CN111866870A - 密钥的管理方法和装置 - Google Patents
密钥的管理方法和装置 Download PDFInfo
- Publication number
- CN111866870A CN111866870A CN201910345926.7A CN201910345926A CN111866870A CN 111866870 A CN111866870 A CN 111866870A CN 201910345926 A CN201910345926 A CN 201910345926A CN 111866870 A CN111866870 A CN 111866870A
- Authority
- CN
- China
- Prior art keywords
- ausf
- indication information
- state
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims description 44
- 238000000034 method Methods 0.000 claims abstract description 163
- 230000006870 function Effects 0.000 claims description 63
- 230000004044 response Effects 0.000 claims description 60
- 238000012790 confirmation Methods 0.000 claims description 16
- 238000013523 data management Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 abstract description 14
- 239000013598 vector Substances 0.000 description 40
- 238000004846 x-ray emission Methods 0.000 description 38
- 238000010586 diagram Methods 0.000 description 28
- 238000004891 communication Methods 0.000 description 14
- 230000011664 signaling Effects 0.000 description 12
- 230000000694 effects Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/003—Arrangements for allocating sub-channels of the transmission path
- H04L5/0053—Allocation of signaling, i.e. of overhead other than pilot signals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供一种密钥的管理方法和装置,包括:AUSF或者UDM获取第一指示信息,并向UE发送该第一指示信息,该第一指示信息用于指示UE存储KAUSF,UE接收到第一指示信息后,根据第一指示信息存储KAUSF。从而使得UE能够根据网络侧的指示存储KAUSF,保证UE的归属网络后续在更新UE信息时,能够使用与网络侧相同的KAUSF,保证更新流程的完成。另外,当UE注册到多个服务网络时,AUSF和UE通过存储KAUSF、KAUSF的状态以及UE所在的第一服务网络的第一对应关系,分别对各服务网络中认证生成的KAUSF分别进行存储和状态管理,便于后续更新UE信息时能够使用正确的KAUSF进行安全保护。
Description
技术领域
本申请实施例涉及通信技术,尤其涉及一种密钥的管理方法和装置。
背景技术
为了保证用户设备(user equipment,UE)和接入网以及核心网之间通信的安全性,UE和网络之间需要进行鉴权和密钥协商(Authentication and Key Agreement,AKA)流程,AKA流程为一个双向鉴权流程,包括用户鉴权和网络鉴权。用户鉴权是指网络对用户进行鉴权,防止非法用户占用网络资源,网络鉴权是指用户对网络进行鉴权,防止用户接入了非法网络,被调取关键信息。
在新空口(New Radio,NR)系统中,常用的AKA鉴权方法包括基于第五代移动通信(5-generation5G)系统的AKA(以下简称5G-AKA)和基于可扩展的鉴权协议(ExtensibleAuthentication Protocol,EAP)的AKA’(以下简称EAP-AKA’)。在漫游操作(Steering ofRoaming,SoR)流程中,网络侧和UE侧均需要用到在认证过程中生成安全密钥:KAUSF。现有技术中,网络侧可以根据UE的归属网络策略(policy)决策是否存储KAUSF,UE是否存储KAUSF是可选的。UE侧和网络侧针对同一密钥KAUSF的策略不一致,容易导致后续在使用该密钥时出现解密失败的问题。
发明内容
本申请实施例提供一种密钥的管理方法和装置,使得UE能够根据网络侧的指示存储KAUSF,保证UE的归属网络后续在更新UE信息时,能够使用与网络侧相同的KAUSF,保证更新流程的完成。
本申请第一方面提供一种密钥的管理方法,包括:
第一网元获取第一指示信息,所述第一指示信息用于指示用户设备UE存储安全密钥KAUSF,所述第一网元为认证服务功能AUSF或者统一数据管理UDM;
所述第一网元向所述UE发送所述第一指示信息。
一种示例性的方式中,所述方法还包括:
所述第一网元获取第二指示信息,所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息;
所述第一网元向所述UE发送所述第二指示信息。
一种示例性的方式中,所述第一网元获取第一指示信息包括:
所述第一网元根据策略生成所述第一指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述第一网元获取第一指示信息包括:
所述AUSF接收所述UDM发送的所述第一指示信息。
一种示例性的方式中,所述第一网元获取第二指示信息,包括:
所述第一网元根据策略生成所述第二指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述第一网元获取第二指示信息,包括:
所述AUSF接收所述UDM发送的所述第二指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述方法还包括:
所述AUSF获取第一安全密钥KAUSF;
所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,所述第一网元对所述第一指示信息进行完整性保护,或者,对所述第一指示信息和所述第二指示信息进行完整性保护,得到第一完整性保护信息,包括:
所述第一网元获取鉴权向量,所述鉴权向量中包括鉴权参数;
所述第一网元对所述第一指示信息和第一鉴权参数进行哈希运算,得到第一哈希消息认证码HMAC,所述第一鉴权参数属于所述鉴权参数或者根据所述鉴权参数生成;
或者,所述第一网元对所述第一指示信息、所述第一鉴权参数和所述第二指示信息进行哈希运算,得到第一HMAC;
所述第一HMAC为所述第一完整性保护信息。
一种示例性的方式中,所述第一网元对所述第二指示信息进行完整性保护,得到第二完整性保护信息,包括:
所述第一网元获取鉴权向量,所述鉴权向量中包括鉴权参数;
所述第一网元对所述第二指示信息和第一鉴权参数行哈希运算,得到第二HMAC,所述第二HMAC为所述第二完整性保护信息,所述第一鉴权参数属于所述鉴权参数或者根据所述鉴权参数生成。
一种示例性的方式中,所述第一鉴权参数包括以下参数中的任意一个或者多个:加密秘钥CK’||完整性秘钥IK’、KAUSF、CK||IK、响应RES、RES*、期望响应XRES、XRES*,所述CK’||IK’是对所述CK||IK加密得到的,所述RES*是根据所述RES生成的,所述XRES*是根据所述XRES生成的。
一种示例性的方式中,还包括:
所述第一网元接收所述UE发送的第四完整性保护信息,所述第二完整性保护信息是所述UE根据所述第二指示信息进行完整性保护得到的;
所述第一网元比较所述第二完整性保护信息和所述第四完整性保护信息;
当所述第二完整性保护信息和所述第四完整性保护信息相同时,确认所述第二指示信息被所述UE成功接收到。
本申请第二方面提供一种密钥的管理方法,包括:
用户设备UE接收第一网元发送的第一指示信息,所述第一指示信息用于指示所述UE存储安全密钥KAUSF,所述第一网元为认证服务功能AUSF或者统一数据管理UDM;
所述UE根据所述第一指示信息,存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述UE存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,所述方法还包括:
所述UE接收所述第一网元发送的第二指示信息,所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息。
一种示例性的方式中,所述UE根据所述第一指示信息和所述第一KAUSF所属的第一服务网络,存储所述第一KAUSF以及所述第一KAUSF与所述第一服务网络的第一对应关系之前,还包括:
所述UE接收所述第一网元发送的第一完整性保护信息,所述第一完整性保护信息是所述第一网元根据所述第一指示信息进行完整性保护得到;
所述UE对所述第一指示信息进行完整性保护,或者,对所述第一指示信息和所述第二指示信息进行完整性保护,得到第三完整性保护信息,所述UE使用的完整性保护算法与所述第一网元生成所述第一完整性保护信息使用的完整性保护算法相同;
所述UE比较所述第一完整性保护信息和所述第三完整性保护信息;
当所述第三完整性保护信息和所述第一完整性保护信息相同时,所述UE根据所述第一指示信息和所述第一KAUSF所属的第一服务网络,存储所述第一KAUSF以及所述第一KAUSF与所述第一服务网络的第一对应关系。
一种示例性的方式中,所述UE对所述第一指示信息进行完整性保护,或者,对所述第一指示信息和所述第二指示信息进行完整性保护,得到第三完整性保护信息,包括:
所述UE生成第一鉴权参数;
所述UE对所述第一指示信息和所述第一鉴权参数进行哈希运算,得到第三哈希消息认证码HMAC;
或者,所述UE对所述第一指示信息、所述第一鉴权参数和所述第二指示信息进行哈希运算,得到第三HMAC;
所述第三HMAC为所述第三完整性保护信息。
一种示例性的方式中,所述方法还包括:
所述UE对所述第二指示信息进行完整性保护,得到第四完整性保护信息;
所述UE将所述第四完整性保护信息发送给所述第一网元。
一种示例性的方式中,所述UE对所述第二指示信息进行完整性保护,得到第四完整性保护信息,包括:
所述UE生成第一鉴权参数;
所述UE对所述第二指示信息和所述第一鉴权参数进行哈希运算,得到第四HMAC,所述第四HMAC为所述第四完整性保护信息。
一种示例性的方式中,所述第一鉴权参数包括以下参数中的任意一个或者多个:加密秘钥CK’||完整性秘钥IK’、KAUSF、CK||IK、响应RES、RES*、期望响应XRES、XRES*,所述CK’||IK’是对所述CK||IK加密得到的,所述RES*是根据所述RES生成的,所述XRES*是根据所述XRES生成的。
本申请第三方面提供一种密钥的管理方法,包括:
用户设备UE完成与认证服务功能AUSF的认证,并生成第一安全密钥KAUSF;
所述UE存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述UE存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,所述方法还包括:
所述UE接收所述第一服务网络的接入管理功能AMF发送的安全模式命令SMC请求消息;
所述UE根据所述SMC请求消息,更新所述第一KAUSF的状态。
一种示例性的方式中,所述UE根据所述SMC消息,更新所述第一KAUSF的状态,包括:
当所述UE中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述UE将所述第一KAUSF的状态更新为第二状态;
当所述UE中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述UE删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
本申请第四方面提供一种密钥的管理方法,包括:
认证服务功能AUSF完成与用户设备UE的认证并获取第一安全密钥KAUSF;
所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,所述方法还包括:
所述AUSF接收所述第一服务网络的接入管理功能AMF发起的服务调用请求,所述服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF;
所述AUSF根据所述服务调用请求,更新所述第一KAUSF的状态。
一种示例性的方式中,所述AUSF根据所述服务调用请求,更新所述第一KAUSF的状态,包括:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述AUSF将所述第一KAUSF的状态更新为第二状态;
当所述AUSF中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述AUSF删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
本申请第五方面提供一种密钥的管理方法,包括:
接入管理功能AMF向用户设备UE发送安全模式命令SMC请求消息;
所述AMF接收所述UE返回的SMC完成消息;
所述AMF向认证服务功能AUSF发起服务调用请求,所述服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF。
本申请第六方面提供一种密钥的管理方法,包括:
认证服务功能AUSF接收统一数据管理UDM发送的用户设备UE信息更新保护请求;
所述AUSF根据所述UE信息更新保护请求,选取KAUSF对UE信息进行保护;
所述AUSF向所述UDM发送UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带所述KAUSF对应的第一服务网络的标识。
本申请第七方面提供一种密钥的管理方法,包括:
统一数据管理UDM向认证服务功能AUSF发送用户设备UE信息更新保护请求;
所述UDM接收所述AUSF发送的UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带第一服务网络的标识;
所述UDM根据所述第一服务网络的标识确定所述第一服务网络的接入管理功能AMF;
所述UDM向所述AMF发送UE信息更新请求。
本申请第八方面提供一种密钥的管理方法,包括:
用户设备UE接收接入管理功能AMF发送的UE信息更新请求;
所述UE选取与所述AMF所在的第一服务网络对应的KAUSF;
所述UE使用所述第一服务网络对应的KAUSF对UE信息更新消息进行处理。
一种示例性的方式中,所述UE信息包括漫游信息SoR、用户参数更新UPU或路由指示RI。
本申请第九方面提供一种第一网元,所述第一网元为认证服务功能AUSF或者统一数据管理UDM,所述第一网元包括:
获取模块,用于获取第一指示信息,所述第一指示信息用于指示用户设备UE存储安全密钥KAUSF;
发送模块,用于向所述UE发送所述第一指示信息。
一种示例性的方式中,所述获取模块还用于:
获取第二指示信息,所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息;
所述发送模块,还用于向所述UE发送所述第二指示信息。
一种示例性的方式中,所述获取模块具体用于:根据策略生成所述第一指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述获取模块具体用于:接收所述UDM发送的所述第一指示信息。
一种示例性的方式中,所述获取模块具体用于:根据策略生成所述第二指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述获取模块具体用于:接收所述UDM发送的所述第二指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述获取模块还用于:获取第一安全密钥KAUSF;
所述AUSF还包括:
存储模块,用于存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块具体用于:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
本申请第十方面提供一种UE,包括:
接收模块,用于接收第一网元发送的第一指示信息,所述第一指示信息用于指示所述UE存储安全密钥KAUSF,所述第一网元为认证服务功能AUSF或者统一数据管理UDM;
存储模块,用于根据所述第一指示信息,存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块具体用于:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
本申请第十一方面提供一种UE,包括:
认证模块,用于完成所述UE与认证服务功能AUSF的认证;
生成模块,用于生成第一安全密钥KAUSF;
存储模块,用于存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块具体用于:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,还包括:
接收模块,用于接收所述第一服务网络的接入管理功能AMF发送的安全模式命令SMC请求消息;
更新模块,用于根据所述SMC请求消息,更新所述第一KAUSF的状态。
一种示例性的方式中,所述更新模块具体用于:
当所述UE中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,将所述第一KAUSF的状态更新为第二状态;
当所述UE中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
本申请第十二方面提供一种AUSF,包括:
认证模块,用于完成所述AUSF与用户设备UE的认证;
获取模块,用于获取第一安全密钥KAUSF;
存储模块,用于存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块具体用于:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,所还包括:
接收模块,用于接收所述第一服务网络的接入管理功能AMF发起的服务调用请求,所述服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF;
更新模块,用于根据所述服务调用请求,更新所述第一KAUSF的状态。
一种示例性的方式中,所述更新模块具体用于:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,将所述第一KAUSF的状态更新为第二状态;
当所述AUSF中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
本申请第十三方面提供一种AMF,包括:
发送模块,用于向用户设备UE发送安全模式命令SMC请求消息;
接收模块,用于接收所述UE返回的SMC完成消息;
所述发送模块,还用于向认证服务功能AUSF发起服务调用请求,所述服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF。
本申请第十四方面提供一种AUSF,包括:
接收模块,用于接收统一数据管理UDM发送的用户设备UE信息更新保护请求;
选择模块,用于根据所述UE信息更新保护请求,选取KAUSF对UE信息进行保护;
发送模块,用于向所述UDM发送UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带所述KAUSF对应的第一服务网络的标识。
本申请第十五方面提供一种UDM,包括:
发送模块,用于向认证服务功能AUSF发送用户设备UE信息更新保护请求;
接收模块,用于接收所述AUSF发送的UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带第一服务网络的标识;
确定模块,用于根据所述第一服务网络的标识确定所述第一服务网络的接入管理功能AMF;
所述发送模块,还用于向所述AMF发送UE信息更新请求。
本申请第十六方面提供一种UE,包括:
接收模块,用于接收接入管理功能AMF发送的UE信息更新请求;
选择模块,用于选取与所述AMF所在的第一服务网络对应的KAUSF;
保护模块,用于使用所述第一服务网络对应的KAUSF对UE信息更新消息进行处理。
一种示例性的方式中,所述UE信息包括漫游信息SoR、用户参数更新UPU或路由指示RI。
本申请第十七方面提供一种第一网元,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述第一网元执行如本申请第一方面、第四方面、第六方面、第七方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第十八方面提供一种用户设备UE,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述UE执行如本申请第二方面、第三方面、第八方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第十九方面提供一种接入管理功能AMF,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述AMF执行如本申请第五方面所述的方法。
本申请第二十方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第一方面、第四方面、第六方面、第七方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第二十一方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第二方面、第三方面、第八方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第二十二方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第五方面所述的方法。
本申请第二十三方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第一方面、第四方面、第六方面、第七方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第二十四方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第二方面、第三方面、第八方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第二十五方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第五方面所述的方法。
本申请第二十六方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于第一网元,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行所述存储器中存储的指令,使得所述第一网元可执行如本申请第一方面、第四方面、第六方面、第七方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第二十七方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于UE,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行所述存储器中存储的指令,使得所述UE执行如本申请第二方面、第三方面、第八方面以及各方面的示例性方式所提供的方法中的任一所述方法。
本申请第二十七方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于AMF,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行所述存储器中存储的指令,使得所述AMF执行如本申请第五方面所述的方法。
本申请实施例提供的密钥的管理方法和装置,所述方法包括:AUSF或者UDM获取第一指示信息,并向UE发送该第一指示信息,该第一指示信息用于指示UE存储安全密钥KAUSF,UE接收到第一指示信息后,根据第一指示信息存储KAUSF。从而使得UE能够根据网络侧的指示存储KAUSF,保证UE的归属网络后续在更新SoR信息、UPU或者RI等UE信息时,能够使用与网络侧相同的KAUSF,保证更新流程的完成。另外,当UE注册到多个服务网络时,AUSF和UE通过存储KAUSF、KAUSF的状态以及UE所在的第一服务网络的第一对应关系,分别对各服务网络中认证生成的KAUSF分别进行存储和状态管理,便于后续进行SoR流程或者UPU时能够使用正确的KAUSF进行安全保护。
附图说明
图1为5G网络架构的一种示意图;
图2为现有的5A-AKA流程的信令示意图;
图3为现有的EAP-AKA’流程的信令示意图;
图4为本申请实施例一提供的密钥的管理方法的流程图;
图5为本申请实施例二提供的密钥的管理方法的流程图;
图6为本申请实施例三提供的密钥的管理方法的流程图;
图7为本申请实施例四提供的密钥的管理方法的流程图;
图8为本申请实施例五提供的密钥的管理方法的信令流程图;
图9为本申请实施例七提供的密钥的管理方法的信令流程图;
图10位本申请实施例十一提供的一种密钥的管理方法的流程图;
图11为本申请实施例十二提供的一种密钥的管理方法的信令流程图;
图12为本申请实施例十三提供的一种用户参数更新方法的流程图;
图13为本申请实施例十四提供的一种第一网元的结构示意图;
图14为本申请实施例十五提供的一种UE的结构示意图;
图15为本申请实施例十六提供的一种AUSF的结构示意图;
图16为本申请实施例十七提供的一种UE的结构示意图;
图17为本申请实施例十八提供的一种AMF的结构示意图;
图18为本申请实施例十九提供的一种AUSF的结构示意图;
图19为本申请实施例二十提供的一种UDM的结构示意图;
图20为本申请实施例二十一提供的一种UE的结构示意图;
图21为本申请实施例二十二提供的第一网元的结构示意图;
图22为本申请实施例二十三提供的UE的结构示意图;
图23为本申请实施例二十四提供的AMF的结构示意图。
具体实施方式
本申请实施例提供一种密钥的管理方法,本申请实施例的方法可以应用在5G网络中,但不限于5G网络中,随着通信系统的演进,本申请的方法还可能应用在未来通信系统中或者下一代移动通信系统中。
5G网络也称为新无线通信系统、新接入技术(New Radio,简称NR)。5G网络包括接入网(access network,简称AN)和核心网。
图1为5G网络架构的一种示意图,如图1所示,5G系统中的接入网可以是无线接入网(radio access network,简称(R)AN),5G系统中的(R)AN设备可以由多个5G-(R)AN节点组成,该5G-(R)AN节点可以包括:新空口基站(NR nodeB,简称gNB)、新一代演进型基站(NG-eNB)、中心单元(central unit,简称CU)和分布式单元(distributed unit,简称DU)分离形态的gNB等)、收发点(transmission receive point,简称TRP)、传输点(transmissionpoint,简称TP)、无线保真(WIreless-Fidelity,简称WiFi)网络的接入点(access point,简称AP)或其它节点。
5G网络的核心网包括接入和移动性管理功能(Access and Mobility ManagementFunction,简称AMF)网元、会话管理功能(Session Management Function,简称SMF)网元、用户面功能(User Plane Function,简称UPF)网元、策略控制功能(Policy ControlFunction,简称PCF)网元、应用功能(Application Function,简称AF)网元、统一数据管理(unified data management,简称UDM)、鉴权服务器功能(Authentication ServerFunction,简称AUSF)网元、网络切片选择功能(Network Slice Selection Function,进程NSSF)网元等多个功能单元。
AMF主要负责移动性管理、接入管理等服务。SMF网元主要负责会话管理、终端设备的地址管理和分配、动态主机配置协议功能、用户面功能的选择和控制等。UPF网元主要负责对外连接到数据网络(data network,简称DN)以及用户面的数据包路由转发、报文过滤、执行QoS控制相关功能等。PCF网元主要负责为网络行为管理提供统一的策略框架、提供控制面功能的策略规则、获取与策略决策相关的注册信息等。AUSF主要负责对终端设备的认证功能等。
需要说明的是,这些功能单元可以独立工作,也可以组合在一起实现某些控制功能,如对终端设备的接入鉴权、安全加密、位置注册等接入控制和移动性管理功能,以及用户面传输路径的建立、释放和更改等会话管理功能。
5G网络中各功能单元之间可以通过下一代网络(next generation,简称NG)接口进行通信,如:终端设备可以通过NG接口1(简称N1)与AMF进行控制面消息的传输,(R)AN设备可以通过NG接口3(简称N3)与UPF网元建立用户面数据传输通道,(R)AN设备可以通过NG接口2(简称N2)与AMF建立控制面信令连接,UPF网元可以通过NG接口4(简称N4)与SMF网元进行信息交互,AMF可以通过NG接口11(简称N11)与SMF网元进行信息交互,SMF网元可以通过NG接口7(简称N7)与PCF网元进行信息交互,UDM通过接口8(简称N8)与AMF交互,UDM通过接口10(简称N10)与SMF网元交互。
需要说明的是,5G网络的核心网的网元除了图1中所示功能单元之外,还可以包括其他功能单元。
本申请实施例涉及到UE也称为终端设备,可以是:手机、电脑,还可以为蜂窝电话、无绳电话、会话发起协议(session initiation protocol,简称SIP)电话、智能电话、个人数字助理(personal digital assistant,简称PDA)、电脑、膝上型计算机、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡、电视机顶盒(set top box,简称STB)、车载设备、可穿戴设备(例如智能手表、智能手环、智能眼镜)、智能家居设备、用于在无线系统上进行通信的其它设备等。
UE和网络之间需要进行AKA流程,以保证UE和网络之间数据传输的安全性。在5G网络中AKA流程包括:5G-AKA和EAP-AKA’。
图2为现有的5A-AKA流程的信令示意图,如图2所示,5G-AKA流程包括以下步骤:
S101、AMF向AUSF发送UE认证请求服务。
S102、AUSF向UDM发送UE认证请求服务。
S103、UDM获取UE的国际移动用户识别码(International Mobile SubscriberIdentification Number,IMSI)。
UDM接收到UE认证请求服务后,获取UE的IMSI。
S104、UDM向归属签约用户服务器(Home Subscriber Server,HSS)发送鉴权向量获取请求。
HSS用于存储用户签约隙和移动用户的位置信息,该鉴权向量(authenticationvector,AV)获取请求中包括UE的IMSI和鉴权类型信息。
S105、HSS根据UE的IMSI和鉴权类型信息,采用5G-AKA方式生成鉴权向量。
S106、HSS向UDM发送鉴权向量获取请求响应。
该鉴权向量获取请求响应中包括鉴权向量,该鉴权向量包括:XRES*、认证令牌(authentication token,AUTN)、RAND(随机数)和KAUSF。
其中,XRES*是根据表示期望响应(eXpected RESponse,XRES)生成的,示例性的,XRES*=KDF(CK||IK,0x6B||SN name||length of SN name||RAND||length of RAND||XRES||length of XRES)的低128bit,KDF表示密钥派生函数。
S107、UDM向AUSF发送UE认证请求服务的响应。
该UE认证请求服务的响应种包括该鉴权向量。
S108、AUSF存储XRES*和KAUSF,根据XRES*计算HXRES*。
S109、AUSF向AMF发送UE认证请求服务的响应。
该UE认证请求服务的响应中包括AUTN、RAND和HXRES*。
S110、AMF向UE发送鉴权请求。
该鉴权请求中包括AUTN和RAND。
S111、UE验证AUTN是否可接受,如果可接受,则计算RES*。
S112、UE向AMF发送鉴权请求响应。
该鉴权请求响应中包括RES*。
S113、AMF根据RES*计算XRES*,比较计算得到的XRES*与AUSF发送的XRES*是否相同,如果相同则确定鉴权成功。
S114、AMF向AUSF发送鉴权请求消息。
该鉴权请求消息中包括RES*。
S115、若鉴权向量未过期,AUSF比较鉴权请求消息中包括的RES*与本地存储的XRES*是否相同,若相同则确定鉴权成功。
图3为现有的EAP-AKA’流程的信令示意图,如图3所示,EAP-AKA’流程包括以下步骤:
S201、AMF向AUSF发送UE认证请求服务。
S202、AUSF向UDM发送UE认证请求服务。
S203、UDM获取UE的IMSI。
S204、UDM向HSS发送鉴权向量获取请求。
S205、HSS根据UE的IMSI和鉴权类型信息,采用EAP-AKA’方式生成鉴权向量。
S206、HSS向UDM发送鉴权向量获取请求响应。
该鉴权向量获取请求响应中包括:XRES、AUTN、RAND、加密密钥(cipher key,CK)和完整性密钥(integrity key,IK)。
S207、UDM根据CK和IK计算CK’和IK’。
示例性的,根据以下方式计算:CK’||IK’=KDF(CK||IK,0x20||SN name||lengthof SN name||SQN⊕AK||length of SQN⊕AK)
其中,CK’||IK’表示CK’为KDF结果的高128bit,IK’为低128bit。
S208、UDM向AUSF发送UE认证请求服务的响应。
该UE认证请求服务的响应中包括该鉴权向量,该鉴权向量包括:XRES、AUTN、RAND、CK’和IK’。
S209、AUSF向AMF发送UE认证请求服务的响应。
该UE认证请求服务的响应中包括AUTN和RAND。
S210、AMF向UE发送鉴权请求。
该鉴权请求中包括AUTN和RAND。
S211、UE验证AUTN是否可接受,如果可接受,则计算RES。
S212、UE向AMF发送鉴权请求响应。
该鉴权请求响应中包括RES。
S213、AMF向AUSF发送鉴权请求。
该鉴权请求中包括RES。
S214、AUSF验证该鉴权请求消息中包括的RES与本地存储的XRES是否一致,如果一致则确定鉴权成功。
如果该鉴权请求消息中包括的RES与本地存储的XRES不一致,则确定鉴权失败。
S215、AUSF向UDM发送鉴权成功消息。
现有的5G-AKA和EAP-AKA’中,会存在网络侧存储了KAUSF,而UE没有存储KAUSF的情况,该情况下,如果UE的归属网络在后续更新SoR信息或者RI的时候,仍然使用KAUSF保护,则UE由于没有存储KAUSF而导致更新失败。
为了解决现有技术的问题,本申请实施例一提供一种密钥的管理方法,图4为本申请实施例一提供的密钥的管理方法的流程图,如图4所示,本实施例提供的方法包括以下步骤:
S301、第一网元获取第一指示信息,该第一指示信息用于指示UE存储AUSF安全密钥KAUSF。
该第一网元为AUSF或者UDM,第一网元获取第一指示信息可以为:第一网元根据策略生成第一指示信息,即UDM或者AUSF都可以根据预先配置的策略生成第一指示信息。
当第一网元为AUSF时,可选的,第一网元获取第一指示信息可以为:AUSF接收UDM发送的第一指示信息,即由UDM生成第一指示信息发送给AUSF。
S302、第一网元向UE发送第一指示信息。
第一网元通过向UE发送第一指示信息,以指示UE存储KAUSF,从而使得UE能够按照网络侧的需求决定是否存储KAUSF。
可选的,第一网元对第一指示信息进行完整性保护,得到第一完整性保护信息,并向UE发送第一完整性保护信息。第一网元通过对第一指示信息进行完整性保护,使得UE根据第一完整性保护信息验证第一指示信息的可靠性。
第一网元可以将第一指示信息和第一完整性保护信息携带在一条消息中发送给UE,该消息可以为已有消息,也可以为新定义的消息,本实施例不对此进行限制。
可选的,第一网元还获取第二指示信息,第二指示信息用于指示UE返回第一指示信息的确认信息,第一网元向UE发送第二指示信息。UE收到第二指示信息后,根据的第二指示信息向第一网元返回第一指示信息的确认信息,该确认信息用于确认UE成功接收到第一指示信息。
可选的,第一网元还接收UE发送的第四完整性保护信息,该第四完整性保护信息是UE根据第二指示信息进行完整性保护得到的,第一网元比较第二完整性保护信息和第四完整性保护信息,当第二完整性保护信息和第四完整性保护信息相同时,第一网元确认第二指示信息被UE成功接收到。当第二完整性保护信息和第四完整性保护信息不相同时,第一网元确认认证失败。
如果第一网元不向UE发送第二指示信息,UE可以根据网络侧下发的配置信息确定返回或者不返回第一指示信息的确认信息。如果该配置信息指示UE在接收到第一指示信息后向第一网元返回确认信息,则UE根据该配置信息,向第一网元返回第一指示信息的确认信息。如果该配置信息指示UE在接收到第一指示信息后不向第一网元返回第一指示信息的确认信息,则UE根据该配置信息不执行返回第一指示信息的确认信息的操作,第一网元默认UE接收到第一指示信息。
可选的,第一网元获取第二指示信息,具体为:第一网元根据策略生成第二指示信息,即UDM和AUSF根据预先配置的策略生成第二指示信息。当第一网元为AUSF时,可以由UDM生成第二指示信息,并发送给AUSF,AUSF接收UDM发送的第二指示信息。
需要说明的是,当第一网元获取了第一指示信息和第二指示信息的情况下,第一网元可以对第一指示信息进行完整性保护,得到第一完整性保护信息,也可以对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息。
当第一网元获取了第一指示信息和第二指示信息的情况下,第一网元可以对第二指示信息进行完整性保护,得到第二完整性保护信息。当然,第一网元也可以不对第二指示信息进行完整性保护,只生成第一完整性保护信息。
可选的,第一网元可以通过如下方式生成第一完整性保护信息:
第一网元获取鉴权向量,该鉴权向量中包括鉴权参数,第一网元对第一指示信息和保护密钥进行哈希运算,得到第一哈希消息认证码(Hash-based MessageAuthentication Code,HMAC),第一HMAC为第一完整性保护信息,保护密钥属于鉴权参数或者根据鉴权参数生成。
或者,第一网元对第一指示信息、保护密钥和第二指示信息进行哈希运算,得到第一HMAC,第一HMAC为第一完整性保护信息。
可选的,第一网元对第二指示信息进行完整性保护,得到第二完整性保护信息,具体为:第一网元获取鉴权向量,鉴权向量中包括鉴权参数,第一网元对第二指示信息和保护密钥行哈希运算,得到第二HMAC,第二HMAC为第二完整性保护信息,保护密钥属于鉴权参数或者根据鉴权参数生成。
可选的,保护密钥包括以下参数中的任意一个或者多个:CK’||IK’、KAUSF、CK||IK、RES、RES*、XRES、XRES*,CK’||IK’是根据CK||IK生成的,RES*是根据RES生成的,XRES*是根据XRES生成的。
需要说明的是,在5G-AKA和EAP-AKA’中,第一网元进行完整性保护时,使用的保护密钥不同,例如,在EAP-AKA’中,第一网元使用CK’||IK’、CK||IK、KAUSF、RES的所有位或者某些位(例如高128位或者低128位)作为保护密钥。在5G-AKA中,第一网元使用KAUSF、RES*、XRES、XRES*中的所有位或者某些位作为保护密钥。
本实施例中,AUSF或者UDM获取第一指示信息,并向UE发送该第一指示信息,该第一指示信息用于指示UE存储AUSF安全密钥KAUSF,从而使得UE能够根据网络侧的指示存储KAUSF,保证UE的归属网络后续在更新SoR信息、UPU或者RI等UE信息时,能够使用与网络侧相同的KAUSF,保证更新流程的完成。
UE和网络侧(例如AUSF)认证成功之后(5G AKA或EAP-AKA’),UE和AUSF均会生成密钥。但是此时生成的密钥是未被使用的或者未激活的。如果AUSF决定启用认证过程中生成的密钥,则会发起安全模式请求(security mode command,SMC)流程。SMC完成之后,UE和AMF才开始使用认证过程中生成的密钥。
但现有技术AMF是否进行SMC并不会通知AUSF,所以AUSF无法感知UE是否激活使用了最新的密钥。另外,认证流程和SMC流程是两个独立的流程,有可能只进行认证而未进行SMC。因此,会存在以下场景:当UE与AUSF完成认证并进行SMC之后,UE和AUSF之间激活了认证过程中生成的第二KAUSF,如果UE与AUSF再次进行了5G AKA或EAP-AKA’生成第一KAUSF,但未发生SMC过程,则UE和AUSF会存储两个KAUSF,此时如果UE和AUSF需要使用KAUSF,则UE和AUSF不知道该使用哪个KAUSF,从而无法使用KAUSF进行安全保护。
另外,在实际应用中,UE可能通过两个服务网络注册到归属网络(Home PublicLand Mobile Network,HPLMN),该服务网络也称为拜访网络(Visited Public LandMobile Network,VPLMN)。例如,UE的归属网络为中国移动的网络,UE可以通过中国联通和中国电信的网络接入中国移动的网络。
该场景下,UE和归属网络的AUSF会存储有两个服务网络的KAUSF,如果需要进行UE的参数更新,例如,需要更新SOR信息和UPU,则AUSF无法确定使用哪个KAUSF进行安全保护。
为了解决该问题,本申请实施例为AUSF和UE在同一服务网络下认证生成的KAUSF定义了两种状态:第一状态和第二状态,其中,第一状态的KAUSF是指完成了AKA(包括5G AKA或EAP-AKA’)认证,但尚未完成SMC的KAUSF。第二状态的KAUSF是指完成了AKA认证且完成SMC之后的KAUSF。
第一状态也称为非当前(non-current)状态当前、非激活状态、当前未使用状态或者当前未激活使用状态。第二状态也称为当前(current)状态、激活状态、当前使用状态或者当前激活使用状态。
图5为本申请实施例二提供的密钥的管理方法的流程图,如图5所示,本实施例提供的方法包括以下步骤:
S401、UE接收第一网元发送的第一指示信息,第一指示信息用于指示UE存储安全密钥KAUSF。
该第一网元为AUSF或者UDM。
S402、UE根据第一指示信息存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。
可以理解,UE在存储第一对应关系之前,需要生成第一KAUSF,UE可以在接收到第一指示信息之前生成第一KAUSF,也可以在接收到第一指示信息之后生成第一KAUSF,本是实施例不对此进行限制。
其中,UE生成KAUSF的方式和第一网元生成KAUSF的方式相同,且UE生成的KAUSF与第一网元生成的KAUSF相同。
示例性的,UE通过如下方式生成KAUSF:
KAUSF为EMSK的高256位,EMSK=MK[1152..1663]
MK=PRF'(IK'||CK',"EAP-AKA’"||SUPI)
PRF'(K,S)=T1|T2|T3|T4|...
其中:
T1=HMAC-SHA-256(K,S|0x01)
T2=HMAC-SHA-256(K,T1|S|0x02)
T3=HMAC-SHA-256(K,T2|S|0x03)
T4=HMAC-SHA-256(K,T3|S|0x04)
或者,KAUSF=KDF(CK||IK,0x6A||SN name||length of SN name
length of SQN
AK)。
示例性的,第一对应关系在UE中通过如下方式存储(服务网络的标识,第一KAUSF,第一KAUSF的状态),第一KAUSF的状态的取值为第二状态和第一状态。
示例性的,UE存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系,可以为:
当UE中没有存储与第一服务网络对应并且状态为第一状态的第二KAUSF时,UE存储第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
当UE中存储有与第一服务网络对应并且状态为第一状态的第二KAUSF时,UE删除第二KAUSF,并存储第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
可选的,UE还接收第一网元发送的第二指示信息,第二指示信息用于指示UE返回第一指示信息的确认信息。相应的,UE根据第二指示信息向第一网元返回确认信息。
可选的,UE接收第一网元发送的第一完整性保护信息,第一完整性保护信息是第一网元对第一指示信息进行完整性保护得到。第一网元通过对第一指示信息进行完整性保护,使得UE根据第一完整性保护信息验证第一指示信息的可靠性。
示例性的,UE可以通过如下方式验证第一指示信息的可靠性:UE对第一指示信息进行完整性保护,或者,对第一指示信息和第二指示信息进行完整性保护,得到第三完整性保护信息,其中,UE生成第三完整性保护信息使用的完整性保护算法与第一网元生成第一完整性保护信息使用的完整性保护算法相同。
UE比较第一完整性保护信息和第三完整性保护信息,当第三完整性保护信息和第一完整性保护信息相同时,UE根据第一指示信息存储该第一对应关系。其中,第三完整性保护信息和第一完整性保护信息相同,说明第一指示信息可靠。当第一完整性保护信息和第三完整性保护信息不相同时,说明第一指示信息不可靠,UE可以向AUSF返回校验失败消息或者认证流程。
可选的,UE对所述第一指示信息进行完整性保护,或者,对第一指示信息和第二指示信息进行完整性保护,得到第三完整性保护信息,具体为:
UE生成保护密钥,UE对第一指示信息和保护密钥进行哈希运算,得到第三HMAC;或者,UE对所述第一指示信息、保护密钥和第二指示信息进行哈希运算,得到第三HMAC,第三HMAC为第三完整性保护信息。
如果UE接收到了第二指示信息,则UE对所述第二指示信息进行完整性保护,得到第四完整性保护信息,将第四完整性保护信息发送给第一网元,以使得第一网元根据第四完整性保护信息确认UE是否正确接收到第二指示信息。
可选的,UE对第二指示信息进行完整性保护,得到第四完整性保护信息,具体为:
UE生成保护密钥,对第二指示信息和保护密钥进行哈希运算,得到第四HMAC,第四HMAC为第四完整性保护信息。
可选的,保护密钥包括以下参数中的任意一个或者多个:CK’||IK’、KAUSF、CK||IK、RES、RES*、XRES、XRES*,CK’||IK’是根据CK||IK生成的,RES*是根据RES生成的,XRES*是根据XRES生成的。可以理解,在5G-AKA和EAP-AKA’中,第一网元和UE进行完整性保护时,使用的保护密钥不同,
本实施例中,UE接收AUSF或者UDM发送的第一指示信息,第一指示信息用于指示UE存储安全密钥KAUSF,UE生成第一KAUSF,根据第一指示信息存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。UE根据网络侧发送的指示存储KAUSF,保证UE的归属网络后续在更新SoR信息、UPU或者RI等UE信息时,能够使用与网络侧相同的KAUSF,保证更新流程的完成。
图6为本申请实施例三提供的密钥的管理方法的流程图,需要说明的是,本实施例的方法可以基于现有的认证流程,也可以基于本申请实施例一和实施例二提供的认证流程,如图6所示,本实施例提供的方法包括以下步骤:
S501、AUSF完成与UE的认证,并获取AUSF第一安全密钥KAUSF。
AUSF和UE的认证可以采用现有的认证流程,也可以采用本申请实施例一和实施例二提供的认证流程,本实施例不对此进行限制。在认证完成之后,AUSF获取第一KAUSF,AUSF可以自己生成第一KAUSF,也可以接收UDM发送的第一KAUSF。
S502、AUSF存储第一KAUSF、第一KAUSF的状态信息以及UE所在的第一服务网络的第一对应关系。
示例性的,AUSF存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系,可以为:
当AUSF中没有存储与第一服务网络对应并且状态为第一状态的第二KAUSF时,AUSF将第一KAUSF的状态存储为第一状态。
当AUSF中存储有与第一服务网络对应并且状态为第一状态的第二KAUSF时,AUSF删除第二KAUSF,并将第一KAUSF的状态存储为第一状态。
或者,当AUSF中存储有与第一服务网络对应的且状态为第二状态的第二KAUSF时,AUSF将第一KAUSF的状态存储为第一状态。
可选的,当UE注册到两个服务网络时,AUSF中还存储有与第二服务网络对应的至少一个KAUSF,第二服务网络的KAUSF的状态为第二状态或者第一状态,第一服务网络和第二服务网络均为UE的VPLMN。当第二服务网络中存储有两个KAUSF,两个KAUSF的状态不同,当其中一个KAUSF的状态为第二状态时,另一个KAUSF的状态为第一状态。
因此,对于同一个服务网络,AUSF只存储一个状态为第一状态的KAUSF,或者,存储两个KAUSF:其中一个KAUSF的状态为第二状态时,另一个KAUSF的状态为第一状态。
可选的,AUSF还接收第一服务网络中的AMF发起的服务调用请求,该服务调用请求用于通知AUSFSMC流程的结果或者用于指示AUSF激活KAUSF或者用于指示AUSF使用对应的KAUSF。相应的,AUSF根据服务调用请求,更新第一KAUSF的状态。
示例性的,AUSF根据服务调用请求,更新第一KAUSF的状态,可以为:
当所述AUSF中没有存储与第一服务网络对应并且状态为第二状态的第三KAUSF时,AUSF将第一KAUSF的状态更新为第二状态。
当AUSF中存储有与第一服务网络对应并且状态为第二状态的第三KAUSF时,AUSF删除第三KAUSF,并将第一KAUSF的状态更新为第二状态。
本实施例中,AUSF完成与UE的认证并获取第一安全密钥KAUSF,存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。当UE注册到多个服务网络时,AUSF能够对各服务网络中认证生成的KAUSF分别进行存储和状态管理,便于后续对SoR信息、UPU或者RI等UE信息进行更新时,能够使用正确的KAUSF进行安全保护。并且通过为同一服务网络的KAUSF定义状态,根据KAUSF的状态对当前生成的KAUSF进行激活。
图7为本申请实施例四提供的密钥的管理方法的流程图,需要说明的是,本实施例的方法可以基于现有的认证流程,也可以基于本申请实施例一和实施例二提供的认证流程,如图7所示,本实施例提供的方法包括以下步骤:
S601、UE完成与AUSF的认证,并生成第一安全密钥KAUSF。
AUSF和UE的认证可以采用现有的认证流程,也可以采用本申请实施例一和实施例二提供的认证流程,本实施例不对此进行限制。在认证完成之后,UE生成第一KAUSF。
S602、UE存储第一KAUSF、第一KAUSF的状态信息以及UE所在的第一服务网络的第一对应关系。
示例性的,UE存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系,可以为:
当UE中没有存储与第一服务网络对应的并且状态为第一状态的第二KAUSF时,UE存储第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
当UE中存储有与第一服务网络对应的并且状态为第一状态的第二KAUSF时,UE删除第二KAUSF,并存储第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
可选的,当UE注册到两个服务网络时,UE中还存储有与第二服务网络对应的至少一个KAUSF,第二服务网络的KAUSF的状态为第二状态或者第一状态。
因此,对于同一个服务网络,AUSF只存储一个状态为第一状态的KAUSF,或者,存储两个KAUSF:其中一个KAUSF的状态为第二状态时,另一个KAUSF的状态为第一状态。
可选的,UE存储第一对应关系之后,接收第一服务网络的AMF发送的SMC消息,UE根据所述SMC消息,更新第一KAUSF的状态。
其中,UE根据SMC消息,更新第一KAUSF的状态,可以为:
当UE中没有存储与第一服务网络对应并且状态为第二状态的第三KAUSF时,UE将第一KAUSF的状态更新为第二状态。
当UE中存储有与第一服务网络对应并且状态为第二状态的第三KAUSF时,UE删除第三KAUSF,并将第一KAUSF的状态更新为第二状态。
本实施例中,UE完成与AUSF的认证,并生成第一安全密钥KAUSF,存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。当UE注册到多个服务网络时,UE能够对各服务网络中认证生成的KAUSF分别进行存储和状态管理,便于后续进行SoR信息、UPU或RI等UE信息更新时,UE能够使用与网络侧相同的KAUSF,保证更新流程的完成。
图8为本申请实施例五提供的密钥的管理方法的信令流程图,本实施例以EAP-AKA’认证为例进行说明,如图8所示,本实施例提供的方法包括以下步骤:
S701、UDM生成鉴权向量。
UDM根据HSS发送的XRES、AUTN、RAND、CK和IK,生成鉴权向量,该鉴权向量包括:XRES、AUTN、RAND、CK’和IK’,CK’和IK’是根据CK和IK生成的。
在S701之前,还会执行上述实施例中S201-S206的步骤,这里不再赘述。
S702、UDM向AUSF发送UE认证请求服务的响应。
该UE认证请求服务的响应中包括该鉴权向量。
S703、AUSF生成第一KAUS和第一指示信息,AUSF存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。
可选的,AUSF对第一指示信息进行完整性保护,得到第一完整性保护信息。
可选的,AUSF还生成第二指示信息。可选的,AUSF对第二指示信息进行完整性保护,得到第二完整性保护信息。
当AUSF生成第一指示信息和第二指示信息时,AUSF可以只对第一指示信息进行完整性保护,得到第一完整性保护信息。或者,AUSF对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息。
或者,当AUSF生成第一指示信息和第二指示信息时,AUSF可以对第一指示信息进行完整性保护,或者,对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息。同时,AUSF对第二指示信息进行完整性保护,得到第二完整性保护信息。
或者,当AUSF生成第一指示信息和第二指示信息时,AUSF可以只对第二指示信息进行完整性保护,得到第二完整性保护信息。
可选的,第一网元对第一指示信息进行完整性保护,或者,对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息,具体为:
第一网元获取鉴权向量,该鉴权向量中包括鉴权参数;
第一网元对第一指示信息和保护密钥进行哈希运算,得到第一HMAC,第一HMAC为第一完整性保护信息,保护密钥属于鉴权参数或者根据鉴权参数生成。
或者,第一网元对第一指示信息、保护密钥和第二指示信息进行哈希运算,得到第一HMAC,第一HMAC为第一完整性保护信息。
可选的,保护密钥包括以下参数中的任意一个或者多个:CK’||IK’、CK||IK、RES、KAUSF。
示例性的,AUSF存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系,可以为:
当AUSF中没有存储与第一服务网络对应并且状态为第一状态的第二KAUSF时,AUSF存储第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
当AUSF中存储有与第一服务网络对应并且状态为第一状态的第二KAUSF时,AUSF删除第二KAUSF,并存储第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
S704、AUSF向AMF发送UE认证请求服务的响应。
该认证服务请求的响应中包括RAND和AUTN,不同于现有技术的方案,该UE认证请求服务的响应中还包括第一指示信息。
如果AUSF还生成了第二指示信息、第一完整性保护信息和第二完整性保护信息,则该UE认证请求服务的响应中还包括第二指示信息和第一完整性保护信息。
需要说明的是,在AKA认证过程中,AMF也称为安全锚点功能(security anchorfunction,SEAF)或者,即AMF集成有SEAF的功能,在AKA认证过程中,AMF使用SEAF功能,因此,可以将信令流程图中的AMF替换为SEAF。
S705、AMF向UE发送鉴权请求。
该鉴权请求中鉴权信息和第一指示信息。可选的,该鉴权请求中还包括第二指示信息和第一完整性保护信息。
S706、UE生成第一KAUSF,根据第一指示信息存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。
示例性的,UE存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系,可以为:
当UE中没有存储与第一服务网络对应的并且状态为第一状态的第二KAUSF时,UE存储所述第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
当UE中存储有与第一服务网络对应的并且状态为第一状态的第二KAUSF时,UE删除第二KAUSF,并存储第一对应关系,其中,第一对应关系中的第一KAUSF的状态为第一状态。
如果鉴权请求中还包括第一完整性保护信息,则UE对第一指示信息进行完整性保护,得到第三完整性保护信息,其中,UE使用的完整性保护算法与第一网元生成第一完整性保护信息使用的完整性保护算法相同。UE比较第一完整性保护信息和第三完整性保护信息,当第三完整性保护信息和第一完整性保护信息相同时,UE根据第一指示信息存储该第一对应关系。
其中,第三完整性保护信息和第一完整性保护信息相同,说明第一指示信息可靠。如果第三完整性保护信息和第一完整性保护信息不相同,则UE向AUSF返回第一指示信息校验失败或者根据策略终止认证流程。
可选的,如果鉴权请求中还包括第二指示信息,则UE对第二指示信息进行完整性保护,得到第四完整性保护信息。
S707、UE向AMF发送鉴权请求响应。
该鉴权请求消息中包括RES,如果UE生成了第四完整保护信息,则该鉴权请求响应中还包括第四完整性保护信息。
S708、AMF向AUSF发送鉴权请求。
该鉴权请求消息中包括RES,如果UE生成了第四完整保护信息,则该鉴权请求消息中还包括第四完整性保护信息。
S709、AUSF向UDM发送鉴权成功消息。
如果鉴权请求消息中包括第四完整性保护信息,则AUSF比较第二完整性保护信息和第四完整性保护信息,如果第二完整性保护信息和第四完整性保护信息相同,则确认第二指示信息被UE成功接收到,AUSF向UDM发送鉴权成功消息。如果第二完整性保护信息和第四完整性保护信息不相同,则说明第二指示信息没有被UE成功接收到,AUSF向UDM发送鉴权失败消息。
本申请实施例六提供一种密钥的管理方法,该方法应用在5G-AKA流程中,本实施例与实施例五的区别点为:鉴权向量不同,本实施例中UDM获取到的鉴权向量包括XRES*、AUTN、RAND和KAUSF。即本实施例中由UDM生成KAUSF,而在EAP-AKA’流程中,由AUSF生成KAUSF。相应的,本实施例中,AUSF和UE对第一指示信息和/或第二指示信息进行完整性保护时,使用的保护密钥与实施五中使用的保护密钥不同。其他流程参照实施例五,这里不再赘述。
图9为本申请实施例七提供的密钥的管理方法的信令流程图,本实施例的方法应用在EAP-AKA’认证中,本实施例与实施例一的区别在于:本实施例由UDM进行保护和验证,如图9所示,本实施例提供的方法包括以下步骤:
S801、UDM生成鉴权向量。
UDM根据HSS发送的XRES、AUTN、RAND、CK和IK,生成鉴权向量,该鉴权向量包括:XRES、AUTN、RAND、CK’和IK’,CK’和IK’是根据CK和IK生成的。
S802、UDM生成第一指示信息。
可选的,UDM对第一指示信息进行完整性保护,得到第一完整性保护信息。
可选的,UDM还生成第二指示信息。
当UDM生成第一指示信息和第二指示信息时,UDM可以只对第一指示信息进行完整性保护,得到第一完整性保护信息。或者,UDM对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息。
或者,当UDM生成第一指示信息和第二指示信息时,UDM可以对第一指示信息进行完整性保护,或者,对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息。同时,UDM对第二指示信息进行完整性保护,得到第二完整性保护信息。
或者,当UDM生成第一指示信息和第二指示信息时,UDM可以只对第二指示信息进行完整性保护,得到第二完整性保护信息。
可选的,UDM对第一指示信息进行完整性保护,或者,对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息,具体为:
UDM获取鉴权向量,该鉴权向量中包括鉴权参数;
UDM对第一指示信息和保护密钥进行哈希运算,得到第一HMAC,第一HMAC为第一完整性保护信息,保护密钥属于鉴权参数或者根据鉴权参数生成。
或者,UDM对第一指示信息、保护密钥和第二指示信息进行哈希运算,得到第一HMAC,第一HMAC为第一完整性保护信息。
可选的,保护密钥包括以下参数中的任意一个或者多个:CK’||IK’、CK||IK、RES、XRES。
S803、UDM向AUSF发送UE认证请求服务的响应。
UE认证请求服务的响应中包括鉴权向量和第一指示信息,如果UDM对第一指示信息进行了完整性保护,则该UE认证请求服务的响应中还包括第一完整性保护信息。
如果UDM还生成了第二指示信息,则该UE认证请求服务的响应中还包括第二指示信息。
S804、AUSF生成第一KAUSF,AUSF存储第一KAUSF、第一KAUSF的状态信息以及UE所在的第一服务网络的第一对应关系。
其中,AUSF存储第一对应关系的方式参照实施例七的描述,这里不再赘述。
S805、AUSF向AMF发送UE认证请求服务的响应。
该UE认证请求服务的响应中包括第一指示信息。
如果AUSF还生成了第二指示信息、第一完整性保护信息和第二完整性保护信息,则该UE认证请求服务的响应中还包括第二指示信息和第一完整性保护信息。
S806、AMF向UE发送鉴权请求。
该鉴权请求中包括第一指示信息。可选的,该鉴权请求中还包括第二指示信息和第一完整性保护信息。
S807、UE生成第一KAUSF,根据第一指示信息存储第一KAUSF、第一KAUSF的状态信息以及UE所在的第一服务网络的第一对应关系。
AUSF存储第一对应关系的方式参照实施例七的描述,这里不再赘述。
如果鉴权请求中还包括第一完整性保护信息,则UE验证第一指示信息的可靠性,具体验证方式参照实施例七的相关描述,这里不再赘述。
可选的,如果鉴权请求中还包括第二指示信息,则UE对第二指示信息进行完整性保护,得到第四完整性保护信息。
S808、UE向AMF发送鉴权请求响应。
该鉴权请求消息中包括RES,如果UE生成了第四完整保护信息,则该鉴权请求响应中还包括第四完整性保护信息。
S809、AMF向AUSF发送鉴权请求消息。
该鉴权请求消息中包括RES,如果UE生成了第四完整保护信息,则该鉴权请求消息中还包括第四完整性保护信息。
S810、AUSF向UDM发送用户签约数据管理(Subscriber Data Management,SDM)服务通知。
该SDM服务通知中包括RES,如果UE生成了第四完整保护信息,则该SDM服务通知中还包括第四完整性保护信息。
S811、UDM确定鉴权是否成功。
UDM接收到SDM服务通知后,如果SDM服务通知中包括第四完整性保护信息,则UDM比较第二完整性保护信息和第四完整性保护信息,如果第二完整性保护信息和第四完整性保护信息相同,则确认第二指示信息被UE成功接收到,UDM确定鉴权成功。如果第二完整性保护信息和第四完整性保护信息不相同,则说明第二指示信息没有被UE成功接收到,UDM确定鉴权失败。
本申请实施例八提供一种密钥的管理方法,本实施例的方法与实施例七的区别为:本实施例中由UDM生成第一指示信息和第二指示信息,UDM将第一指示信息和第二指示信息发送给AUSF,AUSF将第一指示信息和第二指示信息发送给UE。可选的,AUSF还可以对第一指示信息和第二指示信息分别进行完整性保护,其他流程与实施例七相同,这里不再赘述。
本申请实施例九提供一种密钥的管理方法,本实施例的方法应用在5G-AKA认证中,本实施例与实施例五的区别点为:鉴权向量不同,本实施例中UDM获取到的鉴权向量包括XRES*、AUTN、RAND和KAUSF。即本实施例中由UDM生成KAUSF,而在EAP-AKA’流程中,由AUSF生成KAUSF。相应的,本实施例中,UDM和UE对第一指示信息和/或第二指示信息进行完整性保护时,使用的保护密钥与实施五中使用的保护密钥不同。其他流程参照实施例五的描述,这里不再赘述。
本申请实施例十提供一种密钥的管理方法,本实施例的方法应用在5G-AKA认证中,本实施例与实施例九的区别点为:本实施例中由UDM生成第一指示信息和第二指示信息,UDM将第一指示信息和第二指示信息发送给AUSF,AUSF将第一指示信息和第二指示信息发送给UE。可选的,AUSF还可以对第一指示信息和第二指示信息分别进行完整性保护,其他流程与实施例九相同,这里不再赘述。
图10位本申请实施例十一提供的一种密钥的管理方法的流程图,如图10所示,本实施例提供的方法包括以下步骤:
S901、UDM获取鉴权向量。
S902、UDM向UASF发送UE认证请求服务的响应。
该UE认证请求服务的响应中包括该鉴权向量。
S903、AUSF生成并第一KAUSF和第一指示信息,根据第一指示信息和RES生成RES’,AUSF存储第一KAUSF、第一KAUSF的状态信息以及UE所在的第一服务网络的第一对应关系。
其中,AUSF存储第一对应关系的方式参照实施例七的描述,这里不再赘述。
本实施例中,AUSF可以使用完整性保护算法对第一指示信息和RES进行完整性保护,得到RES’,RES’可以为第一完整性保护信息。示例性的,AUSF可以通过哈希算法对第一指示信息和RES进行完整性保护。
可选的,AUSF还生成第二指示信息。当AUSF生成第一指示信息和第二指示信息时,AUSF可以只对第一指示信息进行完整性保护,得到第一完整性保护信息。或者,AUSF对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息。
或者,当AUSF生成第一指示信息和第二指示信息时,AUSF可以对第一指示信息进行完整性保护,或者,对第一指示信息和第二指示信息进行完整性保护,得到第一完整性保护信息。同时,AUSF对第二指示信息进行完整性保护,得到第二完整性保护信息。
其中,在对第二指示信息进行完整性保护时,对第二指示信息和RES进行哈希运算,得到第二HMAC。
S904、AUSF向AMF发送UE认证请求服务的响应,该UE认证请求服务的响应中包括第一指示信息。
S905、AMF网元向UE发送鉴权请求,该鉴权请求中包括第一指示信息。
S906、UE生成第一KAUSF和RES,根据第一指示信息和RES生成RES’,根据第一指示信息存储第一KAUSF、第一KAUSF的状态信息以及UE所在的第一服务网络的第一对应关系。
其中,UE存储第一对应关系的方式参照实施例七的描述,这里不再赘述。
其中,UE根据第一指示信息和RES生成RES’的方式与AUSF生成RES’的方式相同,这里不再赘述。
S907、UE向AMF发送鉴权请求响应,该鉴权请求消息中包括RES’。
S908、AMF向AUSF发送鉴权请求消息,该鉴权请求消息中包括RES’。
S909、AUSF根据鉴权请求消息中包括的RES’确定鉴权是否成功。
AUSF判断鉴权请求消息中包括的RES’与自己在步骤S904生成的RES’是否相同,如果相同,则确定鉴权成功,如果不相同,则确定鉴权不成功。
图11为本申请实施例十二提供的一种密钥的管理方法的信令流程图,如图11所示,本实施例提供的方法包括以下步骤:
S1001、UE与AUSF完成认证。
其中,UE和AUSF可以采用现有的认证流程,也可以采用本申请上述实施例提供的认证流程,本实施例不对此进行限制。可以理解,UE和AUSF的认证包括多个步骤,这里不再赘述。
S1002、UE生成第一KAUSF,存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。
S1003、AUSF获取第一存储KAUSF,存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。
UE和AUSF在完成认证之后,分别存储第一KAUSF、第一KAUSF的状态以及UE所在的第一服务网络的第一对应关系。其中,UE和AUSF存储第一对应关系的方式参照实施例三和实施例四的相关描述,这里不再赘述。
S1004、AMF向UE发送SMC请求消息。
S1005、UE根据SMC请求消息,更新第一KAUSF的状态。
S1006、UE向AMF发送SMC完成消息。
S1007、AMF向AUSF发送服务调用请求,服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF。
S1008、AUSF根据服务调用请求,更新第一KAUSF的状态。
本实施例中,AUSF和UE更新第一KAUSF的状态的具体实现方式参照实施例三和实施例四的描述,这里不再赘述。
图12为本申请实施例十三提供的一种用户参数更新方法的流程图,如图12所示,本实施例提供的方法包括以下步骤:
S1101、UDM确定进行UE信息更新。
其中,UE信息更新包括SoR更新、RI更新或者UPU。
S1102、UDM向AUSF发送UE信息更新保护请求。
该UE信息更新保护请求中包括用户标识、UE更新信息、返回确认指示等。
S1103、AUSF确定选取KAUSF对UE信息进行保护。
AUSF接收到UDM发送的UE信息更新保护请求后,根据UE当前所在的第一服务网络,选取第一服务网络对应的KAUSF对UE信息进行保护。
S1104、AUSF向UDM发送UE信息更新保护请求的响应。
AUSF根据UE信息更新保护请求向UDM返回UE信息更新保护请求的响应,UE信息更新保护请求的响应中包括选取KAUSF对应的第一服务网络的ID。
S1105、UDM根据第一服务网络的ID,确定第一服务网络的AMF。
S1106、UDM向AMF发送UE信息更新请求。
UDM可以通过SDM修改请求携带UE信息更新请求,可选的,该SDM修改请求中还包括第一服务网络的ID。
S1107、AMF向UE发送UE信息更新请求。
AMF可以通过下行非接入层(DownLink Non-Access,DL NAS)消息携带该UE信息更新请求,可选的,该DL NAS消息中还携带第一服务网络的ID。
S1108、UE使用第一服务网络对应的KAUSF对UE信息进行保护。
UE接收到AMF发送的UE信息更新请求后,选取与AMF所在的第一服务网络对应的KAUSF,使用第一服务网络对应的KAUSF对UE信息进行处理。
如果DL NAS消息中携带了第一服务网络的ID,则UE根据DL NAS消息中携带的第一服务网络的ID选择第一服务网络的KAUSF,如果DL NAS消息中没有携带第一服务网络的ID,则UE根据AMF确定第一服务网络的ID,根据确定的第一服务网络的ID选择第一服务网络对应的KAUSF。
图13为本申请实施例十四提供的一种第一网元的结构示意图,所述第一网元为认证服务功能AUSF或者统一数据管理UDM,如图13所示,所述第一网元包括:
获取模块11,用于获取第一指示信息,所述第一指示信息用于指示用户设备UE存储安全密钥KAUSF;
发送模块12,用于向所述UE发送所述第一指示信息。
一种示例性的方式中,所述获取模块11还用于:
获取第二指示信息,所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息;
所述发送模块12,还用于向所述UE发送所述第二指示信息。
一种示例性的方式中,所述获取模块11具体用于:根据策略生成所述第一指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述获取模块11具体用于:接收所述UDM发送的所述第一指示信息。
一种示例性的方式中,所述获取模块11具体用于:根据策略生成所述第二指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述获取模块11具体用于:接收所述UDM发送的所述第二指示信息。
一种示例性的方式中,当所述第一网元为AUSF时,所述获取模块11还用于:获取第一安全密钥KAUSF;
所述AUSF还包括:
存储模块,用于存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块具体用于:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
本实施例的第一网元,可用于执行实施例一的方法,具体实现方式和技术效果类似,这里不再赘述。
图14为本申请实施例十五提供的一种UE的结构示意图,如图14所示,所述UE包括:
接收模块21,用于接收第一网元发送的第一指示信息,所述第一指示信息用于指示所述UE存储安全密钥KAUSF,所述第一网元为认证服务功能AUSF或者统一数据管理UDM;
存储模块22,用于根据所述第一指示信息,存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块22具体用于:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
本实施例的UE,可用于执行实施例二的方法,具体实现方式和技术效果类似,这里不再赘述。
图15为本申请实施例十六提供的一种AUSF的结构示意图,如图15所示,所述AUSF包括:
认证模块31,用于完成所述AUSF与用户设备UE的认证;
获取模块32,用于获取第一安全密钥KAUSF;
存储模块33,用于存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块33具体用于:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,还包括:
接收模块,用于接收所述第一服务网络的接入管理功能AMF发起的服务调用请求,所述服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF;
更新模块,用于根据所述服务调用请求,更新所述第一KAUSF的状态。
一种示例性的方式中,所述更新模块具体用于:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,将所述第一KAUSF的状态更新为第二状态;
当所述AUSF中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
本实施例的AUSF,可用于执行实施例三和实施例十二中AUSF的方法,具体实现方式和技术效果类似,这里不再赘述。
图16为本申请实施例十七提供的一种UE的结构示意图,如图16所示,所述UE包括:
认证模块41,用于完成所述UE与认证服务功能AUSF的认证;
生成模块42,用于生成第一安全密钥KAUSF;
存储模块43,用于存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
一种示例性的方式中,所述存储模块43具体用于:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
一种示例性的方式中,还包括:
接收模块,用于接收所述第一服务网络的接入管理功能AMF发送的安全模式命令SMC请求消息;
更新模块,用于根据所述SMC请求消息,更新所述第一KAUSF的状态。
一种示例性的方式中,所述更新模块具体用于:
当所述UE中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,将所述第一KAUSF的状态更新为第二状态;
当所述UE中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
本实施例的UE,可用于执行实施例四或实施例十二中UE执行的方法,具体实现方式和技术效果类似,这里不再赘述。
图17为本申请实施例十八提供的一种AMF的结构示意图,如图17所示,所述AMF包括:
发送模块51,用于向用户设备UE发送安全模式命令SMC请求消息;
接收模块52,用于接收所述UE返回的SMC完成消息;
所述发送模块51,还用于向认证服务功能AUSF发起服务调用请求,所述服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF。
本实施例的AMF,可用于执行实施例十二中AMF执行的方法,具体实现方式和技术效果类似,这里不再赘述。
图18为本申请实施例十九提供的一种AUSF的结构示意图,如图19所示,所述AUSF包括:
接收模块61,用于接收统一数据管理UDM发送的用户设备UE信息更新保护请求;
选择模块62,用于根据所述UE信息更新保护请求,选取KAUSF对UE信息进行保护;
发送模块63,用于向所述UDM发送UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带所述KAUSF对应的第一服务网络的标识。
本实施例的AUSF,可用于执行实施例十三中AUSF执行的方法,具体实现方式和技术效果类似,这里不再赘述。
图19为本申请实施例二十提供的一种UDM的结构示意图,如图19所示,所述UDM包括:
发送模块71,用于向认证服务功能AUSF发送用户设备UE信息更新保护请求;
接收模块72,用于接收所述AUSF发送的UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带第一服务网络的标识;
确定模块73,用于根据所述第一服务网络的标识确定所述第一服务网络的接入管理功能AMF;
所述发送模块71,还用于向所述AMF发送UE信息更新请求。
本实施例的UDM,可用于执行实施例十三中UDM执行的方法,具体实现方式和技术效果类似,这里不再赘述。
图20为本申请实施例二十一提供的一种UE的结构示意图,如图20所示,所述UE包括:
接收模块81,用于接收接入管理功能AMF发送的UE信息更新请求;
选择模块82,用于选取与所述AMF所在的第一服务网络对应的KAUSF;
保护模块83,用于使用所述第一服务网络对应的KAUSF对UE信息更新消息进行处理。
一种示例性的方式中,所述UE信息包括漫游信息SoR、用户参数更新UPU或路由指示RI。
本实施例的UE,可用于执行实施例十三中UE执行的方法,具体实现方式和技术效果类似,这里不再赘述。
图21为本申请实施例二十二提供的第一网元的结构示意图,如图21所示,该第一网元900包括:处理器91、存储器92和收发器93,所述存储器92用于存储指令,所述收发器93用于和其他设备通信,所述处理器91用于执行所述存储器中存储的指令,以使所述第一网元900执行如上述方法实施例中AUSF或UDM执行的方法。
图22为本申请实施例二十三提供的UE的结构示意图,如图22所示,该UE 1200包括:处理器121、存储器122和收发器123,所述存储器122用于存储指令,所述收发器123用于和其他设备通信,所述处理器121用于执行所述存储器中存储的指令,以使所述UE 1200执行如上述方法实施例中UE执行的方法。
图23为本申请实施例二十四提供的AMF的结构示意图,如图23所示,该AMF 1300包括:处理器131、存储器132和收发器133,所述存储器132用于存储指令,所述收发器133用于和其他设备通信,所述处理器131用于执行所述存储器中存储的指令,以使所述AMF 1300执行如上述方法实施例中AMF执行的方法。
本申请实施例二十五提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如上述方法实施例中AUSF或UDM执行的方法。
本申请实施例二十六提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如上述方法实施例中UE执行的方法。
本申请实施例二十七提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如上述方法实施例中AMF执行的方法。
可以理解,本申请实施例中AUSF、UDM、UE或者AMF中使用的处理器可以是中央处理器(CPU),通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC),现场可编程门阵列(FPGA)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
本申请实施例所述的总线可以是工业标准体系结构(Industry StandardArchitecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (26)
1.一种密钥的管理方法,其特征在于,包括:
第一网元获取第一指示信息,所述第一指示信息用于指示用户设备UE存储安全密钥KAUSF,所述第一网元为认证服务功能AUSF或者统一数据管理UDM;
所述第一网元向所述UE发送所述第一指示信息。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述第一网元获取第二指示信息,所述第二指示信息用于指示所述UE返回所述第一指示信息的确认信息;
所述第一网元向所述UE发送所述第二指示信息。
3.根据权利要求1所述的方法,其特征在于,所述第一网元获取第一指示信息包括:
所述第一网元根据策略生成所述第一指示信息。
4.根据权利要求1所述的方法,其特征在于,当所述第一网元为AUSF时,所述第一网元获取第一指示信息包括:
所述AUSF接收所述UDM发送的所述第一指示信息。
5.根据权利要求2所述的方法,其特征在于,所述第一网元获取第二指示信息,包括:
所述第一网元根据策略生成所述第二指示信息。
6.根据权利要求2所述的方法,其特征在于,当所述第一网元为AUSF时,所述第一网元获取第二指示信息,包括:
所述AUSF接收所述UDM发送的所述第二指示信息。
7.根据权利要求1-6任一项所述的方法,其特征在于,当所述第一网元为AUSF时,所述方法还包括:
所述AUSF获取第一安全密钥KAUSF;
所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
8.根据权利要求7所述的方法,其特征在于,所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
9.一种密钥的管理方法,其特征在于,包括:
用户设备UE接收第一网元发送的第一指示信息,所述第一指示信息用于指示所述UE存储安全密钥KAUSF,所述第一网元为认证服务功能AUSF或者统一数据管理UDM;
所述UE根据所述第一指示信息,存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
10.根据权利要求9所述的方法,其特征在于,所述UE存储第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
11.一种密钥的管理方法,其特征在于,包括:
用户设备UE完成与认证服务功能AUSF的认证,并生成第一安全密钥KAUSF;
所述UE存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
12.根据权利要求11所述的方法,其特征在于,所述UE存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述UE中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述UE中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述UE删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
13.根据权利要求11或12所述的方法,其特征在于,还包括:
所述UE接收所述第一服务网络的接入管理功能AMF发送的安全模式命令SMC请求消息;
所述UE根据所述SMC请求消息,更新所述第一KAUSF的状态。
14.根据权利要求13所述的方法,其特征在于,所述UE根据所述SMC消息,更新所述第一KAUSF的状态,包括:
当所述UE中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述UE将所述第一KAUSF的状态更新为第二状态;
当所述UE中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述UE删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
15.一种密钥的管理方法,其特征在于,包括:
认证服务功能AUSF完成与用户设备UE的认证并获取第一安全密钥KAUSF;
所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系。
16.根据权利要求15所述的方法,其特征在于,所述AUSF存储所述第一KAUSF、所述第一KAUSF的状态以及所述UE所在的第一服务网络的第一对应关系,包括:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态;或者,
当所述AUSF中存储有与所述第一服务网络对应并且状态为第一状态的第二KAUSF时,所述AUSF删除所述第二KAUSF,并存储所述第一对应关系,其中,所述第一对应关系中的所述第一KAUSF的状态为第一状态。
17.根据权利要求15或16所述的方法,其特征在于,还包括:
所述AUSF接收所述第一服务网络的接入管理功能AMF发起的服务调用请求,所述服务调用请求用于通知AUSF SMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF;
所述AUSF根据所述服务调用请求,更新所述第一KAUSF的状态。
18.根据权利要求17所述的方法,其特征在于,所述AUSF根据所述服务调用请求,更新所述第一KAUSF的状态,包括:
当所述AUSF中没有存储与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述AUSF将所述第一KAUSF的状态更新为第二状态;
当所述AUSF中存储有与所述第一服务网络对应并且状态为第二状态的第三KAUSF时,所述AUSF删除所述第三KAUSF,并将所述第一KAUSF的状态更新为第二状态。
19.一种密钥的管理方法,其特征在于,包括:
接入管理功能AMF向用户设备UE发送安全模式命令SMC请求消息;
所述AMF接收所述UE返回的SMC完成消息;
所述AMF向认证服务功能AUSF发起服务调用请求,所述服务调用请求用于通知AUSFSMC流程的结果或者用来指示AUSF激活KAUSF或者用来指示AUSF使用对应的KAUSF。
20.一种密钥的管理方法,其特征在于,包括:
认证服务功能AUSF接收统一数据管理UDM发送的用户设备UE信息更新保护请求;
所述AUSF根据所述UE信息更新保护请求,选取KAUSF对UE信息进行保护;
所述AUSF向所述UDM发送UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带所述KAUSF对应的第一服务网络的标识。
21.一种密钥的管理方法,其特征在于,包括:
统一数据管理UDM向认证服务功能AUSF发送用户设备UE信息更新保护请求;
所述UDM接收所述AUSF发送的UE信息更新保护请求响应,所述UE信息更新保护请求响应中携带第一服务网络的标识;
所述UDM根据所述第一服务网络的标识确定所述第一服务网络的接入管理功能AMF;
所述UDM向所述AMF发送UE信息更新请求。
22.一种密钥的管理方法,其特征在于,包括:
用户设备UE接收接入管理功能AMF发送的UE信息更新请求;
所述UE选取与所述AMF所在的第一服务网络对应的KAUSF;
所述UE使用所述第一服务网络对应的KAUSF对UE信息更新消息进行处理。
23.根据权利要求20-22中任一项所述的方法,其特征在于,所述UE信息包括漫游信息SoR、用户参数更新UPU或路由指示RI。
24.一种第一网元,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述第一网元执行如权利要求1-8、15-18、20以及21中任一项所述的方法。
25.一种用户设备UE,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述UE执行如权利要求9-14、22以及23中任一项所述的方法。
26.一种接入管理功能AMF,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述AMF执行如权利要求19所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910345926.7A CN111866870B (zh) | 2019-04-26 | 2019-04-26 | 密钥的管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910345926.7A CN111866870B (zh) | 2019-04-26 | 2019-04-26 | 密钥的管理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111866870A true CN111866870A (zh) | 2020-10-30 |
| CN111866870B CN111866870B (zh) | 2022-02-01 |
Family
ID=72951776
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910345926.7A Active CN111866870B (zh) | 2019-04-26 | 2019-04-26 | 密钥的管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111866870B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024160131A1 (zh) * | 2023-01-31 | 2024-08-08 | 华为技术有限公司 | 通信方法和通信装置 |
| WO2024160127A1 (zh) * | 2023-01-31 | 2024-08-08 | 华为技术有限公司 | 通信方法、装置及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017147503A1 (en) * | 2016-02-24 | 2017-08-31 | Whitewood Encryption Systems, Inc. | Techniques for confidential delivery of random data over a network |
| CN107222306A (zh) * | 2017-01-22 | 2017-09-29 | 天地融科技股份有限公司 | 一种密钥更新方法、装置及系统 |
| CN108810888A (zh) * | 2017-05-05 | 2018-11-13 | 华为技术有限公司 | 秘钥更新方法和设备 |
| CN109041057A (zh) * | 2018-08-08 | 2018-12-18 | 兴唐通信科技有限公司 | 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 |
| CN109644340A (zh) * | 2017-01-30 | 2019-04-16 | 瑞典爱立信有限公司 | 空闲模式期间5g中的安全性上下文处理 |
-
2019
- 2019-04-26 CN CN201910345926.7A patent/CN111866870B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017147503A1 (en) * | 2016-02-24 | 2017-08-31 | Whitewood Encryption Systems, Inc. | Techniques for confidential delivery of random data over a network |
| CN107222306A (zh) * | 2017-01-22 | 2017-09-29 | 天地融科技股份有限公司 | 一种密钥更新方法、装置及系统 |
| CN109644340A (zh) * | 2017-01-30 | 2019-04-16 | 瑞典爱立信有限公司 | 空闲模式期间5g中的安全性上下文处理 |
| CN108810888A (zh) * | 2017-05-05 | 2018-11-13 | 华为技术有限公司 | 秘钥更新方法和设备 |
| CN109041057A (zh) * | 2018-08-08 | 2018-12-18 | 兴唐通信科技有限公司 | 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 |
Non-Patent Citations (1)
| Title |
|---|
| NEC: "Discussion on use of established keys for AKMA root key", 《3GPP TSG-SA WG3 MEETING #94AD-HOC》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024160131A1 (zh) * | 2023-01-31 | 2024-08-08 | 华为技术有限公司 | 通信方法和通信装置 |
| WO2024160127A1 (zh) * | 2023-01-31 | 2024-08-08 | 华为技术有限公司 | 通信方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111866870B (zh) | 2022-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
| US11582602B2 (en) | Key obtaining method and device, and communications system | |
| EP3041164B1 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| US9729523B2 (en) | Method, network element, and mobile station for negotiating encryption algorithms | |
| CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
| CN111757311B (zh) | 一种鉴权方法及通信装置 | |
| JP6904363B2 (ja) | システム、基地局、コアネットワークノード、及び方法 | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| CN109788474A (zh) | 一种消息保护的方法及装置 | |
| WO2019096279A1 (zh) | 一种安全通信方法和装置 | |
| CN110121196B (zh) | 一种安全标识管理方法及装置 | |
| US20200344603A1 (en) | Method for Determining a Key for Securing Communication Between a User Apparatus and an Application Server | |
| CN111866870B (zh) | 密钥的管理方法和装置 | |
| US20190149326A1 (en) | Key obtaining method and apparatus | |
| US20240089728A1 (en) | Communication method and apparatus | |
| WO2017143521A1 (zh) | 一种安全通信方法及核心网节点 | |
| CN112788598B (zh) | 一种保护认证流程中参数的方法及装置 | |
| EP3316608B1 (en) | A communication network and a method for establishing non-access stratum connections in a communication network | |
| CN113950051B (zh) | 一种鉴权推演方法及装置 | |
| CN115250469A (zh) | 一种通信方法以及相关装置 | |
| CN113810903A (zh) | 一种通信方法及装置 | |
| CN116567590A (zh) | 授权方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |