用户设备的第三用户身份消息时，根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息，以通过 ARPF设备根据用户身份信息进行认证。由此可见，本申请实施例提供的公钥管理方法和装置，用户设备根据第一公钥对用户身份信息进行加密，并通过第一网络设备向第二网络设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息，使得第二网络设备在接收到该第三用户身份消息时，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。附图说明

图 1为本申请实施例提供的一种系统架构图

2为本申请提供的种秘钥管理方法的示意图

3为本申请提供的 -种公钥管理方法的示意图二

4为本申请提供的种公钥管理方法的示意图三

5为本申请提供的 -种公公钥管理方法的示意图四

6为本申请提供的种公钥管理方法的示意图五

7为本申请提供的 -种公公钥管理方法的示意图六

8为本申请提供的种公钥管理方法的示意图七

9为本申请提供的 -种公公钥管理方法的示意图八

10为本申请提供的种公钥管理装置的示意图

11为本申请提供的种公公钥管理装置的示意图二

12为本申请提供的种公钥管理装置的示意图三

13为本申请提供的种公公钥管理装置的示意图四

14为本申请提供的种公钥管理装置的示意图五

15为本申请提供的种公公钥管理装置的示意图六

16为本申请提供的种公钥管理装置的示意图七

17为本申请提供的种公钥管理装置的示意图八

18为本申请提供的种设备的框图。具体实施方式

图 1为本申请实施例提供的一种系统架构图，请参见图 1所示，在该通信系统中，第一网络设备为接入和移动性管理功能（Access and Mobility Management Function, AMF) 设备，第二网络设备为签约身份解密功能（Subscription Identifier De-concealing Function, SIDF)设备，第三网络设备为认证单元功能（Authentication Unit Function, AUSF)设备，第四网络设备为集成有公钥管理功能的公钥管理功能设备，则该通信系统中包括用户设备、 AMF设备、 AUSF设备、 SIDF设备、公钥管理功能设备及认证服务器为认证信息数据库 (Authentication Repository Function, ARPF) 设备。在图 1所示的系统架构中，用户设备可以通过 AMF设备及 AUSF设备与 SIDF设备进行交互；也可以通过只 AMF设备与 SIDF 设备之间进行交互。

其中，用户设备可以为移动电话（或称为"蜂窝"电话）或具有移动终端的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置等。用户设备也可以称为终端设备，移动台（mobile station, 简称 MS ) ，终端（terminal) ，还可以包括用户单元 ( subscriber unit) 、蜂窝电话 (cellular phone) 、智能电话 ( smart phone) 、无线数据卡、个人数字助理（personal digital assistant, 简称 PDA) 电脑、平板型电脑、无线调制解调器（modem) 、手持设备（handheld) 、膝上型电脑（laptop computer) 、无绳电话（cordless phone) 或者无线本地环路（wireless local loop, 简称 WLL) 台、机器类型通信 (machine type communication, 简称 MTC) 终端等。

AMF设备用于转发用户设备与 AUSF设备之间交互的消息，还用于负责移动网络中的移动性管理，如用户位置更新、用户注册网络、用户切换等。

AUSF设备用于转发 AMF设备与 SIDF设备之间交互的消息，还用于负责与 ARPF设备之间进行认证交互，并通过 ARPF设备对用户身份信息进行认证。

SIDF设备用于生成公私钥对，并为公私钥对分配参考标识，还用于使用自身存储的私钥对用户身份信息进行解密，并与 AUSF设备及公钥管理功能设备进行交互。

公钥管理功能设备用于生成公私钥对，并为公私钥对分配参考标识，将生成公私钥对及参考标识发送给 SIDF设备，以通过 SIDF设备使用私钥对用户身份信息进行解密。

ARPF设备主要用于与 AUSF设备之间进行交互，主要负责对用户身份信息进行认证。在现有的公钥加密系统中，同时允许至少一套公私钥对用户身份信息进行加解密操作，当存在至少一套公私钥对时， AUSF设备无法确定用户设备使用哪个公私钥对中的公钥对用户身份信息进行加密，从而无法确定使用哪个公私钥对中的私钥对加密的用户身份信息进行解密，从而降低了数据的解密效率。为了提高数据的解密效率，本申请提供了一种公钥管理方法，在确定对用户身份信息进行加密时，用户设备根据第一公钥对用户身份信息进行加密，并向 AMF设备发送第一用户身份消息，由于该第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，使得 AMF设备根据指示标识和参考标识，将加密的用户身份信息和参考标识向 SIDF设备发送加密的用户身份信息和参考标识，相应的， SIDF设备也可以根据参考标识査找该参考标识索引的第一公钥对应的第一私钥，并通过第一私钥对用户身份信息进行解密，从而提高了数据的解密效率。

需要说明的是，本申请提供的公钥管理方法， AMF设备根据参考标识向 SIDF设备发送用户身份信息和参考标识（即本申请中第三用户身份消息）时，可以直接根据参考标识向 SIDF设备发送第三用户身份消息，也可以根据参考标识通过 AUSF设备向 SIDF设备转发第三用户身份消息。下面，通过具体实施例，对本申请所示的技术方案进行详细说明。需要说明的是，下面几个具体实施例可以相互结合，对于相同或相似的内容，在不同的实施例中不再进行重复说明。

需要说明的是，本申请的公钥管理管理方法所示的主要过程可以分为两个，这两个过程分别为：对使用公钥加密的用户身份信息进行解密的过程，以及公钥的生成和下发的过程。具体的，使用公钥加密的用户身份信息进行解密的过程请参见图 2-图 6所示的实施例。公钥的生成和下发的过程请参见图 7-图 9所示的实施例。

图 2为本申请提供的一种秘钥管理方法的示意图一，在该图 2所示的实施例中， AMF 设备是通过 AUSF设备向 SIDF设备转发第三用户身份消息，请参见图 2所示，该秘钥管理方法可以包括：

S201、用户设备根据第一公钥对用户身份信息进行加密。

示例的，用户设备根据第一公钥对用户身份信息进行加密之前，可以先接收 SIDF设备或公钥管理功能设备发送的第一公钥及用于索引第一公钥的参考标识，从而获取用于加密用户身份信息的第一公钥及对应的参考标识。

在获取到第一公钥之后，用户设备就可以根据第一公钥对用户身份信息进行加密。示例的，在根据第一公钥对用户身份信息进行加密时，可以直接使用该第一公钥对用户身份信息进行加密，也可以先使用临时公钥对用户身份信息进行加密，再使用第一公钥加密使用临时公钥加密后的用户身份信息。可选的，用户设备根据第一公钥对用户身份信息进行加密之前，可以先判断第一公钥是否处于有效期，当第一公钥处于有效期时，用户设备根据第一公钥对用户身份信息进行加密。需要说明的是，当用户设备判断第一公钥是否处于有效期时，用户设备还需要接收 SIDF设备或公钥管理功能设备发送的第一公钥的使用期限，以使用户设备根据该第一公钥的使用期限判断第一公钥是否处于有效期。示例的，第一公钥的使用期限可以以第一公钥的生产日期及失效日期表示；也可以以第一公钥的生产日期及可使用期限表示。

5202、用户设备向 AMF设备发送第一用户身份消息。

其中，第一用户身份消息包括用户身份信息（即为加密后的用户身份信息），用于表示是否加密的指示标识及用于索引第一公钥的参考标识。可选的，第一用户身份消息还可以包括第一公钥支持的加密协议。示例的，第一用户身份消息可以携带在非接入层 (Non-Access Stratum, NAS)数据包中发送给 AMF设备，即用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识可以携带在 NAS数据包中。

需要说明的是，用于索引第一公钥的参考标识可以为一个预先分配的数字，可以为隐含该身份管理网络设备的地域信息，还可以为第一公钥本身。在通过指示标识表示用户身份信息是否加密时，当指示标识为大于 0的数时，可以表示用户身份处于加密状态，当指示标识为 0时，表示用户身份信息处于未加密状态。可选的，当参考标识为 0时，也可以表示用户身份信息处于未加密状态。

5203、若指示标识表示用户身份信息处于加密状态，则 AMF设备根据参考标识确定第一公钥对应的 AUSF设备的标识信息。

5204、 AMF设备根据 AUSF设备的标识信息，向 AUSF设备转发第一用户身份消息。 AMF设备在接收到用户设备发送的第一用户身份消息时，根据第一用户身份消息中包括的用于表示是否加密的指示标识判断用户身份是否处于加密状态，在确定用户身份信息处于加密状态时，根据参考标识确定第一公钥对应的 AUSF设备的标识，以根据 AUSF设备的标识信息，向 AUSF设备转发第一用户身份消息。

可选的，在本申请实施例中， S203和 S204步骤： AMF设备根据参考标识确定第一公钥对应的 AUSF设备的标识，并根据 AUSF设备的标识信息，向 AUSF设备转发用户身份消息，可以包括： AMF设备预先接收并存储 AUSF设备发送的 AUSF设备的标识信息与 N个参考标识之间的映射表，使得在接收到用户设备发送的第一用户身份消息之后，可以根据 AUSF设备的标识信息与 N个参考标识之间的映射表，确定第一公钥对应的 AUSF 设备的标识信息，从而将第一用户身份消息发送给 AUSF设备。其中， N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数。

5205、若指示标识表示用户身份信息处于加密状态，则 AUSF设备根据参考标识确定参考标识对应的 SIDF设备的标识信息。 5206、 AUSF设备根据 SIDF设备的标识信息，向 SIDF设备发送第三用户身份消息。其中，第三用户身份消息包括用户身份信息（即加密的用户身份信息），及用于索引第一公钥的参考标识。由于 AUSF设备在接收到用户设备的第一用户身份消息之后，会根据第一用户身份消息中的用于标识是否加密的指示标识判断用户身份是否处于加密状态，在确定用户身份信息处于未加密状态时，直接将用户身份信息发送给 ARPF设备进行认证，在确定用户身份信息处于加密状态时，只需要向 SIDF设备发送使用第一公钥加密的用户身份信息，及用于索引第一公钥的参考标识即可，以使 SIDF直接根据参考标识査找第一公钥对应的第一私钥，从而通过第一私钥对加密的用户身份信息进行解密，而无需再发送用于标识是否加密的指示标识。可选的，第三用户身份消息还可以包括第一公钥支持的加密协议。

AUSF设备在接收到 AMF设备转发的第一用户身份消息之后，根据第一用户身份消息中包括的用于表示是否加密的指示标识判断用户身份是否处于加密状态，在确定用户身份信息处于加密状态时，根据参考标识确定参考标识对应的 SIDF设备的标识信息，以根据 SIDF设备的标识信息，向 SIDF设备转发第三用户身份消息。

可选的，在本申请实施例中， S205和 S206: AUSF设备根据参考标识确定参考标识对应的 SIDF设备的标识信息，并根据 SIDF设备的标识信息，向 SIDF设备发送第三用户身份消息，可以包括： AUSF设备预设接收并存储 SIDF设备发送的 SIDF设备的标识信息与 N个参考标识之间的映射表，使得在接收到用户设备发送的第一用户身份消息之后，可以根据 SIDF设备的标识信息与 N个参考标识之间的映射表，确定参考标识对应的 SIDF 设备的标识信息，从而将第三用户身份消息发送给 SIDF设备。

5207、 SIDF设备根据参考标识确定第一公钥对应的第一私钥。

其中，第一公钥和第一私钥为第一公私钥对。

在本申请实施例中， SIDF设备可以预先存储 N个公私钥对与 N个参考标识之间的映射表，使得 SIDF在接收到第三用户身份消息之后，可以根据第三用户身份消息中包括的参考标识査找第一公钥对应的第一私钥，从而根据该第一私钥对加密的用户身份信息进行解密。

5208、 SIDF设备根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息。

5209、 SIDF设备向 AUSF设备发送解密后的用户身份信息，以使 AUSF设备对解密后的用户身份信息进行处理。

示例的，在本申请实施例中， SIDF设备将解密后的用户身份信息发送给 AUSF设备，并通过 AUSF设备将解密后的用户身份信息发送给 ARPF设备，以使 ARPF设备根据用户身份信息进行认证。

需要说明的是，在上述图 2所示的实施例中， S203-S206也可以通过下述 S211-S212 进行替换：即 AMF设备参考标识直接向 SIDF设备发送第三用户身份消息，具体请参见图 3所示，图 3为本申请提供的一种秘钥管理方法的示意图二。

5210、若指示标识表示用户身份信息处于加密状态，则 AMF设备根据参考标识确定第一公钥对应的 SIDF设备的标识信息。

可选的， S210AMF设备根据参考标识确定第一公钥对应的 SIDF设备的标识信息之前，还可以包括： AMF设备接收 SIDF设备发送的 SIDF的标识信息与 N个参考标识之间的映射表。其中， N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N 为大于 0的整数；并根据 SIDF设备的标识信息与 N个参考标识之间的映射表，确定第一公钥对应的 SIDF设备的标识信息。需要说明的是， SIDF设备的标识信息与 N个参考标识之间的映射表也可以由 AMF设备根据系统配置信息生成。

S211、 AMF设备根据 SIDF设备的标识信息，向 SIDF设备转发第三用户身份消息。本申请实施例提供的公钥管理方法，在确定对用户身份信息进行加密时，用户设备根据第一公钥对用户身份信息进行加密，并向 AMF设备发送第一用户身份消息，该第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，使得 AMF设备在接收到第一用户身份信息时，根据指示标识判断用户身份信息是否处于加密状态，若指示标识表示用户身份信息处于加密状态，则 AMF设备根据参考标识确定第一公钥对应的 AUSF设备的标识信息；并向 AUSF设备发送第一用户身份消息；同理， AUSF设备在接收到第一用户身份信息时，根据指示标识判断用户身份信息是否处于加密状态，若指示标识表示用户身份信息处于加密状态，则 AUSF设备根据参考标识确定参考标识对应的 SIDF设备的标识信息，并向 SIDF设备发送第三用户身份消息，使得 SIDF设备在接收用户设备的第三用户身份消息时，根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息；并向 ARPF设备发送解密后的用户身份信息，以使 ARPF设备根据用户身份信息进行认证。由此可见，本申请实施例提供的公钥管理方法，用户设备根据第一公钥对用户身份信息进行加密，并向 SIDF设备发送包括加密的用户身份信息及用于索引第一公钥的参考标识的第三用户身份消息，使得 SIDF设备在接收到该第三用户身份消息时，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

基于图 2和图 3所示的实施例，可选的，在本申请实施例中， S208SIDF设备根据参考标识确定第一公钥对应的第一私钥之前，还包括：

SIDF设备判断第一公钥是否处于有效期；当第一公钥处于有效期时，则执行 S208SIDF 设备根据参考标识确定第一公钥对应的第一私钥。

相反的，当第一公钥不处于有效期时，则直接执行 S210，具体请参见图 4所示，图 4 为本申请提供的一种公钥管理方法的示意图三。

S212、 SIDF设备向用户设备发送公钥更新请求消息。

其中，公钥更新请求消息用于指示用户设备更新第一公钥。

由此可见，在本申请中， S208 SID设备根据参考标识确定第一公钥对应的第一私钥之前，先确定第一公钥是否为有效公钥，若第一公钥为有效公钥，则直接根据该第一公钥确定对应的第一私钥，从而根据第一私钥对加密的用户身份信息进行解密，若第一公钥为非有效公钥，则向用户设备发送公钥更新请求消息，以使用户设备更新第一公钥，从而提高了用户身份信息的安全性。

进一步地，基于图 2和图 3所示的实施例，为了满足合法监听（Law for Interception) 对加密身份验证的需求，可选的， S208 SIDF设备根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息之后，还可以将解密后的用户身份信息和第一公钥发送给 AMF 设备，以通过 AMF设备判断是否对用户身份信息进行注册和认证，具体请参见图 5，图 5 为本申请实施例提供的一种公钥管理方法的示意图四，该公钥管理方法还可以包括：

5213、 SIDF设备向 AMF设备发送第四用户身份消息。

其中，第四用户身份消息包括解密后的用户身份信息和第一公钥。可选的，第四用户身份信息还可以包括第一公钥的加密协议以及加密时使用的其它参数等。

可选的， SIDF设备在向 AMF设备发送第四用户身份消息时， SIDF设备可以直接向 AMF设备发送第四用户身份消息，也可以通过 AUSF设备转发第四用户身份消息，即 SIDF 设备可以先将第四用户身份消息发送给 AUSF设备，再由 AUSF设备将第四用户身份消息转发给 AMF设备。换句话说， AMF设备可以直接接收 SIDF设备发送的第四用户身份信息，也可以通过 AUSF设备接收第四用户身份信息。

5214、 AMF设备利用第一公钥对解密后的用户身份信息进行加密，以生成需验证的用户身份信息。

5215、 AMF设备将需验证的用户身份信息与用户身份信息进行比较。

结合图 2和图 3所示的实施例， S202用户设备向 AMF设备发送第一用户身份消息。其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，即 AMF设备预先获取了用户身份信息，在生成需验证的用户身份信息之后，就可以将需验证的用户身份信息与用户身份信息进行比较，从而判断是否对用户身份信息进行注册和认证。

5216、若需验证的用户身份信息与用户身份信息相同，则 AMF设备向 AUSF设备发送指示信息。

其中，指示信息可以包括解密后的用户身份信息，指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。

5217、 AUSF设备对解密后的用户身份信息进行处理。

示例的，在本申请实施例中， AUSF设备对解密后的用户身份信息进行处理，是指 AUSF 设备将解密后的用户身份信息发送给 ARPF设备，以通过 ARPF设备对用户身份信息进行认证。

可选的， S215之后还可以包括：若需验证的用户身份信息与用户身份信息不相同，说明用户身份信息为非法用户身份，则 AMF设备可以向 AUSF设备发送注册流程中断消息，使得 AUSF设备根据该注册流程中断消息停止对用户身份信息进行注册和认证，则无需执行 S217。

由此可见，在本申请实施例中， SIDF设备在得到解密后的用户身份信息之后，将用户身份信息发送给 AMF设备，使得 AMF设备根据第一公钥对解密后的用户身份信息进行加密，生成需验证的用户身份信息，并将需验证的用户身份信息与用户身份信息进行比较，从而根据比较结果确定是否对用户身份信息进行注册和认证，进而满足了合法监听对加密身份验证的需求。

上述图 2-图 5所示的实施例详细地说明了用户设备在确定对用户身份信息加密时，对使用公钥加密的用户身份信息进行解密过程，若用户设备对用户身份信息不加密时，请参见图 6所示，图 6为本申请提供的一种公钥管理方法的示意图五，该公钥管理方法可以包括- S601、用户设备确定是否对用户身份信息进行加密。

用户设备在发送用户身份信息之前，先确定是否对用户身份信息进行加密，若确定对用户身份信息进行加密，则执行上述 S201，若确定不对用户身份信息进行加密时，则执行下述 S602。

S602、当确定不对用户身份信息进行加密时，用户设备向 AMF设备发送第二用户身份消息。

其中，第二用户身份消息包括未加密的用户身份信息以及用于表示是否加密的指示标识。需要说明的是，指示标识为 0时，表示用户身份信息处于未加密状态。示例的，第二用户身份消息可以携带在 NAS数据包中发送给 AMF设备，即未加密的用户身份信息以及用于表示是否加密的指示标识可以携带在 NAS数据包中，。

5603、若指示标识表示用户身份信息处于未加密状态，则 AMF设备根据用户身份信息确定对应的 AUSF设备的标识信息。

5604、 AMF设备根据 AUSF设备的标识信息，向 AUSF设备转发第二用户身份消息。 AMF设备在接收到用户设备发送的第二用户身份消息时，根据第二用户身份消息中包括的用于标识是否加密的指示标识确定用户身份信息是否处于未加密状态，在确定用户身份信息处于未加密状态时，则根据用户身份信息确定对应的 AUSF设备的标识信息。

5605、若指示标识表示用户身份信息处于未加密状态，则 AUSF设备向 ARPF设备发送用户身份信息。

AUSF设备接收到 AMF设备转发的第二用户身份消息时，根据第二用户身份消息中包括的用于标识是否加密的指示标识确定用户身份信息是否处于未加密状态，在确定用户身份信息处于未加密状态时，则直接向 ARPF设备发送用户身份信息，以使 ARPF设备根据用户身份信息进行认证。

本申请实施例提供的公钥管理方法，通过确定是否对用户身份信息进行加密，当确定不对用户身份信息进行加密时，用户设备向 AMF设备发送第二用户身份消息；该第二用户身份消息包括未加密的用户身份信息以及用于表示是否加密的指示标识；使得 AMF设备在接收到第二用户身份信息时，若指示标识表示用户身份信息处于未加密状态，则根据用户身份信息确定对应的 AUSF设备的标识信息；并向 AUSF设备转发第二用户身份消息，使得 AUSF设备在接收到 AMF设备转发的第二用户身份消息时，若指示标识表示用户身份信息处于未加密状态，则向 ARPF设备发送用户身份信息。由此可见，本申请实施例提供的公钥管理方法，用户设备向 AUSF设备发送第二用户身份消息时，由于第二用户身份消息中包括用于标识是否加密的指示标识，使得 AUSF设备接收到该第二用户身份消息时，可以根据该指示标识确定用户身份信息是否处于未加密状态，在确定用户身份信息处于未加密状态时，则直接向 ARPF设备发送用户身份信息，以使 ARPF设备根据用户身份信息进行认证，从而提高了数据的解密效率。

基于图 2和图 3所示的实施例，用户设备在将加密的用户身份信息发送给 SIDF设备进行解密时， SIDF设备需要预先存储 N对公私钥对及 N个参考标识，并在个公私钥对中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识，之后，再将第一公钥和第一索引下发给用户设备，即公钥的生成和下发的过程，具体可以通过以下三种可能的实现方法实现，请参见图 7-图 9所示；在第一种可能的实现方式中，请参见图 7所示，图 7为本申请提供的一种公钥管理方法的示意图六，该公钥管理方法可以包括：

5701、 SIDF设备生成 N对公私钥对。

其中，上述实施例所示的第一公私钥对为 N对公私钥对中的任一对， N为大于 0的整数。 N对公私钥对中每一个公私钥对均包括一个公钥及对应的一个私钥，其中，通过公钥可以对用户身份信息进行加密，通过私钥可以对使得该公钥加密的用户身份信息进行解密。

5702、 SIDF设备为 N对公私钥对中的公钥分配参考标识。

需要说明的是，用于索引公钥的参考标识可以为一个预先分配的数字，可以为隐含该身份管理网络设备的地域信息，还可以为公钥本身。在通过指示标识表示用户身份信息是否加密时，当指示标识为大于 0的数时，可以表示用户身份处于加密状态，当指示标识为 0时，表示用户身份信息处于未加密状态。

SIDF设备为 N对公私钥对中的每一个公钥分配参考标识，则对应有 N个参考标识，且 N个参考标识用于一一对应地索引 N个公私钥对。

为了避免存在多个公私钥对时，无法确定使用哪个公私钥对中的私钥对加密的用户身份信息进行解密，在本申请实施例中，通过为 N对私钥对中每一个公私钥对中的公钥分配用于索引公钥的参考标识，以使 SIDF设备接收到用户身份信息及参考标识时，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对用户身份信息进行解密，从而提高了数据的解密效率。

5703、 SIDF设备从 N个公私钥对中获取第一公钥，以及从 N个参考标识中获取参考标识。

其中，该参考标识是指用于索引第一公钥的参考标识。

S904、 SIDF设备向用户设备发送第一公钥及参考标识。

示例的， SIDF设备可以通过离线或者在线（OTP) 的方式向用户设备上的可信存储环境发送第一公钥及参考标识。需要说明的是，当参考标识为第一公钥本身时， SIDF设备可以只向用户设备发送第一公钥。

可选的， SIDF设备还可以向用户设备发送第一公钥支持的加密协议，以使用户设备基于该加密协议，根据第一公钥对用户设备信息进行加密。

此外， SIDF设备在向用户设备发送第一公钥和用于索引第一公钥的参考标识时，还可以同时将第一公钥的使用期限发送给用户设备，使得用户设备可以根据该第一公钥的使用期限判断第一公钥是否处于有效期。示例的，使用期限可以以第一公钥的生产日期及失效日期表示；也可以以第一公钥的生产日期及可使用期限表示。

由此可见，在本申请实施例中， SIDF设备在生成 N对公私钥对，且为 N对私钥对中每一个公私钥对中的公钥分配用于索引公钥的参考标识之后，从 N个公私钥对中获取第一公钥，以及从 N个参考标识中获取参考标识，并向用户设备发送第一公钥及参考标识，以使用户设备可以根据第一公钥对用户身份信息进行加密，并通过 AMF设备和 AUSF设备将包含用户身份信息及参考标识的第三用户身份消息发送给 SIDF设备，使得 SIDF设备接收到第三用户身份消息时，可以根据预先存储的公私钥对及参考标识之间的映射表，确定第一公钥对应的第一私钥，从而通过该第一私钥对用户身份信息进行解密，从而提高了数据的解密效率。在第二种可能的实现方式中，请参见图 8所示，图 8为本申请提供的一种公钥管理方法的示意图七，该公钥管理方法可以包括：

5801、 SIDF设备生成 N对公私钥对。

其中，上述实施例所示的第一公私钥对为 N对公私钥对中的任一对， N为大于 0的整数。

5802、 SIDF设备向公钥管理功能设备发送参考标识请求消息。

其中，参考标识请求消息包括 N对公私钥对中的公钥，参考标识请求消息用于请求公钥管理功能设备为 N对公私钥对中的公钥分配参考标识。

SIDF设备在生成 N对公私钥对之后，向公钥管理功能设备发送参考标识请求消息，以使公钥管理功能设备为 N对公私钥对中的公钥分配参考标识。

5803、公钥管理功能设备为 N个公钥分配 N个参考标识。

其中， N个参考标识用于一一对应地索引 N个公钥。需要说明的是，用于索引公钥的参考标识可以为一个预先分配的数字，可以为隐含该身份管理网络设备的地域信息，还可以为公钥本身。在通过指示标识表示用户身份信息是否加密时，当指示标识为大于 0的数时，可以表示用户身份处于加密状态，当指示标识为 0时，表示用户身份信息处于未加密状态。

5804、公钥管理功能设备向 SIDF设备发送 N个公钥和 N个参考标识。

公钥管理功能设备在分 N个公钥分配 N个参考标识之后，向 SIDF设备发送 N个公钥和 N个参考标识，以使 SIDF设备获取 N个公钥和 N个参考标识，并存储 N个公私钥对和 N个参考标识之间的映射表，从而在接收到第一用户身份消息之后，根据第一用户身份消息中包括的用于索引第一公钥的参考标识找到对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密。

5805、公钥管理功能设备从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识。

S806、公钥管理功能设备向用户设备发送第一公钥及参考标识。

示例的，公钥管理功能设备可以通过离线或者在线（OTP) 的方式向用户设备上的可信存储环境发送第一公钥及参考标识。需要说明的是，当参考标识为第一公钥本身时， SIDF 设备可以只向用户设备发送第一公钥。

可选的，公钥管理功能设备还可以向用户设备发送第一公钥支持的加密协议，以使用户设备基于该加密协议，根据第一公钥对用户设备信息进行加密。

公钥管理功能设备在为 N个公钥分配 N个参考标识之后，可以从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识；并向用户设备发送第一公钥及参考标识，使得用户设备在确定对用户身份信息进行加密时，可以根据第一公钥对用户身份信息进行加密，并通过参考标识表示用于加密用户身份信息的第一公钥。

需要说明的是，在申请实施例中， S804和 S805之间并无先后顺序。

由此可见，在本申请实施例中， SIDF设备生成 N对公私钥对,向公钥管理功能设备发送参考标识请求消息，以使公钥管理功能设备为 N对公私钥对中的公钥分配参考标识；公钥管理功能设备在分 N个公钥分配 N个参考标识之后，可以从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识；并向用户设备发送第一公钥及参考标识，使得用户设备在确定对用户身份信息进行加密时，可以根据第一公钥对用户身份信息进行加密，此外，公钥管理功能设备向 SIDF设备发送 N个公钥和 N个参考标识，以使 SIDF设备获取 N个公钥和 N个参考标识，并存储 N个公私钥对和 N个参考标识之间的映射表，从而使得 SIDF设备在接收到第三用户身份消息之后，根据第三用户身份消息中包括的用于索引第一公钥的参考标识找到对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

在第三种可能的实现方式中，请参见图 9所示，图 9为本申请提供的一种公钥管理方法的示意图八，该公钥管理方法可以包括：

S901、公钥管理功能设备生成 N个公私钥对，并为 N个公钥分配 N个参考标识。其中，每个公私钥对包括公钥和私钥， N个公钥为 N个公私钥对中的公钥，上述实施例所示的第一公私钥对为 N对公私钥对中的任一对， N为大于 0的整数。 N个参考标识用于一一对应地索引 N个公钥。可以理解的是，该参考标识可以是字符串、数字等。比如有 100个公私钥对，那么公钥分配的标识可以是 0-99; 当然，也可以限定参考标识的长度，比如长度为 6位或 8位或 15或 100位，当然可以根据业务的规模进行确定。

S902、公钥管理功能设备向 SIDF设备发送 N对公私钥对中的公钥及 N个参考标识。需要说明的是，用于索引公钥的参考标识可以为一个预先分配的数字，可以为隐含该身份管理网络设备的地域信息，还可以为公钥本身。

举例来说，当指示标识为大于 0的数时，可以表示用户身份处于加密状态，当指示标识为 0时，表示用户身份信息处于未加密状态。比如，指示标识为 1，表示用户身份处于加密状态；指示标识为 0，表示用户身份信息处于未加密状态；

举例来说，指示标识可以是预设的字符串。比如第一预设字符串表示用户身份处于加密状态；第二预设字符串标识用户身份处于未加密状态。可以理解的是，第一预设字符串与第二预设字符串不同，本发明在此不对字符串的格式做限制。

5903、公钥管理功能设备从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识。

5904、公钥管理功能设备向用户设备发送第一公钥及参考标识。

示例的，公钥管理功能设备可以通过离线或者在线（OTP) 的方式向用户设备上的可信存储环境发送第一公钥及参考标识。需要说明的是，当参考标识为第一公钥本身时， SIDF 设备可以向用户设备发送第一公钥。

公钥管理功能设备在为 N个公钥分配 N个参考标识之后，可以从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识；并向用户设备发送第一公钥及参考标识，使得用户设备在确定对用户身份信息进行加密时，可以根据第一公钥对用户身份信息进行加密，并通过参考标识表示用于加密用户身份信息的第一公钥。需要说明的是，在申请实施例中， S902和 S903之间并无先后顺序。

由此可见，在本申请实施例中，公钥管理功能设备生成 N个公私钥对，并为 N个公钥分配 N个参考标识，并在分 N个公钥分配 N个参考标识之后，可以从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索引第一公钥的参考标识；并向用户设备发送第一公钥及参考标识，使得用户设备在确定对用户身份信息进行加密时，可以根据第一公钥对用户身份信息进行加密，此外，公钥管理功能设备向 SIDF设备发送 N对公私钥对中的公私钥及 N个参考标识，以使 SIDF设备获取 N对公私钥对中的公钥及 N个参考标识，并存储 N个公私钥对和 N个参考标识之间的映射表，从而使得 SIDF设备在接收到第三用户身份消息之后，根据第三用户身份消息中包括的用于索引第一公钥的参考标识找到对应的第一私钥，从而通过该第一私钥对加密的用户身份信息进行解密，从而提高了数据的解密效率。

基于图 7-图 9任一附图所示的实施例， SIDF设备或者公钥管理功能设备从 N个公私钥对中获取第一公钥，及参考标识之后，为了在后续解密过程（如图 2所示的实施例）中，使得 AUSF设备可以找对用于解密的第一私钥的 SIDF设备，且使得 AMF设备可以找到第一公钥对饮的 AUSF设备，可以执行下述 S905和 S906。

5905、 SIDF设备向 AUSF设备发送 SIDF设备的标识信息与 N个参考标识之间的映射表。

其中， SIDF设备的标识信息可以为 SIDF设备的地域信息，也可以为 SIDF设备的名称信息，只要根据 SIDF设备的标识信息可以査找到该 SIDF设备即可。

SIDF设备向 AUSF设备发送 SIDF设备的标识信息与 N个参考标识之间的映射表，使得 AUSF设备获取并存储该 SIDF设备的标识信息与 N个参考标识之间的映射表，从而使得 AUSF设备在接收到用户设备的第二用户身份信息之后，根据预先存储的该 SIDF设备的标识信息与 N个参考标识之间的映射表将用户设备的第二用户身份信息发送给 SIDF设备，以通过 SIDF设备对加密的用户身份信息进行解密。

需要说明的是，当通信系统中包括一个 SIDF设备时，则 SIDF设备只需要向 AUSF 设备发送 N个参考标识即可，而无需发送 SIDF设备的标识信息。或者，当参考标识为 SIDF 设备和 SIDF设备的地域信息，则 SIDF设备只需要向 AUSF设备发送 N个参考标识即可，而无需发送 SIDF设备的标识信息， AUSF设备根据 SIDF设备的地域信息就可以査找到该 SIDF设备。

5906、 AUSF设备向 AMF设备发送 AUSF设备的标识信息与 N个参考标识之间的映射表。

其中， AUSF设备的标识信息可以为 AUSF设备的地域信息，也可以为 AUSF设备的名称信息，只要根据 AUSF设备的标识信息可以査找到该 AUSF设备即可。

AUSF设备向 AMF设备发送 AUSF设备的标识信息与 N个参考标识之间的映射表，使得 AMF设备获取并存储该 AUSF设备的标识信息与 N个参考标识之间的映射表，从而使得 AMF设备在接收到用户设备发送的第一用户身份消息之后，根据预先存储的该 AUSF 设备的标识信息与 N 个参考标识之间的映射表将用户设备的第一用户身份信息发送给 AUSF设备。需要说明的是，当通信系统中包括一个 AUSF设备时，则 AUSF设备只需要向 AMF 设备发送 N个参考标识即可，而无需发送 AUSF设备的标识信息。或者，当参考标识为 AUSF设备和 AUSF设备的地域信息，则 AUSF设备只需要向 AMF设备发送 N个参考标识即可，而无需发送 AUSF设备的标识信息， AMF设备根据 AUSF设备的地域信息就可以査找到该 AUSF设备。

需要说明的是，在图 7所示的实施例中， S704和 S905-S906之间并无先后顺序，图 7 所示的实施例只是以先执行 S905-S906, 再执行 S704为例进行说明。同理，在图 8所示的实施例中， S806 和 S905-S906 之间并无先后顺序，图 8 所示的实施例只是以先执行 S905-S906,再执行 S806为例进行说明。同理，在图 9所示的实施例中， S904和 S905-S906 之间并无先后顺序，图 9所示的实施例只是以先执行 S905-S906, 再执行 S904为例进行说明。

本申请实施例提供的公钥管理方法，通过向 AUSF设备发送 SIDF设备的标识信息与 N个参考标识之间的映射表，且 AUSF设备向 AMF设备发送 AUSF设备的标识信息与 N 个参考标识之间的映射表，使得用户设备根据第一公钥对用户身份信息进行加密，且将第一用户身份消息发送给 AMF设备之后， AMF设备可以根据预先存储的该 AUSF设备的标识信息与 N个参考标识之间的映射表将用户设备的第一用户身份信息发送给 AUSF设备，从而使得 AUSF设备可以根据预先存储的该 SIDF设备的标识信息与 N个参考标识之间的映射表将用户设备的第二用户身份信息发送给 SIDF设备，以通过 SIDF设备对加密的用户身份信息进行解密，从而提高了数据的解密效率。

图 10为本申请提供的一种公钥管理装置 100的示意图一，该公钥管理装置 100可以包括：

加密单元 1001，用于根据第一公钥对用户身份信息进行加密。

发送单元 1002，用于向第一网络设备发送第一用户身份消息；其中，第一用户身份消息用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识，以使得第一网络设备根据指示标识和参考标识对第一用户身份消息进行处理。

可选的，加密单元 1001，还用于确定是否对用户身份信息进行加密。

发送单元 1002，还用于当确定不对用户身份信息进行加密时，用户设备向第一网络设备发送第二用户身份消息；第二用户身份消息包括未加密的用户身份信息以及指示标识。

可选的，该公钥管理装置 100还可以包括判断单元 1003，请参见图 11所示，图 11为本申请提供的一种公钥管理装置 100的示意图二。

判断单元 1003，用于判断第一公钥是否处于有效期。

加密单元 1001，具体用于当第一公钥处于有效期时，根据第一公钥对用户身份信息进行加密。

前述图 2-图 9所示实施例中的秘钥管理装置对秘钥的管理方法和具体实例同样适用于本实施例的秘钥管理装置，通过前述对秘钥的管理方法的详细描述，本领域技术人员可以清楚的知道本实施例秘钥管理装置的实施方法，所以为了说明书的简洁，在此不再详述。

图 12为本申请提供的一种公钥管理装置 120的示意图三，该公钥管理装置 120可以包括：

接收单元 1201，用于接收用户设备发送的第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识。发送单元 1202，用于若指示标识表示用户身份信息处于加密状态，则根据参考标识向第二网络设备发送第三用户身份消息；其中，第三用户身份消息包括用户身份信息和参考标识，以使第二网络设备根据参考标识对用户身份信息进行处理。

可选的，发送单元 1202，具体用于根据参考标识向第三网络设备发送第一用户身份消息；以使第三网络设备在指示标识表示用户身份信息处于加密状态时，向第二网络设备发送第三用户身份消息。

可选的，发送单元 1202，具体用于根据参考标识确定第一公钥对应的第二网络设备的标识信息；并根据第二网络设备的标识信息，向第二网络设备发送第三用户身份消息。

可选的，该秘钥管理装置 120还可以包括加密单元 1203和比较单元 1204，请参见图

13所示，图 13为本申请提供的一种公钥管理装置 120的示意图四，该公钥管理装置 120 可以包括：

接收单元 1201，还用于接收第二网络设备发送的第四身份消息；第四用户身份消息包括解密后的用户身份信息和第一公钥。

加密单元 1203，用于利用第一公钥对解密后的用户身份信息进行加密，以生成需验证的用户身份信息。

比较单元 1204，用于将需验证的用户身份信息与用户身份信息进行比较。

发送单元 1202，还用于若需验证的用户身份信息与用户身份信息相同，则向第三网络设备发送指示信息，指示消息包括解密后的用户身份信息，指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。

可选的，接收单元 1201，具体用于接收通过第三网络设备转发的第四用户身份消息。可选的，该秘钥管理装置 120还可以包括确定单元 1205。

接收单元 1201，还用于接收第二网络设备发送的第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数。

确定单元 1205，用于根据参考标识确定第一公钥对应的第二网络设备的标识信息，包括- 确定单元 1205，还用于根据第二网络设备的标识信息与 N个参考标识之间的映射表，确定第一公钥对应的第二网络设备的标识信息。

图 14为本申请提供的一种公钥管理装置 140的示意图五，该公钥管理装置 140可以包括：

接收单元 1401，用于接收第一网络设备发送的第三用户身份消息；其中，第三用户身份消息包括用户身份信息，及用于索引第一公钥的参考标识。

确定单元 1402，用于根据参考标识确定第一公钥对应的第一私钥；第一公钥和第一私钥为第一公私钥对。

解密单元 1403，用于根据第一私钥对用户身份信息进行解密，获取解密后的用户身份信息。

发送单元 1404，用于向第三网络设备发送解密后的用户身份信息，以使第三网络设备对解密后的用户身份信息进行处理。

可选的，接收单元 1401，具体用于接收通过第三网络设备转发的第三用户身份消息。可选的，该秘钥管理装置 140还可以包括判断单元 1405。请参见图 15所示，图 15为本申请提供的一种公钥管理装置 140的示意图六。

判断单元 1405，用于判断第一公钥是否处于有效期；

确定单元 1402，具体用于当第一公钥处于有效期时，根据参考标识确定第一公钥对应的第一私钥。

可选的，该秘钥管理装置 140还可以包括：

获取单元 1406，用于获取 N对公私钥对及 N个参考标识， N个参考标识用于一一对应地索引 N个公私钥对，第一公私钥对为 N对公私钥对中的任一对， N为大于 0的整数。

可选的，获取单元 1406，具体用于生成 N对公私钥对，并为 N对公私钥对中的公钥分配参考标识。

可选的，获取单元 1406，具体用于生成 N对公私钥对；发送单元 1404，还用于向第四网络设备发送参考标识请求消息，参考标识请求消息包括 N对公私钥对中的公钥，参考标识请求消息用于请求第四网络设备为 N对公私钥对中的公钥分配参考标识；

接收单元 1401，还用于接收第四网络设备发送的 N对公私钥对中的公钥及 N个参考标识。

可选的，接收单元 1401，还用于接收第四网络设备发送的 N对公私钥对及 N个参考标识。

可选的，获取单元 1406，还用于从 N个公私钥对中获取第一公钥，以及从 N个参考标识中获取参考标识。

发送单元 1404，还用于向用户设备发送第一公钥及参考标识。

可选的，发送单元 1404，还用于向第一网络设备发送第四用户身份消息；其中，第四用户身份消息包括解密后的用户身份信息和第一公钥，以使第一网络设备根据第一公钥对第四用户身份消息进行处理。

可选的，发送单元 1404，还用于通过第三网络设备向第一网络设备转发第四用户身份消息。

可选的，发送单元 1404，还用于当第一公钥不处于有效期时，向用户设备发送公钥更新请求消息，公钥更新请求消息用于指示用户设备更新第一公钥。

可选的，发送单元 1404，还用于向第一网络设备发送第二网络设备的标识信息与 N 个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N 个公钥中的任一个， N为大于 0的整数。

接收单元 1401，具体用于接收第一网络设备根据第二网络设备的标识信息与 N个参考标识之间的映射表发送第三用户身份消息。

前述图 2-图 9所示实施例中的秘钥管理装置对秘钥的管理方法和具体实例同样适用于本实施例的秘钥管理装置，通过前述对秘钥的管理方法的详细描述，本领域技术人员可以清楚的知道本实施例秘钥管理装置的实施方法，所以为了说明书的简洁，在此不再详述。图 16为本申请提供的一种公钥管理装置 160的示意图七，该公钥管理装置 160可以包括：

接收单元 1601，用于接收第一网络设备发送的第一用户身份消息；其中，第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识。

确定单元 1602，用于若指示标识表示用户身份信息处于加密状态，则根据参考标识确定参考标识对应的第二网络设备的标识信息。

发送单元 1603，用于根据第二网络设备的标识信息，向第二网络设备发送第三用户身份消息，第三用户身份消息包括使用用户身份信息，及用于索引第一公钥的参考标识；以使第二网络设备根据参考标识对第三用户身份消息进行处理。

可选的，接收单元 1601，还用于接收第二网络设备发送的第四用户身份消息，其中，第四用户身份消息包括解密后的用户身份信息和第一公钥；

发送单元 1603，还用于向第一网络设备发送第四用户身份消息，以使第一网络设备根据第一公钥对第四用户身份消息进行处理。

可选的，接收单元 1601，还用于接收第一网络设备发送的指示信息；指示消息包括解密后的用户身份信息，指示信息用于指示第三网络设备对解密后的用户身份信息进行处理。

可选的，接收单元 1601，还用于接收第二网络设备发送的第二网络设备的标识信息与 N个参考标识之间的映射表； N个参考标识用于一一对应地索引 N个公钥，第一公钥对为 N个公钥中的任一个， N为大于 0的整数；

确定单元 1602，具体用于根据第二网络设备的标识信息与 N个参考标识之间的映射表，确定参考标识对应的第二网络设备的标识信息。

可选的，发送单元 1603，还用于向第一网络设备发送第三网络设备的标识信息与 N 个参考标识之间的映射表；

接收单元 1601，具体用于接收第一网络设备根据第三网络设备的标识信息与 N个参考标识之间的映射表转发的用户设备的第一用户身份消息。

图 17为本申请提供的一种公钥管理装置 170的示意图八，该公钥管理装置 170可以包括：

获取单元 1701，用于获取 N个公钥， N为大于 0的整数。

分配单元 1702，用于为 N个公钥分配 N个参考标识， N个参考标识用于一一对应地索引 N个公钥。

发送单元 1703，用于向第二网络设备发送 N个公钥和 N个参考标识，以使第二网络设备获取 N个公钥和 N个参考标识。

可选的，获取单元 1701，具体用于生成 N个公私钥对，每个公私钥对包括公钥和私钥，

N个公钥为 N个公私钥对中的公钥；

发送单元 1703，还用于向第二网络设备发送 N个公私钥对及 N个参考标识。

可选的，接收单元，还用于接收第二网络设备发送的参考标识请求消息，参考标识请求消息包括 N对公私钥对中的公钥，参考标识请求消息用于请求第四网络设备为 N对公私钥对中的公钥分配参考标识。

可选的，获取单元 1701，还用于从 N个公钥中获取第一公钥，以及从 N个参考标识中获取用于索弓 I第一公钥的参考标识；

发送单元 1703，还用于向用户设备发送第一公钥及参考标识。

图 18为本申请提供的一种设备 180的框图，请参见图 18所示，该设备 180包括处理器 1801和存储器 1802。

存储器 1802用于存储指令，处理器 1801用于执行存储器 1802存储的指令，当处理器 1801执行存储器 1802存储的指令时，该设备 180用于执行如上述图 2-图 9任意一个实施例所述的方法。

应理解的是，处理器 1801可以是中央处理单元（Central Processing Unit, CPU) ，还可以是其他通用处理器 1801、数字信号处理器 1801 (Digital Signal Processor, DSP) 、专用集成电路（Application Specific Integrated Circuit, ASIC)等。通用处理器 1801可以是微处理器 1801或者该处理器 1801也可以是任何常规的处理器 1801等。结合本申请所公开的方法的步骤可以直接体现为硬件处理器 1801执行完成，或者用处理器 1801中的硬件及软件模块组合执行完成。

实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器 1802 中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储器 1802 (存储介质）包括：只读存储器 1802 (read-only memory, ROM) 、 RAM、快闪存储器 1802、硬盘、固态硬盘、磁带（magnetic tape) 、软盘（floppy disk) 、光盘 (optical disc) 及其任意组合。

本申请还提供一种可读存储介质，可读存储介质中存储有指令。

当用户设备的至少一个处理器执行该指令时，用户设备执行上述图 2-图 9方法实施例中提供的秘钥管理方法。

本申请还提供一种可读存储介质，可读存储介质中存储有指令，当网络设备的至少一个处理器执行该指令时，网络设备执行上述图 2-图 9方法实施例中提供的秘钥管理方法。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1、一种秘钥管理方法，其特征在于，所述方法包括：

用户设备根据第一公钥对用户身份信息进行加密；

所述用户设备向第一网络设备发送第一用户身份消息；其中，所述第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引所述第一公钥的参考标识，以使得所述第一网络设备根据所述指示标识和参考标识对所述第一用户身份消息进行处理。

2、根据权利要求 1 所述的方法，其特征在于，所述用户设备根据第一公钥对用户身份信息进行加密之前，所述方法还包括：

所述用户设备确定是否对用户身份信息进行加密；

当确定不对所述用户身份信息进行加密时，所述用户设备向所述第一网络设备发送第二用户身份消息；所述第二用户身份消息包括所述未加密的用户身份信息以及所述指示标识。

3、根据权利要求 2所述的方法，其特征在于，所述用户设备根据第一公钥对用户身份信息进行加密之前，还包括：

所述用户设备判断所述第一公钥是否处于有效期；

所述用户设备根据第一公钥对用户身份信息进行加密，包括：

当所述第一公钥处于有效期时，所述用户设备根据第一公钥对用户身份信息进行加密 ₍

4、根据权利要求 1-3任一项所述的方法，其特征在于，

所述指示标识为 0时，表示所述用户身份信息处于未加密状态。

5、一种秘钥管理方法，其特征在于，所述方法包括：

第一网络设备接收用户设备发送的第一用户身份消息；其中，所述第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识；

若所述指示标识表示用户身份信息处于加密状态，则所述第一网络设备根据所述参考标识向所述第二网络设备发送第三用户身份消息；其中，所述第三用户身份消息包括所述用户身份信息和所述参考标识，以使所述第二网络设备根据所述参考标识对所述用户身份信息进行处理。

6、根据权利要求 5 所述的方法，其特征在于，所述第一网络设备根据所述参考标识向所述第二网络设备发送第三用户身份消息，包括：

所述第一网络设备根据所述参考标识向第三网络设备发送所述第一用户身份消息；以使所述第三网络设备在所述指示标识表示用户身份信息处于加密状态时，向所述第二网络设备发送所述第三用户身份消息。

7、根据权利要求 5或 6所述的方法，其特征在于，还包括：

所述第一网络设备接收所述第二网络设备发送的第四身份消息；所述第四用户身份消息包括解密后的用户身份信息和所述第一公钥；

所述第一网络设备利用所述第一公钥对解密后的用户身份信息进行加密，以生成需验证的用户身份信息；

所述第一网络设备将所述需验证的用户身份信息与所述用户身份信息进行比较；若所述需验证的用户身份信息与所述用户身份信息相同，则所述第一网络设备向所述第三网络设备发送指示信息，所述指示消息包括所述解密后的用户身份信息，所述指示信息用于指示所述第三网络设备对所述解密后的用户身份信息进行处理。

8、一种秘钥管理方法，其特征在于，所述方法包括：

第二网络设备接收第一网络设备发送的第三用户身份消息；其中，所述第三用户身份消息包括用户身份信息，及用于索引第一公钥的参考标识；

所述第二网络设备根据所述参考标识确定所述第一公钥对应的第一私钥；所述第一公钥和所述第一私钥为第一公私钥对；

所述第二网络设备根据所述第一私钥对所述用户身份信息进行解密，获取解密后的用户身份信息；

所述第二网络设备向第三网络设备发送所述解密后的用户身份信息，以使所述第三网络设备对所述解密后的用户身份信息进行处理。

9、根据权利要求 8 所述的方法，其特征在于，所述第二网络设备根据所述参考标识确定所述第一公钥对应的第一私钥之前，还包括：

所述第二网络设备判断所述第一公钥是否处于有效期；

所述第二网络设备根据所述参考标识确定所述第一公钥对应的第一私钥，包括：当所述第一公钥处于有效期时，所述第二网络设备根据所述参考标识确定所述第一公钥对应的第一私钥。

10、根据权利要求 8或 9所述的方法，其特征在于，所述第二网络设备接收第一网络设备发送的第三用户身份消息之前，还包括：

所述第二网络设备获取 N对公私钥对及 N个参考标识，所述 N个参考标识用于一一对应地索引所述 N个公私钥对，所述第一公私钥对为所述 N对公私钥对中的任一对，所述 N为大于 0的整数。

11、根据权利要求 8-10任一项所述的方法，其特征在于，所述第二网络设备接收第一网络设备发送的第三用户身份消息之前，还包括：

所述第二网络设备从所述 N个公私钥对中获取所述第一公钥，以及从所述 N个参考标识中获取所述参考标识；

所述第二网络设备向所述用户设备发送所述第一公钥及所述参考标识。

12、根据权利要求 8-11任一项所述的方法，其特征在于，所述第二网络设备接收第一网络设备发送的第三用户身份消息之前，还包括：

所述第二网络设备向所述第一网络设备发送所述第二网络设备的标识信息与 N个参考标识之间的映射表；所述 N个参考标识用于一一对应地索引 N个公钥，所述第一公钥对为所述 N个公钥中的任一个，所述 N为大于 0的整数；

所述第二网络设备接收第一网络设备发送的第三用户身份消息，包括：

所述第二网络设备接收所述第一网络设备根据所述第二网络设备的标识信息与所述 N 个参考标识之间的映射表发送所述第三用户身份消息。

13、一种秘钥管理方法，其特征在于，所述方法包括：

第三网络设备接收第一网络设备发送的第一用户身份消息；其中，所述第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引所述第一公钥的参考标识；

若所述指示标识表示用户身份信息处于加密状态，则所述第三网络设备根据所述参考标识确定所述参考标识对应的第二网络设备的标识信息；

所述第三网络设备根据所述第二网络设备的标识信息，向所述第二网络设备发送第三用户身份消息，所述第三用户身份消息包括使用所述用户身份信息，及用于索引所述第一公钥的参考标识；以使所述第二网络设备根据所述参考标识对所述第三用户身份消息进行处理。

14、根据权利要求 13 所述的方法，其特征在于，所述第三网络设备根据所述参考标识确定所述参考标识对应的第二网络设备的标识信息之前，还包括：

所述第三网络设备接收所述第二网络设备发送的所述第二网络设备的标识信息与 N个参考标识之间的映射表；所述 N个参考标识用于一一对应地索引 N个公钥，所述第一公钥对为所述 N个公钥中的任一个，所述 N为大于 0的整数；

所述第三网络设备根据所述参考标识确定所述参考标识对应的第二网络设备的标识信息，包括- 所述第三网络设备根据所述第二网络设备的标识信息与 N个参考标识之间的映射表，确定所述参考标识对应的第二网络设备的标识信息。

15、根据权利要求 13或 14所述的方法，其特征在于，所述第三网络设备接收第二网络设备发送的所述第二网络设备的标识信息与 N个参考标识之间的映射表之后，还包括：所述第三网络设备向第一网络设备发送所述第三网络设备的标识信息与所述 N个参考标识之间的映射表；

所述第三网络设备接收第一网络设备发送的第一用户身份消息，包括：

所述第三网络设备接收所述第一网络设备根据所述第三网络设备的标识信息与所述 N 个参考标识之间的映射表转发的所述用户设备的第一用户身份消息。

16、一种秘钥管理方法，其特征在于，所述方法包括：

第四网络设备获取 N个公钥，所述 N为大于 0的整数；

所述第四网络设备为所述 N个公钥分配 N个参考标识，所述 N个参考标识用于一一对应地索引所述 N个公钥；

所述第四网络设备向第二网络设备发送所述 N个公钥和所述 N个参考标识，以使所述第二网络设备获取所述 N个公钥和所述 N个参考标识。

17、根据权利要求 15所述的方法，其特征在于，还包括：

所述第四网络设备从所述 N个公钥中获取第一公钥，以及从所述 N个参考标识中获取用于索引所述第一公钥的参考标识；

所述第四网络设备向所述用户设备发送所述第一公钥及所述参考标识。

18、一种秘钥管理装置，其特征在于，所述装置包括：

加密单元，用于根据第一公钥对用户身份信息进行加密；

发送单元，用于向第一网络设备发送第一用户身份消息；其中，所述第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引所述第一公钥的参考标识，以使得所述第一网络设备根据所述指示标识和参考标识对所述第一用户身份消息进行处理。

19、根据权利要求 18所述的装置，其特征在于，

所述加密单元，还用于确定是否对用户身份信息进行加密；

所述发送单元，还用于当确定不对所述用户身份信息进行加密时，所述用户设备向所述第一网络设备发送第二用户身份消息；所述第二用户身份消息包括所述未加密的用户身份信息以及所述指示标识。

20、根据权利要求 19所述的装置，其特征在于，还包括：

判断单元，用于判断所述第一公钥是否处于有效期；

所述加密单元，具体用于当所述第一公钥处于有效期时，根据第一公钥对用户身份信息进行加密。

21、一种秘钥管理装置，其特征在于，所述装置包括：

接收单元，用于接收用户设备发送的第一用户身份消息；其中，所述第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引第一公钥的参考标识；发送单元，用于若所述指示标识表示用户身份信息处于加密状态，则根据所述参考标识向所述第二网络设备发送第三用户身份消息；其中，所述第三用户身份消息包括所述用户身份信息和所述参考标识，以使所述第二网络设备根据所述参考标识对所述用户身份信息进行处理。

22、根据权利要求 21所述的装置，其特征在于，

所述发送单元，具体用于根据所述参考标识向第三网络设备发送所述第一用户身份消息；以使所述第三网络设备在所述指示标识表示用户身份信息处于加密状态时，向所述第二网络设备发送所述第三用户身份消息。

23、根据权利要求 21或 22所述的装置，其特征在于，还包括：

所述接收单元，还用于接收所述第二网络设备发送的第四身份消息；所述第四用户身份消息包括解密后的用户身份信息和所述第一公钥；

加密单元，用于利用所述第一公钥对解密后的用户身份信息进行加密，以生成需验证的用户身份信息；

比较单元，用于将所述需验证的用户身份信息与所述用户身份信息进行比较；所述发送单元，还用于若所述需验证的用户身份信息与所述用户身份信息相同，则向所述第三网络设备发送指示信息，所述指示消息包括所述解密后的用户身份信息，所述指示信息用于指示所述第三网络设备对所述解密后的用户身份信息进行处理。

24、一种秘钥管理装置，其特征在于，所述装置包括：

接收单元，用于接收第一网络设备发送的第三用户身份消息；其中，所述第三用户身份消息包括用户身份信息，及用于索引第一公钥的参考标识；

确定单元，用于根据所述参考标识确定所述第一公钥对应的第一私钥；所述第一公钥和所述第一私钥为第一公私钥对；

解密单元，用于根据所述第一私钥对所述用户身份信息进行解密，获取解密后的用户身份信息；

发送单元，用于向第三网络设备发送所述解密后的用户身份信息，以使所述第三网络设备对所述解密后的用户身份信息进行处理。

25、根据权利要求 24所述的装置，其特征在于，还包括：判断单元，用于判断所述第一公钥是否处于有效期；

所述确定单元，具体用于当所述第一公钥处于有效期时，根据所述参考标识确定所述第一公钥对应的第一私钥。

26、根据权利要求 24或 25所述的装置，其特征在于，还包括：

获取单元，用于获取 N对公私钥对及 N个参考标识，所述 N个参考标识用于一一对应地索引所述 N个公私钥对，所述第一公私钥对为所述 N对公私钥对中的任一对，所述 N 为大于 0的整数。

27、根据权利要求 26所述的装置，其特征在于，

所述获取单元，还用于从所述 N个公私钥对中获取所述第一公钥，以及从所述 N个参考标识中获取所述参考标识；

所述发送单元，还用于向所述用户设备发送所述第一公钥及所述参考标识。

28、根据权利要求 24-27任一项所述的装置，其特征在于，

所述发送单元，还用于向所述第一网络设备发送所述第二网络设备的标识信息与 N个参考标识之间的映射表；所述 N个参考标识用于一一对应地索引 N个公钥，所述第一公钥对为所述 N个公钥中的任一个，所述 N为大于 0的整数；

所述接收单元，具体用于接收所述第一网络设备根据所述第二网络设备的标识信息与所述 N个参考标识之间的映射表发送所述第三用户身份消息。

29、一种秘钥管理装置，其特征在于，所述装置包括：

接收单元，用于接收第一网络设备发送的第一用户身份消息；其中，所述第一用户身份消息包括用户身份信息，用于表示是否加密的指示标识及用于索引所述第一公钥的参考标识；

确定单元，用于若所述指示标识表示用户身份信息处于加密状态，则根据所述参考标识确定所述参考标识对应的第二网络设备的标识信息；

发送单元，用于根据所述第二网络设备的标识信息，向所述第二网络设备发送第三用户身份消息，所述第三用户身份消息包括使用所述用户身份信息，及用于索引所述第一公钥的参考标识；以使所述第二网络设备根据所述参考标识对所述第三用户身份消息进行处理。

30、根据权利要求 29所述的装置，其特征在于，

所述接收单元，还用于接收所述第二网络设备发送的所述第二网络设备的标识信息与 N个参考标识之间的映射表；所述 N个参考标识用于一一对应地索引 N个公钥，所述第一公钥对为所述 N个公钥中的任一个，所述 N为大于 0的整数；

所述确定单元，具体用于根据所述第二网络设备的标识信息与 N个参考标识之间的映射表，确定所述参考标识对应的第二网络设备的标识信息。

31、根据权利要求 29或 30所述的装置，其特征在于，

所述发送单元，还用于向第一网络设备发送所述第三网络设备的标识信息与所述 N个参考标识之间的映射表；

所述接收单元，具体用于接收所述第一网络设备根据所述第三网络设备的标识信息与所述 N个参考标识之间的映射表转发的所述用户设备的第一用户身份消息。

32、一种秘钥管理装置，其特征在于，所述装置包括：获取单元，用于获取 N个公钥，所述 N为大于 0的整数；

分配单元，用于为所述 N个公钥分配 N个参考标识，所述 N个考标识用于一一对应地索引所述 N个公钥；

发送单元，用于向第二网络设备发送所述 N个公钥和所述 N个参考标识，以使所述第二网络设备获取所述 N个公钥和所述 N个参考标识。

33、根据权利要求 32所述的装置，其特征在于，

所述获取单元，还用于从所述 N个公钥中获取第一公钥，以及从所述 N个参考标识中获取用于索弓 I所述第一公钥的参考标识；